413 22 10MB
German Pages 982 Year 2000
MCSE Windows 2000 Directory Services
Damir Bersinic Rob Scringer
MCSE
Windows 2000 Directory Services Infrastructure
Übersetzer: Clemens Vargas MediaMate GmbH
Markt+Technik Verlag
Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich.
Die Informationen in diesem Buch werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Autorisierte Übersetzung der amerikanischen Originalausgabe: MCSE Windows 2000 Directory Services Infrastucture Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.
10 9 8 7 6 5 4 3 2 1
04 03 02 01 00
ISBN 3-8272-5828-6
© 2001 by Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Übersetzung: Clemens Vargas, MediaMate GmbH Lektorat: Angelika Ritthaler, [email protected] Herstellung: Anja Zygalakis, [email protected] Satz: reemers publishing services gmbh, Krefeld Druck und Verarbeitung: Bercker Graphischer Betrieb, Kevelaer Printed in Germany
Inhaltsverzeichnis
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Teil 1: Prüfungsstoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 1
Konfiguration und Grundlagen von Active Directory . . . . . 25 1.1 1.2 1.3
1.4
2
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Was ist ein Verzeichnisdienst? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory auf den ersten Blick . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 Eine Datenbank aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2 Eine Hierarchie aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . Objekte in Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1 Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2 Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.3 Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.4 Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.5 Freigegebene Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25 26 29 30 32 34 37 37 37 37 38
DNS für Active Directory konfigurieren . . . . . . . . . . . . . . . . . . . 51 2.1 2.2
2.3
2.4
2.5
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundlagen von DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Vollqualifizierte Domänennamen . . . . . . . . . . . . . . . . . . . 2.2.2 Bestandteile eines FQDN . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 Die Grundlage der Zone . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4 Einen FQDN auflösen . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2 Der Vorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rollen für DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Cache-only-Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Primärer Namenserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3 Reverse-Loopupzonen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.4 Sekundär . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS und Active Directory integrieren . . . . . . . . . . . . . . . . . . . . . . . 2.5.1 Integration von Active Directory konfigurieren . . . . . . . . 2.5.2 Aktualisierungen zulassen. . . . . . . . . . . . . . . . . . . . . . . . . 2.5.3 Der Aktualisierungsprozess. . . . . . . . . . . . . . . . . . . . . . . . 2.5.4 Änderungen in Zonen, die für Active Directory verwendet werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52 54 54 55 56 56 58 59 59 61 61 62 62 76 78 79 79 80 81
6
Inhaltsverzeichnis
2.6
2.7
3
84 84 85 86 87 87 88 89 90 91
Eine Active Directory-Struktur aufbauen . . . . . . . . . . . . . . . . 109 3.1 3.2
3.3
3.4
3.5
3.6
4
Zoneninformationen übertragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.1 In der Standardumgebung. . . . . . . . . . . . . . . . . . . . . . . . . 2.6.2 In der Umgebung von Active Directory . . . . . . . . . . . . . . 2.6.3 In einer gemischten Umgebung . . . . . . . . . . . . . . . . . . . . Fehlerbehebung im DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.7.1 Dynamische Einträge können nicht erstellt werden . . . . . 2.7.2 Das Snap-In DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.7.3 Nslookup verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.7.4 IPCONFIG verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.7.5 Netlogon starten und stoppen . . . . . . . . . . . . . . . . . . . . . .
Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundlagen der logischen Struktur von Active Directory . . . . . . . 3.2.1 Domänen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Strukturen und Gesamtstrukturen . . . . . . . . . . . . . . . . . . 3.2.3 Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . . . . . Die erste Domäne erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Vorbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Domäne benennen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.3 Der Installationsvorgang. . . . . . . . . . . . . . . . . . . . . . . . . 3.3.4 Installation überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . Andere Installationstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Domänencontroller hinzufügen . . . . . . . . . . . . . . . . . . . 3.4.2 Untergeordnete Domäne hinzufügen . . . . . . . . . . . . . . . 3.4.3 Gesamtstruktur erstellen . . . . . . . . . . . . . . . . . . . . . . . . . Im physischen Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.1 Mit Standorten arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.2 Mit Subnetzen arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . Informationen in Active Directory replizieren . . . . . . . . . . . . . . . . 3.6.1 Wie die Replikation funktioniert . . . . . . . . . . . . . . . . . . 3.6.2 Replikation innerhalb eines Standorts . . . . . . . . . . . . . . 3.6.3 Verbindungsobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.4 Replikation zwischen Standorten . . . . . . . . . . . . . . . . . . 3.6.5 Server für den globalen Katalog . . . . . . . . . . . . . . . . . . .
111 111 111 112 115 117 117 118 119 126 127 128 129 130 132 133 138 141 143 144 145 146 154
Active Directory-Dienste verwalten . . . . . . . . . . . . . . . . . . . . . . 179 4.1 4.2
4.3 4.4
Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administrative Grundfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 Computerkonto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2 Benutzerkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Programme für die Verwaltung von Objekten . . . . . . . . . 4.3.1 Programme für den Verzeichnisaustausch . . . . . . . . . . . Gruppen in Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Domänenmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.2 Strategien zum Einsatz von Gruppen . . . . . . . . . . . . . . . 4.4.3 Integrierte und vordefinierte Gruppen . . . . . . . . . . . . . .
181 181 182 188 211 211 216 218 221 223
Inhaltsverzeichnis
4.5
4.6 4.7
4.8
4.9 4.10
5
226 226 227 230 231 234 235 238 239 239 240 246 247 249 253 255 256 256
Server verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 5.1 5.2
5.3
5.4
6
4.4.4 Vordefinierte globale Gruppen . . . . . . . . . . . . . . . . . . . . 4.4.5 Spezielle Identitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.6 Gruppen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objekte in Verzeichnisdiensten suchen . . . . . . . . . . . . . . . . . . . . . . 4.5.1 Objekte über Active Directory-Benutzer und -Computer lokalisieren . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.2 Erweitertes Suchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3 Objekte als Benutzer suchen . . . . . . . . . . . . . . . . . . . . . . Organisationseinheit erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.1 Wo Organisationseinheiten sinnvoll sind . . . . . . . . . . . . Berechtigungen in Active Directory-Diensten . . . . . . . . . . . . . . . . 4.7.1 Berechtigungen auf Objektebene . . . . . . . . . . . . . . . . . . 4.7.2 Vererbung von Berechtigungen . . . . . . . . . . . . . . . . . . . 4.7.3 Objektverwaltung zuweisen . . . . . . . . . . . . . . . . . . . . . . Freigaben verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.1 Berechtigungen freigeben . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2 Freigabe veröffentlichen . . . . . . . . . . . . . . . . . . . . . . . . . Drucker veröffentlichen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objekte im Verzeichnis verschieben . . . . . . . . . . . . . . . . . . . . . . . .
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serverrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Betriebsmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.2 Standorte von Betriebsmastern planen . . . . . . . . . . . . . . 5.2.3 Betriebsmasterrollen übertragen . . . . . . . . . . . . . . . . . . . 5.2.4 Wiederherstellung nach Ausfall eines Masters . . . . . . . . 5.2.5 Server für den globalen Katalog . . . . . . . . . . . . . . . . . . . Server sichern und wiederherstellen . . . . . . . . . . . . . . . . . . . . . . . . 5.3.1 Sicherungsarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.2 Erforderliche Berechtigungen für Sicherungen. . . . . . . . 5.3.3 Systemstatus sichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.4 Maßgebende Wiederherstellungen . . . . . . . . . . . . . . . . . 5.3.5 Sicherungen durchführen . . . . . . . . . . . . . . . . . . . . . . . . 5.3.6 Nicht maßgebende Wiederherstellung ausführen . . . . . . 5.3.7 Maßgebende Wiederherstellung ausführen . . . . . . . . . . . Andere administrative Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.1 NTDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2 Domänencontroller überwachen . . . . . . . . . . . . . . . . . . . 5.4.3 Weitere Werkzeuge zur Fehlersuche. . . . . . . . . . . . . . . .
279 279 279 281 282 286 288 289 290 291 292 293 294 304 309 311 312 313 332
Benutzerverwaltung mit Gruppenrichtlinien . . . . . . . . . . . . . 353 6.1
6.2
6.3
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Gruppenrichtlinien – eine Einführung. . . . . . . . . . . . . . . 6.1.2 Gruppenrichtlinienkomponenten. . . . . . . . . . . . . . . . . . . Gruppenrichtlinienbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.1 Gruppenrichtlinienvererbung . . . . . . . . . . . . . . . . . . . . . 6.2.2 Gruppenrichtlinienverarbeitung . . . . . . . . . . . . . . . . . . . 6.2.3 Gruppenrichtlinien kombinieren . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien erstellen und verwalten. . . . . . . . . . . . . . . . . . .
355 355 357 360 361 363 366 369
7
8
Inhaltsverzeichnis
6.4
6.5
6.6
7
379 380 395 402 405 439 461 461 463 465
Softwarebereitstellung mittels Gruppenrichtlinien . . . . . . 511 7.1 7.2 7.3
7.4
7.5
7.6
8
Gruppenrichtliniensicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.1 Gruppenrichtliniensicherheit konfigurieren . . . . . . . . . . 6.4.2 Gruppenrichtlinienvererbung . . . . . . . . . . . . . . . . . . . . . Benutzerumgebungen mit Gruppenrichtlinien verwalten . . . . . . . . 6.5.1 Einstellungen für administrative Vorlagen . . . . . . . . . . . 6.5.2 Administrative Vorlagen bearbeiten. . . . . . . . . . . . . . . . Fehlerbehebung bei Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . 6.6.1 Überlegungen zur Implementierung der Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6.2 Häufige Probleme bei Gruppenrichtlinien . . . . . . . . . . . 6.6.3 Gruppenrichtlinie überwachen . . . . . . . . . . . . . . . . . . . .
Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Der Softwarebereitstellungs-Lebenszyklus. . . . . . . . . . . . . . . . . . . Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.1 Packung von Software für die Bereitstellung . . . . . . . . . Softwarebereitstellung mittels Gruppenrichtlinien . . . . . . . . . . . . . 7.4.1 Veröffentlichung von Software . . . . . . . . . . . . . . . . . . . 7.4.2 Zuweisung von Software an Benutzer und Computer . . 7.4.3 Softwarebereitstellung mittels Gruppenrichtlinien. . . . . 7.4.4 Paketbereitstellungsoptionen . . . . . . . . . . . . . . . . . . . . . Wartung von Softwarepaketen mittels Gruppenrichtlinien. . . . . . . 7.5.1 Aktualisierung eines Pakets . . . . . . . . . . . . . . . . . . . . . . 7.5.2 Erneute Bereitstellung von Software . . . . . . . . . . . . . . . 7.5.3 Entfernen eines Pakets . . . . . . . . . . . . . . . . . . . . . . . . . . Management der Softwarebereitstellung. . . . . . . . . . . . . . . . . . . . . 7.6.1 Konfiguration von Paketänderungen . . . . . . . . . . . . . . . 7.6.2 Erstellung von Softwarekategorien. . . . . . . . . . . . . . . . . 7.6.3 Verknüpfung von Dateierweiterungen mit Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6.4 Fehlersuche bei der Softwarebereitstellung . . . . . . . . . .
512 513 514 515 537 537 538 539 543 547 547 552 554 556 556 559 564 568
Sicherheit mittels Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . 595 8.1 8.2 8.3
Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verfügbare Sicherheitseinstellungen in Windows-2000Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implementierung von Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . 8.3.1 Sicherheitsvorlagen in Windows 2000 . . . . . . . . . . . . . . 8.3.2 Erstellung und Änderung von Sicherheitsvorlagen . . . . 8.3.3 Analyse Ihres Computers mittels Sicherheitskonfiguration und -analyse . . . . . . . . . . . . . . 8.3.4 Konfiguration eines Computers mit Sicherheitseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.5 Export von Sicherheitseinstellungen in eine Vorlagendatei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.6 Verwendung von Gruppenrichtlinien zur Anwendung von Sicherheitseinstellungen . . . . . . . . . . .
596 597 601 601 604 618 624 626 628
Inhaltsverzeichnis
8.4
9
Konfiguration und Implementierung einer Überwachungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4.1 Planung einer Überwachungsrichtlinie . . . . . . . . . . . . . . 8.4.2 Einrichtung einer Überwachungsrichtlinie . . . . . . . . . . . 8.4.3 Überwachung des Zugriffs auf Ressourcen. . . . . . . . . . . 8.4.4 Überwachung des Zugriffs auf Druckerobjekte . . . . . . . 8.4.5 Überwachung des Zugriffs auf Active Directory-Objekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4.6 Überprüfung und Überwachung von Sicherheitsereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . .
633 636 638 640 645 650 653
Windows 2000 und Remoteinstallationsdienste . . . . . . . . 679 9.1 9.2
9.3
9.4
9.5
9.6
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Übersicht über Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . 9.2.1 Der Prozess der Installation von Windows 2000 mit RIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation und Konfiguration eines RIS-Servers . . . . . . . . . . . . . . 9.3.1 Voraussetzungen für RIS . . . . . . . . . . . . . . . . . . . . . . . . 9.3.2 Einrichtung eines RIS-Servers . . . . . . . . . . . . . . . . . . . . Erstellen von Images für Remoteinstallationsdienste . . . . . . . . . . . 9.4.1 Erstellung eines CD-basierten Images für Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . . . . . 9.4.2 Erstellung eines RIPrep-Image für Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . . . . . Ausführung einer Remoteinstallation . . . . . . . . . . . . . . . . . . . . . . . 9.5.1 Konfiguration von Optionen für die Serverinstallation. . 9.5.2 Konfiguration von Clientinstallationsoptionen . . . . . . . . 9.5.3 Voraussetzungen für Clientcomputer . . . . . . . . . . . . . . . 9.5.4 Einsatz von RIS zur Installation eines Image auf einem Computer mit PXE-kompatibler Netzwerkkarte. . . . . . . 9.5.5 Einsatz von RIS zur Installation eines Image auf einem Computer mittels einer Remotestartdiskette . . . . . . . . . . 9.5.6 Vorkonfiguration von Clientcomputern . . . . . . . . . . . . . Fehlersuche bei Remoteinstallationsdienste . . . . . . . . . . . . . . . . . .
681 682 684 686 686 688 708 708 733 739 739 744 748 749 751 752 758
Teil 2: Wiederholungsteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789 10
Gesamt-zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791 10.1
Installation, Konfiguration und Fehlersuche bei Active Directory . 10.1.1 Installation, Konfiguration und Fehlersuche bei Komponenten von Active Directory . . . . . . . . . . . . . . . . 10.1.2 Erstellen von Standorten . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.3 Erstellen von Subnetzen . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.4 Erstellung von Standortverknüpfungen. . . . . . . . . . . . . . 10.1.5 Erstellung von Standortverknüpfungsbrücken . . . . . . . . 10.1.6 Erstellung von Verbindungsobjekten . . . . . . . . . . . . . . . 10.1.7 Erstellen von Servern für den globalen Katalog . . . . . . . 10.1.8 Verschieben von Objekten zwischen Standorten . . . . . . 10.1.9 Übertragen von Betriebsmasterfunktionen . . . . . . . . . . . 10.1.10 Überprüfen der Active Directory-Installation . . . . . . . . .
791 792 792 793 793 794 795 795 796 796 797
9
10
Inhaltsverzeichnis
10.2
10.3
10.4
10.5
11
798 798 800 800 801
802 803 806 807 810 815 816 816 820 822 822 823
Tipps zur Prüfungs-vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . 827 11.1 11.2
11.3
11.4
12
10.1.11 Implementieren einer Organisationseinheitenstruktur . . 10.1.12 Sichern und Wiederherstellen von Active Directory . . . Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbehebung von DNS für Active Directory . . . . . . . . . . . . . . . 10.2.1 Installation, Konfiguration und Fehlerbehebung von DNS für Active Directory . . . . . . . . . . . . . . . . . . . . 10.2.2 Verwaltung, Überwachung und Fehlerbehebung bei DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbehebung beim Änderungs- und Konfigurationsmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.1 Implementierung und Fehlerbehebung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.2 Verwaltung und Fehlersuche bei Benutzerumgebungen mittels Gruppenrichtlinien . . . . . 10.3.3 Verwaltung und Fehlerbehebung bei Software mittels Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . 10.3.4 Bereitstellung von Windows 2000 mittels Remoteinstallationsdiensten . . . . . . . . . . . . . . . . . . . . . . 10.3.5 Konfiguration der RIS-Sicherheit . . . . . . . . . . . . . . . . . . Verwaltung, Überwachung und Optimierung der Komponenten von Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.4.1 Verwaltung von Active Directory-Objekten. . . . . . . . . . 10.4.2 Management der Leistung von Active Directory . . . . . . 10.4.3 Verwaltung und Fehlerbehebung der Active Directory-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration, Verwaltung, Überwachung und Fehlerbehebung von Active Directory-Sicherheitslösungen . . . . . . . . . . . . . . . . . . . 10.5.1 Konfiguration und Fehlerbehebung der Sicherheit in einer Verzeichnisdienst-Infrastruktur . . . . . . . . . . . . .
Lernstile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Studienhinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1 Lernstrategien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.2 Trockentraining. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipps zur Prüfungsvorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.1 Die MCP-Prüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2 Prüfungsformat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.3 Fragetypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schlussbemerkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
827 828 828 829 830 830 831 835 843 846
Musterprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849 12.1 12.2
Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849 Antworten auf die Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . 882
Inhaltsverzeichnis
Teil 3: Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899 A
Glosssar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
B
Überblick über die Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . 923 B.1 B.2
C
Zertifizierungsarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen an die Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . B.2.1 Der Weg zum MCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2.2 Der Weg zum MCP + Internet . . . . . . . . . . . . . . . . . . . . B.2.3 Der Weg zum MCP + Site Building . . . . . . . . . . . . . . . . B.2.4 Der Weg zum MCP + Database Administrator. . . . . . . . B.2.5 Der Weg zum MCSE. . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2.6 Der Weg zum MCSE + Internet . . . . . . . . . . . . . . . . . . . B.2.7 Der Weg zum MCSD . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2.8 Der Weg zum MCT. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
924 925 925 926 926 926 928 932 933 937
Die Prüfungssoftware auf der CD-ROM . . . . . . . . . . . . . . . . . 939 C.1 C.2
C.3 C.4
C.5 C.6
Was ist ExamGear? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prüfungsauswahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C.2.1 Der Lernmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C.2.2 Den Lernmodus starten . . . . . . . . . . . . . . . . . . . . . . . . . . Die Musterprüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C.3.1 Die adaptive Prüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Frageformen in ExamGear . . . . . . . . . . . . . . . . . . . . . . . . . . . . C.4.1 Multiple-Choice-Fragen . . . . . . . . . . . . . . . . . . . . . . . . . C.4.2 Drop&Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C.4.3 Listen erstellen und ordnen/Zuordnungsaufgaben . . . . . C.4.4 Baumstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Punktebewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C.5.1 Funktionen im Fenster ABSCHLUSSERGEBNIS . . . . . . . . . Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
939 940 942 944 945 946 947 947 948 949 951 951 952 953
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
11
Einleitung
E
Dieses Buch ist für Techniker und Systemverwalter geschrieben, die das Zertifikat eines Microsoft Certified Systems Engineer (MCSE) erlangen möchten. Es behandelt die Prüfung Implementing and Administering a Microsoft Windows 2000 Directory Services Infrastructure (70-217). Das Ziel dieser Prüfung besteht laut Microsoft darin, Ihre Kenntnisse hinsichtlich der Installation, Konfiguration und Fehlerbehebung der Komponenten von Windows 2000 Active Directory, DNS für Active Directory und den Sicherheitsmodellen von Active Directory zu ermitteln. Darüber hinaus testet die Prüfung Ihre Fähigkeit zum Verwalten, Überwachen und Optimieren der Desktopumgebung unter Verwendung von Gruppenrichtlinien. Dieses Buch stellt Information aus erster Hand dar. Es behandelt alle Grundlagen, die Sie in der Prüfung benötigen, und ist von Microsoft als Studienmaterial akzeptiert worden. Sie brauchen daher keinen zusätzlichen Kurs zu besuchen, um Ihre Prüfung erfolgreich zu bestehen! Vielleicht empfiehlt es sich jedoch hinsichtlich Ihrer persönlichen Lerngewohnheiten oder Ihres Arbeitsstils, zusätzlich zu diesem Buch noch Kurse zu absolvieren, was Sie jedoch am besten selbst entscheiden. Bitte beachten Sie, dass Microsoft von den Kandidaten einer Prüfung eine Mindesterfahrung von 1 Jahr in der Implementierung und Verwaltung von Netzwerkbetriebssystemen in mittleren und größeren Systemumgebungen erwartet. Microsoft setzt außerdem voraus, dass Sie mit TCP/IP vertraut sind.
Wie dieses Buch Sie unterstützt Dieses Buch führt Sie im Rahmen eines Selbstunterrichts durch alle Bereiche hindurch, die die Prüfung Implementing and Administering a Microsoft Windows 2000 Directory Services Infrastructure (70-217) behandelt. Es enthält alle speziellen Kenntnisse, die Sie brauchen, um Ihr MCSE-Zertifikat zu bekommen. Sie finden in diesem Buch nicht nur hilfreiche Hinweise, Tipps, Beispiele aus der Praxis und
14
Einleitung
Übungsteile, sondern auch Verweise auf zusätzliches Studienmaterial. Durch einen speziellen Aufbau dieses Buches erhalten Sie eine wertvolle Unterstützung bei Ihrem Studium: 씰
씰
Organisation. Der Grundaufbau des Buches entspricht den einzelnen Prüfungsthemen. Alle Themen, die Sie für die Prüfung 70-217 beherrschen müssen, werden im Buch behandelt. Die Themen werden nach Möglichkeit in einer besonderen logischen Reihenfolge präsentiert, die Ihnen das Lernen erleichtert. Die verfügbaren Informationen sind darüber hinaus in der folgenden Weise organisiert: 씰
Diese Einführung enthält das vollständige Verzeichnis aller Prüfungsthemen und -ziele.
씰
Jedes Kapitel beginnt mit einer Liste der behandelten Prüfungsthemen.
씰
Die Kapitel beginnen außerdem mit einem Überblick über den Stoff und die Lernziele, um die es im Kapitel geht.
씰
Die Prüfungsthemen werden an Stellen wiederholt, an denen Stoff vorkommt, der sich unmittelbar auf sie bezieht (es sei denn, dass das Kapitel nur ein einziges Prüfungsthema behandelt).
Spezielle Lernhilfen. Dieses Buch wurde so geschrieben, dass es Ihnen mehrere Wege zum Erlernen und Wiederholen des Stoffes bietet. Die folgenden Lernhilfen stehen Ihnen hierfür zur Verfügung: 씰
Erläuterung der Ziele. Wie schon erwähnt, beginnt jedes Kapitel mit einem Verzeichnis der im Kapitel behandelten Lernziele. Darüber hinaus folgt jedem Lernziele eine Erläuterung in einem konkreten und aussagefähigen Kontext.
씰
Tipps für das Selbststudium. Am Beginn jedes Kapitels finden Sie außerdem Strategien, die klären, wie Sie an den Stoff des Kapitels (besonders im Hinblick auf seine direkte Behandlung in der Prüfung) herangehen, und wie Sie ihn am besten behalten können.
씰
Prüfungstipps. In den Kästen finden Sie Prüfungstipps, die Hilfe zu speziellen Fragen zur Prüfung geben. Die Tipps beziehen sich auf den Stoff, der behandelt bzw. nicht behandelt wird, darauf, wie er behandelt wird, oder auf spezielle Erinnerungshilfen oder Kniffe, die Sie kennen sollten.
씰
Kapitelzusammenfassungen. Am Ende jedes Kapitels werden die wichtigsten Informationen noch einmal zusammengefasst.
Wie dieses Buch Sie unterstützt
씰
씰
Schlüsselbegriffe. Am Ende jedes Kapitels finden Sie eine Liste mit Schlüsselbegriffen.
씰
Hinweise. Diese erscheinen ebenfalls in den Kästen und enthalten verschiedene nützliche Informationen, wie etwa Tipps zu technischen oder administrativen Verfahren, historische Hintergründe technischer Begriffe und Technologien, oder Kommentare zu Problemen der Industrie.
씰
Warnungen. Beim Einsatz hochentwickelter Informationstechnologien besteht immer die Gefahr von Irrtümern oder sogar Unfällen, die durch eine unsachgemäße Handhabung dieser Technologien verursacht werden.
씰
Fallstudien. Jedes Kapitel schließt mit einer Fallstudie ab. Sie helfen Ihnen bei der praktischen Anwendung der im Kapitel behandelten Themen.
씰
Übungen. Am Ende jedes Kapitels finden Sie im Abschnitt »Lernzielkontrolle« Übungen, mit denen Sie Ihre Kenntnisse und Lernfortschritte überprüfen können.
Praktische Testaufgaben. Das Buch hält für Sie zahlreiche Gelegenheiten zum Üben und Bewerten Ihres Wissens bereit. Zu den praktischen Testaufgaben gehören: 씰
Wiederholungsfragen. Diese Auswahlfragen erscheinen am Ende jedes Kapitels und ermöglichen Ihnen eine rasche Bewertung Ihres Lernfortschritts im Kapitel. Die Antworten auf die Wiederholungsfragen werden später in einem speziellen Abschnitt mit dem Titel »Antworten auf die Wiederholungsfragen« gegeben.
씰
Prüfungsfragen. Benutzen Sie sie zu dem Zweck, Ihre Wissenslücken zu ermitteln und festzustellen, welche Themen Sie noch eingehender bearbeiten müssen. Die Antworten und Erläuterungen befinden sich in einem speziellen Abschnitt mit dem Titel »Antworten auf die Prüfungsfragen«.
씰
Musterprüfung. Am Ende des Buches befindet sich eine Musterprüfung. Hier handelt sich sich um einen Test, der wie die tatsächliche Prüfung aussieht.
씰
ExamGear. Diese spezielle Trainingssoftware auf der dem Buch beiliegenden CD bietet weitere Fragen zum Üben an.
HINWEIS Eine Beschreibung der Trainingssoftware ExamGear finden Sie im Anhang.
15
16
Einleitung
Dieses Buch enthält noch weitere Orientierungshilfen wie etwa den Abschnitt mit dem Titel »Weitere Informationen und Ressourcen« am Ende jedes Kapitels. Dieser weist Ihnen den Weg zu noch mehr Informationen, die hilfreich bei der Vorbereitung auf die Prüfung oder Ihrer Arbeit sein können. Es gibt ferner wichtige Anhänge wie das Glossar, einen Überblick über das Microsoft Zertifizierungsprogramm und eine Inhaltsbeschreibung der dem Buch beiliegenden CD. Informationen über die Prüfung oder die Zertifizierung erhalten Sie telefonisch bei Microsoft oder im Internet unter ftp://ftp.microsoft.com/services/MCSEdCert, und im World Wide Web unter www.microsoft.com/train_cert. Es gibt zu diesem Thema ebenfalls ein CompuServe-Forum: GO MSEDCERT.
Was die Prüfung 70-217 beinhaltet Die Prüfung Implementing and Administering a Microsoft Windows 2000 Directory Services Infrastructure (70-217) behandelt Themen von Active Directory, die nach konzeptionellen Gesichtspunkten bzw. nach Prüfungseinheiten gruppiert sind. Die Prüfungsthemen heben auf Kenntnisse ab, die in der beruflichen Tätigkeit in den folgenden Bereichen benötigt werden: 씰
Installieren, Konfigurieren und Fehlerbehebung von Active Directory
씰
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbehebung von DNS für Active Directory
씰
Installieren, Konfigurieren, Verwalten, Überwachen, Optimieren und Fehlerbehebung im Änderungs- und Konfigurationsmanagement
씰
Verwalten, Überwachen und Optimieren der Komponenten von Active Directory
씰
Konfigurieren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheitsmodellen von Active Directory
Bevor Sie sich in die eigentliche Prüfung begeben, sollten Sie in den folgenden beruflichen Fertigkeiten (dargestellt in der Form von Lerneinheiten und Zielen) fit sein:
Installieren, Konfigurieren und Fehlerbehebung von Active Directory Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory.
Was die Prüfung 70-217 beinhaltet
씰
Active Directory installieren
씰
Standorte erstellen
씰
Subnetze erstellen
씰
Standortverknüpfungen erstellen
씰
Standortverknüpfungsbrücke erstellen
씰
Verbindungsobjekte erstellen
씰
Server für globalen Katalog erstellen
씰
Serverobjekte zwischen Standorten verschieben
씰
Betriebsmasterrolle übertragen
씰
Active Directory-Installation überprüfen
씰
Struktur der Organisationseinheit (OU) implementieren
씰
Active Directory sichern und wiederherstellen
씰
Autoritative Wiederherstellung von Active Directory ausführen
씰
Wiederherstellen nach einem Systemausfall
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbehebung von DNS für Active Directory Installieren, Konfigurieren und Fehlerbehebung von DNS für Active Directory. 씰
DNS-Zonen von Active Directory und DNS-Zonen, die nicht von Active Directory sind, integrieren
씰
Zonen für dynamische Aktualisierungen konfigurieren
Verwalten, Überwachen und Fehlerbehebung von DNS 씰
Replikation von DNS-Daten verwalten
17
18
Einleitung
Installieren, Konfigurieren, Verwalten, Überwachen, Optimieren und Fehlerbehebung im Änderungs- und Konfigurationsmanagement Implementierung und Fehlerbehebung von Gruppenrichtlinien. 씰
Gruppenrichtlinienobjekt (GPO) erstellen
씰
Existierendes GPO verknüpfen
씰
Vereinfachte Verwaltungsfunktionen der Gruppenrichtlinien delegieren
씰
Vererbung von Gruppenrichtlinien modifizieren
씰
Einstellung von Gruppenrichtlinien durch Verknüpfen von Sicherheitsgruppen mit GPOs filtern
씰
Gruppenrichtlinien ändern
Verwaltung und Fehlerbehebung von Benutzerumgebungen unter Verwendung der Gruppenrichtlinien 씰
Benutzerumgebung über administrative Vorlagen steuern
씰
Skriptrichtlinien Benutzern und Computern zuweisen
Verwaltung und Fehlerbehebung von Software unter Verwendung von Gruppenrichtlinien 씰
Software unter Verwendung von Gruppenrichtlinien bereitstellen
씰
Software unter Verwendung von Gruppenrichtlinien verwalten
씰
Bereitstellungsoptionen konfigurieren
씰
Probleme, die während der Softwarebereitstellung häufig auftreten, beheben
Verwalten von Netzwerkkonfigurationen unter Verwendung von Gruppenrichtlinien Windows 2000 unter Verwendung des Remoteinstallationsdienstes (RIS) bereitstellen 씰
Image auf einem Client-Computer mit RIS installieren
Was die Prüfung 70-217 beinhaltet
씰
RIS-Bootdiskette erstellen
씰
Remoteinstallationsoptionen konfigurieren
씰
Fehlerbehebung bei RIS
씰
Images zur Ausführung von Remoteinstallationen verwalten
RIS-Sicherheit konfigurieren 씰
Einen RIS-Server autorisieren
씰
Einem Computerkonto Rechte zum Erstellen gewähren
씰
RIS-Clientcomputer auf Sicherheit und Betriebslastenausgleich vorbereiten
Verwalten, Überwachen und Optimieren der Komponenten von Active Directory Objekte von Active Directory verwalten. 씰
Objekte von Active Directory verschieben
씰
Ressourcen von Active Directory veröffentlichen
씰
Objekte von Active Directory lokalisieren
씰
Konten manuell oder über Skripte erstellen und verwalten
씰
Zugang zu Objekten von Active Directory kontrollieren
씰
Verwaltungsfunktionen der Objekte in Active Directory delegieren
Leistung von Active Directory verwalten. 씰
Überwachen, Verwalten und Fehlerbehebung hinsichtlich der Leistung des Domänencontroller
씰
Überwachen, Verwalten und Fehlerbehebung von Komponenten von Active Directory
Verwalten und Fehlerbehebung der Replikation von Active Directory 씰
Replikation zwischen Standorten verwalten
19
20
Einleitung
씰
Replikation innerhalb Standorte verwalten
Konfigurieren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheitsmodellen von Active Directory Konfigurieren und Fehlerbehebung der Sicherheit in einer Infrastruktur des Verzeichnisdienstes. 씰
Sicherheitsrichtlinien unter Verwendung von Gruppenrichtlinien anwenden
씰
Sicherheitskonfigurationen unter Verwendung der Sicherheitskonfiguration und Vorlagen zu Sicherheit und Analyse erstellen, analysieren und modifizieren
씰
Überwachungsrichtlinien implementieren
씰
Überwachen und Analysieren von Sicherheitsereignissen
Welche Hardware und Software brauchen Sie? Das Buch ist eine Hilfe für das Selbststudium und soll Sie beim Verstehen von Konzepten unterstützen, die durch praktische Erfahrung weiter vertieft werden. Um den meisten Nutzen aus Ihrem Studium zu ziehen, sollten Sie soviel Hintergrundwissen über Windows 2000 Server oder Advanced Server wie nur möglich besitzen. Am besten erreichen Sie dies durch die Kombination von Studium und praktischer Arbeit mit Windows 2000 Server oder Advanced Server. Dieser Abschnitt beschreibt, welche Minimalanforderungen an Ihre Computerumgebung erfüllt sein müssen, damit Sie vernünftig praktisch arbeiten können. Für manche Teile dieses Buches benötigen Sie, um die Übungen nachvollziehen zu können, zwei Computer. 씰
Windows 2000 Server, Advanced Server und Professional
씰
Einen Server und Arbeitsplatz-PC, die sich auf Microsofts Hardwarekompatibilitätsliste befinden
씰
Prozessor Pentium 166 (oder schneller), empfohlen wird ein Pentium II 300 oder schneller
씰
1 Gbyte Festplattenplatz, Teile des Buches erfordern mindestens zwei 1Gbyte-Partitionen auf dem PC
씰
Grafikkarte mit Super VGA und entsprechendem Monitor
씰
Maus oder entsprechendes Zeigegerät
Tipps zur Prüfung, die Sie beherzigen sollten
씰
CD-ROM-Laufwerk
씰
Netzwerkkarte. Die Karte auf dem PC, auf dem Windows 2000 Professional läuft, sollte mindestens ein PXE-Boot-ROM besitzen
씰
Zugang zu einem existierenden Netzwerk oder Einsatz eines Miniport-Hubs mit zwei Ports (oder mehr) zum Erstellen einer Test-Netzwerkumgebung
씰
128 Mbyte RAM (256 Mbyte empfohlen für Windows 2000 Server)
In der EDV-Umgebung eines Unternehmens ist der Zugang zu den notwendigen Hardware- und Softwareressourcen leichter realisierbar. Möglicherweise werden Sie sich nicht immer die erforderliche Arbeitszeit freihalten können, die zum erfolgreichen Abschluss eines Selbststudiums nötig ist. Unter Umständen werden Sie einen großen Teil Ihres Studiums auf den Feierabend verlegen müssen, um die Unterbrechungen und den Druck Ihres regulären Betriebsalltags zu vermeiden.
Tipps zur Prüfung, die Sie beherzigen sollten Im Teil 3 werden Sie zwar noch weitere Hilfen finden, jedoch sollten Sie sich schon an dieser Stelle mit den folgenden Ratschlägen zum Studium bekannt machen: 씰
Lesen Sie den gesamten Stoff sorgfältig durch. Microsoft war in der Vergangenheit bekannt dafür, dass es Stoffgebiete in die Prüfung aufgenommen hat, die nicht explizit in den Prüfungsthemen angegeben waren. In diesem Buch finden Sie daher zusätzliche, über die Prüfungsthemen hinausgehende Informationen, die Ihnen die bestmögliche Vorbereitung auf die Prüfung und die praktischen Erfahrungen in Ihrer beruflichen Zukunft ermöglichen sollen.
씰
Arbeiten Sie die Schritt-für-Schritt-Anleitungen und alle Übungen jedes Kapitels durch. Das hilft Ihnen beim Sammeln von Erfahrungen mit der jeweiligen Methode bzw. dem Lösungsansatz. Alle Microsoft-Prüfungen sind aufgaben- und erfahrungsorientiert und erwarten von Ihnen Erfahrungen in der praktischen Handhabung der Aufgabenstellungen, zu denen Sie getestet werden.
씰
Nutzen Sie die Fragen zur Überprüfung Ihrer Kenntnisse. Lesen Sie nicht nur den Inhalt der Kapitel, sondern nutzen Sie die Fragen, um festzustellen, was Sie tatsächlich wissen und was nicht! Wenn Sie sich noch unsicher fühlen, studieren Sie wieder und wieder, wiederholen Sie alles und überprüfen Sie Ihre Kenntnisse anschließend erneut.
21
22
Einleitung
씰
Orientieren Sie sich an den Lernzielen. Entwickeln Sie zu den einzelnen erörterten Themen eigene Fragestellungen und Beispiele. Die Prüfung wird Ihnen weniger Schwierigkeiten bereiten, wenn Sie gelernt haben, zu jedem Thema einige eigene Fragen stellen und beantworten zu können.
HINWEIS Tipp zur Prüfung
Dieses Buch will Sie darauf vorbereiten, die MCSE-PRüfung 70-217 erfolgreich zu absolvieren, kann Ihnen aber natürlich keinerlei Garantien bieten. Sie sollten dieses Buch durchlesen, die Fragen und Übungen beantworten, und sich, sobald Sie sich sicher fühlen, der Testsoftware ExamGear bedienen, um die Musterprüfung und die zusätzlichen Übungen durchzuarbeiten. All diese Arbeit wird Ihnen zum Schluss eine Vorstellung davon verschaffen können, ob Sie für die echte Prüfung bereit sind. Viel Glück!
Prüfungsstoff Teil
1
1. Konfiguration und Grundlagen von Active Directory 2. DNS für Active Directory konfigurieren 3. Eine Active Directory- Struktur aufbauen 4. Active Directory-Dienste verwalten 5. Server verwalten 6. Benutzerverwaltung mit Gruppenrichtlinien 7. Softwarebereitstellung mittels Gruppenrichtlinien 8. Sicherheit mittels Gruppenrichtlinien 9. Windows 2000 und Remoteinstallationsdienste
Konfiguration und Grundlagen von Active Directory
1
Was ist das Active Directory? Dies ist eine der ersten Fragen, die viele Leute bei der ersten Begegnung mit Windows 2000 stellen werden. Die einfachste Antwort lautet natürlich zunächst einmal, dass das Active Directory der Verzeichnisdienst ist, der von Windows 2000 verwendet wird. Vollständig befriedigen kann eine solche Antwort sicherlich nicht!
Dieses Buch beginnt daher mit einem Überblick über die Aufgaben eines Verzeichnisdienstes und erörtert anschließend, wie Active Directory diese Aufgaben erfüllt. Ausgesprochene Microsoft-Themen werden in diesem Kapitel nicht behandelt – Sie erhalten im Gegenteil einfach nur einen Überblick über Active Directory. Nachdem Sie die erforderlichen Grundlageninformationen bekommen haben, beschäftigt sich das nächste Thema mit der Frage, wie Sie die verschiedenen Bestandteile des Active Directory implementieren und in Ihre alltägliche Arbeit integrieren können. Das Buch bespricht keinesfalls das Design einer Infrastruktur mit Active Directory, denn dieses Thema wird in der Literatur zur Prüfung 70-219 behandelt.
Tipps für das Selbststudium 씰
Achten Sie genau darauf, auf welche Weise Microsoft DNS in Active Directory einbezogen hat.
씰
Vergewissern Sie sich, dass Sie Klassen und Attribute und den Vergleich zwischen Tabellen und Spalten in einer Datenbank verstanden haben.
씰
Stellen Sie sicher, dass Sie die drei gemeinsamen Elemente in Active Directory kennen.
1.1
Einführung
In diesem Kapitel erfahren Sie alles, was Sie wissen müssen, bevor Sie sich mit den Einzelheiten befassen können. Sie werden hier alle Informationen finden, die die Basis für den Rest des gesamten Textes darstellen.
26
Kapitel 1
Konfiguration und Grundlagen von Active Directory
Das Kapitel beginnt mit einer allgemeinen Erörterung des Verzeichnisdienstes und einer Darstellung der Geschichte früherer ähnlicher Systeme. Anschließend untersucht es den Kern eines Verzeichnisdienstes, nämlich seine Datenbank. Weiterhin werden die Grundlagen einer Datenbank erörtert – Sie erfahren, wie ein Verzeichnisdienst von unten nach oben aufgebaut ist. Anschließend wendet sich das Kapitel den Objekten in Active Directory zu und führt Sie in diese Objekte ein. Zum Schluss werden sämtliche Informationen noch einmal zusammengefasst, um sicherzustellen, dass Sie ein vollständiges Wissen über die Funktionsweise des Systems erhalten haben.
1.2
Was ist ein Verzeichnisdienst?
Dies ist ein ausgezeichneter Ausgangspunkt, da Sie das Active Directory erst dann verstehen können, wenn Sie wissen, wozu ein Verzeichnisdienst eigentlich gebraucht wird. Beginnen Sie, indem Sie sich Netzwerke wie etwa NetWare 3.12 oder Windows für Workgroups 3.11 vorstellen. Diese Netzwerke stellen das Grundelement eines Netzwerks zur Verfügung, d.h., sie bieten zunächst einmal einen Dienst (ein Programm, welches im Hintergrund ausgeführt wird) an, mit dem sich Benutzer an einem Arbeitsplatz-PC anmelden können. Darüber hinaus bieten sie einen Dienst an, der Anfragen für Ressourcen, die im Netzwerk liegen, automatisch in dieses weiterleitet. Dies sind die elementaren Grundlagen eines Netzwerk-Serverdienstes und eines Redirector- bzw. Arbeitsstationsdienstes. Der Serverdienst übernimmt die ClientAnfragen und bearbeitet sie. Der Redirector-Dienst, in der Microsoft-Terminologie Arbeitsstationsdienst genannt, entscheidet, ob sich die vom Benutzer angefragte Ressource auf dem lokalen System oder im Netzwerk befindet. Netzwerke werden außerdem noch dafür benötigt, die Authentifizierungen zu gewährleisten, also die Identifizierung der Benutzer, die sich an einem Server anmelden. So wird sichergestellt, dass sich nur Personen an ein Netzwerk anmelden können, die auf eine Netzwerkressource zugreifen dürfen. Ein System, welches seine Ressourcen (Laufwerke, Drucker usw.) zur gemeinsamen Nutzung im Netzwerk anbietet, benötigt eine Liste der Personen, die zur Verwendung dieser Ressourcen berechtigt sind, oder, wie es unter Windows für Workgroups der Fall war, ein Kennwort, welches Benutzer zur Verbindung mit der Ressource verwenden mussten. An dieser Stelle kommt der Verzeichnisdienst ins Spiel. Das Verzeichnis ist eigentlich eine Liste der Benutzer, die zur Anmeldung an einem System berechtigt sind. Diese Liste legt weiterhin fest, welche Benutzer sich mit welcher Ressource verbinden dürfen. Dies ist ein Sicherheitsmechanismus, den Sie durch die Einrichtung
1.2 Was ist ein Verzeichnisdienst?
eines Benutzernamens realisieren. Der Verzeichnisdienst ist daher ein Programm, welches in Zusammenarbeit mit dem Serverdienst den Benutzernamen verwaltet. Dieser Dienst sorgt im Wesentlichen für die Authentifizierung, während der Serverdienst den eigentlichen Zugriff auf die Ressource bereitstellt. In Netzwerken wie NetWare 3.12 war das Verzeichnis für jeden Server im Netzwerk separat gehalten. Dies hatte zur Folge, dass ein Benutzer sich mehrfach an verschiedenen Servern mit seinem Benutzernamen und Kennwort anmelden musste. Weiterhin bedeutete dies, dass der Administrator den Benutzer jedem Server bekannt zu geben und Kennwörter einzurichten hatte, damit der Benutzer sich anmelden konnte. Außerdem bestand für die Benutzer die Notwendigkeit, ihre Kennwörter für mehrere Server zu verwalten. NetWare 3.12 sorgte dann zwar für ein Verfahren zum Ändern der Kennwörter auf mehreren Servern, konnte die vollständige Betriebssicherheit dieses Verfahrens aber auch nicht realisieren. All dies bedeutete eine Menge Extraaufwand hinsichtlich der Administration und stellte keine echte Unternehmenslösung für Networking dar. Einige Netzwerksysteme aus dieser Zeit boten Wege zur Vermeidung der Probleme an. Beispielsweise hatte der Vorläufer von Windows NT, der LAN-Manager, ein Verfahren entwickelt, mit dem die Verzeichnisse einer Gruppe von Servern zentralisiert werden konnten. Bei diesem Verfahren besaß einer der Server, der primäre Domänencontroller, das Originalverzeichnis, in dem sämtliche Änderungen stattfanden, während ein oder mehr Server Kopien dieses Verzeichnisses bekamen. Die anderen Server konnten dieses Verzeichnis zwar nicht ändern, jedoch zur Authentifizierung von Benutzern verwenden. In einem solchen Modell authentifizierte sich der Benutzer in einem Domänencontroller und konnte sich daraufhin an jedem beliebigen Server anmelden, für den er die erforderlichen Rechte besaß. Durch dieses Verfahren wurden die Authentifizierung und der Serverdienst sogar noch weitgehender voneinander getrennt. Der Benutzer meldete sich an seinem lokalen PC an und war damit zum Zugriff auf das Netzwerk berechtigt. Diese Authentifizierung wurde anschließend über das Netzwerk an einen Domänencontroller gesendet, der die eigentliche Authentifizierung vornahm. Sämtliche Verbindungen über das Netzwerk gegenüber anderen Servern wurden ebenfalls über einen Domänencontroller authentifiziert. Windows NT 4.0 benutzt dieses Authentifizierungssystem bis auf den heutigen Tag. Am Ende lief es dann darauf hinaus, dass nicht mehr die Server jeweils voneinander getrennte Verzeichnisse zu verwalten hatten, sondern diese Aufgabe nun den Domänencontrollern zufiel. Da immer nur ein Controller über eine aktualisierbare Kopie des Verzeichnisses verfügte, gab es de facto nur ein Verzeichnis für alle Computer. Der Trick bestand darin, dass alle Computer zur selben Domäne (einer aus Administrationsgründen eingerichteten Gruppe mit Computern und Benutzern) gehören mussten, damit die Server andere Server mit demselben Verzeichnis erkennen konn-
27
28
Kapitel 1
Konfiguration und Grundlagen von Active Directory
ten. Hatte man sich dann mit einem Server einer Domäne verbunden, suchte dieser nach einem Domänencontroller für seine Domäne, der die Authentifizierung der Anmeldung durchführte. Ein Netzwerkbetriebssystem, welches über das Problem Verzeichnis-pro-Server hinausging, war Banyan Vines, dessen Lösungsansatz gänzlich anders aussah. Es sah keine umfangreichen Verzeichnisse vor, die gelegentlich schwerfällig wurden und umständlich zu bearbeiten waren, sondern entschied sich dafür, die Arbeit auf mehrere Server aufzuteilen. Statt ein Verzeichnis pro Server ohne echte Administration zu haben, bettete man alles in eine Struktur ein: eine Hierarchie von Verzeichnissen. Auf diese Weise war es leicht, ein Netzwerk für das gesamte Unternehmen aufzubauen. Ein weiterer Unternehmenszweig wurde so einfach ins Netzwerk integriert, wie ein Zweig an einem Baum wächst. Die Grundlage all dessen stellten die Spezifikationen von X.400 dar, die ein Verfahren zum Umgang mit einem Verzeichnis in einer Hierarchie beschrieben. Im Wesentlichen bedeutete dies, einen Ausgangspunkt zu definieren, der das Unternehmen darstellte, und den gesamten Namespace des Unternehmensnetzwerks umfasste. Der Namespace wurde anschließend in Organisationseinheiten aufgeteilt, die noch weiter aufgeteilt werden konnten. Die Benutzer gehörten zu den Organisationseinheiten. Wenn ein Benutzer authentifiziert werden musste, wurde die zutreffende Organisationseinheit gesucht und der Benutzer gegenüber seinem Homeserver authentifiziert. Dies bedeutete, dass der Benutzer einen einfach zu merkenden Benutzernamen und einen vollständigen, beschreibenden Namen wie etwa ThomasV@Marketing@Biotech haben konnte. Da die Ausführungen oben etwas vom Thema fortgeführt haben, ist eine Zusammenfassung erforderlich: Ein Verzeichnis ist eine Liste von Objekten eines Netzwerks, die von Benutzern gesucht werden, oder die zur Authentifizierung von Benutzern notwendig sind. Der »Dienst« in Verzeichnisdienst wird für die Authentifizierung eines Benutzers gegenüber dem Verzeichnis oder zur Beantwortung der Benutzeranfragen zu Objekten verwendet. Vermutlich haben Sie jetzt eine Vorstellung davon bekommen, welchem Zweck ein Verzeichnis dient, und weshalb in sehr großen Netzwerken Verzeichnisse auf Unternehmensebene benötigt werden, um den beschriebenen Zweck zu erfüllen. Sicherlich verstehen Sie jetzt auch, dass ein Verzeichnis grundsätzlich nichts anderes als eine Liste ist.
1.3 Active Directory auf den ersten Blick
1.3
Active Directory auf den ersten Blick
Was hat dies nun alles mit Active Directory zu tun? Eine gute Frage, auf die es eine recht einfache Antwort gibt: Active Directory ist (wie Novells Novell Directory Services) einfach nur eine Nachfolgetechnologie. Microsoft besaß bereits ein einsatzbereites System, welches das Domänenmodell verwendete. Als es dieses System zu Windows NT portierte, fügte es die Fähigkeit hinzu, Domänen über Vertrauensstellungen zu verbinden, was die Domänencontroller dann mit dem Wissen über andere als nur die eigenen Domänen ausstattete. Netzwerkdesigner waren damit zwar in der Lage, das Konzept der grundlegenden Domäne zu überschreiten, jedoch wurde gleichzeitig die Authentifizierung kompliziert und der Verwaltungsaufwand gesteigert, da zusätzlich noch die Vertrauensstellungen verwaltet werden mussten. Das Domänenmodell selbst war korrekt und arbeitete auch gut – die Benutzer konnten sich anmelden und weitgehend ohne Probleme im Netzwerk arbeiten. Die Schwierigkeiten mit den Verzeichnisdiensten von Windows NT begannen dort, wo sie über die einzelne Domäne hinaus gehen mussten. Jedes Mal dann, wenn ein Benutzer eine Ressource in einer anderen Domäne benutzte, gab es zusätzlichen Netzwerkverkehr. Der Verkehr wurde noch gesteigert, wenn die Domänencontroller die Vertrauensstellungen verwalteten. Noch mehr Verkehr wurde erzeugt, wenn Berechtigungen vergeben wurden, weil das gesamte Verzeichnis immer dann aus der Remote-Domäne ausgelesen werden musste, wenn ein Benutzer dieser Domäne Berechtigungen erhielt. Es stellte sich daher heraus, dass Vertrauensstellungen zwar brauchbar, jedoch gleichzeitig auch etwas umständlich waren. Damit Vertrauensstellungen zu einer rundum befriedigenden Lösung wurden, mussten noch zwei Dinge getan werden: 씰
Jede Domäne brauchte eine globale Liste des Verzeichnisses jeder Domäne.
씰
Es bedurfte eines Systems zur automatischen Verwaltung der Vertrauensstellungen.
Als Erstes stellen Sie sich nun wahrscheinlich vor, dass ein derartiger Lösungsansatz wegen der Bereitstellung einer Liste aller Objekte aller Domänen in der Organisation eine Menge an Hintergrundverkehr erzeugt. Sicherlich benötigt das Erstellen einer Liste des gesamten Verzeichnisses mit sämtlichen Objekten in einer Organisation mit sagen wir 80.000 Benutzern und noch mehr Computern einen sehr leistungsfähigen Server, der dann auch viel Verkehr zum Replizieren dieser Informationen generiert. Falls es außerdem auch noch Unterschiede in den Strukturen einer der Domänendatenbanken geben sollte, die Sie zu kombinieren versuchen, könnte es
29
30
Kapitel 1
Konfiguration und Grundlagen von Active Directory
schnell zu einem Gesamtzusammenbruch kommen. Diese Einwände sind nicht von der Hand zu weisen – jedoch hat Active Directory Bedenken dieser Art in seinem Konzept berücksichtigt. Bevor beschrieben wird, wie diese Probleme gelöst werden, müssen Sie jedoch erst einmal verstehen, was sich im einzelnen in dem Verzeichnis befindet. Es wurde bereits festgestellt, dass ein Verzeichnis eine Liste ist. Eine Liste eines Computers wird jedoch normalerweise in einer Datenbank gespeichert. Behalten Sie dies im Hinterkopf, denn die folgenden Erörterungen werden sich das Verzeichnis nun vom Standpunkt einer Datenbank aus ansehen.
1.3.1
Eine Datenbank aufbauen
Der Begriff »Datenbank« hat die Leute schon immer etwas erschreckt. Dabei geht fast jeder jeden Tag mit einer Art Datenbank um, denn eine Datenbank ist nichts anderes als eine Liste, wie etwa eine Einkaufsliste oder ein Adressbuch. Der Unterschied zwischen der Liste und der Datenbank ist von zweifacher Art: Eine Datenbank ist auf einem Computer gespeichert und besitzt eine interne Struktur. Schauen Sie sich einmal die folgende Einkaufsliste an: Milch Eier Speck Brot
10
Eine solche Liste notieren Sie sich vielleicht, wenn Ihre Partnerin Sie anruft und bittet, auf dem Nachhauseweg etwas einzukaufen. Dies ist schon eine Datenbank, in der Sie für jeden Datensatz (eine Zeile oder Spalte) zwei Informationen haben: Die Menge und die Beschreibung. Wenn es keine Mengenangabe gibt, gehen Sie von einer Standardmenge aus (in diesem Fall wahrscheinlich 1 Stück). Die Einkaufsliste kann daher auch folgendermaßen geschrieben werden: Menge
1 10
Beschreibung
Milch Eier
1
Speck
1
Brot
1.3 Active Directory auf den ersten Blick
Entsprechend diesem Beispiel können Sie auch eine Liste der Benutzer in einem Netzwerk erstellen: Benutzerkennung
Anmeldename
Vorname
Nachname
Domäne
S-2882-234-23
GERD
Thomas
Gerdsen
Biotech
S-2322-321-99
SABINE
Sabine
Müller
Biotech
S-2332-233-23
ROLF
Rolf
Thalia
Biotech
Wie Sie in der Tabelle erkennen können, haben Sie nun einen Schlüsselwert, nämlich die Benutzerkennung. Dies ist eine interne Nummer, die das System aus Sicherheitsgründen zur Identifizierung der Benutzer verwendet und unter Windows NT und Windows 2000 Security Identifier (SID) genannt wird. In Wirklichkeit ist sie noch viel länger. Zusätzlich zur SID sind der Anmeldename, der Vor- und Nachname und die Domäne weitere Attribute zur Beschreibung des Eintrags. Alle Objekte verfügen über einen Namen, der wie die SID eindeutig ist. Eine solche Liste wäre in einer Datenbank eine Tabelle, in der die Attribute, also die Spalten, die Tabelle definieren. In Active Directory wird hierdurch gleichzeitig eine Klasse von Objekten beschrieben, da eine Tabelle alle Entitäten einer einzelnen Klasse speichert. Damit Sie Zeit beim Erstellen derselben Spalte sparen, hat Microsoft die Attribute und Klassen separiert. Als Erstes werden die Attribute erstellt, und danach aus den verfügbaren Attributen die Klassen. Wie bei gewöhnlichen Datenbanken können Sie die Daten als Text, Zahlen oder als logische Werte (Ja/Nein) speichern. Die Klassen speichern die Daten als den Attributtyp, was, falls Sie mit Datenbanken Bescheid wissen, den benutzerdefinierten Datentypen vergleichbar ist. »Klasse« ist ein Begriff, mit dem die Art eines Dings beschrieben wird. Beispielsweise wird in der Tabelle oben eine Benutzerklasse definiert, deren Benutzer über die aufgeführten Attribute verfügen. Wenn Sie Informationen über Computer speichern möchten, können Sie eine weitere Tabelle definieren, die die entsprechenden Attribute über Computer enthält. Dasselbe machen Sie für alle anderen Dinge, die Sie in den Verzeichnisdienst aufnehmen möchten. Wenn Sie möchten, können Sie auch eine weitere Spalte definieren, oder der Klassendefinition weitere Attribute hinzufügen. Durch Änderungen dieser Art erweitern Sie gleichzeitig die Informationen, die Active Directory speichert. Falls Sie beispielsweise eine Personalnummer für jeden Mitarbeiter benötigen, können Sie ein entsprechendes Attribut definieren und der Benutzertabelle hinzufügen. Ebenso problemlos nehmen Sie auch die Informationen über die Inventarnummern Ihrer firmeneigenen Ausstattungsteile auf. Mit anderen Worten: Was Sie hier vor sich
31
32
Kapitel 1
Konfiguration und Grundlagen von Active Directory
sehen, ist nichts anderes als ein erweiterbares Systemkonzept. Ein solches erweiterbares Konzept begrenzt die Informationen nicht, die Sie speichern, sondern macht es möglich, neue Informationen nach Bedarf hinzuzufügen. Vielleicht fragen Sie sich jetzt, wie dies mit den zwei weiter oben herausgestellten Punkten zusammenhängt, nämlich der Notwendigkeit einer globalen Liste für jedes Domänenverzeichnis und einer Verwaltungsmethode für Vertrauensstellungen. Es ist ja gerade diese Fähigkeit zum Hinzufügen von Attributen und Klassen nach Bedarf, die es unmöglich macht, eine Liste aller Domänenverzeichnisse zu erstellen, da jedes einzelne Verzeichnis unterschiedlich sein kann. Jedoch ist dies nicht der Fall. Tatsächlich verfügt jede Domäne in Ihrem Unternehmen über exakt dasselbe Schema, was durch den Einsatz eines Schemamasters erreicht wird. Der Schemamaster (wie der einstige PDC) ist das einzige System mit einer aktualisierbaren Kopie des Schemas. Weil es unpraktisch wäre, wenn die Attribute aller Objekte im Unternehmen ständig verfolgt werden müssten, gibt Active Directory Ihnen die Gelegenheit, bestimmte Attribute (bzw. Spalten) festzulegen, die in den globalen Katalog kopiert werden sollen. Der globale Katalog wird dazu verwendet, allen Benutzern in Ihrem Unternehmen die Liste der Objekte in den einzelnen Domänenverzeichnissen zur Verfügung zu stellen. Da Sie Active Directory mitteilen können, welche Attribute in den globalen Katalog gehören, können Sie auch kontrollieren, wie viele Daten zwischen den globalen Katalogservern bewegt werden. Bis hierhin haben Sie nun für jede Domäne ein Verzeichnis (eine Datenbank). Gewisse Attribute aus jeder Domäne werden zum globalen Katalog kopiert, der von allen Domänen gemeinsam genutzt wird. Eine Antwort auf das Problem mit den Vertrauensstellungen und eine Erklärung der tatsächlichen Unternehmensstrukturen haben Sie damit allerdings noch nicht erhalten. Im Folgenden werden Sie daher zu diesem Punkt mehr erfahren.
1.3.2
Eine Hierarchie aufbauen
Wie schon weiter oben festgestellt, ist das Domänenmodell sehr gut für kleine bis mittelgroße Netzwerke einsetzbar. Probleme treten erst dann auf, wenn man es mit größeren Organisationen zu tun hat, die über einzelne Domänen hinausgehen müssen. Diese Probleme haben mit dem Suchen von Ressourcen in grundsätzlich unstrukturierten Domänen und mit der Verwaltung der Vertrauensstellungen zu tun. Die erste Lösung, die Ihnen einfallen könnte, besteht vielleicht darin, das Domänenmodell mit dem Ziel zu erweitern, einer Domäne so viele Objekte hinzuzufügen, dass die Notwendigkeit mehrerer Domänen vermieden wird. Bis zu einem gewissen Ausmaß wurde dies auch versucht. Die neuen Domänen können dann zwar mehr
1.3 Active Directory auf den ersten Blick
Objekte als die gegebenen Domänen unter Windows NT aufnehmen (Millionen gegenüber Zehntausenden), stellen jedoch immer noch Hürden hinsichtlich der Sicherheit und Replikation dar. Wenn die Domänen weiterleben sollen, besteht der nächste sinnvolle Schritt darin, sie zu strukturieren, was das Auffinden von Objekten erleichtert und die Replikation von Objekten wie etwa dem globalen Katalog über Domänengrenzen hinweg unterstützt. Statt das Rad neu zu erfinden, entschloss sich Microsoft dazu, das Verfahren zum Verbinden der Domänen über bereits bestehende Technologien zu realisieren. Heutzutage hat fast jeder die Gelegenheit zum Einsatz eines Internet-Browsers. Wahrscheinlich ist nur wenigen Menschen überhaupt klar, welche bedeutende technische Leistung darin liegt, die Webadresse einer beliebigen Site irgendwo auf der Welt eingeben und mit ihr verbunden werden zu können. Noch beeindruckender wird diese Leistung, wenn man sich die Anzahl der Sites und die Komplexität des Internets vor Augen führt. Möglich wird dies durch das Domain Name System (DNS), welches wahrscheinlich das umfangreichste Beispiel einer hierarchischen Datenbank auf dieser Erde ist. DNS funktioniert so, dass es das gesamte Internet als einen einzigen zusammenhängenden Namespace betrachtet. Der Ausgangspunkt bei diesem Verfahren ist im Internet als sog. Stammdomäne bekannt. Sie sehen die Stammdomäne bei der Eingabe einer Adresse zwar nicht, jedoch stellt sie immer den Schlussbestandteil einer Site-Adresse dar. Diese Stammdomäne (d.h. der gesamte Namespace) wird in kleinere Abschnitte aufgeteilt, die im Internet Toplevel-Domänen genannt werden. Toplevel-Domänen werden schließlich wieder in Secondlevel-Domänen unterteilt. Von hier aus kann sich dieser Prozess theoretisch unendlich fortsetzen. Im Hinblick auf das Internet wird die Anfrage (theoretisch) an die Stammdomäne geleitet. Da die Stammdomäne keineswegs die Namen sämtlicher Server beherbergt, leitet sie Ihre Anfrage an einen Server weiter, der für den Namespace, den Sie suchen, verantwortlich ist. Falls Sie beispielsweise nach www.pearson.com suchen, erkennt der Server der Stammdomäne, dass Sie nach einem Server in der Domäne .com suchen, und würde Sie (bzw. Ihren DNS-Server) an den Server der Domäne .com weiterleiten. Ihre Anfrage wird dann an den für diesen Namespace verantwortlichen Server gerichtet. Der Server für .com weiß, dass Sie nach einem Computer im Namespace pearson.com suchen, und leitet Sie an den Server weiter, der mit diesem Teil des Namespace zu tun hat. Jetzt können Sie den Server, der für den Namespace pearson.com verantwortlich ist, direkt nach der Adresse fragen. Falls Ihnen dies Verfahren ineffizient vorkommt, sollten Sie einmal an die Unzahl von Einträgen denken, die zu durchsuchen wären, wenn sich alle Einträge auf demselben Server befänden. Ziehen Sie außerdem in Betracht, wie groß Server sein
33
34
Kapitel 1
Konfiguration und Grundlagen von Active Directory
müssten, um all die Anfragen von Benutzern befriedigen zu können. Die Verwendung des hierarchischen Modells vermeidet die Notwendigkeit einer einzigen großen Datenbank und die Überlastung einzelner Server. Wenn Sie jetzt, statt auf den unteren Levels nur eine Datenbank mit Hostnamen zu haben, die zuvor beschriebene Verzeichnisdatenbank auf jedem einzelnen Level ansiedeln, haben Sie eine Struktur für die Domänen von Windows NT. Wenn weiterhin eines der Attribute, die Sie in den globalen Katalog aufnehmen wollen, der eindeutige Name für ein beliebiges Objekt ist (der vollständige Name einschließlich der Domäne und der Organisationseinheit, zu der das Objekt gehört), dann können Sie beliebige Objekte im gesamten Unternehmen leicht ausfindig machen. Genau dies hat Microsoft mit Active Directory realisiert. Da es eine Domänenstruktur gibt, können Sie jetzt ein System erstellen, welches für die Vertrauensstellungen sorgt, da die Struktur aus den Namen abgeleitet werden kann. In Active Directory ist hierfür der Domänennamensmaster verantwortlich. Ein solches System gewährleistet, dass alle Domänen Namen besitzen, die in den Namespace passen. Damit verfügen Sie über drei Schlüssel für die Einsatzbereitschaft von Active Directory, die gleichzeitig die drei allen Domänen in Active Directory gemeinsamen Elemente darstellen: 씰
Ein gemeinsames Schema
씰
Ein gemeinsamer globaler Katalog
씰
Eine gemeinsame Konfiguration
1.4
Objekte in Active Directory
Nun, da Sie ein Verständnis der Struktur und des Zwecks von Active Directory besitzen, besteht der nächste Schritt in einer Einführung in die Objekte, aus denen Active Directory besteht. Einige dieser Objekte sind offensichtlich: Benutzer, Computer und Gruppen. Andere sind dagegen weniger offensichtlich: Organisationseinheiten und Standorte. Die nächsten Abschnitte untersuchen die Objekte und ihre Verwendung. Als Erstes muss ein Objekt in Beziehung zu Windows 2000 definiert werden. Grundsätzlich gilt, dass nahezu alles ein Objekt ist. Natürlich ist dies etwas vage ausgedrückt, jedoch in anderer Hinsicht auch wieder völlig korrekt. Windows 2000 (und auch andere Versionen von Windows) behandeln alles als ein Objekt, haupt-
1.4 Objekte in Active Directory
sächlich, um die Sicherheit zu vereinfachen. Der einfachste Weg zum Anzeigen eines Objekts besteht darin, es als einen Container zu sehen; d.h., das Objekt enthält etwas: Ein Dateiobjekt enthält Daten, ein Gruppenobjekt enthält eine Liste der Mitglieder. Manche Objekte wie Drucker oder Benutzer enthalten einen Ort anstelle von etwas Konkretem; solche Objekte werden Endknoten genannt. An alle Objekte ist Folgendes angehängt: 씰
Methoden. Alle Objekte verfügen über eine grundlegende Methode, die beispielsweise das Objekt erstellt, öffnet und löscht. Darüber hinaus haben die meisten Objekte Methoden, die für sie spezifisch sind. Hierzu gehören Aktionen, die Sie auf dieses Objekt anwenden können, oder die das Objekt selbst ausführen kann.
씰
Eigenschaften. Alle Objekte besitzen Eigenschaften oder Attribute, die sie von anderen Objekten unterscheiden. Diese Attribute machen die Funktionsunterschiede zwischen den Objekten aus. Zu guter Letzt besitzen Objekte auch noch Namen und Typen. Außerdem sei noch gesagt, dass die Eigenschaften typspezifisch sind, obschon es eine recht große Anzahl von Gemeinsamkeiten zwischen den Attributen ähnlicher Typen gibt.
씰
Collections. Wenn eine Eigenschaft oder ein Attribut mehr als einen einzigen Wert haben kann (wie etwa die Zutaten einer Mahlzeit), werden diese Werte als Collection innerhalb eines Wertebereichs gespeichert. Die Anzahl der Mitglieder einer Collection ist normalerweise unbekannt.
Methoden führen, wenn man es auf das Beispiel weiter oben mit der Datenbank anwendet, Aktionen für eine Zeile aus. Eine Zeile können Sie hinzufügen, aus der Tabelle löschen, oder die Daten darin bearbeiten. Solche Methoden sind allgemein als Create-, Update- und Delete-Methoden bekannt. Beachten Sie, dass Sie dieselben Verben (Methoden) auf alles im Betriebssystem einschließlich Dateien, Drucker, Computer usw. anwenden können. Eben dadurch werden Objekte so beeindruckend leistungsfähig: Die Anzahl Verben (Aktionen), die ein Computer verstehen muss, wird dadurch stark reduziert. Man kann allgemeine Programmroutinen schreiben, die mit diesen Funktionen arbeiten. Nicht nur die Programme schreiben sich dadurch einfacher, sondern auch die Sicherheit wird einfacher implementiert, da auf alle Objekte über dieselben Techniken zugegriffen wird. Die Eigenschaften beziehen sich natürlich auf die Spalten in der Tabelle. Es gibt offensichtliche Eigenschaften wie den Namen und Typ des Objekts. Gewisse Eigenschaften sind immer notwendig, wie beispielsweise der Besitzer des Objekts. Collections sind Felder mit multiplen Werten, also Felder, in die Sie viele verschie-
35
36
Kapitel 1
Konfiguration und Grundlagen von Active Directory
dene Werte wie etwa »Groß« und »Blau« zum Beschreiben des Himmels eingeben können (technisch gesehen, wird dies natürlich anders realisiert, als es hier zu Anschauungszwecken beschrieben ist). Eine Schlüsselcollection, die jedes Objekt besitzt, ist die Discretionary Access Control List (Zugriffssteuerungsliste, DACL), die dafür sorgt, dass das Sicherheitsmodell ebenso leistungsfähig wie einfach handhabbar wird. Da auf jedes Objekt im Betriebssystem auf dieselbe Art und Weise zugegriffen wird, und auch alles und jedes eine DACL besitzt, fiel es Microsoft leicht, ein Referenzmodell für die Sicherheit zu entwickeln. Damit dieses Modell auch wirklich funktioniert, muss allerdings noch sichergestellt werden, dass jeder Prozess, Benutzer, Dienst und jedes Programm, welche auf ein Objekt zugreifen, auch über einen Sicherheitskontext verfügen. Ein Sicherheitskontext bedeutet einfach nur, dass Sie wissen, welches Objekt (vergessen Sie nicht, dass auch Benutzer Objekte sind), auf ein anderes Objekt zuzugreifen versucht. »Prozess« ist der allgemeine Begriff zur Beschreibung eines laufenden Programms. Ein Prozess kann ein Hintergrundprozess wie etwa ein Dienst, oder ein Vordergrundprozess wie etwa ein Benutzerprogramm sein. Bei der Anmeldung in Windows 2000 werden Sie zuerst gegenüber den Verzeichnisdiensten authentifiziert. Anschließend wird ein Programm namens Explorer.exe ausgeführt. In dieser Shell befinden Sie sich mit Ihrer Sitzung – es verwaltet Ihren Desktop, zeichnet die Taskleiste auf den Bildschirm und bearbeitet die Aktionen, die Sie auf Ihrem Desktop unternehmen, wie beispielsweise den Klick auf das Start-Menü. Nachdem Sie authentifiziert worden sind und der Explorer für Sie gestartet wurde, stehen Informationen über Sie im System zur Verfügung. Diese Informationen bestehen aus Ihrer eindeutigen Objekt-ID (Ihre SID) und den eindeutigen ObjektIDs für die Gruppen, zu denen Sie gehören (deren SIDs). Zusammen bilden diese das Zugriffstoken. Beim Start eines Programms wie Word werden die IDs an den Explorer (Ihr Benutzerprozess) angehängt und mit der ACL der Word-Programmdatei (und der dazugehörenden Dateien) verglichen. Sofern Sie die Berechtigung besitzen, startet das System Word als einen weiteren Prozess und hängt Ihre Anmeldeinformationen (Ihre Objekt-ID und die der Gruppen, zu denen Sie gehören) an den Prozess an. Hintergrundprozesse werden ebenfalls innerhalb eines gegebenen Sicherheitskontextes gestartet. Sie können, wie bei Ihrer eigenen Anmeldung, mit einem Benutzernamen und Kennwort oder im Rahmen des Systemkontos gestartet werden. Das Systemkonto ist das lokale Konto des Computers und wird in einer Datenbank mit lokalen Konten gespeichert.
1.4 Objekte in Active Directory
Da Windows 2000 unter Verwendung des beschriebenen Prozesses alles wie ein Objekt behandelt, kann es die Sicherheit unabhängig von der Art und Weise gewährleisten, wie ein Benutzer auf ein Objekt zugreift. Nach der Erklärung des Objektzugriffs sollen Sie nun einen näheren Blick auf einige der Objekte von Active Directory werfen.
1.4.1
Computer
Das Objekt Computer ist genau das, was es besagt, nämlich ein Computer irgendwo im Unternehmen. Ein solches Objekt wird im Hintergrund dazu verwendet, alle Computer zu Verwaltungszwecken zusammenzufassen. Über das Konto ist es darüber hinaus möglich, Computern die Authentifizierung von Benutzeranmeldungen zu überlassen, da der Computer weiß, welche Domäne für die Authentifizierung benötigt wird. Später bei der Erörterung von Gruppenrichtlinien werden Sie auch bemerken, dass Sie Gruppenobjekten (Konten) in einer Domäne Sicherheitsrichtlinien zuweisen, Optionen für sie auswählen und sogar Software zuordnen können.
1.4.2
Benutzer
Benutzer sind offensichtlich ein recht großer Bestandteil eines Netzwerks, und ohne sie wäre das gesamte Netzwerk wohl witzlos (obschon viel schneller!). Ein Benutzerobjekt enthält das Benutzerkonto, und erst mit diesem Konto ist der Benutzer in der Lage, sich mit der Domäne zu verbinden.
1.4.3
Gruppen
Ein Gruppenobjekt (Konto) enthält eine Liste der Benutzer, die zu der Gruppe gehören. Unter Windows 200 kann es außerdem noch weitere Gruppen enthalten. Diese Objekte werden bei der Vergabe von Berechtigungen auf andere Objekte eingesetzt, was das umständliche Hinzufügen einzelner Benutzerkonten vermeidet und anstelle dessen die Arbeit mit einer größeren Gruppe von Benutzern innerhalb eines einzigen Schrittes ermöglicht. Gruppen werden auch dazu verwendet, eine Anzahl von Benutzerkonten in einem einzigen Objekt zusammenzufassen.
1.4.4
Drucker
In Windows 2000 verfügen Sie über die Option, für einen gemeinsam genutzten Drucker ein Druckerobjekt in Active Directory zu erstellen. Hauptsächlich dient diese Option dazu, den Benutzern im Netzwerk die Suche nach diesem Drucker zu ermöglichen. Der Drucker bleibt dabei ein Objekt auf dem lokalen PC, der als Druckserver fungiert und auch die Sicherheit übernimmt.
37
38
Kapitel 1
1.4.5
Konfiguration und Grundlagen von Active Directory
Freigegebene Ordner
Wie Drucker werden auch Freigaben in Active Directory veröffentlicht. Auch diese dienen hauptsächlich wieder dem Zweck, Benutzern im Netzwerk die Suche nach der Freigabe möglich zu machen. Der Computer, der die Freigabe beherbergt, ist für die Überprüfung der Objektberechtigungen beim Zugriff auf die Freigabe verantwortlich.
Fallstudie: Vorstellung der Sonnenschein-Brauerei Das Wichtigste im Überblick Denken Sie beim Studieren des Szenarios an die Teile des Active Directory, die Sie kennen gelernt haben. In diesem Fall gibt es zwei Möglichkeiten für Ihr Design: Verwenden Sie für die Abgrenzungen entweder die Zweigstellen oder die Funktionen. Da die Verwaltung in den vier Hauptbüros stattfindet, werden Sie die Informationen an alle Büros replizieren. Eine solche Replikation kann unter Umständen einige der langsameren Leitungen strapazieren und gegebenenfalls sogar verstopfen. Vorstellung In diesem Kapitel lernen Sie die grundlegenden Konzepte von Active Directory kennen. Das Ziel dieses Kapitels ist, Ihnen die erforderlichen Voraussetzungen für das Verständnis der nachfolgenden Kapitel zu vermitteln. Im Sinne einer Einführung erfolgt nun auch die Vorstellung der SonnenscheinBrauerei. Dieses Unternehmen und das damit verbundene Netzwerk dient als Basis für die Fallstudien, die am Ende jedes Kapitels stehen. Die Fallstudie ist eine Gelegenheit für Sie, die Anwendung der Technologien, die im Buch behandelt werden, auf eine Situation in der Praxis zu studieren. Situationsbeschreibung Wie beim Projektmanagement wird auch der größte Teil der vorbereitenden Arbeit im Networking während der Planungs- bzw. Designphase erledigt. Da sich dieses Buch jedoch vorwiegend mit der Implementierung beschäftigt, setzt es die Designprinzipien voraus, die in der entsprechenden Literatur zur Prüfung 70-219 beschrieben werden.
Fallstudie: Vorstellung der Sonnenschein-Brauerei
Die Sonnenschein-Brauerei ist ein multinationales Unternehmen mit Zweigstellen in Ottawa, Sydney, Kapstadt und London. An verschiedenen Orten in der Welt gibt es außerdem noch kleinere Zweigstellenbüros, die sich in Victoria, Los Angeles, Mexico City, Houston, New York, Buenos Aires, St. John's, Paris, Moskau, Peking und Tokio befinden. Das Unternehmen hat sich nach ausgedehnten Voruntersuchungen dazu entschlossen, als das primäre Netzwerksystem Windows 2000 mit Active Directory einzusetzen. Zum Zweck der Überwachung und des Controlling der Produktion möchte es außerdem UNIX verwenden. Die Sonnenschein-Brauerei plant, allen Mitarbeitern den Internet- und IntranetZugang zur Verfügung zu stellen – es soll ein möglichst unbehinderter Informationsfluss zwischen den Unternehmenstandorten ermöglicht werden, da es üblich ist, Teams kurzfristig mit Personal zu besetzen, welches aus den verschiedensten Teilen des Unternehmens stammt. Berücksichtigt werden müssen auch die Bedürfnisse des Vertriebs- und IT-Personals, welches oft auf Reisen ist, aber immer den Zugriff auf die Ressourcen ihres Heimatstandorts benötigt. Bevor die Materie noch eingehender erläutert werden kann, brauchen Sie zunächst einen Überblick über das physische Netzwerk. Sie müssen nicht nur die Anzahl der Benutzer an jedem Standort und ihre Rolle im Unternehmen kennen, sondern auch die physischen Verbindungen zwischen den Standorten sowie deren Geschwindigkeit und Zuverlässigkeit. Als Basis des Netzwerkes enthält die Tabelle 1.1 eine Übersicht über die nach dem Standort aufgeschlüsselte Benutzergemeinde. Zweigstelle
Geschäftsleitung
Forschung u. Entwicklung
IT
Administratoren
Vertrieb
Produktion
Ottawa
145
352
450
742
1.274
854
London
23
120
180
521
963
562
Kapstadt
18
136
196
436
954
632
Sydney
32
224
251
357
965
843
Victoria
1
5
0
42
89
236
Los Angeles
2
6
0
61
109
310
Mexico City
3
12
0
72
174
400
Tabelle 1.1: Verteilung der Benutzer im Unternehmen Sonnenschein-Brauerei
39
40
Kapitel 1
Zweigstelle
Konfiguration und Grundlagen von Active Directory
Geschäftsleitung
Forschung u. Entwicklung
IT
Administratoren
Vertrieb
Produktion
Houston
2
15
0
66
98
350
New York
2
23
0
96
131
298
Buenos Aires
1
8
0
45
67
245
St.John's
1
4
0
35
64
198
Paris
1
16
0
41
134
201
Moskau
1
6
0
24
54
126
Peking
1
2
0
88
140
320
Tokio
2
4
0
48
98
264
Tabelle 1.1: Verteilung der Benutzer im Unternehmen Sonnenschein-Brauerei
Wie Sie sich wahrscheinlich schon gedacht haben, ist die Aufteilung der Benutzer in sechs Gruppen nicht zufällig. Diese Gruppen repräsentieren nämlich die wichtigsten Rollen innerhalb des Unternehmens, wobei jede Rolle verschiedene Anforderungen an das Netzwerk stellt. Anforderungen Die folgende Aufstellung enthält einen Überblick über die verschiedenen Anforderungen an die Benutzergruppen: Geschäftsleitung (235 Benutzer) Die Geschäftsleitung benötigt einen 24-stündigen Zugang von beliebigen Standorten aus. Sie reist nicht nur häufig zwischen den Büros hin und her, sondern auch zu anderen Orten. Sie braucht den Zugang zu ihrer E-Mail und zur Office-Anwendung und muss in der Lage sein, sich über einen Webbrowser mit firmeninternen Serveranwendungen zu verbinden. Forschung und Entwicklung (933 Benutzer) Die Mitarbeiter der Abteilung Forschung und Entwicklung reisen zwar nicht, müssen aber in der Lage sein, mit Mitarbeitern der Abteilung Forschung und Entwicklung in anderen Zweigstellen zu kommunizieren. Neben dem Zugang zur E-Mail und zur Office-Anwendung benötigen sie außerdem noch den Zugriff auf spezielle Anwendungen.
Fallstudie: Vorstellung der Sonnenschein-Brauerei
Die Benutzer aus Forschung und Entwicklung haben die Option zur Heim- oder Büroarbeit. Außerdem verfügen sie über gemeinsam genutzte Arbeitsplätze, an denen sich jeder Benutzer dieser Abteilung niedersetzen und arbeiten kann. Diese Benutzergruppe möchte, dass an jedem der gemeinsam genutzten Systeme alle Anwendungen verfügbar sind, jedoch jeder einzelne Benutzer seine eigenen Desktopeinstellungen verwalten kann. IT (1.077 Benutzer) Die IT-Abteilung jedes Unternehmensstandorts kümmert sich um die lokalen Computer der Produktionssysteme unter UNIX und der Windows-Systeme der übrigen Benutzer. Das IT-Personal reist häufig zwischen den Zweigstellen hin und her, um die Systeme zu verwalten und zu aktualisieren. Es benötigt von jeder Zweigstelle aus den Zugriff auf seine E-Mail-Postfächer. Darüber hinaus muss es auf Programme für die Fehlersuche und -beseitigung zugreifen können, die sich auf verschiedenen Servern im Netzwerk befinden. Administratoren (2.674 Benutzer) Die Administratoren-Benutzer sind wohl die pflegeleichteste Gruppe: Sie reisen nicht und brauchen nur die E-Mail und die Office-Anwendungen. Jeder arbeitet nur an seinem eigenen Schreibtisch und mit seinem eigenen zugewiesenen Computer. Vertrieb (5.314 Benutzer) Der Vertrieb reist permanent und ist selten am Arbeitsplatz im Büro. Seine Benutzer verwenden ausschließlich Notebooks für den Zugriff auf die E-Mail, die Anwendung zur Auftragsbearbeitung und das Office-Programm. Von Zeit zu Zeit schauen sie einmal im Büro vorbei und arbeiten an Arbeitsplätzen, die nur zu diesem Zweck für etwa die Hälfte des Vertriebspersonals eingerichtet worden sind. Zu diesen Arbeitsplätzen gehört lediglich ein Netzwerkanschluss, denn der Zugang der Benutzer geschieht auch hier über deren Notebooks. Produktion (5.839 Benutzer) Die Produktionsbenutzer sind für den Ablauf der Produktion und den Versand verantwortlich. Sie benutzen hauptsächlich die Unix-Systeme, benötigen aber auch den Zugriff auf die E-Mail. Die Produktionssoftware bedienen sie unter Verwendung von Webbrowsern.
41
42
Kapitel 1
Konfiguration und Grundlagen von Active Directory
Wie Sie sehen, sind die Anforderungen an die jeweiligen Benutzergruppen recht unterschiedlich und nicht leicht zu erfüllen. Neben der lokalen Software auf ihren Arbeitsplatz-PC benötigen die Gruppen auch den Zugang zu Servern auf Unternehmensebene. Hierin eingeschlossen sind sowohl die Unix-Server, die die Produktion steuern, als auch die Buchhaltungssysteme, die auf einem SQL-Server im Büro Ottawa laufen. Darüber hinaus wird noch der Zugriff auf das Vertriebssteuerungsprogramm gebraucht, welches das Buchhaltungs- und das Produktionssystem miteinander verbindet und eine Sonderentwicklung für die E-Mail auf der Grundlage von Exchange-Servern darstellt. Schließlich macht das Team aus Forschung und Entwicklung zum Zweck der Zusammenarbeit noch häufigen Gebrauch von den öffentlichen Ordnern in Exchange. Ein weiterer Gesichtspunkt ist der Fernzugriff für die Benutzer aus den Gruppen Geschäftsleitung und Vertrieb. Realisiert wird er, indem am jeweiligen Standort ein lokaler ISP ausfindig gemacht wird, der dann den Benutzern einen Internetzugang zur Verfügung stellt (meistens geschieht dies zu Sonderkonditionen). Für einige Benutzer wird ein globaler ISP eingesetzt; eine Lösung, die je nach den entstehenden Kosten ggf. auch für alle anderen Benutzern in Betracht zu ziehen wäre. Die Benutzer würden dann über ein privates virtuelles Netzwerk und ihre Internetverbindung auf das lokale Büro zugreifen. Bis hierhin haben Sie die Benutzergemeinde und die Standorte kennen gelernt. Bevor Sie jedoch konkrete Entscheidungen über die Domänenstruktur, die Anzahl der Subnetze, die Standorte oder die Platzierung der Server treffen können, müssen Sie etwas über das physische Netzwerk wissen. Die Sonnenschein-Brauerei hat einige Zeit hindurch am Netzwerk gebastelt und verfügt daher über mehr als nur eine einzige durchgehend implementierte Technologie im Netz. Die Standorte unterscheiden sich hinsichtlich des Typs und der Qualität sowohl des Netzwerks als auch der Verbindung mit anderen Büros und dem Internet. Die folgende Liste beschreibt die an den einzelnen Standorten verwendete Technologie. Ottawa (3.817 Benutzer) Das Netzwerk in Ottawa wurde im Laufe der Jahre einige Male erweitert und wird gegenwärtig mit 100 Mbps Ethernet betrieben. Als Protokoll wird hauptsächlich TCP/IP verwendet. Alle Desktopsysteme und Server werden etwa alle zwei Jahre aktualisiert. Das Gebäude besteht aus drei Teilen: ein Gebäudeteil für die Produktion, eines für das Lager und eines für die Büros.
1.4 Objekte in Active Directory
Die drei Gebäudeteile sind unter Verwendung eines redundanten GlasfaserBackbones für hohe Geschwindigkeiten miteinander verbunden. In den Gebäuden wird durch eine Kombination von Routern und Switches dafür gesorgt, dass nicht mehr als 50 Desktopsysteme und nicht mehr als 5 Server lokal in einem Segment sind. Wo Server mit anderen Servern kommunizieren müssen, sind diese Server über eine zusätzliche Netzwerkkarte miteinander verbunden. Wo Microsoft-Produkte betroffen sind, läuft der Backbone mit dem NetBEUIProtokoll.+ Der Standort Ottawa ist gegenwärtig über eine 100-Mbps-Verbindung ans Internet angeschlossen. Zusätzlich gibt es T1-Verbindungen zwischen diesem Büro und London sowie Frame-Relay-Verbindungen mit 512 Kbps nach Sydney und Kapstadt. Außerdem ist noch eine Verbindung mit 512 Mbps zum Büro in St. John’s und eine OC3-Verbindung nach New York vorhanden. London (2.369 Benutzer) Das Londoner Büro ähnelt dem Büro in Ottawa, verfügt aber über nur zwei Gebäudeteile, nämlich eines für die Produktion und das Lager sowie ein weiteres für die Büros. Die Gebäudeteile sind über einen redundanten GlasfaserBackbone für hohe Geschwindigkeiten miteinander verbunden. In den Gebäuden sorgt eine Kombination von Routern und Switches dafür, dass nicht mehr als 120 Desktopsysteme und nicht mehr als 10 Server lokal in einem Segment sind. Das Bürogebäude verwendet Ethernet mit 100 Mbps, während die Produktion und das Lager Ethernet mit 10 Mbps einsetzen. Das Londoner Büro ist mit dem Internet über eine T1-Verbindung verbunden. Darüber hinaus gibt es noch eine Verbindung nach Ottawa, die ebenfalls T1 benutzt, wie auch eine Verbindung nach Paris mit T1 und eine nach Moskau mit einer Standleitung mit 256 Kbps. Eine zusätzliche T1-Verbindung verbindet das Büro in London mit dem Büro in Tokio. Kapstadt (2.372 Benutzer) Das Büro in Kapstadt wurde von einem Konkurrenzunternehmen übernommen. Das vorhandene Netzwerk mit Token Ring ist immer noch in Betrieb. Allerdings wurde die Verkabelung erneuert, damit das Netzwerk mit 16 Mbps betrieben werden kann. Auch hier gibt es zwei Gebäude wie in London, die mit einem redundanten Glasfaser-Backbone für hohe Geschwindigkeiten miteinander verbunden sind. Das eingesetzte Routing-System sorgt dafür, dass nicht mehr als 150 Desktopsysteme und nicht mehr als 15 Server lokal in einem Segment sind.
43
44
Kapitel 1
Konfiguration und Grundlagen von Active Directory
Das Büro in Kapstadt ist an das Internet über eine Standleitung mit 512 Kbps angeschlossen. Zusätzlich ist es über eine Verbindung mit 512 Kbps mit dem Büro in Buenos Aires und mit Ottawa verbunden. Sydney (2.672 Benutzer) Auch Sydney ist in zwei Gebäude aufgeteilt. Allerdings sind beide Gebäudeteile hier durch eine Standleitung mit 768 Kbps miteinander verbunden, da sie nicht nahe genug beieinander stehen, um Glasfaser verwenden zu können. Dieses Büro setzt gegenwärtig ein Ethernet-Netzwerk mit 100 Mbps ein. In den Gebäuden wird durch Switches dafür gesorgt, dass nicht mehr als 80 Desktopsysteme und nicht mehr als 5 Server lokal in einem Segment sind. Das Büro in Sydney ist an das Internet mit einer T1-Verbindung angeschlossen. Mit Ottawa ist es mit einer Leitung mit 512 Kbps, und mit Tokio über eine T1-Leitung verbunden. Victoria (373 Benutzer) Das Büro in Victoria stellt, wie alle Zweigstellen, eine kombinierte Einrichtung aus Produktion, Lager und Büroräumen dar. Das Netzwerk ist ein geroutetes Ethnernet mit 100 Mbps und vier Netzwerksegmenten. Das Büro ist an das Internet über Business-ADSL (mit 768 Kbps UplinkGeschwindigkeit) angeschlossen. Außerdem gibt es noch eine T1-Verbindung nach Los Angeles. Los Angeles (488 Benutzer) Auch das Büro in Los Angeles setzt Ethernet mit 100 Mbps ein. Es hat lokal fünf Segmente, die über Router verbunden sind. Es gibt eine T1-Verbindung ins Internet neben einer T1-Verbindung zum Büro in Victoria, und eine T3Verbindung nach New York. Außerdem ist noch eine T3-Verbindung nach Tokio vorhanden. Mexico City (661 Benutzer) Das Netzwerk in Mexico City setzt Token Ring mit 4 Mbps ein. Das Netzwerk ist in 10 separate Ringe aufgeteilt, zwischen denen Router sitzen. Es gibt eine Verbindung mit 256 Kbps ins Internet und eine Verbindung mit 512 Kbps zum Büro in Houston.
Fallstudie: Vorstellung der Sonnenschein-Brauerei
Houston (531 Benutzer) Das Büro in Houston verwendet Ethernet mit 100 Mbps und Switches zwischen den sieben Netzwerksegmenten. Neben einer Verbindung mit 512 Kbps nach Mexico City und einer T1-Verbindung nach New York gibt es noch eine T1Verbindung ins Internet. New York (550 Benutzer) Dieses Netzwerk setzt einen Glasfaser-Backbone mit Switches und 100 Mbps zu den Desktopsystemen ein. Es gibt sechs Segmente im Netzwerk. Weiterhin existieren eine T1-Verbindung ins Internet und nach Houston, eine T3-Verbindung nach Los Angeles sowie eine OC3-Verbindung nach Ottawa. Buenos Aires (302 Benutzer) In Buenos Aires wird das Netzwerk mit Ethernet mit 10 Mbps und Routern betrieben, die die sieben Segmente verbinden. Neben der Verbindung mit 512 Kbps nach Kapstadt gibt es einen Anschluss mit 256 Kbs ans Internet. St. John’s (302 Benutzer) Das Büro in St. John’s verwendet Ethernet mit 100 Mbps mit einem Switch zwischen den sechs Netzwerksegmenten. Es gibt eine Business-ADSL-Verbindung mit dem Internet und eine Verbindung mit 512 Kbps mit dem Büro in Ottawa. Paris (393 Benutzer) Das Büro in Paris verwendet ebenfalls Ethernet mit 100 Mbps. Es setzt zwischen den acht Netzwerksegmenten die Switch-Technologie ein. Es gibt eine Verbindung mit 512 Kbps ins Internet und eine T1-Verbindung zum Büro in London. Moskau (211 Benutzer) Das Büro in Moskau verwendet ARCnet mit 2 Mbps und Router zwischen den fünf Netzwerksegmenten. Es gibt eine Verbindung mit 128 Kbps ins Internet und einen mit 256 Kbps nach London.
45
46
Kapitel 1
Konfiguration und Grundlagen von Active Directory
Peking (551 Benutzer) Das Büro in Peking verwendet Ethernet mit 100 Mbps mit Bridges zwischen den sechs Netzwerksegmenten. Es gibt eine Verbindung mit 128 Kbps ins Internet und eine Verbindung mit 256 Kbps nach Tokio. Tokio (416 Benutzer) Das Büro in Tokio setzt Glasfaser zu den Desktops ein und verbindet jedes System direkt mit einem der Switches. Es verfügt über eine T1-Verbindung ins Internet und eine Verbindung mit 256 Kbps nach Peking, eine T1-Verbindung nach London und Sydney sowie eine T3-Verbindung nach Los Angeles. In Nordamerika sind die WAN-Verbindungen normalerweise zu etwa 95% verfügbar, während die Zuverlässigkeit in anderen Weltregionen bis zu 75% beträgt. Jeder Standort hat außerdem Einwählverbindungen, die mit RRAS eingerichtet sind, um Ausfallzeiten zu minimieren. Die Gesamtzuverlässigkeit der WAN-Verfügbarkeit erhöht sich damit bis zu etwa 98%. Jeder Standort besitzt Gesamtunternehmensdaten, während regionsspezifische Daten jedoch in den entsprechenden Zweigstellenbüros gespeichert sind. Diese Daten müssen sämtlichen Benutzern zur Verfügung stehen.
Situationsanalyse Die erste große Entscheidung, die Sie treffen müssen, besteht darin, wie Sie die privaten und öffentlichen DNS-Namen integrieren. Im vorliegenden Fall sind davon mehrere Länder betroffen. Wahrscheinlich muss pro Land eine Domäne registriert werden, damit eine länderspezifische Anpassung gegeben ist. Dies hat zur Folge, dass Sie mehrere verschiedene Namen im externen Netzwerk haben werden. Dies in Kombination mit Bedenken über die versehentliche Einbindung von Servern oder Adressen ins Internet ergibt die Schlussfolgerung, besser eine interne Adresse zu verwenden. Eine nahe liegende Adresse lautet SonnenscheinBrauerei.local, der Sie daher auch in der gesamten Fallstudie begegnen werden. Die Aufteilung der Domänen ist ein sehr großes Problem und erfordert eine Studie darüber, welche Veränderungen in welchem Ausmaß auftreten können. Wenig Änderungen würde bedeuten, dass auch nur wenig repliziert werden muss. Das Unternehmen hat weltweit 16.072 Mitarbeiter, was bedeutet, dass alles, was weiter über einen Mitarbeiterwechsel von 5% pro Monat hinausreicht, zu einem Problem werden kann. Außerdem müssen Sie noch die Kennwortrichtlinien in Betracht ziehen – werden die Kennwörter häufig gewechselt, haben Sie mit vermehrter Replikation in der Domäne zu rechnen.
Fallstudie: Vorstellung der Sonnenschein-Brauerei
Grundsätzlich gibt es drei Typen der Replikation, die Sie ins Design einbeziehen müssen: der globale Katalog, der häufig zwischen den Domänen gesendet wird, das Schema und die Konfigurationspartition, die zwischen den Domänen gesendet werden, wenngleich weniger häufig, sowie die Domänenpartition, die alle Domäneninformationen enthält und häufig gesendet wird, wenn auch nur innerhalb der Domäne. Im vorliegenden Fall kann Ihnen die Kommunikation in der Personalabteilung bei der Entscheidung helfen. Sie kann auch eine Hilfe hinsichtlich einer Entscheidung zur Kennwortrichtlinie bieten. Bei der Sonnenschein-Brauerei liegt der monatliche Mitarbeiterwechsel bei etwa 2%. Die Kennwortrichtlinie verlangt einen Kennwortwechsel alle 60 Tage. Unter dieser Voraussetzung und der äußerst unterschiedlichen Anforderungen der Benutzer sollte die Domäne Sonnenschein-Brauerei besser nach der Funktion als dem Standort aufgeteilt werden. Die Administration wird hierdurch einfacher gestaltet, wenngleich gleichzeitig die Replikation vermehrt wird. Das Design würde dann eine Domäne SonnenscheinBrauerei.local vorsehen, die das IT-Personal und die Geschäftsleitung beherbergt, und eine untergeordnete Domäne für jede der vier verbleibenden Funktionen: Forschung.SonnenscheinBrauerei.local, Administration.SonnenscheinBrauerei.local, Vertrieb .SonnenscheinBrauerei.local und Produktion.SonnenscheinBrauerei.local. Da die Struktur jetzt steht, müssen Sie nur noch festlegen, welche Organisationseinheiten und Standorte erstellt werden, was ziemlich einfach ist. Für die Domänennamen gibt es zwei Grenzlinien, die Sie hätten verwenden können: die Funktion und der geografische Gesichtspunkt. Da die Funktion bereits zum Erstellen der Domänen benutzt worden ist, verbleibt für die weitere Aufteilung der geografische Gesichtspunkt. Innerhalb jeder Domäne wird es daher eine OU (Organisational Unit) für jeden Standort geben. Vom Standpunkt des Netzwerks aus brauchen Sie eine Kontrolle der Replikation zwischen den Orten, weshalb Sie für jeden einen Standort erstellen werden. An großen Standorten müssen Sie außerdem die Auswirkung der Replikation auf das Netzwerk in Erwägung ziehen, was bedeutet, dass Sie die Büros wahrscheinlich aufteilen müssen. Denken Sie gleichwohl daran, dass die Vertriebs-Benutzer nicht immer im Büro sind, sodass Sie nicht für alle von ihnen Vorkehrungen treffen müssen. Um das Beispiel einfach zu gestalten, werden die großen Büros in zwei oder drei Standorte nach dem Gebäudeteil aufgeteilt.
47
48
Kapitel 1
Konfiguration und Grundlagen von Active Directory
Jetzt haben Sie die Grundlage des Netzwerks. In den noch folgenden Fallstudien werden Sie verfolgen können, wie das DNS konfiguriert, die Domänen eingerichtet und die Standorte und OUs erstellt werden. Später werden Sie einen Blick auf die Überwachung des Netzwerks werfen und erfahren, welche Schwachstellen auftreten können und wie die Daten des Netzwerks gesichert werden. Es wird weiterhin eine Erörterung darüber geben, wie die Gruppenrichtlinien erstellt, auf reisende Benutzer angewendet und zur Verwaltung der Desktopumgebung eingesetzt werden. Sie werden ein Beispiel für die Installation der Software und deren Verwaltung über Gruppenrichtlinien kennen lernen. Zum Schluss werden Sie noch erfahren, wie der RAS-Server in dieser Umgebung dazu verwendet werden kann, Windows 2000 Professional einzuführen.
Zusammenfassung An diesem Punkt wird es hilfreich für Sie sein, alle vorgestellten Informationen einmal in der Zusammenfassung zu betrachten. Active Directory ist eine Datenbank, die mehrere Tabellen enthält, und zwar eine für jede Klasse bzw. jeden Typ eines Objekts. Die Tabellen enthalten eine eindeutige ID und verschiedene Attribute (Eigenschaften) der aufgeführten Objekte. Aus jeder dieser Tabellen werden Schlüsselfelder in den globalen Katalog kopiert, der zwischen allen Domänen im Unternehmen repliziert wird. Die Struktur der Datenbank ist im gesamten Unternehmen dieselbe und wird vom Schemamaster verwaltet. Die Domänen werden in Windows 2000 aus Gründen der administrativen Grenzen und Replikationsgrenzen verwendet. Die Domänen sind in einer Hierarchie miteinander verbunden, die auf dem DNS-System beruht. Dieses Kapitel bot eine Einführung in Active Directory und einen Überblick über seine Funktionsweise. Die folgenden Fragen werden Sie beim Rekapitulieren des vorgestellten Stoffes unterstützen. Wiederholungsfragen 1. Was wird in Active Directory für jeden Objekttyp, den es enthält, erstellt? 2. Was ist der Zweck des globalen Katalogs? 3. Was ist die Aufgabe des Schemamasters? 4. Jedes Objekt besitzt mindestens drei Attribute. Welche sind es? 5. Welche drei Dinge sind allen Domänen in Active Directory gemeinsam?
Zusammenfassung
Antworten zu den Wiederholungsfragen 1. Jeder Typ bzw. jede Klasse eines Objekts erstellt eine Tabelle, die die eindeutige ID für das Objekt und die Attribute enthält, die mit ihm verbunden sind. Siehe dazu den Abschnitt »Eine Datenbank aufbauen«. 2. Der globale Katalog verwaltet einen Teil der Attribute sämtlicher Objekte, die in der Gesamtstruktur von Active Directory gespeichert sind. Die Domänen veröffentlichen diese Attribute für den globalen Katalog, wodurch eine vollständige Liste aller Objekte im Unternehmen erzeugt wird. Siehe dazu den Abschnitt »Eine Datenbank aufbauen«. 3. Für alle Domänen innerhalb des Unternehmens muss das Schema dasselbe sein. Damit dies auch gewährleistet ist, darf die einzige aktualisierbare Version des Schemas nur diejenige auf dem Schemamaster sein. Siehe dazu den Abschnitt »Eine Datenbank aufbauen«. 4. Jedes Objekt braucht zumindest eine ID, einen allgemeinen Namen und eine Klasse. Der volle Name muss überall im Unternehmen eindeutig sein und den kompletten Domänennamen enthalten. Darüber hinaus muss jedes Objekt des Active Directory eine SID bzw. eine Sicherheits-ID besitzen. Siehe dazu den Abschnitt »Eine Datenbank aufbauen«. 5. Die drei gemeinsamen Elemente aller Domänen sind das Schema, der globale Katalog und die Konfiguration. Siehe dazu den Abschnitt »Eine Hierarchie aufbauen«.
49
DNS für Active Directory konfigurieren
2
Lernziele Dieses Kapitel behandelt die DNS-Server in Windows 2000 in Beziehung zu Active Directory. Obwohl sich das Kapitel überwiegend damit befasst, wie die Integration von Active Directory realisiert wird, beginnt es mit einem kurzen Überblick über die Grundlagen von DNS. Anschließend wird die Installation unter besonderer Berücksichtigung der Rolle eines DNS-Servers behandelt. Nachdem diese Grundlagen behandelt worden sind, wendet sich das Kapitel der Zusammenarbeit des DNS mit Active Directory zu. Es werden die folgenden Themen aus der Prüfung bearbeitet: Installation, Konfiguration und Fehlerbehebung von DNS für Active Directory 씰
Integration von DNS-Zonen von Active Directory mit DNS-Zonen, die nicht in Active Directory liegen
씰
Konfiguration der Zonen für dynamische Aktualisierungen
Dieses Thema wurde einbezogen, um sicherzustellen, dass Sie sowohl mit DNS für Active Directory als auch mit anderen Computerumgebungen in Ihrem Netzwerk umgehen können. Außerdem liegt eine der wichtigsten Neuerungen in DNS für Windows 2000 in der Fähigkeit zum Umgang mit dynamischen Aktualisierungen. Für Active Directory ist dies recht bedeutsam, da es auf diese Weise verschiedene Dienste mit dem DNS-Server zu dem Zweck registrieren kann, Clients die Suche nach LDAP-Servern und Domänencontrollern zu ermöglichen. Verwalten, Überwachen und Fehlerbehebung des DNS 씰
DNS-Daten replizieren
Hinsichtlich der Replikation des DNS müssen Sie den Unterschied zwischen Zonenübertragungen für Standardzonen und Replikationen für Active Directory, die
52
Kapitel 2
DNS für Active Directory konfigurieren
mit der Replikation von in Active Directory integrierten Zonen zu tun haben, verstehen.
Tipps für das Selbststudium Der DNS-Teil der Implementierung des Active Directory wird voraussichtlich nicht umfangreich sein. Sie müssen sich hauptsächlich auf die folgenden Themen konzentrieren: 씰
Erstellen der Forward- und Reverse-Lookupzonen im DNS
씰
Konfigurieren der DNS-Zonen für die Übernahme dynamischer Aktualisierungen
씰
Konfigurieren sekundärer Zonendateien
씰
Integration der Active Directory-integrierten Zonen in andere DNS-Server
씰
Konfigurieren einer Zone als Active Directory-integriert
2.1
Einführung
Der wahrscheinlich wichtigste Aspekt von Active Directory besteht darin, dass es hierarchisch aufgebaut ist. Dadurch wird die Verwendung des Namespace-Konzeptes möglich, welches eine nahezu unbegrenzte Anzahl von Objekten erlaubt, die gespeichert und dargestellt werden können. Auf diese Weise kann eine Organisation eine einzige Stamm- bzw. Hauptdomäne einrichten, und diese dann in immer detailliertere Abschnitte unterteilen. Denken Sie einen Moment lang mal an all die Unternehmen, mit denen Sie bereits zu tun gehabt haben. Nahezu alle Unternehmen unterteilen ihre Organisation über die Funktion in verschiedene Bereiche. So verfügen beispielsweise viele Unternehmen über Abteilungen für die Geschäftsführung, Buchhaltung, Personal, Vertrieb, Produktion und Marketing. Eine derartige Struktur stellt eine Hierarchie dar, in der sich die Geschäftsleitung an der Spitze befindet, an die alle anderen Abteilungen berichten. Weiterhin können Sie jede einzelne Abteilung – beispielsweise die Buchhaltung – in einen Abteilungsleiter, Manager oder Buchhalter unterteilen, der die Debitoren und Kreditoren überwacht. Dadurch entsteht eine weitere Hierarchieebene (siehe Abbildung 2.1). Diese Organisation kann weiterhin Bereiche wie den Vertrieb und Marketing regional aufteilen. Alternativ dazu könnte die gesamte Organisation außerdem in geogra-
2.1 Einführung
Abbildung 2.1 Geschäftsleitung
Das Organigramm des vorliegenden Beispiels Buchhaltung
Vertrieb
Logistik
Abteilungsleiter Buchhaltung
Buchhaltung Debitoren
Buchhaltung Kreditoren
fische Standorte und anschließend in Funktionen für jeden Standort geordnet werden. Dies kann erforderlich werden, wenn ein Unternehmen in verschiedenen Ländern tätig ist und die Gesetze dieser Länder vom lokalen Personal den Umgang mit Funktionen wie der Buchhaltung oder dem Versand verlangen. Tatsächlich kann es so viele verschiedene Unternehmensstrukturen wie Unternehmen geben. Wichtig ist dabei, dass nahezu alle von ihnen eine hierarchische Struktur verwenden, um die Art und Weise, wie das Unternehmen arbeitet, widerzuspiegeln; gleichgültig, ob es sich um ein eher traditionelles oder eher modernes Unternehmen mit flacheren Strukturen und weniger strikten Berichtslinien handelt. Unter der Voraussetzung, dass Organisationen immer Ebenen aufweisen, ist es für einen Verzeichnisdienst entscheidend, ein Verfahren zu finden, diese Ebenen in seiner Struktur abzubilden. Eine solche Struktur begünstigt das Konzept des Namespace. Wenn Sie als Beispiel einmal annehmen, dass John Young in der Buchhaltung und John D’Aoust in der Produktion arbeiten, so haben Sie hier gleichzeitig sowohl den Namen eines Benutzers und des Namespace wie Buchhaltung oder Produktion vor sich, zu der der Benutzer gehört. Durch die Einrichtung eines Verfahrens, mit dem nicht nur der Benutzername, sondern gleichzeitig der Namespace (bzw. die Domäne) verwaltet wird, in der sich der Benutzer hierarchisch befindet, versetzt uns Active Directory in die Lage, einen Benutzer eindeutig durch seinen vollständigen Namen zu identifizieren. Ein Beispiel für die Namensgebung wäre dann John D’Aoust.Produktion.Unternehmen, was ebenso zwangsläufig wie sinnfällig ist. Dieselbe hierarchische Struktur wird im Internet zum Suchen nach Servern eingesetzt. Das Domain Name System (DNS) im Internet hat sich bewährt und wird daher von Microsoft zu dem Zweck verwendet, die Hierarchie von Active Directory zu realisieren.
53
54
Kapitel 2
2.2
DNS für Active Directory konfigurieren
Grundlagen von DNS
Da DNS die Hierarchie in Active Directory realisiert, müssen Sie vollständig verstanden haben, wie dieses System arbeitet und in Windows 2000 implementiert ist. Die nächsten Abschnitte stellen daher eine Grundlagendiskussion über DNS einschließlich eines Überblicks über vollqualifizierte Domänennamen und deren Auflösung dar. Das Domain Name System besteht aus drei Komponenten: 씰
Namenserver. Hierbei handelt es sich um Server, die Adress- und andere Informationen über Computer zur Verfügung stellen, die Sie im Internet oder Intranet finden können.
씰
Resolver. Ein Resolver ist ein kleiner Programmcode im Betriebssystem oder in einem bestimmten Softwarepaket, der vom Namenserver die IP-Adresse eines Hostnamens anfragt.
씰
Namespace. Wie ein Organigramm eines Unternehmens, welches mit der Spitze anfängt und bis in die Untereinheiten hinunterwächst, beginnt auch der Namespace an der Spitze (Stamm) und verteilt die Hierarchie Ihres Unternehmens auf Domänen. Im Internet enthält der Namespace eine Stammdomäne und sämtliche Domänen, die unterhalb dieser existieren.
2.2.1
Vollqualifizierte Domänennamen
Zwischen dem oben vorgestellten Organigramm und dem Namespace im Internet existiert eine ganz offensichtliche Parallele, nämlich im Größenverhältnis. Der DNS-Namespace deckt jeden Computer ab, der direkt ans Internet angeschlossen ist (maximal 3.720.314.628), sowie viele andere, die sich hinter Firewalls befinden. Alle von diesem können mehr als einen Namen haben. Obgleich die schiere Anzahl der Hostcomputer, mit denen man sich verbinden könnte, überwältigend ist, genügt tatsächlich allein der Name, um die Verbindung herzustellen. Offensichtlich wäre dies unmöglich, wenn sich alle Listen auf einem einzigen, riesigen Computer im Internet befinden würden. Wie ein Unternehmen Abteilungen in Gruppen unterteilt, so müssen die Namenserver im Internet die Domänennamen in handhabbare Teilstücke organisieren. Betrachten Sie einmal den vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) www.pearson.com. Anhand dieses Namens kann man die Server bestimmen, die an der Verwaltung des Namens beteiligt sind. Einen FQDN eines bestimmten Servers, mit dem Sie sich verbinden möchten, lesen Sie von links
2.2 Grundlagen von DNS
zu der Stammdomäne des Internet nach rechts. Jeder Bestandteil des Namens ist durch einen Punkt getrennt (.). Für die Stammdomäne gibt es noch einen nachlaufenden Punkt, der normalerweise nicht eingegeben wird. Um dieses Beispiel weiterzuführen, können Sie das Unternehmen Pearson noch in verschiedene Abteilungen oder nach geografischen Standorten unterteilen. Danach haben Sie unter Umständen einen Namen wie etwa www.versand.pearson.com und www.produktion.pearson.com.
2.2.2
Bestandteile eines FQDN
Die Bestandteile eines FQDN repräsentieren verschiedene Ebenen in der Namespace-Hierarchie. Beispielsweise teilt uns www.pearson.com mit, dass von der Stammdomäne eine Domäne com ausgeht, in dieser eine Domäne Pearson liegt, und in dieser Domäne ein Server namens www steht. Namensbestandteil
repräsentiert
Ebene
Nachlaufender Punkt (.)
Stammdomäne
Root
com
Domäne com
Toplevel
Pearson
Domäne pearson
Secondlevel
www
Servername bzw. -alias
-
Die Stamm- und Toplevel-Domänen im Internet werden von verschiedenen Körperschaften für das Internet verwaltet. Es gibt nur eine einzige Stammdomäne, die allen Namen als Ausgangspunkt dient und den Ausgangspunkt für den Internet-Namespace darstellt. Es gibt verschiedene Toplevel-Domänen wie etwa .com, .edu und .gov, die ursprünglich nur innerhalb der USA verwendet werden sollten. Dies ist jedoch nicht immer der Fall, denn viele Unternehmen in der Welt haben Domänen wie .com, .org oder .net registrieren lassen. In anderen Ländern als den USA stellt das Länderkürzel wie .de oder .au die Toplevel-Domäne dar. Ab dem Secondlevel beginnt sich die Hierarchie bereits breit zu verteilen. Ab diesem Punkt können Unternehmen, Organisationen oder Einzelpersonen ihre eigenen Namen registrieren lassen. Im vorigen Beispiel wurde Pearson mit der Domäne com registriert. Die Registrierung mit der übergeordneten Domäne, die über Ihnen liegt, ist wichtig, weil anderenfalls der nachfolgend beschriebene Auflösungsprozess (»Einen FQDN auflösen«) nicht funktionieren würde.
55
56
Kapitel 2
DNS für Active Directory konfigurieren
Wenn Sie Ihren Namen registrieren, sind Sie selbst für die Namensauflösung in diesem Teil des Namespace verantwortlich. Aus diesem Grunde müssen Sie ein oder auch mehr DNS-Namenserver bereitstellen. Falls Sie eine Domäne im Internet registrieren, benötigen Sie im Allgemeinen zwei Namenserver. Das dahinter stehende Konzept besagt, dass mindestens einer von diesen ständig verfügbar sein sollte. Nach der Bereitstellung des Servers können Sie die Einträge für Ihre Domäne in einer Zonendatei aufnehmen.
2.2.3
Die Grundlage der Zone
Jeder Server, den Sie im Internet bereitstellen möchten, braucht einen Eintrag in einer Zonendatei. Ein Namenserver ist autoritativ für eine Zone, wenn er die Zonendatei beherbergt, die zur Auflösung der DNS-Anforderungen für diese Zone verwendet wird. Da viele Leute an diesem Punkt eine Parallele zwischen einer Zone und einer Domäne ziehen, kann dies auf den ersten Blick verwirren. In den meisten Fällen besteht jedoch kein Grund zur Sorge, weil beide normalerweise identisch sind. In anderen Fällen jedoch ist es möglich, dass sich eine Organisation dafür entscheidet, den von ihr kontrollierten Namespace weiter aufzuteilen. Wenn Sie beispielsweise bei Pearson.de arbeiten und die Buchproduktion von den elektronischen Veröffentlichungen trennen möchten, könnten Sie eine Unterdomäne namens elektronisch--- erstellen, die diesen Geschäftszweig auslagert. So erhalten Sie eine Hauptdomäne namens pearson.de und eine Unterdomäne namens elektronisch.pearson.de. Diese beiden könnten nun entweder separate Zonendateien darstellen oder sich innerhalb derselben Zonendatei befinden. Sofern sie auf demselben Server lagern, können sie sich in derselben Zonendatei befinden. Falls die Domänen auf separaten Servern liegen, sind sie definitiv zwei getrennte Zonen. In diesem Fall müssen Sie NS-Einträge (NS, Name Server) in die Zone pearson.de aufnehmen, die auf die Namenserver für elektronisch.pearson.de zeigen. Dieser Prozess der Delegierung findet auch in den Namenservern des Internet dann statt, wenn Sie Ihre Domäne registrieren lassen, denn diese enthalten NS-Einträge für Ihre Unterdomäne. Mit den NS-Einträgen wird der Vorgang der Namensauflösung überhaupt erst möglich.
2.2.4
Einen FQDN auflösen
Wenn Sie eine Adresse zum Suchen eingeben, benutzt Ihr Betriebssystem den vorher erwähnten Resolver. Der Resolver befragt Ihren konfigurierten DNS-Server nach der IP-Adresse für den Namen, den Sie eingegeben haben. Falls der lokale DNS-Server eine Zonendatei für die von Ihnen angefragte Zone besitzt (d.h., er ist autoritativ), liefert er Ihnen die Informationen aus dieser Datei zurück.
2.2 Grundlagen von DNS
Solange Sie nur nach Servern innerhalb des Namespace Ihrer Organisation suchen, ist der lokale DNS-Server für die angefragte Domäne nicht autoritativ. Dies hat zur Folge, dass der Server die von Ihnen nachgefragte Adresse außerhalb suchen muss. Zu diesem Zweck nimmt er Verbindung mit anderen DNS-Servern in der Hierarchie auf, um die bestmögliche Antwort auf die Anforderung zu finden. Dabei beginnt er mit dem Stamm und arbeitet sich abwärts, bis er den Server gefunden hat, der für die von Ihnen gesuchte Domäne autoritativ ist. Wenn Sie in einen Browser beispielsweise http://www.pearson.com eingeben, muss der Browser zur Suche nach dieser Adresse einen Resolver verwenden. Zuerst befragt er den lokalen DNS-Server. Kann dieser keine Antwort geben, überprüft der DNS-Server den Server der Stammdomäne. Dieser kennt den vollständigen Pfadnamen zwar nicht, weiß aber, wo sich die Domäne com befindet. Er liefert Ihnen daher die Adresse von einem oder mehreren com-Servern zurück. Ihr lokaler DNS-Server wird nun einen dieser Server nach der von Ihnen eingegebenen Adresse befragen. Auch dieser Server kennt den Standort des Host nicht, weiß aber, wo sich die Domäne pearson.com befindet. Daher wird er die NS-Einträge für diese Domäne zurückliefern. Ihr lokaler DNS-Server durchsucht nun die Namenserver für Pearson.com, die mit der IP-Adresse des Servers www antworten werden. Dies bedeutet, dass Ihr Server endlich die Adresse kennt und sie an den Resolver Ihres Systems zurückgeben kann. Der Resolver auf Ihrem System reicht sie an den Browser weiter, der jetzt die Seite auf dem Webserver eines anderen Unternehmens anzeigen kann. Der gesamte Vorgang wird in der Abbildung 2.2 veranschaulicht. Wie Sie vielleicht bemerkt haben, gibt es tatsächlich zwei Typen von Anforderungen in dieser Darstellung: 씰
Rekursiv. Die Anforderung von Ihrem System zum lokalen DNS-Server ist eine rekursive Anforderung. Rekursive Anforderungen verlangen, dass der Remote-Server entweder eine autoritative Antwort oder eine Meldung »nicht gefunden« zurückliefert.
씰
Iterativ. Andere Anforderungen von Ihrem DNS-Server, die andere DNSServer befragen, sind iterativ. Zur Suche nach einer autoritativen Antwort können mehrere iterative Anforderungen (Iterationen) gesendet werden, von denen jede nach der bestmöglichen Antwort sucht, die andere Server geben können. Der Nachteil dabei ist, dass der Client hierbei mehr belastet wird.
57
58
Kapitel 2
DNS für Active Directory konfigurieren
Abbildung 2.2 DNSRootServer
Schritte bei der Auflösung einer DNSAnforderung
2 interaktive Anforderung
3 empfängt Adresse des .com Server
wiederholte Abfrage
empfängt Adresse von www.erudite.com
DNS Server laden
4 5
empfängt Adresse von erudite.com
8 wie
DNSServer .com
de
rho lte Ab em fra 1 pfä ge vo n n e gt A Rekursive Anforderung d rud r e ite sse www.erudite.com .co m
6
7 Client
DNS Server erudite.com
Die Antworten werden auf dem lokalen Server für einen gewissen Zeitraum zwischengespeichert, der vom Remote-Server festgelegt wird und unter der Bezeichnung TTL (Time To Live, Gültigkeitsdauer) bekannt ist. Dadurch wird es möglich, Ihre nächste Anforderung an http://www.pearson.com aus dem Cache Ihres lokalen DNS-Servers zu beantworten.
2.3
DNS installieren
Sicherlich ist Ihnen nun klar geworden, dass über DNS die Hierarchie des Active Directory realisiert werden kann. Ein arbeitsfähiges Active Directory können Sie somit erst dann installieren, wenn Sie einen betriebsbereiten DNS-Server installiert haben. Normalerweise werden Sie Windows 2000 als Server installieren, und anschließend den DNS-Serverdienst konfigurieren. Erst nachdem dies erledigt ist, können Sie Active Directory installieren. Dieser Teil des Kapitels geht davon aus, dass Sie bereits Erfahrungen mit der Installation von Windows 2000 haben. Es konzentriert sich daher auf die Installation und Konfiguration des DNS-Servers.
2.3 DNS installieren
2.3.1
Voraussetzungen
Vor der Installation des DNS-Servers benötigen Sie einen arbeitsfähigen Windows 2000 Server oder Windows 2000 Advanced Server. Das System muss mit TCP/IP konfiguriert sein, und genug Datenträgerplatz haben, um die zu installierenden Einträge aufnehmen zu können. Vorher sollten Sie, obschon nicht zwingend erforderlich, den Computernamen überprüfen. Hierdurch stellen Sie sicher, dass während der Installation von DNS korrekte Informationen eingegeben werden können. Führen Sie zur Überprüfung des Namens die folgenden Schritte aus:
HINWEIS Autokonfiguration Seit der Finalversion brauchen Sie den DNS-Server nicht mehr vorher zu konfigurieren. Der Installations-Assistent von Active Directory konfiguriert den DNSDienst auf dem Domänencontroller automatisch. Er konfiguriert unter Verwendung von sicheren Aktualisierungen nur die Forward-Lookupzone als Active Directory-integrierte Zone.
SCHRITT FÜR SCHRITT 2.1
Überprüfen Ihres Computernamens
1. Klicken Sie mit der rechten Maustaste auf ARBEITSPLATZ und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 2. Klicken Sie auf die Registerkarte NETZWERKIDENTIFIKATION und überprüfen Sie den vollständigen Computernamen. 3. Klicken Sie ggf. auf EIGENSCHAFTEN und ändern Sie den Namen.
HINWEIS Installation der Netzwerkdienste In NT 4.0 werden die Netzwerkdienste unter Verwendung des Applets Netzwerk in der Systemsteuerung installiert und entfernt. In Windows 2000 werden die Netzwerkdienste als reguläre Systemkomponenten behandelt und daher normal über das Applet Software installiert.
2.3.2
Der Vorgang
Die Schritt-für-Schritt-Anleitung beschreibt den ganzen Vorgang.
59
60
Kapitel 2
DNS für Active Directory konfigurieren
Abbildung 2.3 Der Assistent für Windows-Komponenten
SCHRITT FÜR SCHRITT 2.2
Installation des DNS-Dienstes
1. Wählen Sie im Startmenü EINSTELLUNGEN/SYSTEMSTEUERUNG. 2. Klicken Sie im Fenster SYSTEMSTEUERUNG zweimal auf SOFTWARE. 3. Klicken Sie im Applet SOFTWARE auf WINDOWS-KOMPONENTEN GEN/ENTFERNEN.
HINZUFÜ-
4. Der Assistent für Windows-Komponenten wird angezeigt (siehe Abbildung 2.3). Wählen Sie darin NETZWERKDIENSTE aus und klicken Sie auf die Schaltfläche DETAILS. 5. Wählen Sie darin DNS-SERVER (DOMAIN NAME SYSTEM) aus, und klicken Sie auf OK. 6. Klicken Sie im Assistent für Windows-Komponenten auf WEITER. Geben Sie nach Aufforderung den Pfadnamen Ihrer Installations-CD ein. 7. Im schließlich erscheinenden Abschlussbildschirm des Assistenten für Windows-Komponenten klicken Sie dann auf FERTIG STELLEN. 8. Schließen Sie das Dialogfeld SOFTWARE durch Klicken auf SCHLIESSEN. Danach schließen Sie durch Klicken auf die SCHLIESSEN-Schaltfläche auch die Systemsteuerung.
2.4 Rollen für DNS-Server
Mit diesem Vorgang wird der DNS-Server installiert. Als Nächstes müssen Sie die Reverse- und Forward-Lookupzonen für Ihr Netzwerk erstellen. Danach können Sie dann Active Directory installieren. Forward-Lookups lösen einen Namen in eine IPAdresse auf und Reverse-Lookups tun – Sie haben’s sich schon gedacht – das Gegenteil!
2.4
Rollen für DNS-Server
Da der DNS-Server nun installiert ist, müssen Sie festlegen, welche Rolle er in Ihrem Organisationsschema spielen soll. Die Rolle des Servers hängt von den Zonendateien ab, über die er verfügt. Da ein Server viele verschiedene Zonendateien haben kann, kann er auch unterschiedliche Rollen spielen. Die Hauptrollen, die Sie konfigurieren werden, lauten: 씰
Cache-only Server
씰
Primärer Namensserver
씰
Sekundärer Namensserver
Jede einzelne dieser Rollen wird in den folgenden Abschnitten erläutert. Anschließend folgt der Abschnitt mit dem Titel »DNS und Active Directory integrieren«, der eine gänzlich neue Rolle behandelt: Active Directory-integriert.
2.4.1
Cache-only-Server
Dieser Server ist am einfachsten zu konfigurieren, da Sie hierfür lediglich den DNSServerdienst installieren müssen. Danach haben andere Computer die Möglichkeit, zum Zweck der Namensauflösung für Namen im Internet oder Intranet auf diesen Server zu zeigen. Da dieser Servertyp keine Zonendateien besitzt, muss er für die Auflösung ohnehin andere Server bemühen. Da er die Resultate anschließend zwischenspeichert, ist dieser Servertyp auch als ein Cache-only-Server bekannt. Darüber hinaus kann der Server als ein Forwarder konfiguriert werden; d.h., Ihr lokaler Server kann einen anderen DNS-Server rekursiv zur Auflösung des Namens befragen. Dies ist insbesondere in großen Organisationen sinnvoll, da ein einzelner großer Server die Anfragen auflösen und für mehrere Server zwischenspeichern kann. Die Chance, dass sich eine aufzulösende Adresse bereits im Cache des zentralen Servers befindet, wird damit größer.
61
62
Kapitel 2
2.4.2
DNS für Active Directory konfigurieren
Primärer Namenserver
Ein primärer (bzw. in dieser Version Primär (Standard)) Server verwaltet die Original-Zonendatei. Der DNS-Server von Windows 2000 kann mehrere primäre Zonen beherbergen. Die Informationen einer primären Zone werden normalerweise in der Systemregistrierung gespeichert. Sie befinden sich zu Zwecken einer Standardinstallation außerdem in einer Datei im Verzeichnis c:\winnt\system32\dns. Hierdurch wird es möglich, Zonenübertragungen zwischen Microsoft DNS-Servern und anderen Typen von DNS-Servern durchzuführen. Es gibt zwei Typen von primären Zonen, mit denen Sie umgehen werden: Forward und Reverse. Forward-Lookupzonen lösen, wie Sie weiter oben gesehen haben, einen FQDN oder Hostnamen in eine IP-Adresse auf. Die Reverse-Zone geht umgekehrt vor und löst IP-Adressen in FQDNs auf. Die Konfiguration der beiden wird, beginnend mit Reverse-Zonen, in den folgenden Abschnitten erörtert. Der DNSServer kann für Sie automatisch Reverse-Lookupeinträge erstellen.
2.4.3
Reverse-Loopupzonen
Eines der immer wieder verwirrenden Themen ist die Arbeitsweise einer ReverseLookupzone. In Wirklichkeit ist diese jedoch wie so viele scheinbar komplizierte Themen recht einfach zu verstehen. Als Erstes müssen Sie wissen, dass ForwardLookupzonen Namen von rechts nach links, nämlich beginnend mit der Stammdomäne bis zum Toplevel und Secondlevel, auflösen. Wenn Sie sich eine IP-Adresse anschauen, werden Sie feststellen, dass es dort genau anders herum läuft; d.h., anstelle des ersten Oktetts würde für jeden Host die letzte Zahl verändert werden müssen. Der Vorgang wäre daher derselbe und müsste nur rückwärts bzw. von links nach rechts ablaufen. Wenn Sie möchten, dass der DNS-Server »reverse« arbeitet, müssen Sie zu diesem Zweck erst einmal alle Resolver und Namenserver neu schreiben. Da es draußen schon viele Tausend von ihnen gibt, wäre diese Aufgabe unerfüllbar. Da Sie also den Vorgang selbst nicht umkehren können, müssen Sie eben die Daten umkehren! Nehmen Sie die Zahlen aus der Adresse heraus und kehren Sie sie um – jetzt sucht Ihr Resolver anstelle eines Lookups auf 152.124.25.14 nach 14.25.124.152; wie bei einem FQDN von rechts nach links gelesen. Nachdem Sie so die Reverse-Lookupzone erstellt haben, wird das DNS-Snap-In diese aktualisieren, sobald Sie die Forward-Lookupzonen ändern. Als erste Zone sollten Sie daher diese Reverse-Lookupzone konfigurieren. Die folgende Schrittfür-Schritt-Anleitung erstellt eine Reverse-Lookupzone.
2.4 Rollen für DNS-Server
SCHRITT FÜR SCHRITT 2.3
Reverse-Lookupzone erstellen
1. Als Erstes starten Sie im Startmenü über PROGRAMME/VERWALTUNG/DNS das DNS-Verwaltungsprogramm. 2. Die Microsoft Management Console wird gestartet und lädt das Snap-In DNS (siehe Abbildung 2.4). Abbildung 2.4 Der in der Management Console geladene DNS-Manager
3. Blenden Sie den Server ein, den Sie konfigurieren, und klicken Sie mit der rechten Maustaste auf REVERSE-LOOKUPZONEN. Wählen Sie im Kontextmenü NEUE ZONE aus. Der Assistent zum Erstellen neuer Zonen wird gestartet. 4. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Erstellen neuer Zonen weiterzuschalten. 5. Im nächsten Bildschirm (siehe Abbildung 2.5) können Sie den Typ der Zone, Primär (Standard) oder Sekundär (Standard), festlegen. Weil Active Directory noch nicht installiert ist, ist ACTIVE DIRECTORY-INTEGRIERT grau dargestellt. Da es sich hier um die erste Zone handelt, sollten Sie PRIMÄR (STANDARD) auswählen. Klicken Sie anschließend auf WEITER. 6. Geben Sie den ersten Teil der IP-Adresse ein, die die Zone zur Auflösung IPnach-FQDN verwenden soll. Dies ist entweder die Ihnen von InterNIC zugewiesene Nummer, oder der Teil der Adresse eines privaten Netzwerks, der für alle Hosts gilt. Überprüfen Sie den Dateinamen, den der Assistent erzeugt, und klicken Sie auf WEITER (siehe Abbildung 2.6).
63
64
Kapitel 2
DNS für Active Directory konfigurieren
Abbildung 2.5 Legen Sie den Typ der Zone fest, die Sie erstellen
Abbildung 2.6 Eingabe der IP-Adresse des Netzwerks für die Reverse-Lookupzone
2.4 Rollen für DNS-Server
HINWEIS Datei von einem BIND-Server verwenden Falls Sie diese Datei bereits auf einem anderen Server, gleichgültig welchen Typs, erstellt haben sollten, können Sie sie in das Verzeichnis systemroot\system32\dns kopieren und anschließend im Feld Name der ReverseLookupzone den Zonennamen und im nächsten Bildschirm den Dateinamen eingeben.
7. Als Nächstes müssen Sie einen Dateinamen eingeben. Sofern dies eine neue Zone ist, wird ein Name vorgeschlagen, und Sie können auf WEITER klicken. Andernfalls geben Sie den Zonen-Dateinamen in das Eingabefeld VORHANDENE DATEI VERWENDEN ein, und klicken anschließend auf WEITER (siehe Abbildung 2.7). Abbildung 2.7 Eingabe des Dateinamens
8. Auf der nächsten Bildschirmseite des Assistenten werden Ihre Eingaben bestätigt. Wenn alles in Ordnung ist, klicken Sie auf FERTIG STELLEN. Bei Fehlern gehen Sie zurück und korrigieren diese. Nach dieser Konfiguration können Sie die Forward-Lookupzone konfigurieren. Dafür stehen einige zusätzliche Eigenschaften zur Verfügung, von denen einige von den Informationen in der Forward-Zone abhängig sind. Behandelt werden diese später im Abschnitt »Reverse-Lookupzone konfigurieren«.
65
66
Kapitel 2
DNS für Active Directory konfigurieren
Forward-Lookupzonen Der Vorgang zum Erstellen einer Standard-Forward-Lookupzone ähnelt dem Vorgang zum Erstellen einer Reverse-Lookupzone und wird in der nachstehenden Schritt-für-Schritt-Anleitung behandelt.
SCHRITT FÜR SCHRITT 2.4
Eine Forward-Lookupzone erstellen
1. Als Erstes müssen Sie im Startmenü mit PROGRAMME/VERWALTUNG/DNS das DNS-Verwaltungsprogramm starten. 2. Die Microsoft Management Console wird gestartet und lädt das Snap-In DNS. 3. Blenden Sie den Server ein, den Sie konfigurieren, und klicken Sie mit der rechten Maustaste auf FORWARD-LOOKUPZONEN. Wählen Sie im Kontextmenü NEUE ZONE aus. Der Assistent zum Erstellen neuer Zonen wird gestartet. 4. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Erstellen neuer Zonen weiterzuschalten. 5. Im nächsten Bildschirm können Sie den Typ der Zone, PRIMÄR (STANDARD) oder SEKUNDÄR (STANDARD), festlegen. Weil Active Directory noch nicht installiert ist, ist ACTIVE DIRECTORY-INTEGRIERT grau dargestellt. Da es sich hier um die erste Zone handelt, sollten Sie PRIMÄR (STANDARD) auswählen. 6. Geben Sie im Eingabefeld NAME den Namen der Domäne ein, die Sie erstellen (siehe Abbildung 2.8), und klicken Sie auf WEITER. 7. Geben Sie als Nächstes den Dateinamen der Zone ein. Falls Sie eine Zonendatei von einem anderen Server kopiert haben, geben Sie deren Dateinamen ein (siehe Abbildung 2.9). Klicken Sie anschließend auf WEITER. 8. Im nächsten Bildschirm können Sie Ihre Eingaben überprüfen. Wenn diese korrekt sind, klicken Sie auf FERTIG STELLEN. Anderenfalls gehen Sie mit der Schaltfläche ZURÜCK zurück und korrigieren die Eingaben. Wie Sie selbst gesehen haben, ist die Konfigurierung einer Forward-Lookupzone recht einfach. Wenn Sie diese Arbeit hinter sich gebracht haben, können Sie noch weitere Eigenschaften der Zone einstellen. Anschließend konfigurieren Sie dann die sekundären Server.
2.4 Rollen für DNS-Server
Abbildung 2.8 Eingabe des Domänennamens für eine ForwardLookupzone
Abbildung 2.9 Geben Sie den Zonendateinamen ein
Primäre Zonen konfigurieren Da Sie nun die Zone erstellt haben, die Sie verwenden wollen, sollten Sie die Zonen konfigurieren. Zu diesem Zweck stellen Sie einfach weitere Optionen ein, und fügen ggf. noch einige Hostnamen hinzu.
67
68
Kapitel 2
DNS für Active Directory konfigurieren
Im Allgemeinen ist die Konfiguration der Zone eine simple Angelegenheit. Die folgende Schritt-für-Schritt-Anleitung erläutert die Dialogfelder für die Eigenschaften der Zonen.
SCHRITT FÜR SCHRITT 2.5
Eine Forward-Lookupzone konfigurieren
1. Wählen Sie VERWALTUNG/DNS aus. 2. Blenden Sie den Server mit der Forward- oder Reverse-Zone ein, die konfiguriert werden soll. 3. Blenden Sie den Ordner REVERSE- bzw. FORWARD-LOOKUPZONEN ein. 4. Klicken Sie mit der rechten Maustaste auf der Zone, die Sie konfigurieren möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. Beim Konfigurieren einer primären Zone stehen Ihnen die folgenden Optionen zur Verfügung: Abbildung 2.10 Die Registerkarte ALLGEMEIN für eine Forward-Lookupzone
2.4 Rollen für DNS-Server
Allgemein Die Registerkarte ALLGEMEIN (siehe Abbildung 2.10) ermöglicht die Konfiguration der grundlegenden Informationen zur Zone. Zu den verfügbaren Optionen gehören: 씰
STATUS. Teilt Ihnen den aktuellen Status der Zone mit und ermöglicht Ihnen das Anhalten (durch Klicken auf die Schaltfläche ANHALTEN) oder Starten einer Zone (durch Klicken auf die Schaltfläche STARTEN).
씰
TYP. Hiermit können Sie den Typ der Zone auf primär, sekundär oder Active Directory-integriert umschalten. Die Funktion kann dazu verwendet werden, im Falle eines Ausfalls eines primären Servers die Serverrolle zu ändern. Außerdem steht Ihnen mit dieser Funktion die Möglichkeit zur Verfügung, einen Server zu ändern, der ursprünglich während der Installation als ein Active Directory-integrierter Server verwendet worden ist.
씰
ZONENDATEINAME. Mit dieser Funktion können Sie den Namen der Zonendatei ändern, ohne Daten zu verlieren. Beachten Sie, dass sich die Zoneninformationen eigentlich in der Registrierung befinden, und die Datei von Zeit zu Zeit aus Gründen der Kompatibilität gegenüber sekundären BIND-Servern aktualisiert wird. Eine Aktualisierung erzwingen Sie mit SERVERDATENDATEI AKTUALISIEREN im Kontextmenü.
씰
DYNAMISCHE AKTUALISIERUNG ZULASSEN. Diese neu eingeführte Funktion arbeitet mit DHCP zusammen und ermöglicht dem Client oder DHCP-Server eine dynamische Aktualisierung der DNS-Zone. Eine weitere Erörterung der Funktion finden Sie im Abschnitt » DNS und Active Directory integrieren«.
씰
ALTERUNG. Da sich die Systeme selber registrieren können, werden Sie gelegentlich Einträge finden, die nicht länger gültig sind und von einem Computer stammen, der entfernt wurde oder ein Notebook von einem Besucher des Büros war. Mit ALTERUNG können Sie einstellen, dass das System derartige Einträge, die dynamisch erstellt worden sind, von Zeit zu Zeit überprüft und löscht. Nach Klicken auf die Schaltfläche ALTERUNG stehen Ihnen drei Auswahlmöglichkeiten zur Verfügung: 씰
RESSOURCENEINTRÄGE FÜR VERALTETEN AUFRÄUMVORGANG. Dieses Kontrollkästchen aktiviert bzw. deaktiviert den Aufräumvorgang. Die Alterung und der Aufräumvorgang sind Vorgänge, bei denen alte dynamische Ressourceneinträge entfernt werden, sofern das System seinen Namen nicht registriert hat. Konfiguriert werden kann dies auf der Ebene des Servers oder der Zone.
69
70
Kapitel 2
DNS für Active Directory konfigurieren
씰
KEIN AKTUALISIERUNGSINTERVALL. Dies ist der Zeitraum, innerhalb dessen ein Eintrag als OK gilt. Das Client-System bewahrt den Eintrag für mindestens diesen Zeitraum auf.
씰
AKTUALISIERUNGSINTERVALL. Dies ist der Zeitraum, in dem das ClientSystem seinen Eintrag aktualisieren muss, wenn ein Aktualisierungsintervall abgelaufen ist.
Autoritätsursprung (SOA) Der Eintrag AUTORITÄTSURSPRUNG (SOA) (siehe Abbildung 2.11) wird zur Suche nach dem Server verwendet, der die Autorität für eine Domäne besitzt. Über diese Registerkarte können Sie die normalen DNS-Parameter konfigurieren, die Bestandteile dieses Eintrages sind. Es stehen die folgenden Optionen zur Verfügung: 씰
SERIENNUMMER. Dies ist die Seriennummer der Zonendatei. Sie wird immer dann inkrementiert, wenn die Datei geändert wird. Die sekundären Server vergleichen ihre eigene Seriennummer mit derjenigen des primären Servers und kopieren (AXFR) die Datei, falls sich die Nummern unterscheiden. Sie erzwingen einen Kopiervorgang an einen sekundären Server, indem Sie diese Nummer heraufsetzen. Ein Windows-2000-Server kann außerdem eine inkrementelle Zonenübertragung nutzen, die nur Änderungen überträgt, die seit der letzten Versionsnummer geschehen sind. Hierdurch wird die zu übertragende Datenmenge verringert.
씰
PRIMÄRER SERVER. Dies ist der Name des primären Servers. Dieser Server besitzt die aktualisierbare (Lesen/Schreiben) Version der Zonendatei.
씰
VERANTWORTLICHE PERSON. Dies ist die E-Mail-Adresse der Person, die für die Zone verantwortlich ist. Das Zeichen @ in der Adresse wird durch einen Punkt ersetzt, damit der Eintrag korrekt in der Zonendatei gespeichert werden kann, denn das Zeichen @ bedeutet »diese Zone«.
씰
AKTUALISIERUNGSINTERVALL. Dieser Wert legt fest, wie oft sekundäre mit dem primären Server Kontakt aufzunehmen versuchen, um die Versionsnummer zu verifizieren und die Zone erforderlichenfalls zu übertragen.
씰
WIEDERHOLUNGSINTERVALL. Ein sekundärer Server, der sich nach Ablauf des Aktualisierungsintervalls nicht mit dem primären Server verbinden kann, wiederholt den Versuch im Wiederholungsintervall.
씰
LÄUFT AB NACH. Nach diesem Zeitraum stoppt ein sekundärer Server die Auflösung einer Adresse für eine Zonendatei, die er nicht verifizieren kann.
2.4 Rollen für DNS-Server
Abbildung 2.11 Die Registerkarte AUTORITÄTSURSPRUNG (SOA) für eine ForwardLookupzone
씰
MINIMUM TTL (STANDARD). Diese Einstellung wird während der Namensauflösung an andere Server weitergegeben und teilt diesen mit, wie lange sie den Eintrag zwischenspeichern sollen.
씰
TTL FÜR DIESEN EINTRAG. Den primären Server können Sie jederzeit ändern. Möglich wird dies durch die Aufnahme einer Ablaufzeit in den Eintrag AUTORITÄTSURSPRUNG. Der Server stellt über diesen Eintrag fest, ob er bei Ablauf dieser TTL immer noch der primäre Server ist.
Namenserver Die Registerkarte NAMENSERVER (siehe Abbildung 2.12) führt die Namenserver in dieser Zone auf. Durch die Nennung eines Servers an dieser Stelle wird ein NS-Eintrag für die Zone erstellt. Hier sollte für eine Übereinstimmung mit den Servern gesorgt werden, die in der Domäne eine Ebene weiter oben registriert sind, da diese Domäne diese Einträge zurückliefert, sobald andere Server Anforderungen für Ihre Domäne stellen.
71
72
Kapitel 2
DNS für Active Directory konfigurieren
Abbildung 2.12 In dieser Registerkarte können Sie Namenserver für Ihre Domäne hinzufügen, bearbeiten oder entfernen
WINS In einem Netzwerk nur mit Windows 2000 sollten Sie diesen Eintrag nicht benötigen, da sich alle Ihre Systeme direkt beim DNS-Server registrieren. Falls Sie jedoch noch ältere Windows-Clients unterstützen müssen, bedarf es unter Umständen einer Konfiguration der Registerkarte WINS (siehe Abbildung 2.13). Sie sorgt dafür, dass der Server die IP-Adresse von einem oder mehreren WINS-Servern erhält, die er befragen kann, falls er den von Ihnen gesuchten Namen nicht hat. Der DNS-Server befragt den WINS-Server nach dem Hostnamen, und kann dann zum Erstellen des FQDN den Dateinamen der Zonendatei anhängen. Folgende Auswahlmöglichkeiten stehen auf dieser Registerkarte zur Verfügung: 씰
WINS-FORWARD-LOOKUP bzw. deaktiviert.
VERWENDEN.
Die besagte Funktion wird aktiviert
씰
DIESEN EINTRAG NICHT REPLIZIEREN. Falls das Kontrollkästchen nicht aktiviert ist, wird der WINS-Eintrag nicht in Zonenübertragungen zu konfigurierten sekundären DNS-Servern einbezogen. Alle DNS-Server wissen dann darüber Bescheid und verwenden den WINS-Server. Diese Funktion sollte aktiviert werden, wenn einige der sekundären Server keine Microsoft-Server sind und keine WINS-Ressourceneinträge unterstützen.
2.4 Rollen für DNS-Server
씰
IP-ADRESSE. An dieser Stelle können Sie die IP-Adressen der von Ihnen eingesetzten WINS-Server hinzufügen, entfernen oder anordnen.
씰
ERWEITERT. An dieser Stelle erscheint ein weiteres Dialogfeld mit den folgenden Auswahlmöglichkeiten: 씰
CACHEZEITLIMIT. Diese Einstellung legt während der Auflösung einer Adresse über einen WINS-Server fest, wie lange der DNS-Server den Eintrag im Cache speichert.
씰
LOOKUPZEITLIMIT. Hiermit wird festgelegt, wie lange der DNS-Server auf Antwort vom WINS-Server wartet.
Abbildung 2.13 Die Registerkarte WINS in einer Forward-Lookupzone
Zonenübertragungen Die letzte Registerkarte in der Konfiguration der Forward-Lookupzone ist die Registerkarte ZONENÜBERTRAGUNGEN (siehe Abbildung 2.14). Hier kann eingestellt werden, wie Zonenübertragungen, also Kopiervorgänge von einem primären zu einem sekundären Server, stattfinden sollen. Sie können die Konfiguration auf dem Server mit der primären Zonendatei oder dem Server mit einer sekundären Datei vornehmen. Auf dem sekundären Server werden dadurch andere sekundäre Server mitbetroffen, die ihre Kopie der Zonendatei von diesem bekommen. In dieser Rolle ist der Server der Masterserver.
73
74
Kapitel 2
DNS für Active Directory konfigurieren
Es stehen die folgenden Auswahlmöglichkeiten zur Verfügung: Abbildung 2.14 Die Registerkarte ZONENÜBERTRAGUNGEN für eine Forward-Lookupzone
씰
ZONENÜBERTRAGUNGEN ZULASSEN. Damit können Sie die Funktion zum Übertragen der Zone deaktivieren. In der Regel ist diese jedoch immer aktiviert. Der einzige Grund zum Deaktivieren ist gegeben, wenn umfangreiche Aktualisierungen an der Zone vorgenommen werden sollen, oder wenn Sie nur einen einzigen primären Server haben.
씰
AN JEDEN SERVER. Diese Auswahlmöglichkeit ermöglicht die Übertragung Ihrer Zone an jeden Server, der sie anfordert. Sie sollte vermieden werden, weil sie Hackern Informationen über Ihre Umgebung liefert, die dann zum Einbrechen genutzt werden können.
씰
NUR AN SERVER, DIE IN DER REGISTERKARTE »NAMENSERVER« AUFGEFÜHRT SIND. Diese Auswahlmöglichkeit wird in der Regel aktiv sein, weil sie sicherstellt, dass sämtliche sekundären Server Kopien der Zonendaten abrufen können.
씰
NUR AN FOLGENDE SERVER. In einigen Fällen müssen Sie steuern können, welche Server die Kopie der Zonendatei bekommen sollen. Dies kann der Fall in einer mehrstufigen DNS-Architektur sein, die Sie ggf. in einer Umge-
2.4 Rollen für DNS-Server
bung mit langsamen Netzwerkverbindungen erstellen. Bei Aktivierung dieser Option können Sie die entsprechenden Server im Eingabefeld benennen. 씰
BENACHRICHTIGEN. Diese Schaltfläche startet ein Dialogfeld, in dem Sie festlegen können, welche Server bei Änderung der Zoneninformationen benachrichtigt werden. 씰
AUTOMATISCH BENACHRICHTIGEN. Diese Funktion können Sie ein- oder ausschalten. Das Einschalten kann die Belastung der Netzwerkbandbreite erhöhen, stellt jedoch gleichzeitig sicher, dass die sekundären Server immer aktuell gehalten werden.
씰
SERVER, DIE AUF DER REGISTERKARTE FÜR NAMENSERVER AUFGELISTET SIND. Diese Einstellung sorgt für eine automatische Benachrichtigung aller in der Registerkarte NAMENSERVER aufgeführten Server.
씰
FOLGENDE SERVER. Damit können Sie steuern, welche Server benachrichtigt werden sollen.
Reverse-Lookupzone konfigurieren Die Konfiguration einer Reverse-Lookupzone ist nahezu identisch mit derjenigen einer Forward-Lookupzone. Der einzige Unterschied besteht im Umfang der zur Verfügung stehenden Registerkarten und der zusätzlichen Registerkarte WINS-R. WINS-R Da dies die einzige wirklich unterschiedliche Registerkarte (siehe Abbildung 2.15) ist, wird sie hier als einzige genannt. Der WINS-R-Eintrag zeigt auf die ForwardZonendatei. Der Name dieser Zone wird an die Einträge angehängt, die in ReverseAnforderungen zurückgeliefert werden. Es stehen die folgenden Auswahlmöglichkeiten zur Verfügung: 씰
WINS-R-LOOKUP VERWENDEN. Hiermit wird der WINS-Server für ReverseLookups aktiviert bzw. deaktiviert.
씰
DIESEN EINTRAG NICHT REPLIZIEREN. Dies verhindert, dass der WINS-REintrag an andere DNS-Server repliziert wird. Verwenden Sie diese Auswahlmöglichkeit, wenn sich lokale WINS-Server dort befinden, wo andere DNS-Server stehen.
씰
DOMÄNE, DIE AN DEN ZURÜCKGELIEFERTEN NAMEN ANGEHÄNGT WERDEN SOLL. Hiermit wird der Domänenteil des FQDN eingestellt, der zurückgeliefert wird.
75
76
Kapitel 2
씰
DNS für Active Directory konfigurieren
ERWEITERT. Hiermit wird die Registerkarte ERWEITERT angezeigt. Auf dieser Registerkarte stehen drei verschiedene Auswahlmöglichkeiten zur Verfügung: 씰
CACHEZEITLIMIT. Legt fest, wie lange der Name auf dem DNS-Server zwischengespeichert wird.
씰
LOOKUPZEITLIMIT. Legt fest, wie lange der DNS-Server auf den WINSServer wartet, wenn dieser nicht verfügbar ist.
Abbildung 2.15 Die Registerkarte WINS-R, die von Ihnen lediglich die Eingabe der Forward-Lookupzone erwartet
씰
2.4.4
DNS-DOMÄNE ALS NETBIOS-BEREICH ÜBERMITTELN. Hiermit wird der DNS-Domänenname, der im Feld DOMÄNE, DIE AN DEN ZURÜCKGELIEFERTEN NAMEN ANGEHÄNGT WERDEN SOLL, eingegeben wurde, in der Anforderung an den WINS-Server als der NetBIOS-Bereich angehängt.
Sekundär
Zusätzlich zum primären Server müssen Sie noch einen oder mehrere Server als sekundäre Server konfigurieren. Wie Sie wahrscheinlich schon der Konfigurationsbeschreibung einer Forward-Lookupzone entnehmen konnten, kopiert ein sekundärer Server die Zonendatei eines anderen Servers, der primär oder sekundär sein kann. Im letzteren Fall ist dieser Server gleichzeitig ein Masterserver. Die folgende Schritt-für-Schritt-Anleitung beschreibt die Einrichtung eines sekundären Servers.
2.4 Rollen für DNS-Server
SCHRITT FÜR SCHRITT 2.6
Einen sekundären Server konfigurieren
1. Wählen Sie unter VERWALTUNG DNS aus, und blenden Sie den Server ein, der zum sekundären Server werden soll. 2. Klicken Sie mit der rechten Maustaste auf den Ordner FORWARD- bzw. REVERSE-LOOKUPZONE und wählen Sie NEUE ZONE aus. 3. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Erstellen einer neuen Zone weiterzuschalten. 4. Wählen Sie SEKUNDÄR (STANDARD), aus und klicken Sie auf WEITER. 5. Geben Sie den Namen der Domäne ein, für die Sie eine sekundäre Zone konfigurieren (siehe Abbildung 2.16), und klicken Sie auf WEITER. Abbildung 2.16 Eingabe des Namens der sekundären Zone
6. Geben Sie die IP-Adresse des Masterservers ein, von dem Sie die Zone kopieren (siehe Abbildung 2.17), und klicken Sie auf WEITER. 7. Überprüfen Sie im letzten Bildschirm des Assistenten die eingegebenen Informationen und klicken Sie auf FERTIG STELLEN. Unter Umständen dauert es nun einige Zeit, bis die Zoneninformationen kopiert worden sind.
77
78
Kapitel 2
DNS für Active Directory konfigurieren
Abbildung 2.17 Eingabe der IP-Adresse des Masterservers
2.5
DNS und Active Directory integrieren
Nach der Installation und Konfiguration des DNS-Servers können Sie die letzten Schritte zur Vorbereitung auf die Installation von Active Directory ausführen. Bis zu diesem Punkt sollten Sie die Reverse- und Forward-Lookupzonen für die Struktur Ihres Active Directory erstellt und auf Aktualisierung hin konfiguriert haben. Es gibt verschiedene Möglichkeiten zur Integration von Active-Directory-Zonen in Ihre Organisation. Entschieden werden sollte dies von den Personen, die die Struktur von Active Directory geplant haben. Grundsätzlich stehen drei Verfahren zur Verfügung: 씰
Sie verwenden intern und extern dieselbe Domäne (nutzen Sie z.B. den DNSNamen, den Sie über InterNIC registriert haben, wie etwa MCP.com).
씰
Sie verwenden eine Unterdomäne der externen Domäne (erstellen Sie z.B. aus Ihrer öffentlichen Domäne für Active Directory eine Unterdomäne, wie etwa AD.MCP.com).
씰
Sie verwenden eine interne separate Domäne (benutzen Sie intern z.B. einen anderen Namen wie MCP.local. Da Sie keine Registrierung über InterNIC vornehmen, kann eine beliebige Toplevel-Domäne benutzt werden. Microsoft empfiehlt .local.).
2.5 DNS und Active Directory integrieren
Unabhängig vom Verfahren, welches Sie zur Integration der öffentlichen und privaten Netzwerke wählen, sollten Sie immer als Erstes die Reverse- und ForwardLookupzonen konfigurieren.
2.5.1
Integration von Active Directory konfigurieren
Die Zonen, die Sie zur Verwendung als Active Directory-integrierte Zonen verwenden möchten, müssen Sie auch konfigurieren. Dies ist ein einfacher Vorgang, der auf einem Domänencontroller mit DNS stattfindet und die im Folgenden beschriebenen Schritte beinhaltet.
SCHRITT FÜR SCHRITT 2.7
Eine Zone als Active Directory-integriert konfigurieren
1. Wählen Sie unter VERWALTUNG DNS aus, und blenden Sie den Server ein, der die Domäne verwaltet, bis die Forward- und Reverse-Domäne angezeigt wird. Der Server, der die Domäne verwaltet, muss sowohl ein Domänencontroller als auch ein DNS-Server sein. 2. Klicken Sie mit der rechten Maustaste auf die Domäne. Beachten Sie, dass Sie diese zuerst anklicken müssen, damit sie den Eingabefokus bekommt. Wählen Sie danach EIGENSCHAFTEN aus. 3. Klicken Sie neben TYP auf die Schaltfläche ÄNDERN. 4. Wählen Sie ACTIVE DIRECTORY-INTEGRIERT aus, und klicken Sie auf OK. 5. Klicken Sie zur Bestätigung der Änderung auf OK. Klicken Sie zum Schließen des Dialogfeldes ZONENTYP erneut auf OK. 6. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN auf OK, und schließen Sie ggf. das Snap-In DNS. Vergessen Sie nicht, dass Sie keine Active Directory-integrierte Zone einsetzen müssen, wenn Sie Server verwenden, die nicht mit Microsoft laufen, oder wenn Sie keine Zoneninformationen in Active Directory veröffentlichen möchten. Wenn Sie eine Active Directory-integrierte Zone erstellen, müssen Sie als DNS-Server einen Windows-2000-Domänencontroller einsetzen.
2.5.2
Aktualisierungen zulassen
DNS für Active Directory installieren, konfigurieren und auf Fehler untersuchen 씰
Zonen für dynamische Aktualisierungen konfigurieren
79
80
Kapitel 2
DNS für Active Directory konfigurieren
Dieses Thema ist besonders wichtig, da die Domänencontroller mehrere Einträge erstellen müssen, um von Benutzern gefunden werden zu können. Hierzu gehören Service-, A- bzw. Host- sowie PTR- bzw. Reverse-Lookupeinträge. Alle diese Zonen in Active Directory müssen Sie so konfigurieren, dass sie Aktualisierungen zulassen, damit die Server und Clients ihre eigenen Einträge bearbeiten können. Erledigt wird dies über die Registerkarte ALLGEMEIN der Zoneneigenschaften, die Sie bereits im Abschnitt »Primäre Zonen konfigurieren« kennen gelernt haben. Bei Standardzonen haben Sie die Auswahl unter JA oder NEIN. Ja lässt Aktualisierungen zu, während NEIN keine Aktualisierungen erlaubt. Falls es sich beim Typ der Zone um Active Directory-integriert handelt, verfügen Sie außerdem noch über die Option NUR GESICHERTE AKTUALISIERUNGEN. Ist eine Zone in Active Directory integriert, werden die Zoneninformationen in Active Directory verschoben, sodass Sie dort Berechtigungen vergeben können. Bei Aktivierung von NUR GESICHERTE AKTUALISIERUNGEN sind Computer mit Computerkonten in der Gesamtstruktur, in der sich der DNS-Server befindet, zum Registrieren eines Computers in der Lage.
2.5.3
Der Aktualisierungsprozess
Der Aktualisierungsprozess kann entweder vom Client oder vom DHCP-Server (DHCP, Dynamic Host Configuration Protocol) angestoßen werden. Wenn der Client dynamisches DNS kennt (wie Windows 2000), dann führt er die Aktualisierung durch. Anderenfalls müssen Sie den DHCP-Server zur Verarbeitung von Aktualisierungen konfigurieren.
HINWEIS Ein DHCP-Server ist jeder Server, auf dem ein DHCP-Dienst bzw. -Dämon läuft. Ein solcher Dienst versorgt Clients mit einer IP-Adresse und einer Subnetzmaske. Darüber hinaus können in Abhängigkeit vom Typ des Clients, der die Adresse anfordert, weitere Konfigurationsoptionen gesendet werden.
Clients mit Windows 2000 aktualisieren standardmäßig die Informationen auf dem DNS-Server. In den folgenden Fällen nimmt der Client eine Änderung dieser Informationen auf dem DNS-Server vor: 씰
Es gibt Änderungen an ein oder mehr lokalen IP-Adressen.
씰
Die vom DHCP-Server geleaste IP-Adresse wird routinemäßig oder als Ergebnis eines vom Benutzer ausgelösten IPCONFIG/RENEW-Befehls aufgefrischt bzw. geändert.
씰
Ein Benutzer im System erzwingt die Aktualisierung über IPCONFIG/ REGISTERDNS.
2.5 DNS und Active Directory integrieren
씰
Das System, bzw. in manchen Fällen ein Dienst, startet neu.
씰
Der Computername wird geändert.
씰
Alle 24 Stunden werden Aktualisierungen von Windows-2000-Clients gesendet.
In allen diesen Fällen muss das System die Informationen aktualisieren. Der Aktualisierungsprozess führt die folgenden Schritte aus: 1. Der DHCP-Client sendet eine SOA-Anforderung für den Domänennamen, mit dem er registriert ist. Diese Anforderung wird dann dazu verwendet, einen Server zu suchen, auf dem die Aktualisierung verarbeitet werden kann. 2. Ein autoritativer Server antwortet auf die Anforderung mit der Adresse des primären Servers, der die primäre Zonendatei besitzt. Im Falle einer Active Directory-integrierten Zone ist jeder DNS-Server zur Ausführung der Aktualisierung in der Lage, da die Informationen als Teil von Active Directory gespeichert sind. 3. Der Client versucht zur Ausführung der Aktualisierung mit dem Server Kontakt aufzunehmen. Schlägt die Aktualisierung fehl, fordert der Client die NSEinträge für die Domäne an. Der Client befragt anschließend den ersten Namenserver nach einem SOA-Eintrag und wendet sich dann an den in diesem Eintrag aufgeführten Server. 4. Der Client sendet schließlich die Aktualisierung. Der Server versucht nun die Aktualisierung zu verarbeiten. Als Erstes muss er sicherstellen, dass Aktualisierungen überhaupt zugelassen sind. Ist der Server Active Directory-integriert, wird er außerdem überprüfen, ob der die Aktualisierung ausführende Computer die hierfür erforderlichen Berechtigungen besitzt.
2.5.4
Änderungen in Zonen, die für Active Directory verwendet werden
Im DNS passieren verschiedene wichtige Dinge, sobald Sie mit Active Directory arbeiten. Einige dieser Änderungen finden in Active Directory-integrierten Zonen statt, während andere wegen Windows 2000 notwendig werden. Dieser Abschnitt behandelt Änderungen mit besonderer Berücksichtigung der folgenden Punkte: 씰
Alle Domänencontroller mit DNS in Active Directory-integrierten Zonen sind in der Lage, dynamische Registrierungen zu übernehmen.
씰
Der Netlogon-Dienst registriert sich bei dem oder den DNS-Servern, damit den Benutzern Dienste zur Verfügung stehen.
81
82
Kapitel 2
DNS für Active Directory konfigurieren
씰
Sie können Sicherheitsmechanismen auf DNS-Aktualisierungen anwenden.
씰
Die Zoneninformationen werden Bestandteil von Active Directory und unter Verwendung der AD-Replikation repliziert.
Der Netlogon-Dienst registriert weitere Namen für einen Domänencontroller, die es den Benutzern ermöglichen, LDAP-Server (LDAP, Lightweight Directory Access Protocol) zu suchen. Hierdurch erhalten die Benutzer wiederum die Gelegenheit, nach Anmeldeservern oder anderen Objekten in Active Directory zu suchen. Die vom Netlogon-Dienst registrierten Einträge werden auf dem Domänencontroller standardmäßig im Verzeichnis c:\winnt\system32\config in einer Datei namens NETLOGON.DNS gespeichert. Die Datei enthält Einträge zum Registrieren des Serverdienstes, wie etwa LDAP, Kerberos und den Dienst für den globalen Katalog. Sie hat etwa den folgenden Inhalt: mydom.local.600 IN A 10.10.10.200 _ldap._tcp.mydom.local.600 IN SRV 0 100 389 comp.mydom.local. _ldap._tcp.pdc._msdcs.mydom.local.600 IN SRV 0 100 389 comp.mydom.local. _ldap._tcp.gc._msdcs.mydom.local.600 IN SRV 0 100 3268 comp.mydom.local. _ldap._tcp.a3c99adb-f3fe-4a88-8ea87fc4945be8d6.domains._msdcs.mydom.local.600 IN SRV 0 100 389 comp.mydom.local. gc._msdcs.mydom.local.600 IN A 10.10.10.200 2b8e8e62-6f26-4d89-ab0e-29ce9cec8458._msdcs.mydom.local. 600 IN CNAME comp.mydom.local. _kerberos._tcp.dc._msdcs.mydom.local.600 IN SRV 0 100 88 comp.mydom.local. _ldap._tcp.dc._msdcs.mydom.local.600 IN SRV 0 100 389 comp.mydom.local. _kerberos._tcp.mydom.local.600 IN SRV 0 100 88 comp.mydom.local. _gc._tcp.mydom.local.600 IN SRV 0 100 3268 comp.mydom.local. _kerberos._udp.mydom.local.600 IN SRV 0 100 88 comp.mydom.local. _kpasswd._tcp.mydom.local.600 IN SRV 0 100 464 comp.mydom.local. _kpasswd._udp.mydom.local.600 IN SRV 0 100 464 comp.mydom.local.
2.5 DNS und Active Directory integrieren
_ldap._tcp.Default-First-Site-Name._sites.mydom.local.600 IN SRV 0 100 389 comp.mydom.local. _ldap._tcp.Default-First-SiteName._sites.gc._msdcs.mydom.local.600 IN SRV 0 100 3268 comp.mydom.local. _kerberos._tcp.Default-First-SiteName._sites.dc._msdcs.mydom.local.600 IN SRV 0 100 88 comp.mydom.local. _ldap._tcp.Default-First-SiteName._sites.dc._msdcs.mydom.local.600 IN SRV 0 100 389 comp.mydom.local. _kerberos._tcp.Default-First-Site-Name._sites.mydom.local. 600 IN SRV 0 100 88 comp.mydom.local. _gc._tcp.Default-First-Site-Name._sites.mydom.local.600 IN SRV 0 100 3268 comp.mydom.local.
In jeder Zeile der Datei wird ein anderer Dienst beim DNS-Server registriert. Das Format dieser Zeilen lautet folgendermaßen: service.protocol.name ttl class SRV preference weight port target
Der erste Teil service.protocol.name informiert den DNS-Server darüber, welcher Dienst registriert und welches Transportprotokoll dazu verwendet wird. An Transportprotokollen stehen lediglich TCP oder UDP zur Verfügung. Mit TTL ist die Gültigkeitsdauer gemeint, also die Zeitdauer für die Clients zum Zwischenspeichern dieses Eintrags. Class ist immer auf IN eingestellt und bedeutet, dass es sich hier um einen Internet-Eintrag handelt. Darauf folgt SRV, was dem DNS-Server anzeigt, dass es sich hier um einen Dienst-Locatoreintrag handelt. Sobald mehrere Server denselben Dienst anbieten, zeigt der Wert preference an, welcher bzw. welche Einträge bei einer Anforderung an diesen Dienst als erste zurückgeliefert werden sollen. Niedrige Werte kommen zuerst an der Reihe. Haben mehrere Server denselben preference-Eintrag, wird der zu bevorzugende Server mit weight bestimmt. port legt fest, an welchem Port sich der Dienst befindet. Diese Informationen werden an den Client weitergegeben, sodass auch NichtstandardPorts verwendet werden können. target schließlich gibt entweder eine IP-Adresse oder einen Hostnamen an. Im Moment ist es nicht wichtig, welche speziellen Einträge registriert werden. Bis zu diesem Punkt müssen Sie lediglich wissen, dass die Datei existiert und zur Registrierung von Netzwerkdiensten verwendet wird.
83
84
Kapitel 2
DNS für Active Directory konfigurieren
Alle anderen Änderungen betreffen Active Directory-integrierte Zonen, die aktuell werden, weil die Einträge nun Bestandteil von Active Directory geworden sind. Die Einträge werden in Active Directory als Objekte behandelt und können daher mit Sicherheitsmechanismen ausgestattet sein, was sichere Aktualisierungen ermöglicht. Weiterhin bedeutet dies, dass die Aktualisierungen auf jedem DNS-Server ausgeführt werden können, der mit dieser Zone zu tun hat, da Active Directory Multimaster-Replikationen einsetzt.
2.6
Zoneninformationen übertragen
Verwaltung, Überwachung und Fehlerbeseitigung im DNS 씰
Replikation der DNS-Daten verwalten
Ihre Zone muss immer zwischen den DNS-Servern repliziert werden, ob sie nun integriert ist oder nicht. In den nächsten Abschnitten wird beschrieben, wie dies erledigt wird.
2.6.1
In der Standardumgebung
Wenn Sie Zonenübertragungen in der Standard-DNS-Umgebung konfigurieren, erstellen Sie einfach nur einen sekundären Server. Einen weiteren DNS-Server konfigurieren Sie zu dem Zweck, die Zonendatei vom primären oder einem anderen sekundären Server zu kopieren. Die Zonenübertragung benutzt die im SOA-Eintrag definierten Parameter für die Zone (weiter oben im Abschnitt »Primäre Zonen konfigurieren« erörtert). Um einen DNS-Server als einen sekundären Server für eine existierende Zone zu konfigurieren, müssen Sie die folgenden Schritte ausführen:
SCHRITT FÜR SCHRITT 2.8
Einen sekundären Server konfigurieren
1. Wählen Sie unter VERWALTUNG DNS aus, und blenden Sie den Server ein, der zum sekundären Server werden soll. 2. Blenden Sie die Informationen zum Server und den Forward- bzw. ReverseLookupzonen ein. 3. Klicken Sie mit der rechten Maustaste wahlweise auf FORWARD-LOOKUPZONE bzw. REVERSE-LOOKUPZONE, und wählen Sie dann NEUE ZONE aus. 4. Klicken Sie auf WEITER, um vom Begrüßungsbildschirm des Assistenten zum Erstellen einer neuen Zone weiterzuschalten.
2.6 Zoneninformationen übertragen
5. Wählen Sie im nächsten Bildschirm SEKUNDÄR (STANDARD) aus, und klicken Sie auf WEITER. 6. Geben Sie den Namen der Domäne ein, und klicken Sie auf WEITER. 7. Geben Sie die IP-Adresse des Masterservers ein (des primären oder sekundären Servers, der bereits läuft). Sie haben die Möglichkeit, mehr als einen Server einzugeben. Der DNS-Dienst probiert diese der Reihe nach aus, falls er keine Verbindung mit dem ersten Server herstellen kann. Klicken Sie danach auf WEITER. 8. Klicken Sie auf FERTIG STELLEN, um die Einrichtung abzuschließen.
HINWEIS Geduld Unter Umständen dauert es nun einige Zeit, bis die Zoneninformationen kopiert worden sind.
Nach Abschluss der Konfiguration werden die Zoneninformationen jetzt in Übereinstimmung mit den Daten, die Sie im SOA-Eintrag hinterlegt haben, oder als Ergebnis einer von Ihnen selbst erzwungenen Übertragung übertragen. Zwei Arten von Übertragungen sind möglich: vollständige und inkrementelle. Während der anfänglichen Replikation der Zonendatei findet eine vollständige (AXFR) Zonenübertragung statt. Unterstützen jedoch sowohl der primäre als auch der sekundäre Server inkrementelle (IXFR) Zonenübertragungen, werden bei nachfolgenden Übertragungen nur noch Änderungen übertragen. Die inkrementelle Zonenübertragung benutzt zur Überwachung von Änderungen die Seriennummer der Zonendatei. Die Serienummern werden verglichen, sobald ein sekundärer Server den IXFR anfordert. Sind sie gleich, findet keine Zonenübertragung statt. Unterscheiden sie sich, sendet der primäre DNS-Server die Änderungen, die seit der letzten Zonenübertragung stattgefunden haben, an den sekundären Server. Die zu übertragenden Einträge legt er durch den Vergleich seiner Seriennummer im SOA-Ressourceneintrag mit derjenigen im SOA-Ressourceneintrag des sekundären DNS-Servers fest. Alle Ressourceneinträge, die zwischen beiden Seriennummern hinzugefügt oder geändert worden sind, werden zur sekundären Zone übertragen. Hierdurch wird zwar der Netzwerkverkehr reduziert, jedoch gleichzeitig der Overhead auf dem DNS-Server vermehrt, der die Änderungen überwachen muss.
2.6.2
In der Umgebung von Active Directory
Während der Erörterung der Active Directory-integrierten Zone werden Sie bemerkt haben, dass die Server nicht länger primär oder sekundär bleiben, sondern
85
86
Kapitel 2
DNS für Active Directory konfigurieren
einfach integrierte Server werden. Der Grund liegt darin, dass die erforderlichen Informationen aus Active Directory geladen werden. Es ist Active Directory, welches die Replikation kontrolliert. Anstelle von Zonenübertragungen fordern die DNS-Server alle 15 Minuten Aktualisierungen von Active Directory an (wird in den Zoneneigenschaften eingestellt). Aus diesem Grunde sind auch alle Domänencontroller einer Active Directory-integrierten Zone mit DNS in der Lage, Aktualisierungen zu übernehmen, da sie über eine aktualisierbare Kopie der Zone verfügen. Sie sollten sich darüber im Klaren sein, dass die Zonendaten innerhalb der Domäne gespeichert werden, in der sich auch die DNS-Server befinden. Das dabei auftauchende Problem besteht darin, dass Daten der Active Directory-integrierten Zonen über die Replikation des Active Directory nur innerhalb einer einzigen Zone repliziert werden können. Sie können daher auch nur eine einzige Domäne zur Verwendung Active Directory-integrierter Zonen konfigurieren. Alle anderen Domänen benötigen sekundäre DNS-Server gegenüber der Active Directory-integrierten Zone.
2.6.3
In einer gemischten Umgebung
Installation, Konfiguration und Fehlerbehebung von DNS für Active Directory 씰
Active-Directory-DNS-Zonen mit anderen DNS-Zonen integrieren
Die Welt ist nicht perfekt, was auch langweilig wäre! Aus eben diesem Grunde haben Sie auch die Möglichkeit, DNS-Server, die Active Directory-integrierte Zonen verwalten, und andere DNS-Server anderer Umgebungen zu integrieren. Microsoft hat bedeutende Zeit und Mühe darauf verwandt, hierfür die RFC-Kompatibilität zu gewährleisten. Dies bedeutet, dass ein Microsoft-DNS-Server in der Lage sein sollte, mit sämtlichen anderen Typen von DNS-Servern am Markt zusammenzuarbeiten. Hauptsächlich werden dies die BIND-Systeme (BIND, Berkeley Internet Name Domain) sein. Diese Art Server kann sich so verhalten, als wäre sie sekundär gegenüber Active Directory-integrierten Servern. Finden Übertragungen zwischen zwei DNS-Servern auf zwei Servern mit Windows 2000 statt, werden die übertragenen Daten komprimiert, was normalerweise zu einem Abbruch der Übertragung zu einem Server ohne Windows 2000 führt. Diese Option kann daher über das Snap-In für DNS abgeschaltet werden, und wird in der Schritt-für-Schritt-Anleitung 2.9 erläutert.
2.7 Fehlerbehebung im DNS
HINWEIS BIND-Versionen Die Abschaltung der Kompression ist nur bei der BIND-Version 4.9.4 und davor erforderlich. Dies dürfte für Sie jedoch kein Thema sein, da Sie zur Unterstützung der SRV-Ressourceneinträge mindestens 4.9.6, und für die vollständige Kompatibilität zur dynamischen Aktualisierung 8.1.2 brauchen.
SCHRITT FÜR SCHRITT 2.9
Windows 2000 DNS für ältere sekundäre BIND-Server konfigurieren
1. Wählen Sie in VERWALTUNG DNS aus, und klicken Sie mit der rechten Maustaste auf den Server. 2. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Vergewissern Sie sich, dass auf der Registerkarte ERWEITERT die Option SEKUNDÄRE ZONEN AUF BIND-SERVERN aktiviert ist. 4. Schließen Sie das Dialogfeld EIGENSCHAFTEN. Auch wenn diese Option korrekt eingestellt ist, kann es immer noch Probleme geben, falls der Server, der die Einträge empfängt, diese nicht richtig versteht. Unterstützt der Server beispielsweise keine SRV-Einträge, können diese Einträge fehlerhaft verarbeitet werden, und die Übertragung misslingen lassen.
2.7
Fehlerbehebung im DNS
Da der DNS-Dienst Voraussetzung für den Betrieb von Active Directory ist, müssen Sie auch wissen, wie Sie Fehler finden und beseitigen. Zusätzlich zum Snap-In DNS gibt es noch verschiedene Programme, die Sie bei der Fehlerbehebung im DNS verwenden können. Sie werden in den folgenden Abschnitten näher untersucht.
2.7.1
Dynamische Einträge können nicht erstellt werden
Falls Sie keine dynamischen Einträge auf dem Server erstellen können, gibt es einige ziemlich simple Dinge, die Sie überprüfen können, und die im Folgenden erörtert werden.
87
88
Kapitel 2
DNS für Active Directory konfigurieren
Sicherheit Als Erstes sollten Sie überprüfen, ob der Computer überhaupt berechtigt ist, dem DNS-Server dynamisch Einträge hinzuzufügen. Dies stellen Sie über die Zoneneigenschaften auf der Registerkarte SICHERHEIT fest. Die wichtigsten Einstellungen hier sind AUTHENTIFIZIERTE BENUTZER und JEDER. Authentifizierte Benutzer sollten untergeordnete Objekte erstellen dürfen, was sich für Sie vielleicht merkwürdig anhört, da der Benutzer sich erst einige Zeit nach dem Start des Computers anmeldet. Denken Sie jedoch daran, dass auch Computer über Konten verfügen, und daher auch Teil der Gruppe AUTHENTIFIZIERTE BENUTZER sind. Es ist das Computerkonto, welches zur Aktualisierung der Informationen benutzt wird. Die Gruppe JEDER sollte über die Berechtigungen zum Lesen verfügen, damit die Benutzer in der Lage sind, Anforderungen an DNS-Server zu senden. Falscher DNS-Server Überprüfen Sie die DNS-Konfiguration und stellen Sie sicher, dass der Client auf einen DNS-Server zeigt, der dynamische Aktualisierungen unterstützt oder ein sekundärer Server ist, der auf einen solchen zeigt. Stellen Sie weiterhin sicher, dass der Domänenname richtig eingegeben wurde und mit einer Domäne auf dem Server übereinstimmt, bei dem Sie sich registrieren wollen.
2.7.2
Das Snap-In DNS
Das Snap-In DNS stellt grundlegende Möglichkeiten zum Test des DNS-Dienstes und zur Protokollierung zur Verfügung. Öffnen Sie zum Anzeigen der entsprechenden Optionen im DNS-Manager die Servereigenschaften. Hier gibt es zwei Registerkarten, die bei der Fehlersuche im DNS nützlich sein können: PROTOKOLLIERUNG und ÜBERWACHEN. Protokollierung In der Registerkarte PROTOKOLLIERUNG können Sie Protokollierungsoptionen einschalten, mit denen Sie die Aktivitäten des DNS-Servers verfolgen. Sie haben die Möglichkeit, die folgenden verschiedenen Dinge zu protokollieren: 씰
ABFRAGEN. Hiermit werden vom Server empfangene Anforderungen protokolliert.
씰
BENACHRICHTIGEN. Hiermit werden Benachrichtigungen protokolliert, die der Server von anderen DNS-Servern empfängt.
씰
AKTUALISIEREN. Protokolliert die von Clients empfangenen dynamischen Aktualisierungsanforderungen.
2.7 Fehlerbehebung im DNS
씰
FRAGEN. Protokolliert Informationsbestandteile der an den Server gesendeten Std. Query packets.
씰
ANTWORTEN. Diese Option protokolliert Informationsbestandteile der vom Server zurückgelieferten Std. Query response packets.
씰
SENDEN. Protokolliert die Anzahl der iterativen Anforderungen, die vom Server gesendet worden sind.
씰
EMPFANGEN. Protokolliert die Anzahl der iterativen Anforderungen, die vom Server empfangen worden sind.
씰
UDP. Protokolliert die Anzahl von Anforderungen, die unter Verwendung des Protokolls UDP (User Datagram Protocol) empfangen worden sind.
씰
TCP. Protokolliert die Anzahl von Anforderungen, die unter Verwendung des Protokolls TCP (Transmission Control Protocol) empfangen worden sind.
씰
VOLLSTÄNDIGE PAKTE. Protokolliert die Anzahl der vollständigen Pakete, die vom Server gesendet oder empfangen worden sind.
씰
PROTOKOLLIERUNG FORTSETZEN. Protokolliert die Anzahl der Einträge, die vom DNS-Server in die Zonendatei geschrieben worden sind.
Die Protokolldateien werden standardmäßig im Verzeichnis c:\winnt\system32\ dns abgelegt. Mit diesen Dateien können Sie überprüfen, was der Dienst mit den Anforderungen, die er empfängt, anstellt. Überwachen Über die Registerkarte ÜBERWACHEN können Sie den DNS-Server testen, um sicherzustellen, dass er korrekt arbeitet. Sie können den Testtyp (einfach oder rekursiv) festlegen, und anschließend entweder mit der Schaltfläche JETZT TESTEN den Test sofort starten oder später ausführen lassen.
2.7.3
Nslookup verwenden
Der Befehl Nslookup ist ein ziemlich komplexer Befehl, der sowohl über die Befehlszeile als auch über eine interaktive Schnittstelle ausgeführt werden kann. Zum Zweck eines schnellen Tests genügt es, mit der Befehlszeilenversion zu arbeiten. Es gibt zwei Haupttypen von Anforderungen, die Sie unter Verwendung von Nslookup senden werden: Forward- und Reverseanforderungen.
89
90
Kapitel 2
DNS für Active Directory konfigurieren
In der Regel werden Sie eine grundlegende Forward-Lookupanforderung senden, in der Sie den Namen von einem Client aufzulösen versuchen. So können Sie überprüfen, ob der DNS-Server den Client findet. Auf die Anforderung kann es verschiedene Antworten geben: 씰
Der Host wurde gefunden, aber es wurden Zeitüberschreitungsfehler erzeugt. Dies ist normal, wenn die Reverse-Lookupzone keinen Eintrag für den DNSServer besitzt, oder wenn es überhaupt keine Reverse-Lookupzone gibt.
씰
Der vollständige FQDN des Host wurde aufgelöst, jedoch nicht der Name allein. Dies ist in der Regel das Ergebnis einer fehlerhaften Konfiguration auf dem Client. Stellen Sie sicher, dass die DNS-Einstellung hinsichtlich des Domänennamens korrekt ist.
Die Anforderung, die an den DNS-Server cyclops.scrimtech.com gesendet wird, lautet grundsätzlich etwa folgendermaßen: C:\>nslookup behemoth.scrimtech.local Server:cyclops.scrimtech.com Address:24.142.192.45 Name:behemoth.scrimtech.local Addresses:10.10.10.200,24.112.93.248
Der andere Typ einer Anforderungen ist die Reverse-Anforderung, die hilfreich sein kann, wenn Sie einen Host nicht finden können, von dem Sie wissen, dass er existiert. Durch die Anfrage nach der IP-Adresse dieses bekannten Host sind Sie in der Lage, den mit dem Host verknüpften Namen zu ermitteln, wie das folgende Beispiel zeigt: C:\>nslookup 207.236.145.38 Server:cyclops.scrimtech.com Address:24.142.192.45 Name:virgile.hq.newroma.com Address:207.236.145.38
2.7.4
IPCONFIG verwenden
Seit NT 4.0 wurde der Befehl IPCONFIG überarbeitet und enthält jetzt drei neue Schalter, die die Interaktion mit DNS betreffen. Diese Schalter wie auch /ALL sind insbesondere dann nützlich, wenn Sie mit der Fehlersuche im DNS beschäftigt sind. 씰
/ALL. Liefert Ihnen Informationen über die Konfiguration aller Netzwerkverbindungen auf Ihrem Computer einschließlich des von jeder Netzwerkkarte verwendeten DNS-Servers.
Fallstudie: DNS für Sonnenschein-Brauerei implementieren
/FLUSHDNS. Löscht die zwischengespeicherten Informationen, die Sie von den
씰
DNS-Servern empfangen haben. Diesen Schalter können Sie dazu benutzen, die Arbeitsstation zu einem erneuten Einlesen der Informationen vom DNSServer zu zwingen. /REGISTERDNS. Aktualisiert Ihre aktuellen DHCP-Leases und registriert darü-
씰
ber hinaus alle dynamischen Einträge neu, die Sie auf dem DNS-Server erstellt haben. /DISPLAYDNS. Zeigt die Einträge vom DNS-Server an, die sich aktuell im Ca-
씰
che befinden. Damit können Sie überprüfen, ob der DNS-Server die richtigen Informationen liefert.
2.7.5
Netlogon starten und stoppen
Wie Sie sich vielleicht noch von der Überprüfung der Datei Netlogon.dns im Abschnitt »Änderungen in Zonen, die für Active Directory verwendet werden« her erinnern, gibt es zahlreiche Einträge, die der Netlogon-Dienst dem DNS-Server dynamisch hinzufügt. Solche Informationen können Sie rasch durch Starten und Stoppen des Netlogon-Dienstes neu registrieren.
Fallstudie: DNS für Sonnenschein-Brauerei implementieren Das Wichtigste im Überblick Bei Betrachtung der zugrunde liegenden Probleme erkennen Sie bald einige wenige Schlüsselfragen. Die folgenden Punkte benennen die wichtigsten der Schlüsselfragen: 씰
Es gibt einige Standorte mit langsamen Verbindungen.
씰
Bei den Standorten, an denen Notebooks von den Benutzern der Geschäftsleitung und dem Vertrieb eingesetzt werden, werden IP-Adressen verschoben und geändert.
씰
Es gibt fünf Domänen, bei denen Sie für eine Auflösung sorgen müssen.
씰
Es muss auch für eine Auflösung von externen Adressen gesorgt werden.
씰
Die Serveradressen tendieren dazu, statisch zu bleiben.
씰
Einige der Systeme im Netzwerk sind UNIX-Systeme und werden keine Clients von Active Directory.
91
92
Kapitel 2
DNS für Active Directory konfigurieren
씰
Einige der internen Anwendungen sind weborientiert und müssen von Ihnen ins DNS aufgenommen werden.
씰
Sie müssen für eine dynamische Registrierung von Computern sorgen.
씰
Sie müssen für eine Kontrolle der Replikation sorgen.
Situationsbeschreibung Sie haben in diesem Kapitel erfahren, wie DNS arbeitet und in Windows 2000 Active Directory eingesetzt wird. Da Sie also jetzt über Hintergrundwissen über dieses Thema verfügen, wird es Zeit, das Gelernte auf die Praxis anzuwenden. Die Fallstudie wird Ihnen zeigen, wie DNS in der Sonnenschein-Brauerei konfiguriert wird. Bevor Sie Active Directory installieren und Ihren ersten Benutzer erstellen können, müssen Sie sicher sein, dass Sie über eine betriebsbereite DNS-Struktur verfügen. Wie Sie sich vielleicht noch aus der Fallstudie des Kapitels 1 erinnern, haben die Netzwerkdesigner die Organisation so aufgeteilt, dass sich aus dieser Art der Aufteilung fünf verschiedene Domänen ergeben. Jetzt müssen Sie an die praktische Seite des Designs herangehen und schauen, wie Sie eine Namensauflösung über alle Domänen und Standorte hinweg, aus denen die Sonnenschein-Brauerei besteht, gewährleisten.
Situationsanalyse Die beste Wahl in diesem Fall ist eine Active Directory-integrierte Zone für die Stammdomäne. Die anderen Domänen werden untergeordnete Domänen dieser Domäne. Ganz offensichtlich müssen Sie eine Domäne erstellen, die von Active Directory genutzt werden kann. In diesem Fall werden die Windows-2000-DNS-Server, die gleichzeitig Domänencontroller sind, DNS bearbeiten. Der erste Server wird installiert und DNS auf diesem Server geladen. Dieser Server wird gleichzeitig der Server sein, den Sie als Ersten in Ihrer Struktur installieren. Nachdem Sie Active Directory installiert haben, werden Sie die Zone in eine Active Directory-integrierte Zone umwandeln und dafür sorgen, dass auf allen Domänencontrollern für die Stammdomäne DNS installiert wird.
Zusammenfassung
Dies erfordert, dass Sie einen Domänencontroller für die Stammdomäne an jedem Standort installieren. Auf der Plusseite befindet sich jedoch die Tatsache, dass eine Active Directory-integrierte Domäne eine Multimaster-Replikation verwendet. Dies bedeutet, dass ein Benutzer, der sich beispielsweise in das Büro in Viktoria einwählt, nicht bei einem Server in Ottawa, sondern beim DNS-Server in Viktoria registriert wird. Außerdem werden Sie in der Lage sein, die Replikation unter Verwendung derselben Standortverknüpfungen kontrollieren zu können, die auch zur Kontrolle aller anderen Replikationsformen erstellt worden sind. Da die einzigen Adressen, die sich ändern werden, nur diejenigen der Notebook-Benutzer sein werden, wird die nicht unverzüglich stattfindende Replikation kein ernstes Problem darstellen. Indem Sie die Zone mit einem größeren Aktualisierungsintervall konfigurieren, werden angemeldete Notebook-Benutzer wahrscheinlich schon wieder verschwunden sein, bevor ihre Einträge überhaupt repliziert werden können. Die Anforderungen an die UNIX-Server und die weborientierten Netzwerkanwendungen werden berücksichtigt, weil Sie einer Active Directory-integrierten Zone andere Einträge hinzufügen können. Übrig bleibt nur noch die Frage nach der Auflösung externer Adressen. Dies erledigen Sie einfach dadurch, dass Sie den DNS-Server so konfigurieren, dass er die Anforderungen durch die Firewall zu einem Cache-Only-Server außerhalb des Netzwerks weiterleitet. Dies stellt sicher, dass der Domänencontroller mit der Active Directory-integrierten Zone nicht exponiert wird und trotzdem noch in der Lage ist, externe Adressen aufzulösen.
Zusammenfassung Eine vollständige Diskussion des DNS-Dienstes, der Bestandteil von Windows 2000 ist, konnte dieses Kapitel nicht bieten. Es hat Ihnen jedoch die Grundlageninformationen vermittelt, die Sie kennen müssen, um die Zusammenarbeit von DNSDienst und Active Directory herzustellen. Die entscheidenden Punkte, die Sie im Hinblick auf die Installation von Active Directory berücksichtigen müssen, lauten: 씰
Damit Active Directory arbeitet, muss der DNS-Server SRV-Einträge und nach Möglichkeit dynamische Aktualisierungen unterstützen.
씰
Bei der Integration einer Zone in Active Directory wird die Zoneninformation in Active Directory gespeichert. Active Directory übernimmt dann die Handhabung der Sicherheit und Replikation.
93
94
Kapitel 2
씰
DNS für Active Directory konfigurieren
Es gibt verschiedene Werkzeuge, die bei der Fehlerbehebung des DNS unterstützen, wie etwa das Snap-In DNS, IPCONFIG und NSLOOKUP.
Schlüsselbegriffe 쎲
Active Directory-integriert
쎲
Namenserver
쎲
Aufräumvorgang
쎲
Namespace
쎲
Autoritätsursprung (SOA, Start Of Authority)
쎲
Netlogon
쎲
Benachrichtigung
쎲
Nslookup
쎲
Caching-Server
쎲
Primärer Server
쎲
Dynamic Host Configuration Protocol (DHCP)
쎲
Rekursive Anforderung
쎲
Dynamische Aktualisierungen
쎲
Resolver
쎲
Forward-Lookup
쎲
Reverse-Lookup
쎲
Fully Qualified Domain Name (FQDN)
쎲
Sekundärer Server
쎲
Gültigkeitsdauer (TTL, Time To Live)
쎲
Service-Einträge (SRV)
쎲
Iterative Anforderung
쎲
Windows Internet Name Service (WINS)
쎲
LDAP
쎲
Zone
쎲
Masterserver
쎲
Zonenübertragung
Lernzielkontrolle Übungen Die folgenden Übungen sollen Ihnen ein erstes Gefühl für die Erfahrungen vermitteln, die Ihnen in der beruflichen Praxis begegnen können, und die in diesem Kapitel thematisch behandelt wurden. Es ist sehr empfehlenswert, diese Übungen ernsthaft durchzuarbeiten und in Ihrer Systemumgebung zu bearbeiten, bevor Sie in die echte Prüfung gehen.
Lernzielkontrolle
2.1
DNS-Dienst installieren
Diese Übung führt Sie durch die Schritte zum Installieren des DNS-Dienstes auf einem Server mit Windows 2000. Es wird vorausgesetzt, dass Sie entweder Windows 2000 Server oder Advanced Server auf einem System, welches nicht in der Produktion verwendet wird, installiert haben.
ACHTUNG Tests und Übungen! Nehmen Sie Tests und Übungen niemals in einer Produktionsumgebung vor!
Geschätzte Zeit: 10 Minuten 1. Wählen Sie im Startmenü EINSTELLUNGEN/SYSTEMSTEUERUNG aus. 2. Klicken Sie im Fenster Systemsteuerung zweimal auf das Applet SOFTWARE. 3. Klicken Sie im Dialogfeld SOFTWARE auf die Schaltfläche WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. Unter Umständen müssen Sie einen Moment warten. 4. Der Assistent für Windows-Komponenten wird angezeigt. Wählen Sie NETZWERKDIENSTE aus, und klicken Sie auf die Schaltfläche DETAILS. 5. Wählen Sie DNS-SERVER (DOMAIN NAME SYSTEM) aus, und klicken Sie auf OK. 6. Klicken Sie im Assistent für Windows-Komponenten auf WEITER. Sie sehen nun das Dialogfeld KOMPONENTEN KONFIGURIEREN und werden unter Umständen dazu aufgefordert, Ihre Installations-CD mit Windows 2000 einzulegen. 7. Zum Schluss erscheint der Abschlussbildschirm des Assistenten für Windows-Komponenten, in dem Sie auf FERTIG STELLEN klicken können. 8. Klicken Sie im Dialogfeld SOFTWARE auf die Schaltfläche SCHLIESSEN. Danach schließen Sie auch das Dialogfeld SYSTEMSTEUERUNG. 2.2
Zonen erstellen
Nach der Installation des DNS-Dienstes erstellen Sie nun die Reverse- und Forward-Lookupzonen. Diese Zonen werden in allen folgenden Übungen in diesem Text verwendet werden. Geschätzte Zeit: 15 Minuten 1. Starten Sie das Snap-In DNS im Startmenü über PROGRAMME/VERWALTUNG/ DNS. 2. Blenden Sie Ihren Server ein, klicken Sie auf REVERSE-LOOKUPZONEN, und klicken Sie dann mit der rechten Maustaste auf REVERSE-LOOKUPZONEN.
95
96
Kapitel 2
DNS für Active Directory konfigurieren
Wählen Sie im Kontextmenü NEUE ZONE aus. Nun wird der Assistent zum Erstellen neuer Zonen gestartet. 3. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 4. Wählen Sie im nächsten Bildschirm PRIMÄR (STANDARD) aus, und klicken Sie auf WEITER. 5. Geben Sie den ersten Teil der IP-Adresse des Servers ein. Verwenden Sie zum Suchen der Adresse ipconfig über die Befehlszeile. Klicken Sie dann auf WEITER.
HINWEIS Was Sie bei Reverse-Zone eingeben müssen Dieses Dialogfeld kann auf den ersten Blick verwirrend aussehen. Sein Inhalt hängt davon ab, wie Sie mit dem Internet verbunden sind bzw. wie Ihre Verbindungen überhaupt aussehen. Als Faustregel sollten Sie, sofern Ihre Adresse mit dem Wert 1 bis 126 beginnt, nur die erste Nummer eingeben. Beginnt die Adresse dagegen mit dem Wert 128 bis 191, sollten Sie die ersten beiden Nummern eingeben. Liegt Ihre Adresse darüber, geben Sie die ersten drei Nummern ein. Falls Ihre Adresse beispielsweise 173.23.92.2 lautet, geben Sie also 173.23 ein.
6. Beachten Sie, dass der Dateiname automatisch für Sie in das Eingabefeld NEUE DATEI MIT DIESEM DATEINAMEN ERSTELLEN eingetragen wird. Klicken Sie zum Fortfahren auf WEITER. 7. Bestätigen Sie im nächsten Bildschirm Ihre Eingaben und klicken Sie auf FERTIG STELLEN. 8. Klicken Sie auf FORWARD-LOOKUPZONEN, und anschließend mit der rechten Maustaste auf FORWARD-LOOKUPZONEN. Wählen Sie im Kontextmenü NEUE ZONE aus. Nun wird wieder der Assistent zum Erstellen neuer Zonen gestartet. 9. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 10. Wählen Sie im nächsten Bildschirm PRIMÄR (STANDARD) aus, und klicken Sie auf WEITER. 11. Geben Sie im Eingabefeld NAME einen Namen für Ihre Domäne ein, z.B. TestDom.local. Klicken Sie auf WEITER. 12. Beachten Sie im folgenden Bildschirm den vorgeschlagenen Dateinamen: testdom.local.dns. Klicken Sie zur Übernahme dieses Dateinamens auf WEITER. 13. Bestätigen Sie im nächsten Bildschirm Ihre Eingaben, und klicken Sie auf WEITER, wenn diese korrekt sind.
Lernzielkontrolle
2.3
Dynamische Aktualisierung konfigurieren
Da Sie nun eine Forward- und Reverse-Lookupzone haben, müssen Sie diese Zonen für dynamische Aktualisierungen konfigurieren. Informationen dazu finden Sie unter dem Prüfungsthema »Zonen für dynamische Aktualisierungen konfigurieren«. Gleichzeitig bereiten Sie Ihr System damit auf die Installation von Active Directory vor. Geschätzte Zeit: 5 Minuten 1. Klicken Sie mit der rechten Maustaste auf der Reverse-Lookupzone, die Sie erstellt haben, und wählen Sie EIGENSCHAFTEN aus. 2. Sorgen Sie auf der Registerkarte ALLGEMEIN dafür, dass das Feld DYNAMISCHE AKTUALISIERUNG ZULASSEN auf JA eingestellt ist. 3. Klicken Sie zum Schließen der Eigenschaften auf OK. 4. Wiederholen Sie die Schritte 1 bis 3 für die Forward-Lookupzone. 2.4
Zonenübertragung konfigurieren
In dieser Übung werden Sie den DNS-Server Ihres Windows-2000-Systems so einrichten, dass er zu einem sekundären Server wird. Die Übung erfordert, dass Sie ein zweites System haben, welches als DNS-Server arbeitet, damit Sie die Informationen übertragen können. Falls Sie also einen zweiten PC haben, können Sie mit den Schritten in den Übungen 1 und 2 einen weiteren DNS-Server einrichten. Achten Sie darauf, dass Sie einen anderen Domänennamen verwenden. Falls Sie schon eine andere Domäne haben, können Sie diese nehmen. Wenn nicht, benutzen Sie die Standardwerte der Übung. Sie werden zwar eine Fehlermeldung erhalten, aber wenigstens alle Schritte durcharbeiten können. Diese Übung wird Ihnen beim Prüfungsthema »Replikation der DNS-Daten verwalten« helfen. Geschätzte Zeit: 10 Minuten 1. Klicken Sie mit der rechten Maustaste auf FORWARD-LOOKUPZONEN und wählen Sie NEUE ZONE aus. 2. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 3. Wählen SIE PRIMÄR (STANDARD) aus, und klicken Sie auf WEITER. 4. Geben Sie den Namen der zu übertragenden Domäne ein (der Name, den Sie auf dem anderen PC erstellt haben), oder verwenden Sie LADI.com als Testdomänennamen. Klicken Sie zum Fortfahren auf WEITER.
97
98
Kapitel 2
DNS für Active Directory konfigurieren
5. Geben Sie im Feld IP-Adresse die IP-Adresse Ihres zweiten DNS-Servers ein, oder nehmen Sie, sofern Sie keine haben, den Wert 10.10.10.10. Klicken Sie auf HINZUFÜGEN. Klicken Sie zum Fortfahren auf WEITER. 6. Überprüfen Sie im Abschlussbildschirm Ihre Eingaben und klicken Sie auf FERTIG STELLEN. 7. Wenn Sie eine echte Zone übertragen, klicken Sie die neue Zone in der DNSKonsole an. 8. Falls noch keine Informationen übertragen worden sind, klicken Sie mit der rechten Maustaste, und wählen im Kontextmenü NEU LADEN aus. Drücken Sie nach etwa einer Minute [F5] zum Aktualisieren der Anzeige. Wiederholungsfragen 1. Wie werden dynamische Einträge auf dem DNS-Server erstellt? 2. Wie lautet der Dateiname der Datei, die die Einträge enthält, die vom Netlogon-Dienst registriert werden? 3. Welche zwei Arten von Übertragungen können zwischen DNS-Servern stattfinden, die mit Standardzonen konfiguriert sind? 4. Wie werden Einträge im Modus Active Directory-integriert repliziert? 5. Welche Typen von Einträgen muss ein DNS-Server unterstützen, wenn er von Active Directory verwendet wird? 6. Was ist der Unterschied zwischen einem Masterserver und einem primären Server? Prüfungsfragen 1. Franz versucht ein Problem mit einem DNS-Server zu beseitigen. Er hat einen Server mit Windows 2000 als einen DNS-Server konfiguriert, den er nach einem Wechsel von einer Domänenstruktur mit Windows NT 4.0 in eine Baumstruktur von Windows 2000 Active Directory weiterverwenden will. Als er den vorhandenen primären Domänencontroller von NT 4.0 aktualisiert, läuft am Anfang noch alles zufriedenstellend. An einem bestimmten Punkt der Installation jedoch bietet ihm das System die Installation des DNSServers auf dem System an, welches er gerade aktualisiert. Was kann die Ursache dafür sein (wählen Sie jede zutreffende Antwort aus)? A. Der PDC ist zur Verwendung eines anderen DNS-Servers konfiguriert worden. B. Der DNS-Server ist nicht für dynamische Aktualisierungen konfiguriert.
Lernzielkontrolle
C. Es wurde die falsche DNS-Version installiert. D. Dieses Verhalten ist völlig normal. 2. Gert installiert DNS auf einem UNIX-System und benutzt dabei die ältere BIND-Version 4.9.6. Er konfiguriert den neuen Server als sekundär für die Zone, die er für die gerade laufende Installation von Windows 2000 konfiguriert hat. Als die Zonenübertragung stattfindet, entstehen mehrere Einträge mit einem anscheinend unsinnigen Inhalt. Was kann die Ursache dafür sein? A. BIND darf nicht für einen Windows-2000-DNS-Server verwendet werden. B. Der Windows-2000-DNS-Server befindet sich im Modus Active Directory-integriert. C. Der UNIX-Server unterstützt keinen Unicode-Zeichensatz. D. Die verwendete BIND-Version unterstützt keine SRV-Einträge. 3. Brian richtet eine Testumgebung für das Installationsprojekt für Windows 2000 in seinem Unternehmen ein. Er konfiguriert mehrere Domänencontroller. Jeder von ihnen soll mit DNS laufen. Auf einem der Server ist die Zone bereits als Active Directory-integrierte Zone konfiguriert. Was muss er tun, um die Zonenübertragungen zu konfigurieren? A. Er muss den vorhandenen DNS-Server als primären und die anderen als sekundäre Server konfigurieren. B. Er muss den vorhandenen DNS-Server als primären Server, einen DNSServer als einen Masterserver, und alle anderen als sekundäre Server konfigurieren. C. Er sollte die Zone auf den anderen Servern beim Hinzufügen als Active Directory-integriert konfigurieren. D. Gar nichts. Active Directory übernimmt automatisch die Replikation. 4. Judy benutzt für das DNS in ihrer Umgebung Server mit Windows 2000. Bei den Servern handelt es sich um Standalone-Server, die sie für Serveranwendungen einsetzt. Auf einem der Server möchte sie eine neue Zone namens MS-test.int einrichten. Wie sollte sie diese Zone konfigurieren? A. Primär (Standard) B. Sekundär (Standard) C. Active Directory-integriert D. BIND-kompatibel
99
100
Kapitel 2
DNS für Active Directory konfigurieren
5. Erich versucht ein Problem auf einem DNS-Server mit Windows 2000 zu lösen, der anscheinend keine Std. Query packets auflöst, die an ihn gesendet werden. Was sollte er protokollieren, um die Fehlerursache zu finden (wählen Sie alle zutreffenden Antworten aus)? A. Abfragen B. Benachrichtigen C. Fragen D. TCP 6. Sabine denkt darüber nach, wie sie DNS in ihrem Unternehmen konfigurieren muss, um Windows 2000 Active Directory in die bestehende DNS-Konfiguration zu integrieren. Welche Möglichkeiten stehen ihr zur Verfügung? A. Sie kann dieselbe Domäne sowohl intern als auch extern einsetzen. B. Sie kann eine Unterdomäne der öffentlichen Domäne verwenden. C. Sie kann eine separate Domäne mit einem nicht standardmäßigen Suffix verwenden. D. Alles oben Genannte ist möglich. 7. Sam installiert den ersten Domänencontroller in einer neuen Domäne, der zum Stamm der neuen Organisationsstruktur werden soll. Der verwendete DNS-Server unterstützt SRV-Einträge, aber keine dynamischen Aktualisierungen. Was muss er nach der Installation des neuen Domänencontrollers machen, um sicherzustellen, dass sich die Einträge alle korrekt auf dem DNSServer befinden? A. Er muss den Befehl ipconfig/registerdns verwenden. B. Er muss die erforderlichen Einträge manuell erstellen. C. Er sollte den Netlogon-Dienst stoppen und erneut starten. D. Diesen DNS-Server darf er nicht benutzen. 8. Ihr Unternehmen hat sieben Standorte überall in der Welt. Sie dokumentieren gerade die vorhandene DNS-Struktur für die Auflösung interner Namen. Es gibt einen primären DNS-Server, der sich im Hauptbüro in Ottawa befindet. Darüber hinaus haben Sie einen sekundären DNS-Server in den folgenden Büros: Calgary, Washington, Mexico City, Dundee, Paris und Bonn. Die Server in Paris und Bonn übertragen die Zone vom Dundee-Server, während der
Lernzielkontrolle
Server in Mexico City die Zone vom Server in Washington bekommt. Welche Server können Sie in Ihrer Dokumentation als Masterserver kennzeichnen? A. Nur Ottawa. B. Ottawa, Dundee und Washington. C. Alle Server. D. Masterserver gibt es überhaupt nicht. 9. Sie setzen gegenwärtig einen BIND-Server für die interne Namensauflösung ein. Sie haben etwa 300 interne Server in der Zonendatei des BIND-Servers und möchten diese Einträge zum neuen Windows-2000-DNS-Server verschieben, den Sie gerade installiert haben. Welches der folgenden Verfahren erledigt diese Aufgabe am besten? A. Kopieren Sie vor dem Erstellen der Zone die Domänendatei in das Verzeichnis winnt/system32/dns auf dem Windows-2000-Server. B. Kopieren Sie nach dem Erstellen der Zone die Domänendatei in das Verzeichnis winnt/system32/dns auf dem Windows-2000-Server. C. Kopieren Sie die Datei an eine beliebige Stelle auf dem Windows-2000Server und verwenden Sie dann das Snap-In DNS zum Importieren der Datei. D. Sie müssen alle Informationen noch einmal manuell eingeben. 10. Sie befinden sich gerade in einem Zweigstellenbüro, welches neu eingerichtet wird. Sie richten den DNS-Server ein, der die lokale Auflösung übernimmt, und konfigurieren ihn als sekundären DNS-Server gegenüber ihrem primären Server im Hauptbüro. Danach wollen Sie die Zone übertragen, aber die Sache klappt nicht. Was ist die wahrscheinliche Ursache dieses Problems? A. Sie müssen den lokalen Server für IP-Weiterleitung konfigurieren. B. Sie müssen den primären Server mit der Adresse des sekundären Servers konfigurieren. C. Sie müssen RIP V2, das Protokoll zum Übertragen von Zonen, installieren. D. Sie können keinen sekundären Server erstellen, wenn der primäre Server Active Directory-integriert ist.
101
102
Kapitel 2
DNS für Active Directory konfigurieren
11. Sie arbeiten an einem Server, der immer wiederkehrende Probleme aufweist; beispielsweise können die Benutzer den Server manchmal nicht finden. In diesem Fall hat der Administrator regelmäßig den PC einfach neu gestartet, um das Problem zu beseitigen. Der Server befindet sich in einem Zweigstellenbüro und arbeitet mit einem DNS-Server in Ihrem Hauptbüro zusammen. Welcher der folgenden Punkte kann das Problem ohne Neustart des PC lösen? A. Stoppen und starten Sie den Netlogon-Dienst. B. Verwenden Sie den Befehl ipconfig/registerdns. C. Verwenden Sie den Befehl netstat/updatedns. D. Verwenden Sie den Befehl regwins. 12. Ihr Vorgesetzter hat Sie gebeten, nach einem Problem zu schauen. Jedes Mal, wenn er den Befehl NSLOOKUP verwendet, bekommt er einen Zeitüberschreitungsfehler. Dies ist zwar nicht kritisch, da er die gewünschte Auflösung trotzdem erhält, aber es ist irritierend. Was sollten Sie überprüfen? A. Den DNS-Zonentyp, in dem der Fehler bei der Abfrage auftritt. B. Die Konfiguration des DNS-Servers. C. Die Konfiguration der Forward-Lookupzonen. D. Die Konfiguration der Reverse-Lookupzonen. 13. Sie haben einen zentralen DNS-Server konfiguriert, der über Ihre Firewall auf das Internet zugreifen kann. Sie wollen über diesen einen Server die Namensauflösung innerhalb Ihres Netzwerks für Internetadressen realisieren, um das Caching zu optimieren und redundanten Netzwerkverkehr ins Internet zu minimieren. Sie haben DNS-Server, die lokal zu den Subnetzen im Netzwerk sind, den Namen aber über eine lokale Zonendatei oder durch Senden der Anforderung an den zentralen Server auflösen sollen. Welche Optionen sollten Sie auf den lokalen DNS-Servern einstellen (wählen Sie alle zutreffenden Antworten aus)? A. Stellen Sie die Adresse von ein oder mehr sekundären Servern ein. B. Aktivieren Sie die Option WEITERLEITUNG AKTIVIEREN, und geben Sie die IP-Adresse des zentralen Servers ein. C. Aktivieren Sie die Option WINS-FORWARDLOOKUP und geben Sie die IP-Adresse des zentralen Servers ein. D. Aktivieren Sie die Option REKURSIONSVORGANG DEAKTIVIERT.
Lernzielkontrolle
14. Sie planen die Implementierung von Active Directory in Ihrem Unternehmen. Sie suchen nach Möglichkeiten zur Integration der internen und externen Unternehmensnamen. Das Unternehmen hat bereits den Namen MTP.com registriert und verwendet ihn gegenwärtig im Internet. Man wünscht im Unternehmen jedoch nicht, dass das interne Netzwerk außerhalb des Unternehmens sichtbar sein soll. Welche der folgenden Methoden zur Integration der DNSNamen sollten Sie verwenden? A. Verwenden Sie denselben Domänennamen intern und extern. B. Verwenden Sie intern eine Unterdomäne Ihres externen Namens. C. Erstellen Sie eine Struktur in Ihrer Gesamtstruktur für den Internet-Namen. D. Verwenden Sie intern einen völlig anderen Namen als extern. 15. Sie suchen die Ursache eines Fehlers beim DNS-Server. Der Server scheint nicht in der Lage zu sein, die Adressen für einige der Hosts im Netzwerk aufzulösen. Ansonsten arbeitet er aber normal. Im Snap-In DNS sieht alles okay aus. Was sollten Sie machen, um der Ursache für das Unvermögen des Servers, die Adressen aufzulösen, auf die Spur zu kommen? A. Setzen Sie den Befehl Netstat ein. B. Setzen Sie den Netzwerkmonitor ein. C. Setzen Sie den Befehl Nslookup ein. D. Verwenden Sie die Registerkarte ÜBERWACHEN in den Eigenschaften des DNS-Servers. Antworten zu den Wiederholungsfragen 1. Dynamische Aktualisierungen können auf dem DNS-Server entweder von einem Client vorgenommen werden, der in der Lage ist, die Aktualisierung durchzuführen, oder von dem DHCP-Server, der den Client mit der Adresse versorgt hat. Siehe dazu den Abschnitt »Der Aktualisierungsprozess«. 2. Der Netlogon-Dienst auf jedem Domänencontroller erstellt eine Reihe von Einträgen im DNS-Server, der die Clients in die Lage versetzt, die von ihm im Netzwerk angebotenen Dienste ausfindig zu machen. Diese Einträge werden in einer Datei namens NETLOGON.DNS im Verzeichnis systemroot\system32\dns gespeichert. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«. 3. In Windows 2000 unterstützt der DNS-Server sowohl normale und vollständige (AXFR) als auch inkrementelle Übertragungen (IXFR) auf der Grund-
103
104
Kapitel 2
DNS für Active Directory konfigurieren
lage der Seriennummer der Zonendatei, die sich auf den Servern befindet. Siehe dazu den Abschnitt »Zoneninformationen übertragen«. 4. Wenn eine Zone als Active Directory-integriert konfiguriert ist, wird die Replikation von Active Directory übernommen und findet standardmäßig alle 5 Minuten innerhalb eines Standorts statt. Sie wird über die Standortverknüpfungen zwischen den Standorten kontrolliert. Der bzw. die DNS-Server fragen standardmäßig alle 15 Minuten nach Aktualisierungen der Informationen. Siehe dazu den Abschnitt »Zoneninformationen übertragen«. 5. Damit ein DNS-Server mit Active Directory zusammenarbeitet, muss er SRVs (Service-Locatoreinträge) unterstützen. Darüber hinaus sollte er dynamische Aktualisierungen unterstützen, muss dies aber nicht unbedingt. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«. 6. Der primäre Server enthält die originale aktualisierbare Zonendatei. Diese Datei wird an sekundäre Server überall im Unternehmen kopiert. In manchen Fällen erhält ein sekundärer Server seine Kopie der Zonendatei von einem anderen sekundären Server, der dann zu seinem Masterserver wird. Siehe dazu den Abschnitt »Zoneninformationen übertragen«. Antworten zu den Prüfungsfragen 1. A, B. In diesem Fall ist die wahrscheinlichste Ursache die Tatsache, dass der Server keine dynamischen Aktualisierungen zulässt. Die Installationsroutine überprüft, ob der konfigurierte DNS-Server dynamische Aktualisierungen unterstützt. Falls nein, bietet die Routine eine lokale Installation von DNS an. Die andere Möglichkeit besteht darin, dass der Server mit Windows NT 4.0 in seiner TCP/IP-Konfiguration nicht den neuen Windows-2000-Server als DNS-Server verwendet hat. Auch hier stellt das System fest, dass der Server keine dynamische Aktualisierung unterstützt, und bietet die Installation von DNS an. Antwort C ist offensichtlich nicht richtig, weil es nur eine Version von DNS gibt, die in Windows 2000 zur Verfügung steht. Auch Antwort D ist falsch, weil dies eine Warnung ist, dass der DNS-Server nicht zur Durchführung von Aktualisierungen in der Lage ist. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«. 2. C. Da die Übertragung nicht fehlschlug, können Sie die Antworten A, B und D ausschließen. Als mögliche Antwort bleibt daher nur C übrig. Dies geschieht in Abhängigkeit von der eingesetzten Version und dem verwendeten Betriebssystem. Siehe dazu den Abschnitt »Zoneninformationen übertragen«. 3. D. Da dies eine Active Directory-integrierte Zone ist, gibt es weder primäre noch sekundäre Server. Denken Sie auch daran, dass diese eigentlich primär (Standard) und sekundär (Standard) genannt werden, was bedeutet, dass A und B nicht richtig sein können. Die Antwort D stimmt deshalb, weil die Konfiguration automatisch an jeden neuen Domänencontroller repliziert
Lernzielkontrolle
wird. Die Antwort C kann einen Replikationskonflikt hervorrufen und erfordert außerdem mehr Arbeit als nötig. Siehe dazu den Abschnitt »Zoneninformationen übertragen«. 4. A. In diesem Fall verwenden Sie nicht notwendigerweise Active Directory, da das System, auf dem DNS läuft, nicht notwendigerweise ein Domänencontroller ist. Aus diesem Grund ist Antwort C nicht richtig. Da alle Zonentypen, die Sie erstellen können, von einem BIND-Server unterstützt werden können, ist die Antwort D nicht korrekt. Übrig bleiben daher nur A oder B. Da die Zone noch nicht existiert, gibt es nichts zum Übertragen, wodurch A automatisch zur einzigen Antwort wird. Siehe dazu den Abschnitt »Zoneninformationen übertragen«. 5. A, C. Erich sollte die Abfragen, Fragen und Antworten protokollieren, um das Geschehen zu verfolgen. Es besteht kein Grund dazu, Benachrichtigungen zu protokollieren, weil diese einem sekundären Server einfach nur mitteilen, dass eine Zonendatei kopiert wird. Auch die Protokollierung von TCP könnte zu fehlerhaften oder doppelten Informationen führen. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«. 6. D. Alles sind zulässige Wege zur Integration der Zone, die Sie für Active Directory verwenden wollen. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«. 7. B. In einem Fall, in dem Sie einen DNS-Server verwenden, der keine dynamischen Aktualisierungen unterstützt, müssen Sie die Einträge für den Server des globalen Katalogs, die LDAP- und Kerberos-Dienste erstellen. Die spezifischen Einträge, die hierfür erforderlich sind, werden in der Datei Netlogon.dns aufgeführt. ipconfig/registerdns werden zum Registrieren des Computernamens beim DNS-Server verwendet, sofern dieser dynamisch ist. Das Stoppen und Starten von Netlogon zum Neuregistrieren der Dienste wäre möglich, funktioniert aber, wie schon erwähnt, nur mit DNS-Servern, die dynamische Aktualisierungen durchführen. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«. 8. B. Ein Masterserver ist der Server, von dem ein sekundärer Server seine Kopie der Zonendatei bekommt. Der Ottawa-Server ist der Master für die Server in Calgary, Washington und Dundee. Der Washington-Server ist der Masterserver für die Server in Mexico City, während der Dundee-Server der Masterserver für Paris und Bonn ist. Die Antwort A stellt die Definition eines primären Servers dar, während die Antwort C die Definition eines autoritativen Servers ist (ein Server, der eine Abfrage über eine Domäne beantworten kann). Siehe dazu den Abschnitt »Zoneninformationen übertragen«. 9. A. Der einfachste Weg, dies zu erledigen, besteht darin, die Daten ins angegebene Verzeichnis zu kopieren, und dann die Zonendatei im Snap-In DNS
105
106
Kapitel 2
DNS für Active Directory konfigurieren
zu erstellen. Während des Vorgangs der Erstellung haben Sie die Gelegenheit, der Datei einen Namen zu geben. Wählen Sie dazu die vorhandene Datei aus; die Einträge darin sollten sichtbar sein. Sie können den Server außerdem als sekundär konfigurieren und die Zone übertragen; danach können Sie dann die Zone auf primär ändern. Wenn Sie die Datei nach dem Erstellen der Zone kopieren, wird sie bei der nächsten Aktualisierung der Zonendateien vom System überschrieben. Die Antwort C ist falsch, weil es keinen Importbefehl gibt. Siehe dazu den Abschnitt »Primär«. 10. B. Die wahrscheinlichste Ursache des Problems besteht darin, dass die primäre oder Active Directory-integrierte Zone nur zur Übertragung der Zone an bekannte Server konfiguriert ist. Dies bedeutet, dass Sie sich mit dem primären oder einem Active Directory-integrierten Server verbinden müssen, und den neuen Server als sekundär konfigurieren müssen. Die Konfiguration des Servers als einen IP-Weiterleiter würde zwar eine Auflösung erlauben, jedoch müsste der gesamte Auflösungsverkehr über die WAN-Verbindung laufen, während der lokale Server keine Kopie der Zonendateien besäße. RIP V2 ist ein Routingprotokoll und hat nichts mit Zonenübertragungen zu tun. Siehe dazu den Abschnitt »Sekundär«. 11. B. Das Problem hier besteht darin, dass der Server dynamisch beim Server im Hauptbüro registriert ist. Dies kann dazu führen, dass ein Server nicht korrekt registriert wird. In diesem Fall neigen Sie vielleicht zu den Antworten A und B, was jedoch nicht zutrifft, da in der Frage nicht erwähnt wird, dass es sich um einen Domänencontroller handelt. Der Befehl netstat besitzt keinen Schalter updatedns, und einen Befehl regwins gibt es nicht. Siehe dazu den Abschnitt »IPCONFIG verwenden«. 12. D. Dieser Fehler ist nur allzu bekannt und wird vom DNS-Server verursacht, der einen Reverse-Lookup auf sich selbst durchzuführen versucht. Das Problem liegt in der Reverse-Lookupzonendatei, die entweder fehlt oder keinen Eintrag für den DNS-Server enthält. Da Ihr Vorgesetzter diesen Fehler immer wieder erhält, ist der Typ der Abfrage nicht von Bedeutung. Es gibt keine Konfigurationsoption, die den Reverse-Lookup stoppt, weshalb Sie das Problem auch nicht über die Konfiguration beheben können. Da Ihr Vorgesetzter außerdem die Auflösung erhält, liegt der Fehler auch nicht in der ForwardLookupzone. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«. 13. B, D. In diesem Fall möchten Sie, dass der Server Anforderungen an den zentralen DNS-Server weiterleitet. Aus diesem Grunde müssen Sie die Weiterleitung aktivieren. Da Sie nicht wünschen werden, dass dieser Server eigene Abfragen ins Internet ausführt, müssen Sie die Rekursion abschalten. Es gibt keinen Grund dafür, den sekundären Server für diese Aufgabe zu verwenden. WINS hat nichts mit dem Auflösen von Internet-Namen zu tun, die FQDNs sind. Siehe dazu den Abschnitt »Rollen für DNS-Server«.
Lernzielkontrolle
14. D. In diesem Fall halten Sie die beiden Zonen komplett voneinander getrennt. Der beste Weg, dies zu erreichen, besteht in zwei verschiedenen Domänen wie etwa MTP.com und MTP.local. .local ist eine Empfehlung von Microsoft. Die interne und externe Verwendung desselben Namens kann dazu führen, dass der Namespace versehentlich hinauswandert. Die Verwendung einer Unterdomäne kann dasselbe Problem verursachen. Und schließlich würde das Erstellen einer Subnetzdomäne für das Internet überhaupt nicht funktionieren. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«. 15. B. Der Befehl netstat ermöglicht Ihnen nicht nur die Fehlersuche im DNS, sondern wird auch zur Überprüfung des Netzwerkstatus verwendet. Sie können mit ihm rasch die Verbindungen zu anderen DNS-Servern überprüfen, aber das ist auch schon alles. Mit dem Programm NSLOOKUP können Sie den Server daraufhin abfragen, ob der Eintrag dort ist. Diese Lösung wird wohl nicht funktionieren, da auch andere Abfragen den Eintrag nicht gefunden haben. Natürlich sollten Sie zunächst einmal das Snap-In DNS auf den Eintrag und die Serverkonfiguration hin überprüfen. Über die Registerkarte ÜBERWACHEN können Sie erkennen, ob das System eine Abfrage durchführen kann oder nicht. Der Netzwerkmonitor ist das einzige Programm, mit dem Sie die Anforderung, die zum DNS-Server und zurück gesendet wird, verfolgen können. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«. Weiterführende Literaturhinweise und Quellen Windows 2000 Server Resource Kit TCP/IP Core Networking Guide. Microsoft, 2000. Windows 2000 Domain Name System Overview. Whitepaper. Microsoft, 2000. Karanjit Siyan: TCP/IP unter Windows 2000, Markt+Technik-Verlag 2001
107
Eine Active DirectoryStruktur aufbauen
3
Lernziele Bis hierhin haben Sie eine Einführung in die Konzepte von Active Directory erhalten. Sie hatten Gelegenheit, sich noch einmal mit DNS zu beschäftigen. Nun wird es Zeit, dass Sie mit der konkreten Arbeit am Active Directory beginnen. In diesem Kapitel werden einige der Themen und Unterthemen aus den Lerneinheiten »Installieren, Konfigurieren und Fehlerbehebung von Active Directory« und »Verwalten, Überwachen und Optimieren der Komponenten von Active Directory« behandelt. Die anderen Themen und Unterthemen finden Sie in späteren Kapiteln. Der erste Teil dieses Kapitels untersucht die logische Struktur von Active Directory. Der letzte Teil dagegen zeigt, wie Sie eine Stammdomäne erstellen. Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Active Directory installieren
씰
Installation von Active Directory überprüfen
씰
Standorte erstellen
씰
Subnetze erstellen
씰
Verbindungsobjekte erstellen
씰
Standortverknüpfungen erstellen
씰
Standortverknüpfungsbrücke erstellen
씰
Serverobjekte zwischen Standorten verschieben
씰
Server für globalen Katalog erstellen
Dieses Thema ist hauptsächlich aus dem Grunde einbezogen worden, um sicherzustellen, dass Sie Active Directory installieren und gewährleisten können, dass es
110
Kapitel 3
Eine Active Directory- Struktur aufbauen
installiert ist. Das Thema wurde weiterhin mit aufgenommen, um sicherzustellen, dass Sie eine Domäne in Entsprechung zum physischen Netzwerk konfigurieren können. Sie sollten sämtliche Anforderungen an die Installation, hauptsächlich die Anforderungen an den DNS-Server, kennen lernen. Sie sollten außerdem die Änderungen verstehen, die durch die Installation am System vorgenommen werden. Die Domänenkonfiguration in diesem Themas erwartet von Ihnen, dass Sie wissen, wie Sie Active Directory im Netzwerk einrichten müssen. Hierzu gehört das Erstellen von Standorten, die wiederum aus einem oder mehreren Subnetzen bestehen, und die anschließende Sicherstellung, dass die Replikation unter Verwendung von Standortverknüpfungen und Standortverknüpfungsbrücken gewährleistet ist. Darüber hinaus müssen Sie noch wissen, wie Sie ein Verbindungsobjekt erstellen. Mit Verbindungsobjekten können Sie die vom System generierten Verbindungen überschreiben. Zum Schluss sollten Sie noch einen Server für einen globalen Katalog erstellen können. Verwalten und Fehlerbehebung der Replikation von Active Directory 씰
Standortinterne Replikation verwalten
씰
Standortübergreifende Replikation verwalten
Dieses Thema wurde einbezogen, damit sichergestellt ist, dass Sie mit dem Replikationsprozess vertraut sind, und Fragen rund um die Replikation herum beurteilen und beantworten können. Ein wichtiger Aspekt in der Verwaltung und Fehlerbehebung der Active Directory-Replikation beinhaltet den Umgang mit dem Knowledge-Konsistenzprüfer und das Wissen darum, wie dieser beim Aufbau der Replikationstopologie mit Standortverknüpfungen zusammenarbeitet. Des Weiteren müssen Sie wissen, wie Sie die Replikationstopologie mit den NTDS kontrollieren.
Tipps für das Selbststudium Dieses Kapitel behandelt drei Hauptthemen: die logische und physische Struktur und die Replikation von Active Directory. Damit Sie Daten und Informationen in einem Netzwerk mit Active Directory problemlos bewegen können, sollten Sie genau verstanden haben, wie die hier behandelten Punkte zusammenwirken. Achten Sie insbesondere auf die folgenden Punkte: 씰
Installation von Domänencontrollern und deren Unterschiede in Abhängigkeit von ihrer logischen Dislokation
씰
Erstellung und Einsatz von Standorten und Standortverknüpfungen
3.1 Einführung
씰
Rolle und Funktion des Knowledge-Konsistenzprüfers
씰
Wann die Replikation stattfindet, und wie sie arbeitet
씰
Wie Server mit dem globalen Katalog eingesetzt werden, und wo sie platziert werden sollten
3.1
Einführung
Domänencontroller sind das Rückgrat des Netzwerks. Ihre korrekte Implementierung stellt in jeder Implementation mit Windows 2000 den Schlüssel zum Erfolg dar. In diesem Kapitel werden Sie erfahren, wie Domänencontroller eingeführt, und die Replikation zwischen diesen Controllern konfiguriert wird. Damit Ihre Organisation tadellos läuft, ist eine Replikation der Informationen sowohl der Struktur als auch der Objekte von Active Directory erforderlich. Das Kapitel beginnt mit einer Erörterung der logischen Strukturen, aus denen Active Directory besteht, und wendet sich anschließend der Installation von Domänencontrollern zu. Dann folgt die Einführung der physischen Umweltbedingungen – die Diskussion dreht sich nun um Subnetze und Standorte. Das Ganze führt abschließend zur Erörterung der Replikation von Active Directory sowohl innerhalb als auch zwischen Standorten.
3.2
Grundlagen der logischen Struktur von Active Directory
Einigen der folgenden Informationen sind Sie zwar schon begegnet, jedoch schadet es nicht, einen näheren Blick auf die logischen Strukturen zu werfen, aus denen Active Directory besteht. Die Erörterung beginnt mit einem Überblick über Domänen und ihren Zweck, da sie die Bausteine der logischen Struktur darstellen. Danach erfahren Sie, auf welche Weise Sie Domänen in Strukturen zusammenfassen können, und wie Sie diese ggf. so erweitern, dass sie eine Gesamtstruktur ergeben.
3.2.1
Domänen
Die Grundeinheit, mit der Sie immer zu tun haben werden, ist wie bei Windows NT 4.0 die Domäne. Indem Sie Ihr Unternehmen in verschiedene Domänen aufteilen, erzielen Sie folgende Vorteile:
111
112
Kapitel 3
Eine Active Directory- Struktur aufbauen
씰
Domänen erlauben Ihnen eine Organisation von Objekten innerhalb einer einzelnen Abteilung bzw. eines einzelnen Standorts. Innerhalb der Domäne stehen sämtliche Informationen über die Objekte zur Verfügung.
씰
Domänen fungieren als Sicherheitsgrenze; d.h., ein Domänenadministrator kann alle Ressourcen innerhalb der Domäne vollständig kontrollieren. Auf der Domänenebene können Gruppenrichtlinien angewendet werden. Die Gruppenrichtlinien legen fest, wie auf Ressourcen zugegriffen wird, wie sie konfiguriert und verwendet werden.
씰
Domänenobjekte können anderen Domänen verfügbar gemacht und in Active Directory veröffentlicht werden.
씰
Domänennamen folgen der DNS-Namensstruktur. Dies erlaubt eine unendlich große Zahl an untergeordneten Domänen.
씰
Domänen erlauben Ihnen die Kontrolle der Replikation. Die in der Domäne gespeicherten Objekte werden vollständig nur an andere Domänencontroller innerhalb der Domäne repliziert.
Es stehen zwei Wege zum Erstellen von Active Directory-Domänen zur Verfügung: Entweder aktualisieren Sie eine Domäne unter Windows NT 4.0 oder installieren einen Server mit Windows 2000, den Sie anschließend zu einem Domänencontroller heraufstufen. Nachdem Sie eine Stammdomäne erstellt haben, können Sie zum Erstellen von Strukturen übergehen. Eine Struktur beginnt immer mit der Stammdomäne, kann aber verzweigen, um weitere Domänen aufzunehmen. Damit erhalten Sie die erste Hierarchieebene innerhalb von Active Directory.
3.2.2
Strukturen und Gesamtstrukturen
Bei der Kontrolle der Domänen haben Sie es mit der eigentlichen praktischen Arbeitsebene im Netzwerk zu tun, denn in den Domänen befinden sich alle Benutzer und Computer. Um die Domänen zusammenzufassen, müssen Sie sie in einer logischen Struktur anordnen. Bei dieser Struktur handelt es sich entweder um eine Domänenstruktur oder Domänengesamtstruktur. Dieses Thema ist Ihnen bereits in der Erörterung von DNS im Kapitel 2, »DNS für Active Directory konfigurieren«, begegnet. In Windows 2000 wird die DNS-Hierarchie zu dem Zweck eingesetzt, die verschiedenen Domänen zusammenzufassen und die Domänenstruktur zu erstellen. Wenn Sie beispielsweise mit einer Domäne wie etwa Widgets.com beginnen, könnten Sie nun eine einzelne Domäne erstellen, die alle Objekte in Ihrem Unternehmen enthält. Hat Ihr Unternehmen jedoch Haupt-
3.2 Grundlagen der logischen Struktur von Active Directory
büros an zwei geografischen Standorten, von denen jeder unabhängig vom anderen arbeitet, wäre diese Anordnung nicht sinnvoll. In einem solchen Fall würden Sie vielleicht lieber separate Domänen erstellen, die unabhängig voneinander verwaltet werden können. In der Abbildung 3.1 werden Sie bemerken, dass es sowohl Widgets.com als auch Ost.Widgets.com und West.Widgets.com gibt. In diesem Fall ist die Topdomäne einfach nur ein Zeiger auf eine der Domänen in der unteren Ebene. Abbildung 3.1 Eine einfache Domänenstruktur für Widgets.com auf der Grundlage der geografischen Standorte Widgets.com
Ost.Widgets.com
West.Widgets.com
Falls Sie die Organisation auf der Grundlage der internen Organisationsstruktur aufteilen möchten, kann die Struktur wie in Abbildung 3.2 aussehen. In dieser Abbildung gibt es eine Domäne für den Vertrieb und für Marketing, eine weitere für Logistik (Produktion und Versand) sowie eine Domäne für Forschung und Entwicklung. Die Administration und andere Hilfsfunktionen befinden sich in diesem Fall in der Toplevel-Domäne. Aus dem Kapitel 1, »Grundlagen von Active Directory«, wissen Sie noch, dass es überall in diesem Unternehmen ein einziges Schema, einen gemeinsamen globalen Katalog und transitive zweiseitige Vertrauensstellungen gibt. In manchen Fällen jedoch funktioniert eine Domänenstruktur nicht. In Fällen, in denen verschiedene Teile der Organisation separate öffentliche Identitäten haben müssen, können Sie nicht ein und dieselbe Struktur verwenden, wenn die internen Namen gleichzeitig den externen Charakter der Organisation widerspiegeln. Es ist jedoch von Bedeutung, dass die drei gemeinsamen Elemente beibehalten werden können: Das gemeinsam genutzte Schema, die gemeinsam genutzte Konfiguration und der globale Katalog. Um dies möglich zu machen, muss eine der Domänen zum Stamm des Unternehmens werden. Alle anderen Domänen werden dann zu unterge-
113
114
Kapitel 3
Eine Active Directory- Struktur aufbauen
Abbildung 3.2 Eine Domänenstruktur für Widgets.com auf der Grundlage der internen Organisation
Widgets.com
Vertrieb.Widgets.com
FuE.Widgets.com
Logistik.Widgets.com
ordneten Domänen, obwohl ihre Namen anders lauten. In Abbildung 3.3 wurde noch Div.com hinzugefügt. Die Linie, die die neue Struktur mit der Gesamtstruktur verbindet, wird per Konvention zur Spitze des Stamms hin gezeichnet, um deutlich zu machen, dass es sich nicht einfach nur um eine untergeordnete Domäne handelt. Abbildung 3.3 Eine Domänengesamtstruktur Widgets.com
Div.com
Vertrieb.Widgets.com
FuE.Widgets.com
Logistik.Widgets.com
Von hier aus können Sie nun untergeordnete Domänen zu Div.com hinzufügen (siehe Abbildung 3.4). Nachdem Sie den ersten Domänencontroller für die erste Domäne erstellt haben, können Sie unter Verwendung des Programms Dcpromo zum Erstellen weiterer Domänencontroller mit dem Aufbau der Hierarchie beginnen. Während der Beförderung haben Sie die Wahl, neue Domänencontroller in der vorhandenen Domäne, einen neuen Controller für eine neue untergeordnete Domäne, oder einen neuen Stammcontroller für eine neue Struktur in der Gesamtstruktur zu erstellen.
3.2 Grundlagen der logischen Struktur von Active Directory
Abbildung 3.4 Eine erweiterte Domänengesamtstruktur Widgets.com
Div.com
Vertrieb.Widgets.com
Ost.Div.com
West.Div.com
FuE.Widgets.com
Logistik.Widgets.com
Die Kombination von Strukturen und Gesamtstrukturen bietet Ihnen absolute Flexibilität hinsichtlich des Designs Ihrer Domänenstruktur und damit auch im Design Ihres Active Directory. Nachdem Sie nun über Wissen über Domänen verfügen, die die erste Ebene Ihrer Hierarchie bilden, sollten Sie einen Schritt weitergehen und sich mit Organisationseinheiten (OU, Organizational Units) befassen. OUs stellen die sekundäre Ebene der Hierarchie dar. Mit ihnen können Sie eine Domäne in logische Einheiten aufteilen, die Sie bis zu einem gewissen Grade unabhängig voneinander kontrollieren können.
3.2.3
Organisationseinheiten
Die Fähigkeit, die Kontrolle über einen Teil der Domäne an einen Benutzer oder eine Benutzergruppe zu delegieren, ist mit Windows 2000 neu hinzugekommen. Erreicht wird dies über den Einsatz von Organisationseinheiten. Eine Organisationseinheit ist ein Container in Active Directory, den Sie erstellen. Nachdem Sie den Container erstellt haben, können Sie Computer, Benutzer und andere Objekte in den Container verschieben. Nachdem Sie dies erledigt haben, können Sie die Kontrolle über diese Objekte im Container an bestimmte Benutzer oder Gruppen delegieren. Als Domänenadministrator haben Sie zwar immer noch die Kontrolle, jedoch können auch die Personen, an die Sie delegiert haben, diese Objekte kontrollieren. Das gibt Ihnen die Möglichkeit, Arbeitsgruppenadministratoren einzuführen, die einen begrenzten Teil Ihrer Domäne kontrollieren. Außerdem können Sie Gruppenrichtlinien auf die Organisa-
115
116
Kapitel 3
Eine Active Directory- Struktur aufbauen
tionseinheiten anwenden, die sich von den auf die Domäne angewendeten Richtlinien unterscheiden. Abbildung 3.5 zeigt ein Beispiel dafür, wie das Netzwerk Widgets.com in eine einzige Domäne organisiert werden kann und noch lokale Administratoren vorsieht, die eine Benutzergruppe und Computer verwalten. Abbildung 3.5 Der Einsatz von Organisationseinheiten im Netzwerk Widgets.Com
Logistik
Vertrieb
FuE
Widgets.com
Sie können sogar innerhalb einer anderen Organisationseinheit Organisationseinheiten erstellen. Dadurch erhalten Sie die Möglichkeit, innerhalb einer Domäne eine Hierarchie von Organisationseinheiten anzulegen. Zunächst müssen Sie für Ihre Organisation entscheiden, ob Sie zum Verwalten von Benutzern, Computern und anderen Objekten von Active Directory Domänen oder Organisationseinheiten einsetzen. Die folgenden Richtlinien sollen Sie bei dieser Entscheidung unterstützen: 씰
Setzen Sie Domänen ein, wenn die verschiedenen Benutzer und Ressourcen in der Organisation von gänzlich unterschiedlichen Administratoren verwaltet werden.
씰
Verwenden Sie für ein Netzwerk Domänen, in denen Teile des Netzwerks durch eine langsame Verbindung getrennt sind. In dieser Situation können Sie auch Standorte verwenden, was später im Abschnitt »Im physischen Netzwerk« behandelt wird.
3.3 Die erste Domäne erstellen
씰
Verwenden Sie Organisationseinheiten zu dem Zweck, die Struktur Ihrer Organisation nachzubilden.
씰
Verwenden Sie Organisationseinheiten zu dem Zweck, die administrative Kontrolle über eher kleine Benutzergruppen, Gruppen und andere Objekte zu delegieren.
씰
Verwenden Sie Organisationseinheiten an bestimmten Stellen in Ihrem Unternehmen, die sich wahrscheinlich in Zukunft noch ändern werden.
Wie Sie gesehen haben, wird die logische Struktur von Active Directory dazu verwendet, eine Hierarchie aufzubauen, mit der Sie die Benutzer in einer Organisation beliebiger Größe verwalten können. Mit Domänen erstellen Sie Sicherheits- und Replikationsgrenzen, während Sie die Organisationseinheiten dazu benutzen, Domänen weiter in besser handhabbare Einheiten aufzuteilen. Die Planung der Struktur von Active Directory ist die Aufgabe der Netzwerkplaner. Als derjenige, der die Implementierung vornimmt, müssen Sie nun die Stammdomäne, den Rest der Struktur und die Organisationseinheiten erstellen.
3.3
Die erste Domäne erstellen
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Active Directory installieren
Offensichtlich ist dies ein besonders wichtiges Ziel, da die gesamte übrige Arbeit, die Sie noch leisten, davon abhängt, dass Active Directory installiert werden kann. Dieser Abschnitt beginnt mit einer Darstellung der Stamminstallation und stellt dann Möglichkeiten zur Verifizierung von Installationen vor. Ab dem Punkt wendet sich die Diskussion dann anderen Installationstypen zu. Da Sie nun mit der logischen Struktur von Active Directory bekannt gemacht worden sind, sollten Sie sich der Installation von Active Directory zuwenden. Die Installation selbst ist ein recht einfacher Vorgang. Jedoch müssen Sie vor Beginn der Installation noch die Struktur Ihres Unternehmens planerisch erfasst haben.
3.3.1
Vorbedingungen
Wie Sie sich wahrscheinlich schon gedacht haben, gilt es vor der Installation von Active Directory eine Reihe erforderlicher Dinge und Aufgaben zu berücksichtigen. Die folgende Liste teilt Ihnen mit, was Sie für die Installation vor Ort haben müssen:
117
118
Kapitel 3
Eine Active Directory- Struktur aufbauen
씰
Sie brauchen einen installierten und betriebsbereiten Windows-2000-Server, Advanced-Server oder Data-Center-Server.
씰
Sie sollten auf einem DNS-Server eine konfigurierte Forward-Lookupzone installiert haben. Der DNS-Server muss Serviceeinträge (SRV) unterstützen, und sollte ferner dynamische Aktualisierungen sowie inkrementelle Standardzonenübertragungen zulassen.
씰
Sie müssen sicherstellen, dass für den Computer, den Sie zum Domänencontroller machen wollen, der korrekte DNS-Server ausgewählt wurde, und dass der Name des Computers stimmt. Auf dem Computer muss außerdem TCP/IP korrekt installiert und konfiguriert sein.
씰
Sie müssen sicherstellen, dass Sie auf dem Computer, den Sie zum Domänencontroller machen wollen, eine NTFS-Partition existiert. Außerdem brauchen Sie genug Platz für das Directory (empfohlen wird 1 GB).
씰
Sie müssen sicherstellen, dass die Zeitzone des Systems stimmt. Außerdem müssen Sie dafür sorgen, dass auf dem System die Zeit korrekt eingestellt ist.
Neben den physischen Systemen, die Sie zum Installieren des Domänencontrollers brauchen, benötigen Sie zusätzlich noch den Namen des Domänencontrollers, den Sie installieren. Darüber hinaus ist noch der Domänenname für die Domäne, die Sie erstellen, erforderlich.
3.3.2
Domäne benennen
Für die Benennung Ihrer Domäne stehen verschiedene Möglichkeiten zur Verfügung, von denen die drei wichtigsten sind: 씰
Der echte Internet-Domänenname Ihrer Organisation. Dies bedeutet, dass Ihre internen und externen Identitäten gleich sind, was die Gefahr ergeben kann, dass die Struktur Ihres Active Directory im öffentlichen Internet bekannt wird.
씰
Eine Unterdomäne unterhalb Ihrer existierenden Internet-Domäne. Mit anderen Worten: Erstellen Sie einen Namen wie etwa AD.Widgets.com als Ausgangspunkt für Active Directory. Die Trennung der öffentlichen und privaten Strukturen wird dadurch einfacher. Allerdings macht diese Lösung die Namensvergabe komplexer.
씰
Intern komplett unterschiedliche Namen verwenden. Dies bedeutet, dass Sie die öffentlichen und privaten Teile Ihres Netzwerks vollständig voneinander trennen können. Microsoft empfiehlt die Verwendung von .local, falls Sie
3.3 Die erste Domäne erstellen
vorhaben, die interne und externe Namensgebung der Organisation voneinander zu trennen. Beispielswiese können Sie Widgets.com für das Internet und Widgets.local für Active Directory benutzen. Der Domänenname sollte natürlich festgelegt werden, bevor Sie mit der eigentlichen Installation beginnen, und verlangt unter Umständen sogar eine größere Debatte in der Organisation. Unter der Voraussetzung, dass Sie über alle erforderlichen Informationen und Vorbedingungen verfügen, können Sie dann mit der Installation von Active Directory beginnen.
3.3.3
Der Installationsvorgang
Die Installation der Stammdomäne ist recht problemlos und wird in der folgenden Schritt-für-Schritt-Anleitung vorgeführt.
SCHRITT FÜR SCHRITT 3.1
Active Directory installieren
1. Wählen Sie im Startmenü AUSFÜHREN aus. Geben Sie dcpromo ein, und klicken Sie auf OK. 2. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Installieren von Active Directory weiterzuschalten. 3. Wählen Sie DOMÄNENCONTROLLER FÜR EINE NEUE DOMÄNE aus, und klicken Sie dann auf WEITER (siehe Abbildung 3.6). Abbildung 3.6 Neue Domäne erstellen
119
120
Kapitel 3
Eine Active Directory- Struktur aufbauen
4. Wählen Sie EINE NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie auf WEITER (siehe Abbildung 3.7). Abbildung 3.7 Neue Domänenstruktur erstellen
5. Wählen Sie NEUE GESAMTSTRUKTUR AUS DOMÄNENSTRUKTUREN LEN aus, und klicken Sie auf WEITER (siehe Abbildung 3.8). Abbildung 3.8 Neue Domänenstruktur in einer Gesamtstruktur erstellen
ERSTEL-
3.3 Die erste Domäne erstellen
6. Geben Sie den gesamten DNS-Namen für die neue Domäne ein, und klicken Sie auf WEITER (siehe Abbildung 3.9). Abbildung 3.9 Eingabe des Namens für Ihre neue Domäne
HINWEIS Falls es sich beim ersten Teil des Namens um den Namen Ihrer existierenden NTDomäne handelt, erhalten Sie eine Warnung, die Sie auf einen Namenskonflikt im Netzwerk aufmerksam macht. Der Downlevel (NetBIOS)-Name der Domäne enthält eine Zahl, um ihn von der vorhandenen Domäne zu unterscheiden. Dies geschieht nicht, wenn Sie einen vorhandenen PDC aktualisieren.
7. Bestätigen Sie den Downlevel (NetBIOS)-Domänennamen (siehe Abbildung 3.10). 8. Bestätigen Sie den Speicherort der Active Directory-Datenbank und der Protokolldateien. Für eine bessere Wiederherstellung im Fehlerfall sollten diese auf verschiedenen Laufwerken liegen. Beide müssen auf einem mit NTFS formatierten Laufwerk abgelegt werden (siehe Abbildung 3.11). 9. Bestätigen Sie den Speicherort des SYSVOL-Ordners (ersetzt die NetlogonFreigabe). Er muss sich auf einem mit NTFS 5.0 formatierten Laufwerk befinden (siehe Abbildung 3.12).
121
122
Kapitel 3
Eine Active Directory- Struktur aufbauen
Abbildung 3.10 Der von Clients außerhalb von Active Directory verwendete Downlevel-Domänenname
Abbildung 3.11 Festlegung der Speicherorte von Datenbank und Protokolldateien von Active Directory
3.3 Die erste Domäne erstellen
Abbildung 3.12 Festlegung des Speicherorts von SYSVOL
HINWEIS Wenn der DNS-Server nicht gefunden werden kann, bietet der Assistent Ihnen die Installation und Konfiguration des Servers an (siehe Abbildung 3.14). Wenn Sie möchten, dass der Assistent dies für Sie erledigt, klicken Sie auf Ja. Wenn Sie dagegen Nein wählen, fährt die Installation zwar fort, jedoch werden Sie zahlreiche Startfehler angezeigt bekommen. Active Directory wird nicht arbeiten, solange Sie diese Fehler nicht beseitigt haben. Es wird daher empfohlen, dem Assistenten zu erlauben, den DNS-Server zu installieren und zu konfigurieren, sofern er keinen anderen DNS-Server finden kann. Abbildung 3.13 Diesen Fehler erhalten Sie, wenn das System Ihren DNS-Server nicht finden kann
10. Der Assistent bestätigt als Nächstes Ihren DNS-Server. Wenn er den Server nicht finden kann, bekommen Sie eine Warnung angezeigt (siehe Abbildung 3.13).
123
124
Kapitel 3
Eine Active Directory- Struktur aufbauen
Abbildung 3.14 Wenn der DNS-Server nicht gefunden wurde, bietet Ihnen die Installationsroutine die Installation von DNS an
Abbildung 3.15 Dieses Dialogfeld warnt Sie hinsichtlich der RASSicherheit von NT 4.0
11. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit, die vor Windows 2000 bestanden hat. In NT 4.0 und vorherigen Versionen musste der RAS-Server den Clients vor der Authentifizierung das Einlesen der Domäneninformationen erlauben. Beim Betrieb von Downlevel-RASServern müssen Sie diese Sicherheitseinschränkung zulassen. Wählen Sie die gewünschte Option aus, und klicken Sie auf WEITER (siehe Abbildung 3.15).
3.3 Die erste Domäne erstellen
12. Als Nächstes werden Sie dazu aufgefordert, das Kennwort für die Wiederherstellung der Verzeichnisdienste einzugeben. Stellen Sie sicher, dass Sie dieses Kennwort gut schützen und sicher ablegen (siehe Abbildung 3.16). Abbildung 3.16 Eingabe des Kennworts zum Wiederherstellen der Verzeichnisdienste
Abbildung 3.17 Bestätigung aller von Ihnen vorgenommenen Eingaben
125
126
Kapitel 3
Eine Active Directory- Struktur aufbauen
13. Der nächste Bildschirm fasst alle von Ihnen bis hierhin vorgenommenen Eingaben zusammen. Überprüfen Sie alle Ihre Angaben noch einmal, und korrigieren Sie ggf. unrichtige Angaben über die Schaltfläche ZURÜCK (siehe Abbildung 3.17). 14. Wenn alles geklappt hat, erhalten Sie nun einen Abschlussbildschirm, der die Installation von Active Directory bestätigt. Klicken Sie auf FERTIG STELLEN, und starten Sie Ihren Computer neu (siehe Abbildung 3.18).
Abbildung 3.18 Im Abschlussbildschirm wird Ihre Installation bestätigt
Jetzt wird Active Directory installiert. Nach dem Neustart des Systems können Sie dann die Installation überprüfen.
3.3.4
Installation überprüfen
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Installation von Active Directory überprüfen
Nach Abschluss der Installation von Active Directory sollten Sie überprüfen, ob die Installation korrekt verlaufen ist und das System ordnungsgemäß läuft. Hierdurch stellen Sie sicher, dass die anderen Domänen, die Sie der Struktur hinzufügen, ebenfalls korrekt installiert werden.
3.4 Andere Installationstypen
Die Überprüfung, dass Active Directory auf dem Computer installiert ist, ist einfach zu erledigen. Alles was Sie zu tun haben, besteht darin, das Vorhandensein der folgenden Programme im Ordner VERWALTUNG im Startmenü zu bestätigen. 씰
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Hiermit werden Benutzer und Computer sowie Organisationseinheiten innerhalb Ihrer Domäne verwaltet.
씰
ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN. Wird zur Verwaltung von Domänen und Vertrauensstellungen in Domänen mit NT 4.0 verwendet.
씰
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Wird zur Konfiguration des Verzeichnisdienststandorts und der Replikation zwischen Standorten verwendet.
Darüber hinaus stellen die folgenden Schritte sicher, dass Active Directory auf Ihrem System installiert ist.
SCHRITT FÜR SCHRITT 3.2
Überprüfen, ob Active Directory installiert ist
1. Öffnen Sie den Ordner ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie auf den Ordner DOMÄNENCONTROLLER. 3. Überprüfen Sie, ob Ihr Computer aufgeführt ist. Nachdem der erste Domänencontroller installiert und betriebsbereit gemacht worden ist, besteht der nächste entscheidende Punkt darin, dass alle anderen Installationen mit diesem System kommunizieren können. Jetzt müssen Sie noch weitere Domänencontroller hinzufügen. Die nächsten Abschnitte behandeln die Unterschiede in den verschiedenen Einrichtungstypen, die Sie auszuführen haben.
3.4
Andere Installationstypen
Da Sie nun einen arbeitsfähigen Domänencontroller haben, müssen Sie noch mindestens einen weiteren für die Redundanz hinzufügen. In den meisten Fällen brauchen Sie noch mehr Domänencontroller für eine Domäne. Darüber hinaus müssen
127
128
Kapitel 3
Eine Active Directory- Struktur aufbauen
Sie in der Lage sein, Ihrer Domänenstruktur andere Domänen bzw. weitere Strukturen der Gesamtstruktur hinzufügen zu können. Der folgende Abschnitt behandelt diese Installationstypen.
3.4.1
Domänencontroller hinzufügen
Zu Zwecken der Redundanz und des Lastenausgleichs benötigen Sie weitere Domänencontroller in der Domäne, die Sie erstellen. Der Vorgang des Hinzufügens eines Domänencontrollers ist recht einfach. Sie beginnen mit einem Computer, auf dem Windows-2000-Server, Advanced Server oder Data Center installiert ist, und führen dann folgende Schritte durch:
SCHRITT FÜR SCHRITT 3.3
Bestehender Domäne zusätzlichen Domänencontroller hinzufügen
1. Wählen Sie im Startmenü AUSFÜHREN aus. Geben Sie dcpromo ein, und klicken Sie anschließend auf OK. 2. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Installieren von Active Directory weiterzuschalten. 3. Wählen Sie ZUSÄTZLICHER DOMÄNENCONTROLLER DOMÄNE aus, und klicken Sie auf WEITER.
FÜR EINE BESTEHENDE
4. Jetzt werden Sie nach Ihren Netzwerkberechtigungen gefragt. Sie sollten an dieser Stelle als Mitglied der Gruppe Domänenadministratoren handeln. Nachdem Sie die Sicherheitsinformationen eingegeben haben, klicken Sie zum Fortfahren auf WEITER. 5. Als Nächstes werden Sie nach dem Namen der Domäne gefragt, die Sie ansprechen möchten. Hierbei handelt es sich um den vollen DNS-Namen der Domäne. Stellen Sie sicher, dass das System einen DNS-Server verwendet, der den Namen auflösen kann. Klicken Sie nach der entsprechenden Eingabe auf WEITER. 6. Sie werden nun gefragt, wo Sie die Datenbank und das Protokoll von Active Directory ablegen möchten. Beide müssen sich auf einer NTFS-Partition befinden. Geben Sie den Speicherungsort dieser Dateien ein, und klicken Sie zum Fortfahren auf WEITER. 7. Als Nächstes müssen Sie den Speicherungsort des SYSVOL-Ordners angeben. Auch dieser muss sich auf einer NTFS-Partition befinden. Nach Eingabe des Ortes klicken Sie zum Fortfahren wieder auf WEITER.
3.4 Andere Installationstypen
8. Jetzt werden Sie nach dem Kennwort für die Wiederherstellung von Active Directory gefragt. Geben Sie das Kennwort ein, und klicken Sie auf WEITER. 9. Als Nächstes erhalten Sie den Abschlussbildschirm. Klicken Sie auf die Schaltfläche FERTIG STELLEN – die Informationen von Active Directory werden nun kopiert. 10. Nach Beendigung des Kopiervorgangs werden Sie zum Neustart des Computers aufgefordert. Nach Abschluss dieser Schritte sind Sie in der Lage, Domänencontroller einer bestehenden Domäne hinzuzufügen. Der Einsatz mehrerer Domänencontroller ist aus Gründen der Redundanz und Lastenverteilung wichtig. Der nächste Abschnitt erläutert, wie einer bestehenden Domäne eine untergeordnete Domäne hinzugefügt wird.
3.4.2
Untergeordnete Domäne hinzufügen
Beim Aufbau der Struktur von Active Directory für Ihre Organisation werden Sie vermutlich auch untergeordnete Domänen hinzufügen müssen. Dieser Vorgang ähnelt mehr dem Erstellen einer neuen Domäne als dem Hinzufügen eines Domänencontrollers. Die grundlegenden Schritte werden im Folgenden beschrieben.
SCHRITT FÜR SCHRITT 3.4
Untergeordnete Domäne einer Domänenstruktur hinzufügen
1. Wählen Sie im Startmenü AUSFÜHREN aus. Geben Sie dcpromo ein, und klicken Sie auf OK. 2. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Installieren von Active Directory weiterzuschalten. 3. Wählen Sie Domänencontroller für eine neue Domäne aus, und klicken Sie anschließend auf WEITER. 4. Wählen Sie EINE NEUE UNTERGEORDNETE DOMÄNE IN EINER BESTEHENDEN DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie auf WEITER. 5. Geben Sie die Sicherheitsinformationen eines Benutzers in der Gruppe Organisations-Admins aus der übergeordneten Domäne ein, und klicken Sie danach auf WEITER. 6. Geben Sie den DNS-Namen der neuen Domäne und der übergeordneten Domäne ein, und klicken Sie auf WEITER.
129
130
Kapitel 3
Eine Active Directory- Struktur aufbauen
7. Bestätigen Sie den Downlevel(NetBIOS)-Namen der neuen Domäne und klicken Sie auf WEITER. 8. Bestätigen Sie den Speicherungsort der Datenbank und Protokolldateien von Active Directory. Für eine bessere Wiederherstellung sollten diese auf verschiedenen Laufwerken liegen. Außerdem müssen sich beide auf einem mit NTFS formatierten Laufwerk befinden. 9. Bestätigen Sie den Speicherungsort des SYSVOL-Ordners (ersetzt die Netlogon-Freigabe). Er muss sich auf einem mit NTFS 5 formatierten Laufwerk befinden. 10. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit, die vor Windows 2000 bestanden hat. In NT 4.0 und vorherigen Versionen musste der RAS-Server den Clients vor der Authentifizierung das Einlesen der Domäneninformationen erlauben. Beim Betrieb von Downlevel-RASServern müssen Sie diese Sicherheitseinschränkung zulassen. Wählen Sie die gewünschte Option aus, und klicken Sie auf WEITER. 11. Als Nächstes werden Sie nach dem Kennwort für die Wiederherstellung der Verzeichnisdienste gefragt. Geben Sie dieses Kennwort ein, und klicken Sie auf WEITER. 12. Wenn alles geklappt hat, erhalten Sie nun einen Abschlussbildschirm, der die Installation von Active Directory bestätigt. Klicken Sie auf FERTIG STELLEN, und starten Sie Ihren Computer neu. Weitere Domänencontroller nehmen Sie in die neue Domäne mit der Schritt-fürSchritt-Anleitung »Bestehender Domäne zusätzlichen Domänencontroller hinzufügen« auf. Denken Sie daran, dass die untergeordneten Domänen als Grenzen hinsichtlich der Replikation und Sicherheit wirken. Untergeordnete Domänen werden zum Bestandteil desselben Namespace. In manchen Fällen kann dies Ihren Anforderungen widersprechen – dann müssen Sie eine neue Struktur und auch Gesamtstruktur erstellen.
3.4.3
Gesamtstruktur erstellen
Das Erstellen einer Gesamtstruktur ist der letzte hier erörterte Schritt. Ihre interne Organisation verwendet vermutlich schon ein Namensgebungsschema, sodass das Erstellen der Gesamtstruktur kein alltäglicher Vorgang sein wird. Auf jeden Fall ist der ganze Prozess nahezu identisch mit dem Hinzufügen einer untergeordneten Domäne. Die folgenden Schritte helfen Ihnen beim Erstellen einer Gesamtstruktur.
3.4 Andere Installationstypen
SCHRITT FÜR SCHRITT 3.5
Stammserver einer Gesamtstruktur hinzufügen
1. Wählen Sie im Startmenü AUSFÜHREN aus. Geben Sie dcpromo ein, und klicken Sie dann auf OK. 2. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Installieren von Active Directory weiterzuschalten. 3. Wählen Sie DOMÄNENCONTROLLER cken Sie anschließend auf WEITER.
FÜR EINE NEUE
4. Wählen Sie NEUE DOMÄNENSTRUKTUR WEITER.
ERSTELLEN
DOMÄNE aus, und kli-
aus, und klicken Sie auf
5. Wählen Sie DIESE NEUE DOMÄNENSTRUKTUR IN EINE BESTEHENDE GESAMTSTRUKTUR EINGLIEDERN aus, und klicken Sie auf WEITER. 6. Geben Sie die Sicherheitsinformationen für einen Benutzer der Gruppe Organisations-Admins aus der Stammdomäne ein, und klicken Sie auf WEITER. 7. Geben Sie den DNS-Namen für die neue Domäne ein, und klicken Sie auf WEITER. 8. Bestätigen Sie den Downlevel(NetBIOS)-Namen der neuen Domäne und klicken Sie auf WEITER. 9. Bestätigen Sie den Speicherungsort der Datenbank und Protokolldateien von Active Directory. Für eine bessere Wiederherstellung sollten diese auf verschiedenen Laufwerken liegen. Außerdem müssen sie sich auf einem mit NTFS formatierten Laufwerk befinden. 10. Bestätigen Sie den Speicherungsort des SYSVOL-Ordners (ersetzt die Netlogon-Freigabe). Er muss sich auf einem mit NTFS 5 formatierten Laufwerk befinden.
HINWEIS DNS-Unterstützung Da diese Domäne den Start einer neuen Struktur darstellt, wird sie gleichzeitig der Start eines separaten Namespace sein. Sollte der DNS-Server nicht korrekt eingerichtet sein, erhalten Sie dieselben Optionen angeboten, die Sie schon während der Installation der ersten Domänencontroller in der Schritt-für-Schritt-Anleitung »Active Directory installieren« erhalten haben.
11. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit, die vor Windows 2000 bestanden hat. In NT 4.0 und vorherigen Versionen musste der RAS-Server den Clients vor der Authentifizierung das Einlesen
131
132
Kapitel 3
Eine Active Directory- Struktur aufbauen
der Domäneninformationen erlauben. Beim Betrieb von Downlevel-RASServern müssen Sie diese Sicherheitseinschränkung zulassen. Wählen Sie die gewünschte Option aus, und klicken Sie auf WEITER. 12. Als Nächstes werden Sie nach dem Kennwort für die Wiederherstellung der Verzeichnisdienste gefragt. Geben Sie dieses Kennwort ein, und klicken Sie auf WEITER. 13. Wenn alles geklappt hat, erhalten Sie nun einen Abschlussbildschirm, der die Installation von Active Directory bestätigt. Klicken Sie auf FERTIG STELLEN, und starten Sie Ihren Computer neu. Wie Sie gesehen haben, ist der Aufbau der logischen Struktur von Active Directory nicht schwierig und sollte bei guter Vorbereitung reibungslos ablaufen. Denken Sie wieder daran, dass Domänen als Grenzen hinsichtlich der Sicherheit und Replikation arbeiten, was der wichtigste Grund ist, sie überhaupt einzusetzen. Wenn Sie Hunderte von Domänencontrollern in eine einzige Domäne setzen, vielleicht sogar an verschiedenen Orten, dann werden Sie immer noch ein Replikationsproblem haben. Dieses Problem wird durch die Verwendung von Standorten gelöst, die Ihnen eine weitere Kontrolle der Replikation erlauben. Damit kommen wir zum physischen Netzwerk.
3.5
Im physischen Netzwerk
Nach der Konfiguration des logischen Teils von Active Directory wird es nun Zeit, einen Blick auf die physische Seite zu werfen. Die physischen Teile von Active Directory, Standorte und Subnetze, werden zur Kontrolle der Replikation verwendet. Durch die Erstellung von Standorten und später den Standortverknüpfungen können Sie steuern, zu welchen Zeiten und wie oft die Replikation in diesem Zeitraum stattfindet. Einer der Schlüsselkomponenten im Einsatz von Active Directory ist TCP/IP. TCP/ IP ist nicht nur deshalb erforderlich, um Windows 2000 die Zusammenarbeit mit DNS zu ermöglichen, obwohl auch dies ein wichtiger Grund ist. Erst mit TCP/IP können Sie jedoch Ihr Unternehmen in Standorte aufteilen und die Replikation zwischen diesen kontrollieren. Darüber hinaus sind Sie in der Lage, Gruppenrichtlinien auf Standorte anzuwenden und bestimmte Einstellungen für alle Computer eines bestimmten Ortes zu erzwingen. Einfach ausgedrückt, besteht ein Standort aus ein oder mehr IP-Subnetzen, die durch Hochgeschwindigkeitsleitungen miteinander verbunden sind. Möglicherweise ist dies nicht ganz aussagekräftig, da »Hochgeschwindigkeit« ein in Ihrer
3.5 Im physischen Netzwerk
Umgebung relativer Begriff sein wird. Viele Faktoren müssen berücksichtigt werden, wenn man den Begriff Hochgeschwindigkeitsverbindung mit Inhalt füllen will. Falls Ihre Domäne beispielsweise drei Millionen Objekte enthält, Ihre Kennwortrichtlinien einen Kennwortwechsel alle sieben Tage erfordern, und Sie zahlreiche Wechsel der Mitarbeiter haben, kann ein LAN mit 10 Mbps zu schwach sein, um die erforderliche Replikation zu bewältigen. Haben Sie dagegen auf der anderen Seite nur einige Hundert Objekte in Active Directory und nur zwei Domänencontroller, dann werden Sie unter Umständen eine ISDN-Leitung mit 128 Kbps großartig finden. Als Daumenregel sollten Sie alles, was unter einer T1-Verbindung (1,54 Mbps) liegt, als eine langsame Verbindung betrachten. In solchen Fällen werden Sie sicherlich die Auswirkungen der Replikation auf eine derartige Verbindung ermessen wollen. Wahrscheinlich brauchen Sie zwei Standorte, damit Sie die Replikation zwischen diesen besser kontrollieren können. Auf der Plusseite steht, dass sich Standorte weitgehend dem Zweck anpassen lassen, den die Unternehmen ursprünglich bei der Einrichtung ihres Netzwerks verfolgt haben. Darüber hinaus sind Standorte sehr einfach in Active Directory zu erstellen und zu verwalten. Normalerweise verfügen Sie bereits über definierte Standorte in Ihrem Netzwerk, mit denen die Segmente in handhabbare Abschnitte unterteilt werden. Diese Abschnitte werden in der Regel aus dem Grunde implementiert, den Netzwerkverkehr besser steuern zu können, da auch dies mit Standorten geregelt werden kann. Die Übertragung der physischen Segmente in Standorte ist dann recht einfach.
3.5.1
Mit Standorten arbeiten
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Standorte erstellen
Wenn Sie eine unkontrollierte Replikation in Ihrem Netzwerk zulassen würden, würden Sie recht schnell Probleme mit der verfügbaren Bandbreite im Netzwerk bekommen. Dies ist besonders dann der Fall, wenn Sie es mit einer Verbindung mit einem entfernten Büro zu tun haben. In solchen Fällen müssen Sie daran denken, dass Standorte zur Kontrolle des Replikationsverkehrs eingesetzt werden, und dass Sie die Standorte, die Sie zur Kontrolle des Datenverkehrs benötigen, erstellen müssen. Active Directory verlangt von Ihnen, dass Sie Standorte erstellen und verwalten können. Die folgenden Abschnitte umreißen, wie Standorte erstellt und wieder entfernt werden. Danach werden Sie erfahren, wie einem Standort Subnetze hinzugefügt und Domänencontroller in einen Standort verschoben werden.
133
134
Kapitel 3
Eine Active Directory- Struktur aufbauen
Standort hinzufügen Das Hinzufügen eines Standorts ist ein recht einfacher Vorgang, zu dem die folgenden Schritte gehören.
SCHRITT FÜR SCHRITT 3.6
Standort erstellen
1. Starten Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Klicken Sie mit der rechten Maustaste auf den Ordner SITES, und wählen Sie NEUER STANDORT aus (siehe Abbildung 3.19). Abbildung 3.19 Wählen Sie im Kontextmenü NEUER STANDORT aus
3. Geben Sie im Dialogfeld NEUES OBJEKT – STANDORT den Namen des neuen Standorts ein (siehe Abbildung 3.20). Buchstaben und Zahlen sind erlaubt, Leerzeichen und Sonderzeichen dagegen nicht. 4. Klicken Sie auf eine der Standortverknüpfungen und danach auf OK. 5. Sie erhalten eine Meldung, die Ihnen die nächsten Schritte mitteilt (siehe Abbildung 3.21). Klicken Sie zum Fortfahren auf OK. Sie sehen, dass das Erstellen eines Standorts ein einfacher Vorgang ist. Standorte können außerdem auch umbenannt und gelöscht werden. Standort umbenennen Das Umbenennen eines Standorts ist ebenso simpel wie das Umbenennen einer Datei. Die folgenden Schritte genügen zum Umbenennen eines Standorts.
3.5 Im physischen Netzwerk
Abbildung 3.20 Eine Meldung teilt Ihnen mit, welche nächsten Schritte den Standort vervollständigen
Abbildung 3.21 Geben Sie den Namen des neuen Standorts ein
SCHRITT FÜR SCHRITT 3.7
Standort umbenennen
1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Klicken Sie mit der rechten Maustaste auf den Ordner SITES, und wählen Sie den Standort aus, den Sie umbenennen möchten. 3. Klicken Sie ein weiteres Mal, oder klicken Sie mit der rechten Maustaste und wählen Sie im Kontextmenü UMBENENNEN aus. 4. Geben Sie den neuen Namen ein, und drücken Sie (Enter).
135
136
Kapitel 3
Eine Active Directory- Struktur aufbauen
Eine Umbenennung ist sinnvoll, wenn Sie Ihr Netzwerk reorganisieren, oder wenn sich die Verwendung eines entfernten Büros ändert. Sie ist auch dann sinnvoll, wenn ein Standort nicht länger benötigt wird. Standort löschen Auch das Löschen eines Standorts ist so einfach wie das Umbenennen. Vergewissern Sie sich vor dem Löschen des Standorts, dass er leer ist, da Sie anderenfalls Objekte verlieren werden. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch den Vorgang des Löschens.
SCHRITT FÜR SCHRITT 3.8
Standort löschen
1. Starten Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Öffnen Sie den Ordner SITES und wählen Sie den Standort aus, den Sie löschen möchten. 3. Drücken Sie (Entf) oder klicken Sie mit der rechten Maustaste, und wählen Sie im Kontextmenü LÖSCHEN. Sie erhalten nun ein Dialogfeld mit einer Rückfrage (siehe Abbildung 3.22). Abbildung 3.22 Ein Dialogfeld mit einer Rückfrage
4. Klicken Sie auf Ja, wenn Sie ganz sicher sind, dass Sie diesen Standort löschen möchten. Sie erhalten dann eine Warnung, die Sie darauf hinweist, dass ein Standort ein Container mit darin enthaltenen Objekten ist, und das Löschen des Standorts auch die Objekte löscht (siehe Abbildung 3.23). Abbildung 3.23 Dieses Dialogfeld warnt Sie davor, dass zusammen mit dem Standort auch die Objekte darin gelöscht werden.
5. Wählen Sie JA zum Abschluss des Löschvorgangs.
3.5 Im physischen Netzwerk
Es sei noch einmal darauf hingewiesen, dass Sie Standorte normalerweise nur im Zuge einer Reorganisation Ihres physischen Netzwerks löschen sollten. Neben dem Erstellen, Umbenennen und Löschen von Standorten sollten Sie noch in der Lage sein, die Eigenschaften der Standorte in Ihrem Netzwerk einzustellen. Standorteigenschaften Es gibt einige Eigenschaften für die von Ihnen in Active Directory erstellten Standorte, die in den folgenden Abschnitten beschrieben werden. Zum Einstellen dieser Eigenschaften klicken Sie mit der rechten Maustaste auf dem Standortnamen und wählen im Kontextmenü EIGENSCHAFTEN aus. Das Dialogfeld EIGENSCHAFTEN wird angezeigt (siehe Abbildung 3.24). Abbildung 3.24 Das Dialogfeld EIGENSCHAFTEN FÜR STANDORT
In den Registerkarten können Sie die folgenden Eigenschaften einstellen: 씰
STANDORT. Geben Sie in dieser Registerkarte eine Beschreibung des Standorts ein.
씰
DRUCKERSTANDORT. Hier können Sie den Druckerstandort eingeben.
씰
OBJEKT. Hiermit können Sie den vollen Namen des Objekts und weitere Details wie etwa sein Erstellungsdatum, anzeigen. In dieser Registerkarte stehen keine Eingabemöglichkeiten zur Verfügung.
137
138
Kapitel 3
Eine Active Directory- Struktur aufbauen
씰
SICHERHEITSEINSTELLUNGEN. Hier können Sie die Sicherheit für das Objekt in Active Directory einrichten. Standardmäßig erlaubt die Sicherheit Administratoren die Verwaltung des Standorts und anderen Benutzern das Lesen der Informationen.
씰
GRUPPENRICHTLINIE. Hiermit können Sie auf den Standort Gruppenrichtlinien anwenden und Richtlinien erstellen und bearbeiten.
Denken Sie daran, dass ein Standort als eine Gruppe von IP-Subnetzen definiert wird, die über Hochgeschwindigkeitsleitungen miteinander verbunden sind. Daher müssen Sie auch mit Subnetzen umgehen können.
3.5.2
Mit Subnetzen arbeiten
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Subnetze erstellen
Nachdem Sie nun Standorte erstellen und löschen können, müssen Sie sie mit Inhalten füllen. Im Wesentlichen besteht diese Aufgabe in der Frage, welche Subnetze in einen Standort gehören, und wie sie in Active Directory erstellt werden. Die einzelnen Entscheidungen über die Subnetze hängen vom Netzwerkdesign und davon ab, wie Sie den Ort dieser Objekte in Active Directory dann tatsächlich kontrollieren werden. Subnetze müssen hinzugefügt, gelöscht und zwischen Standorten verschoben werden. Darüber hinaus können Sie für sie wie für andere Objekte in Active Directory verschiedene Eigenschaften einstellen. Die nächsten Abschnitte zeigen, wie Sie diese Funktionen ausführen. Subnetz hinzufügen Das Hinzufügen von Subnetzen ist sehr einfach, wie Sie aus der folgenden Schrittfür-Schritt-Anleitung ersehen können.
SCHRITT FÜR SCHRITT 3.9
Subnetz in Active Directory erstellen
1. Starten Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS und wählen Sie NEUES SUBNETZ aus. 3. Geben Sie im Dialogfeld die IP-Adresse und Subnetzmaske eines Systems in diesem Subnetz ein.
3.5 Im physischen Netzwerk
4. Das System wandelt die Informationen automatisch in das Format Netzwerk/ Bits-Mask um (siehe Abbildung 3.25). Abbildung 3.25 Das Dialogfeld zum Hinzufügen von Subnetzen
5. Wählen Sie den Standort aus, dem Sie das Subnetz hinzufügen möchten, und klicken Sie dann auf OK. Subnetz löschen Das Löschen eines Subnetzes ist genauso einfach wie das Hinzufügen. Führen Sie dazu die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 3.10 Subnetz löschen 1. Starten Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS, und dann auf das zu löschende Subnetz. 3. Drücken Sie (Entf) oder wählen Sie LÖSCHEN im Kontextmenü. Daraufhin wird ein Dialogfeld mit einer Rückfrage angezeigt. 4. Klicken Sie zum Bestätigen der Löschung auf JA.
139
140
Kapitel 3
Eine Active Directory- Struktur aufbauen
Häufiger noch als das Löschen von Subnetzen kommt das Verschieben eines Subnetzes an einen anderen Standort vor. Es wird erforderlich, wenn sich das Netzwerk und damit auch die Verteilung der Benutzer und Server ändert. Subnetz verschieben Manchmal müssen Sie ein Subnetz auch verschieben, was der Fall sein kann, wenn das Netzwerk wächst oder die Bandbreite zwischen den Standorten vergrößert wird. Auch die Schritte zum Verschieben eines Subnetzes sind einfach und werden in der folgenden Schritt-für-Schritt-Anleitung demonstriert.
SCHRITT FÜR SCHRITT 3.11 Subnetz verschieben Abbildung 3.26 Das Verschieben eines Subnetzes ist mit dem Dialogfeld EIGENSCHAFTEN EINFACH
1. Starten Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Öffnen Sie den Ordner SUBNETS und klicken Sie das Subnetz an, welches Sie verschieben möchten. 3. Klicken Sie mit der rechten Maustaste, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3.6 Informationen in Active Directory replizieren
4. Wählen Sie im Dialogfeld EIGENSCHAFTEN (siehe Abbildung 3.26) auf der Registerkarte SUBNETZ im Listenfeld STANDORT den Standort aus, in den Sie das Subnetz verschieben möchten. 5. Klicken Sie zum Ausführen des Verschiebevorgangs auf OK. Das Verschieben eines Subnetzes ist in der Praxis eher selten und kommt nur dann vor, wenn das physische Netzwerk reorganisiert wird. In diesem Dialogfeld gibt es, wie Sie sehen, mehrere Registerkarten. Die folgende Liste enthält die Optionen dieser Registerkarten. 씰
SUBNETZ. Diese Registerkarte ermöglicht Ihnen die Eingabe einer Beschreibung für das Subnetz und seine Verschiebung in einen anderen Standort.
씰
DRUCKERSTANDORT. Hiermit können Sie einen Druckerstandort für das Subnetz eingeben.
씰
OBJEKT. Hiermit können Sie den vollen Namen des Objekts und weitere Details, wie etwa sein Erstellungsdatum, anzeigen. In dieser Registerkarte stehen keine Eingabemöglichkeiten zur Verfügung.
씰
SICHERHEITSEINSTELLUNGEN. Hier können Sie die Sicherheit für das Objekt in Active Directory einrichten. Standardmäßig erlaubt die Sicherheit Administratoren die Verwaltung des Standorts und anderen Benutzern das Lesen der Informationen.
Nachdem Sie die Standorte erstellt haben, können Sie nun die Domänencontroller in die Standorte verschieben und die Replikation zwischen den Standorten konfigurieren.
3.6
Informationen in Active Directory replizieren
Die Replikation ist ein Vorgang, mit dem Informationen von einem System in ein anderes System kopiert werden. Die Replikation ist in Windows 2000 ein außerordentlich wichtiger Vorgang, da Änderungen auf jedem Domänencontroller, nicht nur einem primären Domänencontroller wie unter Windows NT 4.0, geschehen können.
141
142
Kapitel 3
Eine Active Directory- Struktur aufbauen
Außer im Multimaster-Replikationsmodell für die Domänenobjekte gibt es noch zusätzliche Informationen, die ebenfalls im gesamten Unternehmen repliziert werden müssen. Diese Informationen werden im Folgenden beschrieben. Dieser Abschnitt betrachtet die Replikation von Active Directory und beginnt mit einem Überblick über ihre Arbeitsweise. Er erörtert die Besonderheiten der standortinternen Replikation mit einem Blick auf die Verbindungen. Anschließend wendet sich die Diskussion der Frage zu, wie Sie die Replikation zwischen Standorten kontrollieren können. Zum Schluss erhalten Sie noch eine Übersicht über die Konfiguration eines Servers für den globalen Katalog. 씰
Schemainformationen. Im Kapitel 1, »Grundlagen von Active Directory«, haben Sie gesehen, dass es sich bei den Schemainformationen um die eigentliche Struktur der Datenbank handelt, die alle Daten über die Objekte in Ihrem Unternehmen speichert. Vielleicht erinnern Sie sich noch daran, dass alle Domänen und daher auch alle Domänencontroller dasselbe Schema benutzen müssen, damit Active Directory korrekt funktionieren kann. Das Schema muss daher an alle Domänencontroller repliziert werden.
씰
Konfigurationsinformationen. Dies betrifft das Gesamtdesign des Unternehmens. Es beinhaltet die Domänen, deren Namen, und wie diese in die Hierarchie eingeordnet werden. Es beinhaltet außerdem weitere Informationen wie etwa die Replikationstopologie. Diese Informationen werden von allen Domänencontrollern benutzt und daher auch an alle von ihnen repliziert.
씰
Domänendaten. Dies sind Informationen, die Sie zusammen mit den Objekten speichern, aus denen Ihre Domäne besteht. All diese Informationen werden von den Domänencontrollern innerhalb einer Domäne repliziert. Die Server für den globalen Katalog im gesamten Unternehmen replizieren eine Untermenge dieser Informationen.
Wie Sie sehen, gibt es zwei Ebenen der Replikation. Es gibt eine Replikation innerhalb einer Domäne und eine, die von den Servern für den globalen Katalog gehandhabt wird. Die Replikation innerhalb einer Domäne wird primär von den Domänencontrollern gehandhabt. Diese Replikation erfasst grundsätzlich alle Objekte in der Domäne und alle ihre Attribute. Die Server für den globalen Katalog bearbeiten den anderen Replikationstyp. Mindestens ein Server für den globalen Katalog wird im Unternehmen benötigt. Außerdem sollte es noch einen Server für den globalen Katalog für jede Domäne und jeden Standort im Unternehmen geben.
3.6 Informationen in Active Directory replizieren
Der Server für den globalen Katalog ist für die folgenden Informationen verantwortlich: 씰
Die Schemainformationen für die Gesamtstruktur
씰
Die Konfigurationsinformationen für alle Domänen in der Gesamtstruktur
씰
Eine Untermenge der Eigenschaften aller Verzeichnisobjekte in der Gesamtstruktur (wird nur zwischen den globalen Katalogen repliziert)
씰
Alle Verzeichnisobjekte und deren Eigenschaften für die Domäne, in der sich der globale Katalog befindet
Nachdem Sie erfahren haben, was repliziert wird, werden Sie sich nun mit der Arbeitsweise der Replikation befassen.
3.6.1
Wie die Replikation funktioniert
Die Replikation basiert auf sog. USN (Update Sequence Number) in Active Directory. Die USN verfolgt für jeden Domänencontroller die Anzahl der Änderungen, die dieser an seiner Version des Verzeichnisses vorgenommen hat. Finden Änderungen statt, wird die aktuelle USN dem Objekt zugewiesen und die USN des Domänencontrollers inkrementiert. Jeder Domänencontroller überwacht seine eigene USN und die USNs seiner Replikationspartner. In periodischen Abständen (standardmäßig alle 5 Minuten) sucht der Server nach Änderungen bei seinen Replikationspartnern. Wenn er welche findet, fordert er die an, die seit der zuletzt bekannten USN des Partners stattgefunden haben. Der Partner kann dann alle Änderungen seit dieser USN senden. Ein Domänencontroller kann eine Zeitlang offline sein, ist anschließend jedoch schnell wieder aktuell. Allerdings gibt es an dieser Stelle folgende Gefahr: Nehmen Sie einmal an, dass ein Domänencontroller eine Aktualisierung empfängt. Er nimmt die Änderung vor, und aktualisiert seine USN. Der Domänencontroller, der die Änderung ursprünglich veranlasst hat, fordert nun die USN des Servers an, der die Änderung bekommen hat. Seine USN wird aktualisiert, und er fordert daher eine Aktualisierung an. Das System, welches die Änderung ausgelöst hat, erhält nun seine eigene Änderung wieder zurück. Vollzieht das System diese Aktualisierung und aktualisiert erneut seine USN, würde der ganze Kreislauf endlos weitergehen. Um dieses Szenario zu vermeiden, überwacht Active Directory die Anzahl der ursprünglichen Schreibvorgänge, die für jedes Attribut stattgefunden haben. Dabei wird nicht überwacht, wie viele Male ein Wert unter Einsatz der Replikation verän-
143
144
Kapitel 3
Eine Active Directory- Struktur aufbauen
dert wurde, sondern es wird verfolgt, wie oft ein Benutzer den Wert geändert hat. Im vorigen Fall würde daher das erste System, in dem die Änderung stattgefunden hat, erkennen, dass es den eigentlichen ursprünglichen Schreibwert besitzt, und daher keine Aktualisierung vornehmen. Weiterhin existiert noch die Möglichkeit, dass zwei verschiedene Benutzer dasselbe Attribut desselben Objekts zur selben Zeit auf zwei verschiedenen Controllern ändern. Bei Beginn der Replikation eines solchen Änderungsvorgangs würde ein Konflikt entdeckt werden, den Windows 2000 dadurch löst, dass es die Änderung mit dem neueren Zeitstempel (die jüngste Änderung) verwendet. Wurden die beiden Änderungen sogar zur selben Millisekunde vorgenommen, gewinnt die Änderung mit der höheren globalen, eindeutigen ID. Nachdem Sie jetzt die Theorie der Replikation betrachtet haben, werden Sie sich der Frage zuwenden, wie die Replikation innerhalb und zwischen Standorten konfiguriert wird.
3.6.2
Replikation innerhalb eines Standorts
Verwalten und Fehlerbehebung der Active Directory-Replikation 씰
Verwalten der standortinternen Replikation
Obwohl es nur wenig gibt, was Sie bei einer standortinternen Replikation tun müssen, sollten Sie doch genau verstanden haben, wie sie und die darin eingebundenen Komponenten funktionieren. Gleichzeitig stellt dies die Basis für das Verständnis der standortübergreifenden Replikation dar. Die Replikation innerhalb eines Standorts wird von Active Directory übernommen – es gibt keine Notwendigkeit von Ihrer Seite her einzugreifen. Der KnowlegdeKonsistenzprüfer (Knowledge Consistency Checker, KCC) ermittelt die Domänencontroller im Standort und erstellt automatisch eine Replikationstopologie. Allgemein gesprochen, konfiguriert der KCC die Verbindungen so, dass jeder Domänencontroller zusammen mit mindestens zwei weiteren Domänencontrollern repliziert. Der KCC passt die Replikationstopologie automatisch Änderungen der Netzwerkbedingungen an. Auch beim Hinzufügen oder Entfernen (oder auch nur Verschieben) von Domänencontrollern stellt der KCC sicher, dass jeder Domänencontroller zusammen mit mindestens zwei anderen repliziert. Innerhalb eines Standorts setzt die Replikation keine Kompression ein, und in manchen Fällen (wie etwa einem Kennwortwechsel) wird die Replikation unmittelbar durchgeführt. Die Replikation innerhalb eines Standorts verläuft unkompliziert – Sie haben nichts weiter zu tun. Der KCC erledigt die meiste Arbeit für Sie, indem er Verbindungsobjekte erstellt, die alle Ihre Server untereinander verbinden.
3.6 Informationen in Active Directory replizieren
3.6.3
Verbindungsobjekte
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Verbindungsobjekte erstellen
Verbindungsobjekte dienen als Rückgrat der Replikation und definieren Netzwerkpfade, über die die Replikation ablaufen kann. Sie müssen wissen, welche es sind, und wie sie definiert sind. Außerdem müssen Sie in der Lage sein, sie selbst zu definieren. Der KCC handhabt im Wesentlichen die Replikation innerhalb eines Standorts, indem er Verbindungsobjekte zwischen den verschiedenen Domänencontrollern im Standort erstellt. Der KCC erstellt außerdem nach Bedarf Verbindungsobjekte zwischen den Standorten. Eine Verbindung ist ein dauerhafter oder temporärer Netzwerkpfad, der für die Replikation benutzt werden kann. Die Verbindungsobjekte in einem Standort erstellen Sie normalerweise nicht selbst. Es wird vorausgesetzt, dass alle Pfade zwischen Servern die gleiche Geschwindigkeit bieten und KCC daher in der Lage sein wird, Verbindungsobjekte zu erstellen. Sie können innerhalb eines Standorts Verbindungen erstellen. Sie können außerdem die von KCC erstellten Verbindungen zwar bearbeiten, müssen dabei jedoch Vorsicht walten lassen. Eine Verbindung, die Sie selbst erstellen, wird niemals von KCC ausgewertet und auch niemals außer von Ihnen selbst gelöscht. Dies kann zu Problemen führen, wenn Ihr Netzwerk sich ändert und Sie vergessen, die von Ihnen erstellte Verbindung zu entfernen. In Fällen, in denen Sie die Verbindung bearbeiten, die KCC erzeugt hat, gehen die Änderungen verloren, sobald KCC die Verbindungen wieder aktualisiert. Der Hauptgrund, aus dem Sie ein Verbindungsobjekt erstellen würden, besteht darin, dass Sie die Server zur Verknüpfung der Standorte selbst festlegen möchten. Diese sog. Bridgehead-Server (Brückenkopf-Server) bilden das eigentliche Rückgrat der Replikation über eine Standortverknüpfung. Führen Sie zum Erstellen eines Verbindungsobjekts nun die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 3.12 Verbindungsobjekt manuell erstellen 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie den Ordner SITES und dann den Standort ein, für den Sie eine Verknüpfung erstellen möchten.
145
146
Kapitel 3
Eine Active Directory- Struktur aufbauen
3. Blenden Sie den Ordner SERVERS für den Standort ein, und dann den Server, der zum Bestandteil der Verknüpfung werden soll. 4. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS, und wählen Sie NEUE ACTIVE DIRECTORY-VERBINDUNG im Kontextmenü aus. 5. Wählen bzw. suchen Sie im angezeigten Dialogfeld den Server aus, für den Sie die Verknüpfung erstellen möchten, und klicken Sie auf OK. Verbindungsobjekte stellen, wie Sie gesehen haben, die Netzwerkpfade für die Replikation zur Verfügung. Dies gilt sowohl für Verbindungen innerhalb als auch zwischen zwei Standorten.
3.6.4
Replikation zwischen Standorten
Verwalten und Fehlerbehebung der Active Directory-Replikation 씰
Verwalten der standortübergreifenden Replikation
Die Fähigkeit zum Verwalten der standortübergreifenden Replikation ist für Administratoren in Windows-2000-Netzwerken entscheidend. Ohne diese Fähigkeit könnte eine Replikation leicht die WAN-Verbindungen überlasten und Windows 2000 Active Directory unkontrollierbar machen. Die Replikation zwischen Standorten wird gegenüber der Replikation innerhalb eines Standorts komprimiert. Innerhalb eines Standorts setzt Active Directory eine Hochgeschwindigkeitsverbindung voraus und nimmt aus Gründen der Zeitersparnis keine Komprimierung vor. Die Bandbreite zwischen Standorten jedoch wird als geringer eingestuft; Active Directory nimmt daher eine Komprimierung der zwischen den Standorten übertragenen Daten vor. Active Directory ermöglicht darüber hinaus eine Zeitplanung für die standortübergreifende Replikation, sodass diese nur zu geplanten Zeitpunkten stattfindet. Während dieser Zeiträume steht Ihnen immer noch die Gelegenheit zur Verfügung, den Replikationsintervall abzuändern. Bevor Sie dies jedoch tun können, müssen Sie einen Domänencontroller in einen anderen Standort verschieben. Anschließend können Sie dann eine Verbindung zwischen diesem Domänencontroller und einem weiteren in einem anderen Standort erstellen. Da die Replikation zwischen Domänencontrollern stattfindet, müssen Sie Domänencontroller dem Standort hinzufügen, zu dem sie physisch gehören. Auch Clients innerhalb eines Standorts suchen nach einem Domänencontroller im Standort, an dem sie sich anmelden können. Indem Sie daher einen Domänencontroller zu dem Standort verschieben, verringern Sie die Anmeldezeiten und damit auch die Belastung des Netzwerks.
3.6 Informationen in Active Directory replizieren
Domänencontroller verschieben Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Serverobjekte zwischen Standorten verschieben
Die Kontrolle der Replikation und die Gewährleistung dessen, dass sich die Benutzer innerhalb eines angemessenen Zeitraums am Netz anmelden können, verlangt von Ihnen, dass Sie Domänencontroller in der Nähe der Benutzer stationieren. Dies bedeutet, dass Sie gelegentlich Domänencontroller zwischen Standorten verschieben werden. Der Zweck eines Standorts besteht darin, die Replikation zwischen den Domänencontrollern und durch langsame Netzwerkverbindungen hindurch zu unterstützen. Zusätzlich zum Erstellen des Standorts und dem Hinzufügen von Subnetzen zu diesem Standort müssen Sie außerdem noch Domänencontroller in den Standort verschieben können. Führen Sie zum Verschieben von Domänencontrollern die folgenden einfachen Schritte aus.
SCHRITT FÜR SCHRITT 3.13 Domänencontroller verschieben 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie den Ordner SITES ein, und blenden Sie dann den Standort ein, in dem sich der Server gegenwärtig befindet. 3. Blenden Sie im Standort den Ordner SERVERS ein. 4. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie im Kontextmenü VERSCHIEBEN aus. 5. Wählen Sie im Dialogfeld (siehe Abbildung 3.27) das Zielsubnetz aus, und klicken Sie auf OK. Das Verschieben eines Domänencontrollers zu einem Standort ist Teil des Erstellens und Verwaltens von Standorten in Active Directory. Jetzt, wo Sie Domänencontroller an verschiedene Standorte verschoben haben, müssen Sie zwischen den Standorten noch eine Standortverknüpfung erstellen. Damit wird der Pfad erstellt, über den die Replikation zu diesem Standort später stattfindet.
147
148
Kapitel 3
Eine Active Directory- Struktur aufbauen
Abbildung 3.27 Wählen Sie das Zielsubnetz für den Server aus, und klicken Sie auf OK
Standorte verknüpfen Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Standortverknüpfungen erstellen
Der Schlüssel zur Kontrolle der Replikation ist das Erstellen von Standorten. Standorte ermöglichen Ihnen wiederum das Erstellen von Standortverknüpfungen, mit denen Sie die Existenz von Verknüpfungen überprüfen und steuern, wie oft die Replikation während der Verfügbarkeit der Verknüpfung stattfinden kann. Mehrere Standortverknüpfungen können auch genutzt werden, um verschiedene Replikationszeitpläne zu erstellen oder einfach redundante Verbindungen zu unterstützen, die dann über Kostenwerte gesteuert werden. Jetzt, wo Sie Domänencontroller an verschiedene Standorte verschoben haben, müssen Sie zwischen den Standorten noch eine Standortverknüpfung erstellen. Damit wird der Pfad erstellt, über den die Replikation zu diesem Standort dann stattfindet. Über das Erstellen und Konfigurieren von Standortverknüpfungen liefern Sie KCC die Informationen darüber, welche Verbindungsobjekte erstellt werden müssen, um die Verzeichnisdaten replizieren zu können. Standortverknüpfungen zeigen an, wo Verbindungsobjekte erstellt werden müssen. Sie nutzen zum Austausch der Verzeichnisinformationen das Netzwerk. Führen Sie zum Erstellen einer Standortverknüpfung die folgenden allgemeinen Schritte aus.
3.6 Informationen in Active Directory replizieren
SCHRITT FÜR SCHRITT 3.14 Standortverknüpfung erstellen 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie die Ordner SITES und INTER-SITE TRANSPORTS ein. 3. Klicken Sie mit der rechten Maustaste in Abhängigkeit vom von Ihnen eingesetzten Protokoll (siehe dazu die nachfolgende Erörterung über die Protokolle) auf den Ordner IP oder SMPT und wählen Sie im Kontextmenü NEUE STANDORTVERKNÜPFUNG aus. 4. Geben Sie im Feld NAME einen Namen für die Standortverknüpfung ein. Wählen Sie in der Liste STANDORTE AUSSERHALB DIESER STANDORTVERKNÜPFUNG den Standort aus, mit dem die Verknüpfung hergestellt wird, und klicken Sie auf die Schaltfläche HINZUFÜGEN. Klicken Sie auf OK, wenn Sie fertig sind. Beim Erstellen von Standortverknüpfungen haben Sie die Wahl unter entweder IP oder SMTP als Transportprotokoll für die Standortverknüpfung. 씰
SMTP-Replikation. SMTP kann nur für die Replikation über Standortverknüpfungen verwendet werden. SMTP ist ein asynchrones Protokoll, was bedeutet, dass es Zeitsteuerungen ignoriert. Denken Sie bei der Wahl von SMTP über Standortverknüpfungen auch daran, dass Sie eine unternehmensweite Zertifizierungsstelle installieren und konfigurieren müssen. Die Zertifizierungsstelle signiert die SMTP-Nachrichten, die zwischen den Domänencontrollern ausgetauscht werden, und gewährleistet die Authentizität der Verzeichnisaktualisierungen.
HINWEIS Eigenes Zertifikat erstellen Falls Sie keine Authentifizierung mit externen Systemen herstellen müssen, können Sie zum Erstellen des Zertifikats auch den zusammen mit Windows 2000 ausgelieferten Zertifikatsserver verwenden. 씰
IP-Replikation. Die IP-Replikation verwendet für die Replikation Remoteprozeduraufrufe (RPC, Remote Procedure Call),was sowohl für standortübergreifende wie auch standortinterne Replikationen gleich ist.
Nach dem Erstellen der Standortverknüpfung können Sie zurückgehen und die restlichen Eigenschaften der Standortverknüpfung erstellen. Dazu lokalisieren Sie die Standortverknüpfung im IP- oder SMTP-Ordner und zeigen die Eigenschaften der Verknüpfung an.
149
150
Kapitel 3
Eine Active Directory- Struktur aufbauen
Die Registerkarte ALLGEMEIN im Dialogfeld EIGENSCHAFTEN stellt die Eigenschaften der Standortverknüpfung ein. Es gibt auch die Registerkarten OBJEKT und SICHERHEIT, die den bereits weiter oben besprochenen Registerkarten entsprechen. Im Folgenden erfahren Sie, welche Eigenschaften Sie konfigurieren können: 씰
BESCHREIBUNG. Dies ist die Beschreibung der Verknüpfung zu Ihrer Information.
씰
STANDORTE IN DIESER STANDORTVERKNÜPFUNG. Dieser Bereich kann dazu verwendet werden, einer Standortverknüpfung Standorte hinzuzufügen oder von dort zu entfernen.
씰
KOSTEN. Dies ist ein relativer Wert, der von Active Directory dazu verwendet wird, die Route beim Replizieren der Informationen festzulegen. Die günstigste verfügbare Route basiert auf den Gesamtkosten, die für zwei Standorte leicht zu ermitteln sind. Falls die Standorte jedoch nicht direkt miteinander verbunden sind, werden sämtliche Standortkombinationen, die beide Standorte verknüpfen, ausgewertet und die Gesamtkosten aller Standorte miteinander verglichen.
씰
REPLIZIEREN ALLE. Dies ist das Intervall, mit dem die Replikation über diese Verknüpfung stattfindet.
씰
ZEITPLAN ÄNDERN. Mit dieser Schaltfläche können Sie einstellen, wann die Standortverknüpfung für die Replikation zur Verfügung steht. Die Replikation findet während des Zeitraums der Verfügbarkeit der Verknüpfung mit einer Häufigkeit statt, die durch dieses Intervall festgelegt wird.
Standortverbinder bieten die Flexibilität an, die Sie für den Umgang mit dem physischen Netzwerk innerhalb einer Domäne brauchen. In manchen Fällen werden Sie noch die Server kontrollieren wollen, die für die Replikation verwendet werden. Zu diesem Zweck müssen Sie einen Bridgehead-Server konfigurieren können. Bridgehead-Server Ein Bridgehead-Server ist der für die standortübergreifende Replikation eingesetzte Hauptserver. Sie können einen solchen Server für jeden von Ihnen erstellten Standort und mit jedem standortübergreifenden Replikationsprotokoll konfigurieren. Dadurch haben Sie die Möglichkeit festzulegen, welcher Server in einem Standort zur Replikation von Informationen an andere Server eingesetzt wird. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch die Konfiguration eines BridgeheadServers.
3.6 Informationen in Active Directory replizieren
SCHRITT FÜR SCHRITT 3.15 Server als Bridgehead-Server konfigurieren 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE den Ordner SITES ein.
UND
-DIENSTE und blenden Sie
2. Blenden Sie den Standort ein, in dem Sie einen Bridgehead-Server erstellen möchten, und blenden Sie anschließend den Ordner SERVERS ein. 3. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 4. Wählen Sie unter INTER-SITE TRANSPORTS das oder die Protokolle aus, für welche dieser Server ein Bridgehead werden soll, und klicken Sie auf HINZUFÜGEN. 5. Klicken Sie auf OK zur Übernahme der EIGENSCHAFTEN und schließen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Mit der Konfiguration eines Servers als Bridgehead-Server erlangen Sie größere Kontrolle über die Ressourcen, die zwischen zwei Standorten oder in Fällen, in denen z.B. eine Standortverknüpfungsbrücke zwischen mehreren Standorten besteht, verwendet werden. Standortverknüpfungsbrücken Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory. 씰
Standortverknüpfungsbrücken erstellen
In vielen Fällen brauchen Sie mit Standortverknüpfungsbrücken überhaupt nicht umzugehen, weil standardmäßig alle Standortverknüpfungen automatisch überbrückt sind; eine Eigenschaft, die unter der Bezeichnung transitive Standortverknüpfungen bekannt ist. In anderen Fällen möchten Sie unter Umständen die Kontrolle darüber erlangen, durch welche Standorte die Daten fließen sollen. In solchen Fällen müssen Sie Standortverknüpfungsbrücken erstellen. Standardmäßig sind alle Standortverknüpfungen, die Sie erstellen, wechselseitig überbrückt, was den Standorten die Kommunikation miteinander ermöglicht. Sollte dies wegen der Struktur des Netzwerks physisch nicht möglich sein, müssen Sie die automatische Überbrückung abschalten und eigene Standortverknüpfungsbrücken erstellen. Betrachten Sie als Beispiel einmal die Abbildung 3.28. Sie sehen drei Standorte (1, 2 und 3), die direkt miteinander verbunden sind; ein Fall, in dem die automatische Überbrückung gut funktioniert. Allerdings ist der Standort 4 über eine lang-
151
152
Kapitel 3
Eine Active Directory- Struktur aufbauen
same Leitung angebunden, weshalb Sie keine Replikation dieses Standorts mit den anderen Standorten wünschen. In diesem Fall möchten Sie dagegen, dass Standort 4 nur mit Standort 1 repliziert. Abbildung 3.28 Ein Netzwerkbeispiel, in dem die automatische Überbrückung problematisch sein kann
Router
Standort 1
Verbindung mit 256 K
Router
Standort 4
Router
Standort 2
Standort 3
Um das Problem zu lösen, müssen Sie die automatische Überbrückung abschalten. Anschließend erstellen Sie eine Standortverknüpfung, die die drei Standorte enthält, die direkt miteinander verbunden sind. Sie erstellen weiterhin eine zweite Standortverknüpfung zwischen Standort 1 und 4, und erstellen dann eine Standortverknüpfungsbrücke, damit Active Directory Informationen von den Standorten 2 und 3 über Standort 4 zum Standort 1 und umgekehrt verschieben kann. Führen Sie zum Abschalten der automatischen Überbrückung die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 3.16 Transitive Standortverknüpfungen (automatische Überbrückung) abschalten 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie den Ordner SITES und dann INTER-SITE TRANSPORTS ein. 3. Klicken Sie mit der rechten Maustaste auf den Transport, den Sie für die automatische Überbrückung abschalten möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN (siehe Abbildung 3.29). 4. Deaktivieren Sie auf der Registerkarte ALLGEMEIN das Kontrollkästchen BRÜCKE ZWISCHEN ALLEN STANDORTVERKNÜPFUNGEN HERSTELLEN, und klicken Sie auf OK.
3.6 Informationen in Active Directory replizieren
Abbildung 3.29 Das Dialogfeld für die standortübergreifenden Transporteigenschaften
Auf der Registerkarte ALLGEMEIN werden Sie bemerken, dass es noch eine Option zum Ignorieren aller Zeitpläne gibt. Diese Option wird nur dazu verwendet, Änderungen unabhängig davon zu erzwingen, ob die Replikation gegenwärtig zeitplangesteuert ist oder nicht. Nachdem Sie sichergestellt haben, dass transitive Standortverknüpfungen existieren (d.h., dass die automatische Überbrückung abgeschaltet ist), müssen Sie die Standortverknüpfungsbrücke(n) erstellen. Dieser Vorgang wird in der folgenden Anleitung demonstriert.
SCHRITT FÜR SCHRITT 3.17 Standortverknüpfungsbrücke erstellen 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie den Ordner SITES und dann INTER-SITE TRANSPORTS ein. 3. Klicken Sie mit der rechten Maustaste auf den Transport, den Sie verwenden möchten, und wählen Sie dann im Kontextmenü NEUE STANDORTVERKNÜPFUNGSBRÜCKE aus. 4. Geben Sie im Eingabefeld NAME einen Namen für die Standortverknüpfungsbrücke ein.
153
154
Kapitel 3
Eine Active Directory- Struktur aufbauen
5. Wählen Sie in der Liste STANDORTVERKNÜPFUNGEN AUSSERHALB DIESER STANDORTVERKNÜPFUNGSBRÜCKE die Standortverknüpfungen aus, die Sie hinzufügen möchten. Entfernen Sie zusätzliche Standortverknüpfungen im Feld STANDORTVERKNÜPFUNGEN IN DIESER STANDORTVERKNÜPFUNGSBRÜCKE. Klicken Sie auf OK, wenn die gewünschten Standortverknüpfungen hinzugefügt sind. Bis hierhin haben Sie sich mit der Replikation der Domäneninformationen befasst. Sie müssen darüber hinaus auch noch die Replikation des Schemas, der Konfigurationspartitionen und des globalen Katalogs ins Auge fassen. Erledigt werden diese Vorgänge vom Server, der als Globaler Katalog-Server definiert ist
3.6.5
Server für den globalen Katalog
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory. 씰
Server für den globalen Katalog erstellen
Abbildung 3.30 Über die NTDSEigenschaften können Sie einen Server als Server für den globalen Katalog festlegen
Server für den globalen Katalog stellen grundlegende Informationen zur Verfügung, die zum Zusammenschmieden aller Bestandteile von Active Directory verwendet werden. Die Server für den globalen Katalog gewährleisten, dass die Schema- und Konfigurationsinformationen an alle Domänen verteilt werden, bearbeiten die uni-
Fallstudie: Active Directory installieren und konfigurieren
versellen Gruppenmitgliedschaften und stellen darüber hinaus eine Methode zum Suchen nach Objekten in Active Directory zur Verfügung. Am Beginn der Diskussion weiter oben über die Replikation haben Sie erfahren, dass die Server für den globalen Katalog miteinander replizieren. Diese Replikation findet so statt, als ob sich alle Server für den globalen Katalog innerhalb derselben Domäne befänden, und KCC die Replikation kontrollieren würde. Ihre eigene einzige Wahl besteht in der Festlegung, ob ein Domänencontroller ein Server für den globalen Katalog wird oder nicht. Die folgende Anleitung demonstriert, wie ein Domänencontroller zu einem Server für den globalen Katalog gemacht wird.
SCHRITT FÜR SCHRITT 3.18 Server als Server für den globalen Katalog konfigurieren 1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie den Ordner SITES und den Standort ein, an dem sich der Server befindet. Blenden Sie den Ordner SERVERS und anschließend den Server ein. 3. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS und wählen Sie im Kontextmenü EIGENSCHAFTEN aus (siehe Abbildung 3.31). 4. Falls der Server ein Server für den globalen Katalog werden soll, vergewissern Sie sich, dass das Kontrollkästchen GLOBALER KATALOG aktiviert ist. Anderenfalls deaktivieren Sie dieses Kontrollkästchen. Klicken Sie auf OK. Einer der wichtigsten Jobs eines Administrators besteht darin, die Verzeichnisinformationen aktuell zu halten und sicherzustellen, dass alle Domänencontroller korrekte Informationen besitzen. Eben dies wird durch die Replikation ermöglicht. Die Abschnitte oben haben Ihnen diese sowohl für Ihre Prüfung als auch Ihre berufliche Praxis entscheidende Tatsache sicher nähergebracht.
Fallstudie: Active Directory installieren und konfigurieren Das Wichtigste im Überblick Es gibt hier einige Punkte, die Sie bei der Betrachtung dieses Falles beachten müssen: 씰
Einige der physischen Orte haben nur eine einzige Verbindung zu einem anderen Ort. Es wird daher wohl die eine oder andere Form einer zweiten Verbindung benötigt.
155
156
Kapitel 3
Eine Active Directory- Struktur aufbauen
씰
Einige der Orte sind recht groß und brauchen wahrscheinlich mehrere Controller. Diese Orte benötigen wohl auch mehrere Standorte.
씰
Um sicherzustellen, dass eine Suche nach Objekten rund um den Globus herum möglich ist, und Benutzer sich an jedem beliebigen Punkt anmelden können, sind an jedem Standort Server für den globalen Katalog erforderlich.
씰
Da die Domänen nicht nach der Geografie, sondern nach der Funktion aufgeteilt sind, benötigt jeder Standort mindestens einen Domänencontroller für jede Domäne.
씰
Die Gesamtgröße jeder Domäne ist vergleichsweise gering. Da es nur wenig Veränderungen bei den Mitarbeitern und seltene Kennwortwechsel gibt, wird der Replikationsaufwand minimal sein.
씰
Da es Domänencontroller in jeder Domäne gibt, die lokal zum Ort sind, können die Benutzer Änderungen vornehmen, die ihren lokalen Bedingungen entsprechen. Dies bedeutet, dass die Replikation nicht sofort stattfinden muss.
Situationsbeschreibung In diesem Kapitel haben Sie einen Blick auf die physische und logische Struktur von Active Directory geworfen. Darüber hinaus haben Sie erfahren, wie Sie den Domänencontroller und die untergeordneten Domänen installieren, und wie Sie außerdem eine weitere Struktur in der Gesamtstruktur installieren. Das andere hier erörterte Hauptthema betrifft die Replikation. Sie haben nun sicher die drei Hauptbestandteile von Active Directory verstanden: Schema, Konfiguration und Domäne. Weiterhin haben Sie ein Verständnis dafür entwickelt, wie diese Teile repliziert werden. Von den vorigen Fallstudien her erinnern Sie sich sicher noch, dass die Sonnenschein-Brauerei auf 15 verschiedene Städte auf der ganzen Welt aufgeteilt ist, von denen einige über mehrere Standorte verfügen. Außerdem wissen Sie noch, dass die Domänenstruktur wegen der völlig unterschiedlichen Anforderungen der weltweiten Benutzer entlang der Berichtslinien und nicht der Geografie aufgebaut wurde. Nun wird es Zeit, dass Sie dies alles in einem Beispiel aus der Praxis implementieren und die Herausforderungen und Fragen erwägen, die sich aus einer solchen Situation ergeben.
Fallstudie: Active Directory installieren und konfigurieren
Das Szenario ist recht einfach. Als Erstes müssen Sie eine Active DirectoryStruktur erstellen, die den ganzen Globus umspannt. Dann müssen Sie gewährleisten, dass die Replikation alle Domänen aller Standorte aktuell halten kann, ohne die zwischen den Standorten verfügbare Bandbreite zu überlasten. Unter Berücksichtigung dieser Voraussetzungen und des generellen Zwecks des Netzwerks präsentiert die folgende Analyse eine Lösung für dieses Szenario.
Situationsbeschreibung Beim Betrachten des geschilderten Szenarios fallen zunächst einige Schlüsselfaktoren auf, von denen die Analyse bestimmt wird. Als Erstes müssen Sie die Replikation sicherstellen. Diese muss in der Tat nicht schneller als die Zeit verlaufen, die ein Benutzer braucht, um physisch von einem Büro ins andere zu wechseln. Gehen wir einmal davon aus, dass die kürzeren Distanzen wie etwa von Victoria nach Los Angeles oder von Ottawa nach New York oder von Paris nach London innerhalb einer Flugstunde zu erledigen sind. Daraus ergibt sich, dass Sie eine Replikation anpeilen sollten, die zwischen den Hauptbüros alle 3 Stunden und entsprechend länger zwischen den übrigen Orten wie etwa zwischen Kapstadt und Buenos Aires stattfindet. Eine andere Erwägung im Hinblick auf die Replikation betrifft die Tatsache, dass nicht alle Orte über eine zweite Verbindung zu einem anderen Ort verfügen und daher isoliert werden könnten, wenn die Hauptverbindung einmal ausfallen sollte. Damit die Replikation in solchen Fällen nicht behindert wird, müssen sekundäre Standortverknüpfungen konfiguriert werden, die das Internet und ein VPN (Virtual Private Network) oder SMTP als standortübergreifenden Transport nutzen. SMTP kann deshalb in Betracht gezogen werden, weil der Zertifikatsserver für Sie ein Zertifikat erstellen kann, womit aber nur die Replikation erledigt wird. Da Sie jedoch wegen des möglichen Ausfalls der Hauptleitung ggf. auch noch anderen Datenverkehr bewältigen wollen, macht das VPN mehr Sinn. Damit bleibt nur noch die standortinterne Replikation innerhalb eines Standorts übrig. Sie erledigen dies recht einfach dadurch, dass Sie alle Standorte innerhalb eines Ortes dieselbe Standortverknüpfung verwenden lassen. Pro Ort wird es daher eine Standortverknüpfung geben. Die Replikation innerhalb des Standorts findet unter Verwendung der Standards statt. An jedem Ort wird ein Standort erstellt, der die Orte miteinander verbindet.
157
158
Kapitel 3
Eine Active Directory- Struktur aufbauen
Diese Standorte stellen dann wiederum einen Bestandteil einer Standortverknüpfung mit mindestens einem anderen Standort, der das Netzwerk nutzt, und zwei weiteren Standorten dar, die entweder das Netzwerk oder einen VPNAnschluss nutzen. Wenn Standortverknüpfungen konfiguriert werden, die VPNs nutzen, werden die Kosten auf den doppelten Wert der größten mit dem Netzwerk verbundenen Standortverknüpfung eingestellt. Zur Kontrolle der Replikation sind 3 Stunden als Intervall am Tag für die Standorte, die über T1-Leitungen miteinander verbunden sind, vorgesehen. Für jeden Standort, der nur stündlich in der Nacht repliziert, wird eine andere Standortverknüpfung erstellt. Die Zeitplanung für andere Verbindungsarten hängt von dieser Zeitplanung für die T1-Leitungen ab.
Zusammenfassung Dieses Kapitel hat Ihnen die Gelegenheit geboten, anhand eines praktischen Beispiels mit Active Directory zu arbeiten. Wie Sie gesehen haben, basiert die Struktur von Active Directory grundsätzlich auf den zwei Komponenten des logischen und physischen Designs. Das logische Design besteht aus den Organisationseinheiten, mit denen die Verwaltung der Domänen unterteilt wird, den Domänen, die den Stamm und die Verzweigungen einer Struktur bilden, sowie den Strukturen, aus denen die Gesamtstrukturen bestehen. Weiterhin gibt es das physische Design, welches das Unternehmen zur Grundlage nimmt, um eine Aufteilung in Netzwerke mit Hochgeschwindigkeitsverbindungen vorzunehmen. Auf der physischen Seite gibt es Standorte, aus denen das Netzwerk besteht, sowie einen Knowledge-Konsistenzprüfer, der sämtliche Standortverknüpfungen, die die Verbindungen für die Replikationstopologie darstellen, überwacht. Sie haben die Wahl, entweder Ihre eigenen Verbindungen zu erstellen oder die Replikationstopologie Ihren eigenen Standortverknüpfungsbrücken anzupassen. Alle diese Dinge dienen Ihnen dazu, die Replikation all Ihrer Objekte in der Domäne sicherzustellen. Darüber hinaus müssen Sie noch Server für den globalen Katalog erstellen, normalerweise einen pro Standort und einen pro Domäne. Diese Server für den globalen Katalog replizieren unternehmensweite Informationen wie etwa den globalen Katalog (eine Liste der Objekte in allen Domänen mit einer Untermenge ihrer Attribute), das Schema und die Konfigurationsinformationen.
Lernzielkontrolle
Später, im Kapitel 4, »Active Directory-Dienste verwalten«, werden Sie sehen, wie Sie Objekte in Active Directory erstellen und verwalten. In Kapitel 5, »Server verwalten«, erfahren Sie außerdem, wie Sie mit den Servern und Rollen, die einige von ihnen übernehmen, umgehen. Schlüsselbegriffe 쎲
dcpromo
쎲
Standort
쎲
Domänenpartition
쎲
Standortverknüpfungen
쎲
Gesamtstruktur
쎲
Standortverknüpfungsbrücken
쎲
Knowledge-Konsistenzprüfer
쎲
Struktur
쎲
Konfigurationspartition
쎲
Subnetz
쎲
NTFS
쎲
Untergeordnete Domäne
쎲
RAS
쎲
Ursprünglicher Schreibwert
쎲
Remoteprozeduraufruf
쎲
USN (Update Sequence Number)
쎲
Schemapartition
쎲
Verbindungsobjekte
쎲
SMTP (Simple Mail Transfer Protocol)
Lernzielkontrolle Übungen Bei den folgenden Übungen benötigen Sie mindestens zwei PCs, mit denen Sie arbeiten können. Beide Computer werden einige Male herauf- und wieder herabgestuft, sodass Sie, falls sie wichtige Daten enthalten, diese besser vorher sichern sollten. 3.1
DNS-Server vorbereiten
In dieser Übung werden Sie eine primäre DNS-Standardzone erstellen, die für die folgenden Übungen verwendet wird. Die Übung setzt voraus, dass Sie ein System mit Windows-2000-Server oder Advanced Server mit installiertem DNS-Server haben. Falls dies nicht der Fall sein sollte, lesen Sie im Kapitel 2, »DNS für Active Directory konfigurieren«, nach, wie DNS installiert wird.
159
160
Kapitel 3
Eine Active Directory- Struktur aufbauen
Geschätzte Zeit: 10 Minuten 1. Wählen Sie über das Startmenü PROGRAMME/VERWALTUNG/DNS aus. 2. Blenden Sie Ihren lokalen Server ein, und klicken Sie auf FORWARDLOOKUPZONEN. 3. Klicken Sie mit der rechten Maustaste auf FORWARD-LOokupzonen und wählen Sie im Kontextmenü NEUE ZONE aus. 4. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. Wählen Sie anschließend PRIMÄR (STANDARD) aus, und klicken Sie auf WEITER. 5. Geben Sie als Domänennamen W2KBrewing.com ein, und klicken Sie auf WEITER. 6. Überprüfen Sie im nächsten Bildschirm des Assistenten, ob der Dateiname W2KBrewing.com.dns lautet, und klicken Sie auf WEITER. 7. Klicken Sie zum Fertigstellen der Zone auf FERTIG STELLEN. 8. Blenden Sie FORWARD-LOOKUPZONEN ein, und klicken Sie auf W2KBrewing.com. 9. Klicken Sie mit der rechten Maustaste auf W2KBrewing.com, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 10. Wählen Sie im Listenfeld DYNAMISCHE AKTUALISIERUNG ZULASSEN? JA aus. Klicken Sie auf OK und schließen Sie den DNS-Manager. 11. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 12. Klicken Sie mit der rechten Maustaste auf die LAN-Verbindung und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 13. Klicken Sie zweimal auf INTERNET-PROTOKOLL (TCP/IP) und stellen Sie sicher, dass der Eintrag für Ihren primären DNS-Server Ihre IP-Adresse enthält (Tipp: Ihre IP-Adresse sollte der darüber angezeigten IP-Adresse entsprechen). 14. Klicken Sie zum Schließen der TCP/IP-Eigenschaften auf OK, und klicken Sie ein weiteres Mal auf OK, um die Verbindungseigenschaften zu schließen. Schließen Sie die Netzwerkumgebung. 3.2
Stammdomänencontroller installieren
Nachdem der DNS-Server für die Zusammenarbeit mit Active Directory konfiguriert worden ist (d.h., er unterstützt SRV-Einträge und lässt dynamische Aktualisierungen zu), können Sie Active Directory installieren. Die folgende Übung setzt
Lernzielkontrolle
voraus, dass das Laufwerk, auf dem Windows 2000 installiert ist, ein NTFS-Laufwerk ist. Falls nicht, wandeln Sie es mit dem Befehl convert in NTFS um. Geschätzte Zeit: 20 Minuten 1. Wählen Sie im Startmenü AUSFÜHREN aus, und geben Sie dcpromo ein. 2. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum Installieren von Active Directory weiterzuschalten. 3. Wählen Sie Domänencontroller für eine neue Domäne aus, und klicken Sie anschließend auf WEITER. 4. Wählen Sie EINE NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie dann auf WEITER. 5. Wählen Sie NEUE GESAMTSTRUKTUR LEN aus, und klicken Sie auf WEITER.
AUS
DOMÄNENSTRUKTUREN
ERSTEL-
6. Geben Sie als den vollen DNS-Namen für die Domäne W2KBrewing.com ein, und klicken Sie auf WEITER. 7. Bestätigen Sie, dass der Downlevel-Domänenname W2KBrewing.com lautet. 8. Beachten Sie die Standardspeicherungsorte für Active Directory und die Protokolldateien. Klicken Sie zur Übernahme des Standardwerts auf WEITER. 9. Beachten Sie den Speicherungsort des Ordners SYSVOL. Klicken Sie zur Übernahme des Standardwerts auf WEITER. 10. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit von Windows 2000. Klicken Sie zum Fortfahren auf WEITER. 11. Geben Sie als Kennwort für die Wiederherstellung des Verzeichnisdienstes kennwort ein, und klicken Sie zum Fortfahren auf WEITER. 12. Überprüfen Sie den Schlussbildschirm und vergewissern Sie sich, dass alle Ihre Eingaben korrekt sind. Klicken Sie zum Fortfahren auf WEITER. Falsche Eingaben korrigieren Sie, indem Sie mit der Schaltfläche ZURÜCK zurückgehen und Änderungen vornehmen. 13. Klicken Sie auf FERTIG forderung neu. 3.3
STELLEN
und starten Sie Ihren Computer nach Auf-
Installation von Active Directory verifizieren
In dieser Übung werden Sie verifizieren, dass eine korrekte Installation von Active Directory stattgefunden hat, und dass der DNS-Server die korrekten Ressourceneinträge erhalten hat.
161
162
Kapitel 3
Eine Active Directory- Struktur aufbauen
Geschätzte Zeit: 5 Minuten 1. Melden Sie sich am Domänencontroller, den Sie gerade erstellt haben, als Administrator an. Das Kennwort entspricht dem Administratorkennwort vor der Heraufstufung des Systems. 2. Wählen Sie im Startmenü PROGRAMME/VERWALTUNG aus. 3. Überprüfen Sie, dass die folgenden Active Directory-Programme installiert sind: Active Directory-Benutzer und Computer, Active Directory-Standorte und Dienste sowie Active Directory-Domänen und Vertrauensstellungen. 4. Klicken Sie zum Öffnen des DNS-Managers auf DNS. 5. Blenden Sie den Server und anschließend FORWARD-LOOKUPZONEN ein, und klicken Sie auf W2KBrewing. 6. Sie sollten jetzt vier Unterordner sehen: _msdcs, _sites, _tcp und _udp. 7. Schließen Sie den DNS-Manager. 3.4
Sekundären Domänencontroller hinzufügen
In dieser Übung werden Sie Ihrer Domäne einen zweiten Domänencontroller hinzufügen, was Ihnen ermöglicht, Standorte zu erstellen, und Standortverknüpfungen und Brücken zu konfigurieren. Diese Übung sollte auf einem Server ausgeführt werden, auf dem Windows-2000-Server oder Advanced Server läuft, jedoch nicht auf dem in Übung »Stammdomänencontroller installieren« installierten Server. Auch diese Übung setzt voraus, dass das Laufwerk, auf dem Windows 2000 installiert ist, mit NTFS formatiert ist. Geschätzte Zeit: 15 Minuten 1. Melden Sie sich am Server als Administrator an. 2. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG und wählen Sie im Kontextmenü EIGENSCHAFTEN. 3. Klicken Sie auf der Verbindung für Ihre Netzwerkkarte und wählen Sie im Kontextmenü EIGENSCHAFTEN. Klicken Sie zweimal auf INTERNETPROTOKOLL (TCP/IP). 4. Geben Sie für den primären DNS-Server die Adresse Ihres existierenden Servers ein, die in den vorigen Übungen eingerichtet worden ist. 5. Schließen Sie durch Klicken auf OK die TCP/IP-Eigenschaften, und schließen Sie dann durch Klicken auf OK die Verbindungseigenschaften. Schließen Sie das Dialogfeld LAN-VERBINDUNG.
Lernzielkontrolle
6. Wählen Sie über das Startmenü AUSFÜHREN, geben Sie dcpromo ein und drücken Sie dann (Enter). 7. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 8. Wählen Sie ZUSÄTZLICHER DOMÄNENCONTROLLER DOMÄNE aus, und klicken Sie auf WEITER.
FÜR EINE BESTEHENDE
9. Geben Sie hinsichtlich der Netzwerkberechtigung Administrator als Benutzername, Ihr Administratorkennwort und die Domäne W2KBrewing.com als Domäne ein. Klicken Sie auf WEITER. 10. Geben Sie im Eingabefeld DOMÄNE VERBINDEN W2KBrewing.com ein, und klicken Sie auf WEITER. 11. Übernehmen Sie durch Klicken auf WEITER die Standardwerte für die Datenbank und Protokolldateien. 12. Übernehmen Sie durch Klicken auf WEITER den Standardwert für den Speicherungsort von SYSVOL. 13. Klicken Sie im Abschlussbildschirm auf FERTIG STELLEN, und starten Sie den Computer nach Aufforderung neu. 3.5
Standorte und Replikation verwalten
In dieser Übung werden Sie Standorte und Subnetze erstellen, und darüber hinaus einen der Domänencontroller an einen anderen Standort verschieben. Sie werden Standortverknüpfungen und Standortverknüpfungsbrücken konfigurieren. Zum Schluss werden Sie noch einen Domänencontroller als Server für den globalen Katalog konfigurieren. Diese Übung können Sie an einem beliebigen Computer durchführen. Diese Übung konfiguriert das in der Abbildung 3.31 gezeigte Netzwerk. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich als Administrator an. 2. Öffnen Sie über START/PROGRAMME/VERWALTUNG ACTIVE DIRECTORYSTANDORTE UND -DIENSTE. 3. Blenden Sie den Ordner SITES mit dem standardmäßig vorhandenen Inhalt ein. 4. Klicken Sie mit der rechten Maustaste auf dem Ordner SITES, und wählen Sie im Kontextmenü NEUER STANDORT aus. 5. Geben Sie Hauptbuero ein, und klicken Sie in der Liste der Standortverknüpfungen auf DEFAULTIPSITELINK.
163
164
Kapitel 3
Eine Active Directory- Struktur aufbauen
Abbildung 3.31
Office = Physischer Standort: Büro
Office = Physischer Standort: Lager
Standort Hauptbüro
Standort Produktion
Ein Beispielnetzwerk für die Übung Standorte und Replikation verwalten
Router
Router ISDN mit 128 Kbps
Standort Vertrieb
Standort Versand
6. Lesen Sie den Hinweis und entfernen Sie ihn dann durch Anklicken von OK. 7. Fügen Sie mit den Schritten 4 bis 6 die folgenden Standorte hinzu: 씰
Produktion
씰
Versand
씰
Vertrieb
8. Blenden Sie den Ordner INTER-SITE TRANSPORTS ein, und klicken Sie mit der rechten Maustaste auf IP. Wählen Sie im Kontextmenü NEUE STANDORTVERKNÜPFUNG aus. 9. Geben Sie als Standortverknüpfungsnamen Lager ein. 10. Klicken Sie in der Liste der Standorte, die nicht Bestandteil dieser Verknüpfung sind, auf Produktion, und klicken Sie anschließend auf HINZUFÜGEN. Machen Sie dasselbe für Versand. Klicken Sie zum Erstellen der Standortverknüpfung auf OK. 11. Erstellen Sie eine weitere Standortverknüpfung namens Buero, die die Standorte Hauptbuero und Vertrieb enthält. 12. Blenden Sie erst STANDARDNAME-DES-ERSTEN-STANDORTS und dann den Ordner SERVERS ein. Ihre beiden Server werden jetzt angezeigt.
Lernzielkontrolle
13. Klicken Sie mit der rechten Maustaste auf einen der Server, und wählen Sie im Kontextmenü VERSCHIEBEN aus. Wählen Sie in der Liste Hauptbuero aus, und klicken Sie auf OK. 14. Verschieben Sie auch die anderen Server mit denselben Schritten in Produktion. 15. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS und wählen Sie im Kontextmenü NEUES SUBNETZ aus. 16. Geben Sie die IP-Adresse 10.1.1.0 mit der Subnetzmaske 255.255.255.0 ein. Wählen Sie als Standort dieses Subnetzes Hauptbuero aus, und klicken Sie auf OK. 17. Fügen Sie mit den Schritten 15 und 16 die folgenden zusätzlichen Subnetze hinzu: IP-Adresse
Maske
Standort
10.1.2.0
255.255.255.0
Hauptbuero
10.1.3.0
255.255.255.0
Hauptbuero
10.2.1.0
255.255.255.0
Produktion
10.2.2.0
255.255.255.0
Produktion
10.3.1.0
255.255.255.0
Vertrieb
10.3.2.0
255.255.255.0
Vertrieb
10.4.1.0
255.255.255.0
Versand
18. Klicken Sie unter INTER-SITE TRANSPORTS mit der rechten Maustaste auf IP, und wählen Sie im Kontextmenü EIGENSCHAFTEN. 19. Deaktivieren Sie das Kontrollkästchen BRÜCKE ZWISCHEN ORTVERKNÜPFUNGEN HERSTELLEN und klicken Sie auf OK.
ALLEN
STAND-
20. Klicken Sie noch einmal mit der rechten Maustaste auf IP, und wählen Sie im Kontextmenü Neue STANDORTVERKNÜPFUNGSBRÜCKE aus. 21. Geben Sie als Namen Crosstown ein und fügen Sie die Standortverknüpfungen Buero und Lager hinzu. Klicken Sie zum Erstellen der Brücke auf OK. 22. Blenden Sie den Standort Hauptbuero und danach den Ordner SERVERS darunter ein. Blenden Sie Ihren Server ein, und klicken Sie mit der rechten Maustaste auf NTDS SETTINGS. 23. Wählen Sie NEUE ACTIVE DIRECTORY-VERBINDUNG aus. Klicken Sie auf den anderen Domänencontroller in der Liste, und klicken Sie auf OK.
165
166
Kapitel 3
Eine Active Directory- Struktur aufbauen
24. Erstellen Sie mit den Schritten 22 und 23 eine Verbindung vom Server in Produktion zum Server in Hauptbuero. 25. Klicken Sie mit der rechten Maustaste einen der Server an, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. Wählen Sie in der Liste der verfügbaren Transporte für standortübergreifende Datenübertragungen IP aus. Klicken Sie auf HINZUFÜGEN, um diesen zum bevorzugten Bridgehead-Server zu machen. Klicken Sie auf OK. 26. Wiederholen Sie den Schritt 25 für den anderen Server. 27. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS für einen der Server und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. Vergewissern Sie sich, dass GLOBALER KATALOG ausgewählt ist, und klicken Sie auf OK. Wiederholen Sie dies für den anderen Server. 28. Schließen Sie den Manager für Standorte und Dienste. Wiederholungsfragen 1. Welches sind die Hauptgründe zum Erstellen einer Domäne? 2. Was ist der Zweck einer Organisationseinheit? 3. Was ist der Unterschied zwischen einer Standortverknüpfung und einer Standortverknüpfungsbrücke? 4. Wann würden Sie eine Active Directory-Verbindung erstellen? 5. Was ist die Definition eines Standorts? 6. Was ist der Unterschied zwischen einer Gesamtstruktur und einer Struktur? 7. Welcher Servertyp wird zum Replizieren des Schema eines Unternehmens verwendet? 8. Welche Optionen können Sie zur Kontrolle der Replikation bei einer Standortverknüpfung einstellen? 9. Was müssen Sie beim manuellen Erstellen von Standortverknüpfungsbrücken tun, um die Nutzung Ihrer Standortverknüpfungsbrücken sicherzustellen? 10. Was können Sie tun, um eine Replikation durch alle Standortverknüpfungen zu erzwingen? Prüfungsfragen 1. Rolf installiert einen Server mit Windows 2000, der während der Installation der Active Directory-Struktur in seiner Organisation verwendet werden soll. Er installiert den DNS-Server, erstellt die Domänen und konfiguriert die dynamischen Aktualisierungen. Als er den ersten Domänencontroller zu installieren versucht, erhält er die Meldung, dass der Domänencontroller für die
Lernzielkontrolle
Domänen nicht zur Verfügung steht. Er entschließt sich dazu, mit der Installation fortzufahren und das Problem später anzugehen. Welcher Art wird das Problem sein, das er später beheben muss? A. Der DNS-Server muss gestoppt und gestartet werden. B. Der Server, den er installiert, muss auf den richtigen DNS-Server verweisen. C. Nur Active Directory-integriertes DNS kann beim Installieren von Active Directory verwendet werden. Rolf sollte zum Installieren besser den Assistenten benutzen. D. Der DNS-Server, nicht die Zone, muss für dynamische Aktualisierungen konfiguriert werden. 2. Sally ist Netzwerkadministrator und installiert im Moment Windows 2000 mit Active Directory. Sie hat bemerkt, dass die Replikation zwischen den 15 Domänencontrollern viel von der Bandbreite in Ihrem Ethernet-Netzwerk mit 10 Mbps beansprucht. Der Ort, an dem sie arbeitet, hat drei Stockwerke. Sally möchte für jedes Stockwerk einen separaten Standort erstellen. Sie hat bereits drei Standorte und die Standortverknüpfungen zwischen diesen erstellt, kann jedoch keinen Unterschied zur früheren Situation feststellen. Was sollte Sie als Nächstes tun? A. Sie muss alle Domänencontroller neu starten. B. Sie muss warten, bis der Knowledge-Konsistenzprüfer die neuen Verbindungen berechnet hat. C. Sie muss die Domänencontroller über Active Directory-Standorte und Dienste in die Subnetze verschieben. D. Sie kann nichts tun, außer das Netzwerk auf Ethernet mit 100 Mbps zu erweitern. 3. Marc ist Administrator eines Netzwerks, welches Bestandteil einer Active Directory-Struktur ist. Sein Netzwerk ist in vier verschiedene Standorte aufgeteilt, die sich in zwei großen Stockwerken in einem Bürohochhaus befinden. Er hat einen Domänencontroller heruntergefahren, um an dessen Hardware zu arbeiten. Alles läuft gut, bis ein Benutzer anruft und Marc mitteilt, dass er die Ressourcen in einer anderen Domäne der Struktur nicht mehr finden kann. Was kann das Problem sein? A. Die Standortverknüpfung zwischen der besagten Domäne und der lokalen Domäne befindet sich auf dem Computer, an dem Marc gerade arbeitet. B. Die andere Domäne hat ihren primären Domänencontroller verloren.
167
168
Kapitel 3
Eine Active Directory- Struktur aufbauen
C. Die Replikation wurde nicht ausgeführt und ist erst später geplant. D. Das System, an dem Marc arbeitet, ist für diesen Standort der Server für den globalen Katalog. 4. Rita hat eine Active Directory-Struktur mit Windows 2000 für Ihre Organisation erstellt. Sie hat eine einzige Domäne errichtet, die 700 Benutzer und deren Computer enthält. Das Unternehmen ist in zwei Büros mit einer 56 KbpsVerbindung dazwischen aufgeteilt. Rita konfiguriert zwei Standorte (einen für jedes Büro) und eine Standortverknüpfung dazwischen mit SMTP. Die Replikation zwischen den beiden Standorten scheint jedoch nicht richtig zu funktionieren. Was sollte Rita nun tun? A. Sie muss eine unternehmensweite Zertifizierungsstelle erstellen. B. Sie muss Microsoft Exchange installieren. C. Sie muss ein SMTP-basiertes Mailsystem installieren. D. Sie braucht eine Verbindung, die schneller als 56 Kbps ist. 5. Sie dokumentieren gerade für einen Administrator, der ein neu eröffnetes Büro in Ihrer Organisation betreuen soll, das Verfahren zum Erstellen eines Standorts. Welches folgende Verfahren eignet sich dazu am besten? A. Standort erstellen, Standortverknüpfung auswählen, Subnetze hinzufügen und dann Domänencontroller verschieben. B. Domänencontroller verschieben, Standort erstellen, Subnetze hinzufügen und anschließend Standortverknüpfungen auswählen. C. Temporäre Standortverknüpfungsbrücke erstellen, Domänencontroller hinzufügen, den erstellten Standort umbenennen und anschließend Subnetze hinzufügen. D. Subnetze erstellen und dann durch Gruppieren einen Standort erstellen. Als Nächstes die Verknüpfungen erstellen, und dann die Domänencontroller verschieben. 6. Sie erklären gerade Ihrem Vorgesetzten die Active Directory-Replikation, um ihn davon zu überzeugen, dass Sie Ihr aktuelles ARCnet-Netzwerk mit 2 Mbps aktualisieren müssen. Sie erläutern die Unterschiede zwischen der standortübergreifenden und standortinternen Replikation. Welcher der folgenden Punkte trifft ausschließlich nur auf die standortübergreifende Replikation zu? A. Wird vom Knowledge-Konsistenzprüfer verwaltet.
Lernzielkontrolle
B. Setzt über das Internet-Protokoll Remoteprozeduraufrufe ein. C. Sendet die Daten in einem komprimierten Format. D. Wird durch Verbindungsobjekte definiert. 7. Sie haben einen einzelnen Remote-Standort in Ihrem Netzwerk und möchten sicherstellen, dass die Verbindung so wenig wie möglich von der Replikation beansprucht wird. Sie erstellen eine Standortverknüpfung für Ihr Büro, und erstellen danach eine Standortverknüpfung zwischen dem Haupt- und Remote-Standort. Sie erstellen ferner eine Standortverknüpfungsbrücke, damit die zum Remote-Standort gehenden Daten durch den Hauptstandort fließen. Sie überwachen die Verbindung und stellen fest, dass die Replikation immer noch über andere Standorte als dem Hauptstandort stattfindet. Was sollten Sie tun, um das Problem zu lösen? A. Schauen Sie, ob es manuell erstellte Verbindungsobjekte gibt, und nehmen Sie ggf. Korrekturen vor. B. Stellen Sie sicher, dass die Option ZEITPLAN ist.
IGNORIEREN
C. Stellen Sie sicher, dass die Option AKTIVIEREN KNÜPFUNGSBRÜCKE aktiviert ist.
BEI DER
nicht aktiviert
STANDORTVER-
D. Stellen Sie sicher, dass die Option BRÜCKE ZWISCHEN ALLEN STANDORTVERKNÜPFUNGEN HERSTELLEN nicht aktiviert ist. 8. Sie unterstützen Kollegen bei der Vorbereitung auf die Prüfung 70-217. Sie befassen sich im Moment mit der Active Directory-Replikation und den verschiedenen Partitionen. Sie stellen den Kollegen die folgenden vier Punkte vor und fordern Sie auf, den Punkt herauszusuchen, der keine Partition von Active Directory ist. Welcher Punkt ist es? A. Schema B. Konfiguration C. Globaler Katalog D. Domäne 9. Die Benutzer in den zwei Remote-Standorten, die Sie betreuen, beklagen sich darüber, dass die Verbindung zum Hauptbüro, in dem Sie arbeiten, langsam ist. Sie berichten, dass die Verbindungen seit den letzten Tagen zu langsam gewesen sei. Sie überprüfen sie und stellen fest, dass sie tatsächlich mit 100% ihrer Kapazität läuft. Als Sie weitere Untersuchungen anstellen, entdecken Sie als die Ursache des Problems die Active Directory-Replikation. Beim
169
170
Kapitel 3
Eine Active Directory- Struktur aufbauen
Überprüfen der von Ihnen erstellten Standortverknüpfungen finden Sie, dass die Einstellung, die Verbindungen nur alle vier Stunden am Tag und alle zwei Stunden in der Nacht auf Änderungen zu prüfen, sinnvoll ist. Was sollten Sie noch überprüfen? A. Sie sollten den Zeitplan der Standortverknüpfungsbrücke überprüfen. B. Sie sollten die Option ZEITPLAN IGNORIEREN überprüfen. C. Sie sollten sicherstellen, dass nicht andere Operatoren aus irgendeinem Grunde eine Replikation erzwingen. D. Sie sollten überprüfen, wie viele Benutzer in den letzten 24 Stunden hinzugefügt worden sind. 10. Ihr Unternehmen verfügt über zwei separate Niederlassungen, eine in Tokio und die andere in Kapstadt. Jede Niederlassung besitzt ihre eigene IT-Abteilung und kontrolliert ihre Benutzer, Computer und Gruppen selber. Gegenwärtig haben Sie zwischen den Niederlassungen eine Frame-RelayVerbindung mit 512 K, die nahezu zu 100% ausgelastet ist. Das Unternehmen wird als eine einzige Domäne betrieben. Als Windows-2000-Experte werden Sie nach einer Empfehlung für die beste Methode gefragt, die Belastung der Verbindung zu reduzieren. Welche der folgenden Methoden schlagen Sie vor? A. Das Netzwerk läuft optimal. Unternehmen Sie gar nichts. B. Schlagen Sie zwei Standorte vor, einen für jede Niederlassung. C. Schlagen Sie zwei Organisationseinheiten vor, eine für jede Niederlassung. D. Schlagen Sie zwei Domänen vor, eine für jede Niederlassung. 11. Sie schreiben gerade ein Dokument, welches als Grundlage für die Administratoren Ihres Netzwerks dienen soll. Sie haben gegenwärtig 74.234 Benutzer im Netzwerk, welches den ganzen Globus umspannt. Sie fassen vor der Beschreibung der Einzelheiten die Schritte zusammen, mit denen ein Standort erstellt wird. Welcher der folgenden Punkte stellt eine zutreffende Zusammenfassung dieser Schritte dar? A. Subnetze erstellen, Standorte benennen und dann die Subnetze verschieben. B. Standort erstellen und mit einer Standortverknüpfung verbinden, Subnetze erstellen und dann einen Controller an den Standort verschieben.
Lernzielkontrolle
C. Standortverknüpfung erstellen und dann den Standort, einen Domänencontroller an den Standort verschieben und dann die Subnetze erstellen. D. Standort erstellen und sicherstellen, dass die Standortverknüpfungen korrekt sind, die Subnetze erstellen und dann die Server dahin verschieben. 12. Sie fügen Ihrem Netzwerk einen Remote-Standort hinzu, der mit einer ISDNLeitung mit 128 K angebunden wird. Die ISDN-Leitung wird erwartungsgemäß tagsüber zu annähernd 80% und in der Nacht zu 30% ausgelastet sein. Sie möchten gewährleisten, dass die Replikation tagsüber nicht zuviel Bandbreite beansprucht, während die Bandbreite in der Nacht genügen soll, um alle Synchronisierungen zu erledigen. Die Netzwerkdesigner haben Ihnen gesagt, dass Sie mindestens einmal am Tag replizieren müssen. Welcher der folgenden Punkte löst diese Anforderungen am besten? A. Erstellen Sie eine Standortverknüpfung, die nur in der Nacht repliziert. Erzwingen Sie manuell einmal täglich eine Replikation. B. Erstellen Sie eine Standortverknüpfung mit einem Intervall von 30 Minuten, die in der Nacht genutzt wird, und eine andere Standortverknüpfung, die während des Tages mit einem Intervall von 6 Stunden betrieben wird. C. Erstellen Sie eine Standortverknüpfung, die in der Nacht mit Kosten von 10 und tagsüber über einen Zeitplan mit den Kosten von 99 betrieben wird. D. Erstellen Sie eine Standortverknüpfung, die während der Nacht mit standardmäßigen Kosten und Intervallen genutzt wird, und eine andere Standortverknüpfung, die nur von Mittag bis 1 Uhr nachts zur Verfügung steht. 13. Sie haben zwei Standorte, die unter Verwendung einer T1-Leitung miteinander verbunden sind. Sie arbeiten an der Optimierung des Replikationsverkehrs zwischen den Standorten. Jeder Standort enthält einen HighendDomänencontroller, der dediziert für den globalen Katalog zuständig ist. Sie möchten sicherstellen, dass die Replikation über die Standortverknüpfung diese beiden Controller nutzt. Was müssen Sie dafür tun? A. Erstellen Sie Verbindungsobjekte zum Verbinden dieser Server. B. Erstellen Sie eine Standortverknüpfungsbrücke, die diese Server verbindet. C. Stellen Sie sicher, dass die Standortverknüpfung diese Server als Bridgehead-Server kennzeichnet.
171
172
Kapitel 3
Eine Active Directory- Struktur aufbauen
D. Erstellen Sie für jeden Server einen separaten Standort und verbinden Sie diese Standorte. Anschließend konfigurieren Sie eine Standortverknüpfung zwischen den Servern und den anderen Servern Ihres Netzwerks. 14. Sie haben die Standortverknüpfungen und Standortverknüpfungsbrücken Ihres Netzwerks konfiguriert. Die Replikation funktioniert und alle Standorte erhalten ordnungsgemäß die Aktualisierung von Active Directory. Sie beschreiben das Netzwerk, mit dem Sie arbeiten, einem Kollegen, der Ihnen mitteilt, dass Sie die Standortverknüpfungsbrücken gar nicht konfigurieren mussten. Warum brauchen Sie die Standortverknüpfungsbrücken nicht? A. Der KCC erstellt die Standortverknüpfungsbrücken für Sie. B. Die Standorte werden automatisch überbrückt. C. Der Domänen-Namensmaster übernimmt diese Sache für Sie. D. Der globale Katalog übernimmt diese Sache für Sie. 15. Ihr Netzwerk läuft sehr stabil – die Benutzer ändern nicht viel und die Computer auch nicht. Die vorhandene Struktur funktioniert, und Sie nehmen nur selten Änderungen in Active Directory vor. Sie haben sich mit einem Bandbreitenproblem zwischen dem Hauptstandort und einem Remote-Standort beschäftigt und festgestellt, dass es Replikationsverkehr gibt, der während des Tages durch diese Verbindung geht. Was können Sie tun, um diesen Verkehr zu beseitigen? A. Erstellen Sie eine Standortverknüpfung, die nur nachts repliziert. B. Erstellen Sie eine Standortverknüpfungsbrücke, die nur nachts repliziert. C. Erstellen Sie zwei Standorte, von denen der eine tagsüber mit einem langsamen Zeitplan und der andere häufiger in der Nacht repliziert. D. Erstellen Sie zwei Standortverknüpfungsbrücken, von denen eine mit einem langsamen Zeitplan während des Tages und die andere nachts häufiger repliziert. Antworten zu den Wiederholungsfragen 1. Domänen bilden eine Replikations- und Sicherheitsgrenze innerhalb Ihrer Organisation. Benutzer, die Mitglieder der Sicherheitsgruppe Organisations-Admins sind, haben die Möglichkeit, sämtliche Domänen zu kontrollieren. Benutzer jedoch, die Mitglieder der Sicherheitsgruppe Domänen-Admins sind, können nur ihre eigene Domäne kontrollieren. Siehe dazu den Abschnitt »Grundlagen der logischen Struktur von Active Directory«.
Lernzielkontrolle
2. Eine Organisationseinheit kann dazu verwendet werden, die Kontrolle über eine ausgewählte Gruppe von Benutzern, Computern und anderen Objekten innerhalb einer Domäne an einen Benutzer oder eine Gruppe zu delegieren. Hierdurch wird quasi ein Administrator-ähnliches Konto mit begrenzten Befugnissen erzeugt. Organisationseinheiten können auch zum Anwenden von Gruppenrichtlinien verwendet werde. Siehe dazu den Abschnitt »Organisationseinheiten«. 3. Eine Standortverknüpfung wird dazu verwendet, einen Netzwerkpfad zu beschreiben, der direkt zwischen zwei Standorten existiert, während eine Standortverknüpfungsbrücke einen Pfad zwischen zwei Standorten beschreibt, der einen dritten Standort beinhaltet, mit dem beide Standorte über eine Standortverknüpfung verbunden sind. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. 4. Normalerweise brauchen Sie keine Active Directory-Verbindungen erstellen. Die Ausnahme stellt ein Fall dar, in dem der Knowledge-Konsistenzprüfer nicht in der Lage ist, die Verbindung zwischen zwei Servern eindeutig ausfindig zu machen. Verbindungen stellen einen direkten Pfad zwischen zwei Servern dar. Siehe dazu den Abschnitt »Verbindungsobjekte«. 5. Ein Standort wird als Zusammenschluss eines oder mehrerer Subnetze definiert, die über ein Hochgeschwindigkeitsnetzwerk (oberhalb von T1) miteinander verbunden sind. Siehe dazu den Abschnitt »Mit Standorten arbeiten«. 6. Eine Struktur stellt einen Aufbau dar, der mit einer Stammdomäne beginnt, die dann nur noch direkte Unterdomänen enthält. Alle Domänen nutzen einen gemeinsamen Namespace. Über eine Gesamtstruktur können Sie denselben Strukturtyp mit der Ausnahme erstellen, dass es mehr als einen Namespace geben kann. Siehe dazu den Abschnitt »Strukturen und Gesamtstrukturen«. 7. Während die Domänencontroller einer Domäne für die Replikation von Objekten verantwortlich sind, die zur Domäne gehören, replizieren die Server für den globalen Katalog alle das Unternehmen betreffenden Informationen, wie die Liste der Objekte, das Schema und die Konfigurationsinformationen. Siehe dazu den Abschnitt »Server für den globalen Katalog«. 8. Die Optionen, die Sie für eine Standortverknüpfung einstellen können, beinhalten die geplanten Zeiträume, zu denen die Standortverknüpfung verfügbar ist, und den Intervall (die Häufigkeit), in dem die Controller nach Änderungen suchen. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. 9. Standardmäßig sind alle Standortverknüpfungen überbrückt. Dies bedeutet, dass alle Standorte über jede Kombination von Standortverknüpfungen erreicht werden können. Wenn Sie dies manuell handhaben wollen, müssen Sie in den IP- bzw. SMTP-Einstellungen die automatische Standortverknüpfungsbrücke abschalten. Siehe dazu den Abschnitt »Replikation zwischen Standorten«.
173
174
Kapitel 3
Eine Active Directory- Struktur aufbauen
10. Standortverknüpfungen sind nur während geplanter Zeiten verfügbar. Falls Sie erzwingen müssen, dass alle von ihnen verfügbar sind, müssen Sie die Option ZEITPLAN IGNORIEREN in den IP- oder SMTP-Eigenschaften aktivieren. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. Antworten zu den Prüfungsfragen 1. B. In diesem Fall ist die wahrscheinliche Ursache, dass der neue Domänencontroller nicht auf den richtigen DNS-Server zeigt. Der DNS-Dienst in Windows 2000 kann sowohl dynamische als auch nichtdynamische Zonen beherbergen. In dieser Frage ist er auf der Zonenebene eingestellt, sodass Antwort D nicht korrekt ist. Das Umschalten erfordert kein Starten und Stoppen, sodass auch die Antwort A falsch ist. Die Antwort C ist zwar interessant, weil sie zum bekannten Henne-Ei-Problem führt, aber nichtsdestotrotz falsch. Siehe dazu den Abschnitt »Die erste Domäne installieren«. 2. C. Obwohl eine Erweiterung auf 100 Mbps wahrscheinlich alle Benutzer dieses Netzwerks glücklich machen würde, ist dies nicht erforderlich und macht daher die Antwort D zu einer falschen Antwort. Wenn Sie bei jedem Hinzufügen eines Standorts alle Server in Ihrer Organisation neu starten müssten, würde keiner mehr Lust haben, mit dem Betriebssystem zu arbeiten – Antwort A ist daher falsch. Bei einer Neuberechnung der Verbindungen kann es zwar eine Verzögerung von einigen Minuten geben, jedoch keine längere. Die Antwort B ist daher falsch und Antwort C die richtige. Sie ist sinnvoll, weil so die Domänencontroller alle im Standort verbleiben und mit derselben Rate replizieren. Siehe dazu den Abschnitt »Domänencontroller verschieben«. 3. D. In diesem Fall ist die Antwort A falsch, weil Standortverknüpfungen zwischen den Standorten derselben Domäne liegen. Die Antwort B ist ebenfalls falsch, weil es keine PDCs, sondern nur noch Domänencontroller gibt. Die Zeitplanung für Replikationen wird bei Standortverknüpfungen eingestellt, und die Ressourcen, die der Benutzer braucht, befinden sich in einer anderen Domäne, sodass also auch die Antwort C falsch ist. Damit bleibt nur noch die (richtige) Antwort D. Da der globale Katalog alle Objekte des Unternehmens (außer einigen wenigen Attributen) repliziert, damit die Objekte gefunden werden können, ist es einleuchtend, dass der Benutzer sie ohne den Server für den globalen Katalog nicht finden kann. Siehe dazu den Abschnitt »Server für den globalen Katalog«. 4. A. Falls Sie für Ihre Standortverknüpfungen SMTP verwenden, brauchen Sie eine unternehmensweite Zertifizierungsstelle, die die SMTP-Pakete signiert, die gesendet werden. Die SMTP-Pakete werden zwischen den in die Standortverknüpfung eingebundenen Servern ausgetauscht und verwenden keine Mailserver. Die Antworten B und C sind daher nicht richtig. SMTP (E-Mail) kann sogar über ein langsames Modem mit nur 110 Baud funktionieren, wes-
Lernzielkontrolle
halb die Antwort D falsch ist. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. 5. A. In diesem Fall besteht die beste Antwort darin, zuerst den Standort zu erstellen, sodass die Antworten B, C und D falsch sind. Während der Erstellung des Standorts werden Sie nach der Standortverknüpfung gefragt, zu der dieser Standort gehören soll. Anschließend können Sie Subnetze und Domänencontroller hinzufügen (in beliebiger Reihenfolge). Siehe dazu den Abschnitt »Informationen in Active Directory replizieren«. 6. C. In diesem Fall besteht der ausschließliche Unterschied nur darin, dass die Daten komprimiert werden. Die anderen Unterschiede sind, dass Sie die Replikation zwischen Standorten planen und das Intervall für die Suche nach Änderungen einstellen können. Außerdem können Sie verschiedene Verknüpfungen zu verschiedenen Kosten zwischen zwei Standorten haben, und zwischen den Standorten SMTP verwenden. Nachdem Sie eine Standortverknüpfung definiert haben, bearbeitet der KCC die Verbindungen für Sie, sodass die Antwort A nicht zutrifft. Die standortübergreifende Replikation kann SMTP verwenden, aber auch RPC über IP, sodass Antwort B nicht stimmt. Die Antwort D ist falsch, weil der KCC automatisch alle erforderlichen Verknüpfungen für Sie einrichtet. Siehe dazu den Abschnitt »Informationen in Active Directory replizieren«. 7. D. In diesem Fall können Sie zwar ein Problem mit einer manuell erstellten Verbindung haben, jedoch muss auch eine manuell erstellte Verbindung den Informationen der Standortverknüpfung entsprechen, weshalb die Antwort A nicht richtig ist. Die Antwort B kann zu einem Problem führen, weil die Replikation kontinuierlich stattfindet, obwohl dies jedoch nicht die Standortverknüpfungsbrücke ignorieren würde. Die Antwort C ist keine zulässige Option, was bedeutet, dass die Antwort D die einzig richtige ist. Diese Option ist standardmäßig aktiviert und muss von Ihnen abgeschaltet werden, wenn Sie Standortverknüpfungsbrücken erstellen möchten. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. 8. C. Es gibt drei große Partitionen im Active Directory: Die Schemapartition, die sämtliche Attribute und Klassen enthält, die die Datenbank definieren, die Konfigurationspartition zum Speichern der Domänen- und Vertrauensstellungsinformationen, sowie die Domänenpartition mit den Informationen zu jedem Objekt in der Domäne. Der globale Katalog stellt eine Untermenge von Attributen dar und ist in Wirklichkeit keine separate Partition. Siehe dazu den Abschnitt »Informationen in Active Directory replizieren«. 9. B. Standortverknüpfungsbrücken verfügen nicht über Zeitpläne, sodass die Antwort A nicht zutreffend ist. Andere Operatoren können zwar eine Replikation über die Verknüpfung erzwingen, jedoch kaum kontinuierlich die ganze Woche hindurch, weshalb die Antwort C falsch ist. Die Antwort D entfällt
175
176
Kapitel 3
Eine Active Directory- Struktur aufbauen
aus einem ähnlichen Grunde – es wird kaum eine Woche brauchen, bis die Active Directory-Replikation abgeschlossen ist, sofern Sie kein Modem mit 110 Baud einsetzen. Antwort B bleibt daher die einzig mögliche und ist auch sinnvoll. Diese Option kann dazu verwendet werden, erforderlichenfalls die Replikation zu erzwingen, sollte aber nach Beendigung unverzüglich wieder abgeschaltet werden, damit die Zeitpläne der Standortverknüpfungen gewährleistet bleiben. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. 10. D. In einem Fall wie diesem, in dem Sie auf beiden Seiten der Verbindung Administratoren haben, und die Orte aus geografischen (wie in diesem Fall) oder geschäftlichen Gründen weitgehend unabhängig voneinander betrieben werden, werden Sie normalerweise eine Domäne in Betracht ziehen. Denken Sie wieder daran, dass eine Domäne eine Grenze hinsichtlich der Replikation und Sicherheit darstellt. Das Netzwerk ist bei näherer Betrachtung sicher nicht gerade optimal. Die Idee zweiter Standorte könnte funktionieren, sofern es nur eine Administration an einem der Standorte gibt, oder die Einheiten enger zusammenarbeiten würden, was aber hier nicht der Fall ist. Mit einer Organisationseinheit, die nützlich für die Anwendung von Richtlinien und die Delegierung der Kontrolle ist, können Sie keine Zeitplanung von Replikationen machen, was das Problem daher nicht löst. Siehe dazu den Abschnitt »Grundlagen der logischen Struktur von Active Directory«. 11. B. Wenn Sie einen Standort erstellen, erstellen Sie als Erstes den Standortnamen, und wählen dann die Standortverknüpfung aus, zu der er gehört. Ist die Standortverknüpfung nicht passend, können Sie eine neue erstellen. Als Nächstes erstellen Sie die Subnetze, die Bestandteil des Standorts werden sollen, und verschieben anschließend die Domänencontroller in den Standort bzw. erstellen diese darin. Außerdem sollten Sie noch die Lizenzierungsstandorteinstellungen konfigurieren. Siehe dazu den Abschnitt »Mit Standorten arbeiten«. 12. D. Sie nutzen in diesem Fall zwei Standortverknüpfungen, damit alles automatisch erledigt wird. Der nächtliche Zeitplan wird mit dem Standardwert gut laufen, und könnte sogar noch häufiger ablaufen. Alles was Sie darüber hinaus noch tun müssen, besteht darin, einmal am Tag zu replizieren (am wenigsten Unterbrechung werden Sie verursachen, wenn Sie zur Mittagszeit replizieren!). Siehe dazu den Abschnitt »Replikation zwischen Standorten«. 13. A. Durch Erstellen einer Verbindung, d.h., eines Netzwerkpfades zwischen diesen Servern, können Sie festlegen, welchem Pfad die Replikation folgen soll. Außerdem könnten Sie die Serverobjekte als Bridgehead-Server für dieses Replikationsprotokoll konfigurieren, was jedoch dazu führen würde, dass sie zu den Hauptservern für alle Standortverknüpfungen würden, die dieses Protokoll einsetzen. Die Standortverknüpfung besitzt keine Option zum Fest-
Lernzielkontrolle
legen des Bridgehead-Servers, und eine Standortverknüpfungsbrücke wird zum Verknüpfen von Standorten, nicht von Servern, verwendet. Die letzte Antwort D kann funktionieren, wenn Sie die automatische Standortüberbrückung abgeschaltet hätten. Siehe dazu den Abschnitt »Verbindungsobjekte«. 14. B. Obwohl KCC keine Standortverknüpfungsbrücken erstellt, erzeugt er doch die erforderlichen Verbindungen, damit alle Standorte die Active DirectoryÄnderungen erhalten. Der Domänen-Namensmaster hat mit Domänen zu tun, weshalb die Antwort C falsch ist. Der globale Katalog hat hiermit nichts zu tun, wodurch die Antwort D falsch wird. Siehe dazu den Abschnitt »Standortverknüpfungsbrücken«. 15. A. In diesem Fall können Sie die Replikation erzwingen, falls es ein Problem geben sollte, aber es gibt keinen besonderen Grund dafür, dies auch weiterhin zu tun, wenn das Netzwerk einmal einen stabilen Zustand erreicht hat. Die Antworten B und D sind falsch, weil sie von Standortverknüpfungsbrücken sprechen, während die Antwort C nicht die beste Antwort darstellt, da es immer noch Replikationstätigkeit während des Tages gibt. Siehe dazu den Abschnitt »Replikation zwischen Standorten«. Weiterführende Literaturhinweise und Quellen Windows 2000 Server Resource Kit. Deployment Planning Guide, Microsoft, 2000. Brovick, Hauger, Wade: Windows 2000 Active Directory, Markt+Technik 2000.
177
Active DirectoryDienste verwalten
4
Lernziele Dieses Kapitel hilft Ihnen bei der Vorbereitung auf das Thema »Active DirectoryObjekte verwalten« sowie Teilen des Themas »Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory« der Microsoft-Prüfung. Active Directory-Objekte verwalten 씰
Active Directory-Objekte verschieben
씰
Ressourcen in Active Directory veröffentlichen
씰
Objekte in Active Directory suchen
씰
Konten manuell oder über Skripte erstellen
씰
Zugang zu Active Directory-Objekten kontrollieren
씰
Administrative Kontrolle über Active Directory-Objekte delegieren
Das Letzte ist ein Schlüsselthema, welches aufgenommen wurde, um sicherzustellen, dass Sie dem Verzeichnis Benutzer- und Computerkonten hinzufügen können. Eine der bedeutendsten Änderungen in den Verzeichnisdiensten seit NT 4.0 betrifft die Fähigkeit, Berechtigungen für Objekte in Active Directory vergeben zu können. Sie müssen diese Berechtigungen daher sowohl vergeben als auch die damit zusammenhängenden Implikationen verstehen können. Active Directory verfügt außerdem über die Fähigkeit, Drucker und Freigaben im Netzwerk aufzulisten. Wie schon beim Hinzufügen von Benutzern und Computern müssen Sie auch hier in der Lage sein, diese Objekte Active Directory über eine Veröffentlichung hinzuzufügen. Außer dem Hinzufügen von Benutzern, Computern, Freigaben und Druckern müssen Sie dann noch wissen, wie Sie diese Objekte sowohl vom Gesichtspunkt des Administrators als auch des Benutzers ausfindig machen können.
180
Kapitel 4
Active Directory-Dienste verwalten
Active Directory verfügt über die Fähigkeit, die Administration von Teilen des Verzeichnisses an andere Benutzer oder Gruppen zu delegieren. In den Übungen dieses Kapitels wird getestet werden, ob Sie in der Lage sind, die einzelnen Schritte der Delegierung auszuführen. Sie müssen ferner in der Lage sein, Benutzer innerhalb einer Domäne, zwischen Organisationseinheiten und Domänen zu verschieben. Auch dies ist in Active Directory neu, denn in NT 4.0 wurde das Objekt vor dem Verschieben erst gelöscht und dann neu erstellt. Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Struktur von Organisationseinheiten implementieren
Organisationseinheiten in Active Directory dienen dem Ersatz der Ressourcendomänen. Dieses Thema in Verbindung mit der Delegierung wurde einbezogen, um sicherzustellen, dass Sie effektiv mit Organisationseinheiten umgehen können.
Tipps für das Selbststudium In diesem Kapitel werden viele verschiedene Themen behandelt, die alle mit den Grundfunktionen eines Administrators zu tun haben. Manche dieser Funktionen haben Sie vielleicht schon einmal ausgeführt, und Sie werden sich an sie beim Lesen dieses Kapitels erinnern. Insbesondere sollten Sie auf die folgenden Punkte achten: 씰
Beachten Sie, wie Objekte verwaltet werden, d.h., das Erstellen, Ändern, Verschieben und Löschen.
씰
Obwohl es sich dabei nicht um ein Prüfungsthema handelt, sollten Sie verstanden haben, wie Gruppen funktionieren. Außerdem sollten Sie die Regel Konten-sind-in-globalen-Gruppen-zusammengefasst-die-wiederum-zudomänenlokalen-Gruppen-gehören-die-die-Berechtigungen-haben beherrschen!
씰
Sie sollten die Funktion universeller Gruppen kennen.
씰
Achten Sie auf die Beschreibungen der Registerkarten, die bei Suchvorgängen verwendet werden.
씰
Achten Sie darauf, wie Organisationseinheiten eingesetzt werden.
씰
Vertiefen Sie die Option zur Freigabe von Verzeichnissen, und wie diese Freigaben in Active Directory gelangen. Hierzu gehören auch Drucker.
4.1 Einführung
4.1
Einführung
Die Verwaltung der Objekte eines großen Netzwerks macht einen großen Teil der Arbeitszeit eines Netzwerkadministrators aus. Dieses Kapitel betrachtet einige der Schlüsselbestandteile der Netzwerkadministration und erläutert, wie diese notwendigen Funktionen ausgeführt werden. Das Kapitel beginnt mit dem Hinzufügen von Benutzer- und Computerkonten und zeigt dann, wie Gruppen von Benutzern und Computern auf einmal verwaltet werden. Nachdem Sie gesehen haben, wie Sie Benutzer und Computer Ihrem Netzwerk hinzufügen können, werden Sie erfahren, wie Sie Objekte in Active Directory als Administrator oder Benutzer ausfindig machen. Sie werden im Verlaufe der Darstellung selbst feststellen, wie einfach die Arbeit und die Suche in Active Directory ist. Die Diskussion wendet sich dann der Sicherheit der Objekte in Active Directory zu. Es wird weiterhin eine Erörterung der Organisationseinheiten und der Delegierung der Autorität einschließlich der Einrichtung eines Benutzer oder einer Gruppe zur Verwaltung eines Teils von Active Directory geben. Anschließend wird demonstriert, wie Sie Objekte im Verzeichnis verschieben können, und zwar sowohl innerhalb einer Domäne als auch zwischen Domänen. Dann folgt das Hinzufügen von Freigaben und Druckern sowie ein Ausblick auf die Überwachung und Fehlerbehebung von Active Directory.
4.2
Administrative Grundfunktionen
Active Directory-Objekte verwalten. 씰
Konten manuell oder mit Skripten erstellen und verwalten
Jedes System und jeder Benutzer in einem Windows-2000-Netzwerk muss über die eine oder andere Form eines Sicherheitskontextes, also eine Art der Identifikation, verfügen. Die Fähigkeit zum Erstellen und Verwalten von Benutzer- und Computerkonten ist daher wesentlich, um ein Netzwerk einsatzbereit zu machen. Mit einem Benutzer- oder Computerkonto werden die folgenden Funktionen ausgeführt:
씰
Die Identität des Benutzers oder Computers authentifizieren
씰
Den Zugang zu Domänenressourcen autorisieren bzw. ablehnen
181
182
Active Directory-Dienste verwalten
Kapitel 4
씰
Andere Sicherheitsprincipale verwalten
씰
Aktionen überwachen, die unter Verwendung eines Benutzer- oder Computerkontos durchgeführt werden
HINWEIS Definition Sicherheitsprincipale sind Verzeichnisobjekte, denen automatisch SicherheitsIDs zugewiesen werden. Objekte mit Sicherheits-IDs können sich am Netzwerk anmelden und auf Domänenressourcen zugreifen.
Da jede Netzwerkanmeldung immer zuerst mit dem Computerkonto zu tun hat, beginnt der folgende Abschnitt mit der Erörterung des Computerkontos.
4.2.1
Computerkonto
In Windows 2000 wurde die Administration des Computerkontos erweitert und kann nun fast so wie ein Benutzerkonto verwaltet werden. Jeder Computer, auf dem Windows 2000 oder Windows NT 4.0 läuft, kann sich an der Domäne anmelden und wird daher beim Hochfahren auch authentifiziert. Durch die Authentifizierung des Computers kann das Netzwerk die Aktivitäten des Computers überwachen und ihn von einer zentralen Stelle aus verwalten. Möglich ist dies nur für Computer mit Windows 2000 und Windows NT 4.0, während Windows 95 und 98 noch nicht über die erforderlichen erweiterten Sicherheitsfunktionen verfügen. Zwar kann ein Benutzer unter diesen Betriebssystemen den PC als Arbeitsplatz im Netzwerk einsetzen, jedoch kann der Computer selbst noch nicht verwaltet werden. Computer verwalten Das Programm, welches Sie zum Verwalten der Computer eines Netzwerks einsetzen, ist das Snap-In Active Directory-Benutzer und -Computer. Mit diesem Programm sind Sie in der Lage, Computerkonten hinzuzufügen, zu löschen, zu verschieben und zu verwalten. Standardmäßig verfügt nur die Gruppe DomänenAdmins über die Berechtigung zum Hinzufügen und Verwalten von Computern einer Domäne. Mit Computern können Sie verschiedene Dinge anstellen. Als Erstes werden Sie erfahren, wie Sie einen Computer hinzufügen. Sie erledigen dies entweder über den Computer selbst (siehe die folgende Schritt-für-Schritt-Anleitung) oder über Active Directory-Benutzer und -Computer.
4.2 Administrative Grundfunktionen
SCHRITT FÜR SCHRITT 4.1
Über den Computer der Domäne den Computer hinzufügen
1. Klicken Sie mit der rechten Maustaste auf ARBEITSPLATZ auf dem Desktop und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 2. Klicken Sie auf die Registerkarte NETZWERKIDENTIFIKATION, und klicken Sie die Schaltfläche EIGENSCHAFTEN an. 3. Geben Sie den Namen der Domäne ein, an der der Computer teilhaben soll. 4. Aktivieren Sie ggf. das Kontrollkästchen COMPUTERKONTO IN DER DOMÄNE ERSTELLEN und geben Sie einen Benutzernamen und ein Kennwort ein, mit denen die erforderlichen Berechtigungen zum Hinzufügen von Computern in der Domäne verbunden sind. Dies ist Voraussetzung in dem Fall, dass Sie einen Computer hinzufügen, ohne zuerst das Konto erstellt zu haben. 5. Klicken Sie auf OK. Es wird Ihnen nun eine Begrüßungsmeldung für die Domäne angezeigt. Mit diesen Schritten können Sie auf einfache Weise beim Installieren des Systems der Domäne einen Computer hinzufügen. Sie können das Computerkonto auch vor der Installation des Computers erstellen. In einem solchen Fall muss die Person, die die Installation ausführt, kein Mitglied der Gruppe Domänen-Admins sein, da kein Computerkonto in der Domäne erstellt werden muss. Führen Sie zum Hinzufügen eines Computerkontos zur Domäne noch vor dem eigentlichen Hinzufügen des Computers die folgende Schritt-für-Schritt-Anleitung aus.
SCHRITT FÜR SCHRITT 4.2
Computerkonto hinzufügen
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur im Konsolenfenster auf COMPUTERS bzw. den Container, dem Sie den Computer hinzufügen möchten. 3. Klicken Sie mit der rechten Maustaste auf den Container, dem Sie den Computer hinzufügen möchten, und zeigen Sie dann auf NEU/COMPUTER. 4. Geben Sie den Computernamen im Dialogfeld NEUES OBJEKT – COMPUTER ein, und klicken Sie dann auf WEITER (siehe Abbildung 4.1). Falls Sie möchten, können Sie noch die Gruppe oder den Benutzer ändern, der zum Hinzufügen des Computers zur Domäne berechtigt ist. Durch Aktivieren des Kon-
183
184
Kapitel 4
Active Directory-Dienste verwalten
trollkästchens WINDOWS NT 3.5X/4.0 DIE VERWENDUNG DIESES KONTOS GESTATTEN können Sie außerdem einem Computer mit Windows NT erlauben, dieses Konto zu nutzen. 5. Falls der Computer, den Sie hinzufügen, ein verwalteter Computer ist, können Sie durch Aktivieren der Option VERWALTETER COMPUTER und Eingabe der ID Active Directory auch für die Aufnahme der global eindeutigen Computerkennung sorgen. Klicken Sie nach Ihren Eingaben auf WEITER. 6. Klicken Sie im nächsten Bildschirm auf FERTIG STELLEN, um das Computerkonto hinzuzufügen.
Abbildung 4.1 Geben Sie in diesem Bildschirm den Namen des Computers ein, den Sie hinzufügen
Nachdem Sie Active Directory das Computerkonto hinzugefügt haben, werden Sie wahrscheinlich die Eigenschaften des Computerkontos einstellen wollen. Von diesen stehen Ihnen viele direkt zur Verfügung, während andere nur der Information dienen. Zum Ändern der Eigenschaften führen Sie die folgende Schritt-für-SchrittAnleitung aus.
SCHRITT FÜR SCHRITT 4.3
Eigenschaften von Computerkonto ändern
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur im Konsolenfenster auf den Container mit dem Computer, dessen Eigenschaften Sie ändern möchten.
4.2 Administrative Grundfunktionen
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer, und wählen Sie dann im Kontextmenü EIGENSCHAFTEN aus. 4. Stellen Sie die gewünschten Eigenschaften ein, und klicken Sie auf OK. Die ersten zwei Schritt-für-Schritt-Anleitungen haben Ihnen gezeigt, wie Sie das Computerkonto erstellen. Die folgende Anleitung demonstriert, wie Sie die Eigenschaften eines Computerkontos einstellen, von denen es viele verschiedene gibt. In der folgenden Liste werden die einzelnen Optionen aufgeführt, die Sie in den Registerkarten des Dialogfeldes EIGENSCHAFTEN einstellen können. 씰
ALLGEMEIN. Auf dieser Registerkarte wird der Computername, der DNSName und die Rolle des Computers angezeigt. Sie können eine Beschreibung hinzufügen, oder auch den Computer als Vertrauenscomputer zum Delegieren einrichten. Damit kann das lokale Systemkonto auf dem Computer Dienste von einem anderen System im Netzwerk anfordern.
씰
BETRIEBSSYSTEM. Diese Registerkarte bietet Ihnen Informationen über das Betriebssystem des Computers einschließlich des Namens, der Version und des Service Packs.
씰
MITGLIED VON. Hiermit können Sie die Gruppenmitgliedschaft des Computers kontrollieren. Unter Windows 2000 können Computer zu administrativen Zwecken und für die Gruppenrichtlinienfilterung in Gruppen aufgenommen werden. Zum Hinzufügen eines Computers in eine Gruppe wählen Sie HINZUFÜGEN, und legen über die angezeigte Liste die Gruppe fest. Wenn Sie einen Computer aus der Liste entfernen möchten, klicken Sie erst auf den Gruppennamen und anschließend auf ENTFERNEN. Die Option PRIMÄRE GRUPPE FESTLEGEN wird später in diesem Kapitel erörtert.
씰
STANDORT. Hier können Sie den Ort des Computers eingeben.
씰
VERWALTET VON. Hiermit können Sie das Benutzer- oder Gruppenkonto einrichten, mit dem der Computer verwaltet wird. Falls Sie Kontaktinformationen für den Benutzer eingegeben haben, werden diese hier angezeigt.
씰
OBJEKT. Dies ist der vollständige Name des Objekts, sein Erstellungsdatum und die Aktualisierungsinformation.
씰
SICHERHEITSEINSTELLUNGEN. An dieser Stelle können Sie die Sicherheit des Objekts einrichten, womit nicht die Sicherheit auf dem Computer, sondern
185
186
Kapitel 4
Active Directory-Dienste verwalten
des Objekts in Active Directory gemeint ist. Dieses Thema wird weiter unten im Kapitel behandelt. Gelegentlich müssen Sie einen Computer aus Active Directory wieder entfernen, was beispielsweise der Fall sein kann, wenn er in eine andere Domäne kommt oder aus anderen Gründen entfernt wird. Zum Löschen eines Computerkontos führen Sie die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 4.4
Computerkonto löschen
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole den Ordner an, in dem sich der Computer befindet. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer und wählen Sie im Kontextmenü LÖSCHEN. 4. Bestätigen Sie die Löschung, indem Sie im daraufhin angezeigten Dialogfeld JA anklicken. Durch das Löschen eines Computerkontos wird wie beim Löschen jedes anderen Objekts auch das Objekt und die SID (Security Identifier) entfernt. Dies bedeutet, dass das Löschen eines Objekts, welches von Windows 2000 über seine SID identifiziert wird, endgültig ist. Mit dem Erstellen eines neuen Objekts mit demselben Namen wird eine neue SID und damit auch ein gänzlich unterschiedliches Objekt erstellt. Der Hauptgrund zum Erstellen von Computerkonten in Active Directory besteht in der dadurch gegebenen Gelegenheit, Computer in Ihrem Netzwerk verwalten zu können. Dies beinhaltet deren Aufnahme in Gruppen und die Kontrolle ihrer Eigenschaften durch Verwendung von Gruppenrichtlinien. Die folgende Schritt-fürSchritt-Anleitung zeigt, wie Sie Computer über das Snap-In COMPUTERVERWALTUNG verwalten.
SCHRITT FÜR SCHRITT 4.5
Computer verwalten
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner mit dem Computer, den Sie verwalten möchten.
4.2 Administrative Grundfunktionen
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer, und wählen Sie im Kontextmenü VERWALTEN. Jetzt können Sie alle Dinge rund um die Computerverwaltung erledigen. Sie bekommen außerdem noch wichtige Informationen angezeigt, die Sie zur Fehlersuche von einer zentralen Stelle im Netzwerk aus benötigen. Computer stürzen immer wieder mal ab. In einem solchen Fall müssen Sie sie normalerweise neu starten oder sogar erneut installieren. Bei einer Neuinstallation unter Windows NT mussten Sie den Computer dann aus der Domäne entfernen und später wieder dort aufnehmen. Der Computer erhielt eine neue SID und war damit in der Domäne ein komplett anderer Computer. Unter Windows 2000 können Computer Mitgliedern von Gruppen oder verwaltenden Personen zugewiesen sein und über Gruppenrichtlinien verfügen. Wenn sich die SID einmal ändert, müssen alle diese Dinge nicht völlig neu eingerichtet werden, denn Sie setzen lediglich das Computerkonto zurück. Dadurch wird die Verbindung des Computers mit der Domäne unterbrochen, und Sie können diese dann später ohne Verlust aller sonstigen Einstellungen wieder herstellen.
SCHRITT FÜR SCHRITT 4.6
Computerkonto zurücksetzen
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Container mit dem Computer, den Sie zurücksetzen möchten. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer, und klicken Sie im Kontextmenü auf KONTO ZURÜCKSETZEN. 4. Klicken Sie auf JA, um das Zurücksetzen des Kontos zu bestätigen. 5. Schließen Sie den Bestätigungshinweis durch Anklicken von OK. Durch das Zurücksetzen eines Computerkontos können Sie die Verbindung eines Computers mit der Domäne erneut herstellen. Sie haben immer noch denselben Namen und dieselbe SID, was bedeutet, dass Sie einen Computer ohne Neueinrichtung der Sicherheitseinstellungen austauschen können. Zu diesem Thema gehört auch, dass Sie ein Computerkonto gelegentlich einmal eine gewisse Zeitlang deaktivieren müssen. Das Deaktivieren eines Computerkontos kann beispielsweise erforderlich werden, wenn Sie einen Computer daran hin-
187
188
Kapitel 4
Active Directory-Dienste verwalten
dern wollen, sich unbefugt in Ihrem Netzwerk zu betätigen. Führen Sie zum Deaktivieren eines Computerkontos die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 4.7
Computerkonto deaktivieren
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Container mit dem Computer, den Sie deaktivieren möchten. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer, und wählen Sie im Kontextmenü KONTO DEAKTIVIEREN aus. 4. Klicken Sie auf JA, um die Deaktivierung des Kontos zu bestätigen. 5. Schließen Sie den Bestätigungshinweis durch Anklicken von OK. Nach der Deaktivierung ist ein Computer nicht mehr in der Lage, sich erneut mit dem Netzwerk zu verbinden, bis das Konto wieder aktiviert wird. Natürlich müssen Sie nach der Deaktivierung eines Computerkontos dieses später auch wieder einmal aktivieren können. Führen Sie zum Aktivieren des Kontos die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 4.8
Computerkonto aktivieren
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner mit dem Computer, den Sie aktivieren möchten. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den gewünschten Computer, und wählen Sie im Kontextmenü KONTO AKTIVIEREN aus. 4. Schließen Sie den Bestätigungshinweis durch Anklicken von OK. Nachdem Sie gelernt haben, wie Computerkonten verwaltet werden, müssen Sie etwas über die Verwaltung von Benutzern erfahren, damit Sie Benutzerkonten erstellen und Ihren Benutzern damit die Arbeit im Netzwerk ermöglichen können.
4.2.2
Benutzerkonto
Mit einem Benutzerkonto kann sich ein Benutzer an Computern und Domänen mit einer Identität anmelden, deren Zugriffsrechte für die Domänenressourcen authenti-
4.2 Administrative Grundfunktionen
fiziert werden kann. Jeder Benutzer braucht ein eigenes Benutzerkonto und ein Kennwort. Benutzerkonten dienen außerdem für bestimmte Anwendungen wie etwa Microsoft SQL Server 2000 und Microsoft Exchange 2000 als Dienstkonto. Wie zuvor Windows NT bietet Windows 2000 zwei vordefinierte Benutzerkonten an, die Sie zur Anmeldung an einem Computer nutzen können, der mit Windows 2000 betrieben wird. Dies sind die Konten Gast und Administrator. Das Gast-Konto ist generell in einer Domäne deaktiviert, es sei denn, dass Sicherheitsfragen keine Rolle spielen. Das Administrator-Konto ist das Konto, welches Sie zum Erstellen und Verwalten aller Dinge nutzen, die Active Directory betreffen. Die Verwaltung von Benutzerkonten ähnelt in vielerlei Hinsicht der Verwaltung von Computerkonten, obwohl für das Benutzerkonto noch einige weitere Optionen zur Verfügung stehen. Benutzer verwalten Der offensichtlichste Grund zum Einsatz der Benutzerverwaltung betrifft die Erstellung von Benutzerkonten. Führen Sie zum Erstellen eines Benutzerkontos die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 4.9
Benutzerkonto hinzufügen
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner, dem Sie einen Benutzer hinzufügen möchten. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Ordner, zu dem Sie den Benutzer hinzufügen möchten, und wählen Sie im Kontextmenü NEU/BENUTZER aus. 4. Geben Sie im Feld VORNAME den Vornamen des Benutzers ein. 5. Geben Sie unter INITIALIEN die Initialien des Benutzers ein. 6. Geben Sie im Feld NACHNAME den Nachnamen des Benutzers ein. 7. Nehmen Sie nach Wunsch Änderungen an VOLLSTÄNDIGER NAMe vor. 8. Geben Sie im Feld BENUTZERANMELDENAME den Namen ein, mit dem sich der Benutzer anmeldet, und wählen Sie im Drop-down-Listenfeld das Suffix aus, welches an den Anmeldenamen des Benutzers angehängt wird. Beide zusammen ergeben den User Principal Name (UPN). Normalerweise entspricht dieser der E-Mail-Adresse des Benutzers.
189
190
Kapitel 4
Active Directory-Dienste verwalten
9. Falls der Benutzer einen anderen Namen zur Anmeldung am DownlevelComputer verwendet, ändern Sie den Benutzeranmeldenamen, der im Feld BENUTZERANMELDENAME (WINDOWS NT 3.5X/4.0) erscheint, in den entsprechenden anderen Namen ab. 10. Überprüfen Sie die Eingaben (siehe Abbildung 4.2), und klicken Sie dann auf die Schaltfläche WEITER. 11. Geben Sie unter KENNWORT und KENNWORTBESTÄTIGUNG das Kennwort des Benutzers ein. Abbildung 4.2 Im ersten Bildschirm des Assistenten zum Hinzufügen eines Benutzers wird die Identität des Benutzers festgelegt
12. Wählen Sie die passenden Kennwortoptionen aus. Es stehen die folgenden Auswahlmöglichkeiten zur Verfügung: 씰
BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN. Damit wird der Benutzer gezwungen, sein Kennwort nach der ersten Anmeldung zu ändern. Denken Sie jedoch vor der Anwendung dieser Option über die Konsequenzen nach. Falls der Benutzer nie zuvor mit Microsoft-Netzwerken gearbeitet hat, kann das plötzliche Ändern des Kennworts bei der ersten Anmeldung irritierend sein.
씰
BENUTZER KANN KENNWORT NICHT ÄNDERN. Dies verhindert, dass der Benutzer sein Kennwort selbst ändert und erzwingt, dass die Kennwörter der Benutzer des Netzwerks nur vom Administrator geändert werden. Diese Option kann auch bei gemeinsam genutzten oder anderen Konten, die Sie kontrollieren möchten, verwendet werden.
4.2 Administrative Grundfunktionen
씰
KENNWORT LÄUFT NIE AB. Wahrscheinlich haben Sie in Ihrem Netzwerk Richtlinien eingeführt, die festlegen, wie oft ein Benutzer sein Kennwort ändern soll bzw. muss. Die Option hier setzt diese Regelung außer Kraft. Sie wird hauptsächlich für Dienstkonten verwendet.
씰
KONTO IST DEAKTIVIERT. Sie können Konten erstellen, die deaktiviert sind, was nützlich ist, wenn der Benutzer einige Zeit vom Netzwerk weg ist, Sie aber gerade ein Konto erstellen möchten. Außerdem ist diese Option nützlich zum Erstellen eines Vorlagekontos, welches Sie dann zum Erstellen weiterer Benutzerkonten einsetzen können. Beim Kopieren dieses Kontos wird diese Option deaktiviert.
13. Überprüfen Sie die Einstellungen (siehe Abbildung 4.3) und klicken Sie zum Fortfahren auf WEITER. 14. Klicken Sie zum Erstellen des Benutzerkontos auf FERTIG STELLEN.
Abbildung 4.3 Im zweiten Bildschirm des Assistenten zum Hinzufügen eines Benutzers werden die Kennwortoptionen eingegeben
Das Erstellen von Benutzerkonten ist ein wichtiger Bestandteil der Alltagsarbeit eines Administrators. Ein Benutzerkonto ist für jeden Benutzer eines Netzwerks erforderlich. Wie Sie sich wahrscheinlich schon gedacht haben, wurden an dieser Stelle nicht alle zum Benutzer gehörenden Optionen vorgestellt. Nach dem Erstellen des Benutzerkontos beginnen Sie normalerweise damit, die restlichen Einstellungen für das
191
192
Kapitel 4
Active Directory-Dienste verwalten
Konto zu bearbeiten. Die folgenden Schritte zeigen Ihnen, wie Sie die entsprechenden Eigenschaften bearbeiten.
SCHRITT FÜR SCHRITT 4.10 Eigenschaften des Benutzerkontos bearbeiten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner mit dem gewünschten Benutzerkonto. 3. Klicken Sie mit der rechten Maustaste auf dem Benutzerkonto, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 4. Ändern Sie die Eigenschaften nach Wunsch ab, und klicken Sie zur Übernahme der Änderungen auf OK. Alle verbleibenden Eigenschaften des Benutzers, die in den folgenden Abschnitten erörtert werden, und die Sie vielleicht noch einstellen möchten, können Sie mit den zuvor beschriebenen Schritten bearbeiten. Da die vorhandenen Registerkarten recht umfangreich sind, wird sich der folgende Teil der Erörterung nur mit ihrem Inhalt und den darin verfügbaren Optionen befassen. ALLGEMEIN Die Registerkarte ALLGEMEIN (siehe dazu Abbildung 4.4) ermöglicht Ihnen die Einstellung der allgemeinen Benutzereigenschaften. Eine Beschreibung der einzelnen Eigenschaften ist in der folgenden Auflistung enthalten: 씰
VORNAME. Der Vorname der Benutzers.
씰
INITIALIEN. Dies sind die Initialien des Benutzers.
씰
NACHNAME. Der Nachname des Benutzers.
씰
ANZEIGENAME. Dieser Name wird in Gruppen und Verteilungslisten und auch dann angezeigt, wenn der Benutzer mit dem Befehl SUCHEN arbeitet.
씰
BESCHREIBUNG. Dies ist eine Beschreibung des Benutzers. Im Allgemeinen wird hier die Funktion des Benutzers in der Organisation hinterlegt.
4.2 Administrative Grundfunktionen
씰
BÜRO. Gibt an, wo sich das Büro des Benutzers befindet.
씰
RUFNUMMER. Die Telefonnummer des Benutzers. Weitere Telefonnummern können Sie über die Schaltfläche ANDERE hinterlegen.
씰
E-MAIL. Dies ist die E-Mail-Adresse des Benutzers. Normalerweise entspricht sie dem Principal Namen (UPN) des Benutzers.
씰
WEBSEITE. Dies sind ein oder mehr Webseiten, die zum Benutzer gehören.
Abbildung 4.4 Die Registerkarte ALLGEMEIN des Dialogfeldes Eigenschaften
ADRESSE Die Informationen auf der Registerkarte ADRESSE (siehe Abbildung 4.5) enthalten die Daten zur Anschrift des Benutzers und bestehen aus den folgenden Einträgen:
193
194
Kapitel 4
Active Directory-Dienste verwalten
씰
STRASSE. Dies ist die Strassenadresse des Benutzers.
씰
POSTFACH. Dies ist für Organisationen, die Postsendungen verwenden.
씰
STADT. Die Stadt, in der der Benutzer wohnt.
씰
BUNDESLAND/KANTON. Dies ist das Bundesland, in dem der Benutzer wohnt.
씰
PLZ. Dies ist die Postleitzahl der Stadt, in der der Benutzer wohnt.
씰
LAND/REGION. Hier können Sie Land und Region des Benutzers eingeben.
Abbildung 4.5 Die Registerkarte ADRESSE des Dialogfeldes Eigenschaften
KONTO Über diese Registerkarte haben Sie die Gelegenheit, die Kontoeinstellungen des Benutzers einschließlich des Anmeldenamens zu ändern (siehe Abbildung 4.6).
4.2 Administrative Grundfunktionen
Eine Beschreibung der entsprechenden Eigenschaften ist in der folgenden Aufzählung enthalten: Abbildung 4.6 Die Registerkarte KONTO des Dialogfeldes Eigenschaften
씰
BENUTZERANMELDENAME. Dies ist der Name, den der Benutzer zur Anmeldung am Netzwerk benutzt. Sie können den Anmeldenamen und dessen Erweiterung ändern. Durch das Ändern der Erweiterung wird der Benutzer nicht in eine andere Domäne verschoben.
씰
BENUTZERANMELDENAME (WINDOWS NT 3.5X/4.0). Dies ist der DownlevelAnmeldename für Systeme, die nicht mit Windows 2000 betrieben werden.
씰
ANMELDEZEITEN. Hiermit können Sie die Zeiten einstellen, die dem Benutzer zur Anmeldung am Netzwerk erlaubt sind. In hochgesicherten Umgebungen können hier die Arbeitszeiten des Benutzers eingestellt werden (siehe Abbildung 4.7).
씰
ANMELDEN. Hiermit können Sie die Computer einstellen, an denen sich der Benutzer anmelden darf (siehe Abbildung 4.8).
195
196
Kapitel 4
Active Directory-Dienste verwalten
씰
KONTO IST GESPERRT. Diese Option steht nur dann zur Verfügung, wenn das Konto gesperrt worden ist. Dies geschieht, wenn der Benutzer ein Kennwort öfter, als von den Sicherheitsrichtlinien erlaubt, zu erraten versucht.
씰
KONTOOPTIONEN. Dies ist eine Reihe von weiteren Optionen für das Konto.
씰
ABLAUFDATUM DES KONTOS. Stellt das Ablaufdatum des Kontos ein.
Abbildung 4.7 Über dieses Dialogfeld können Sie die Anmeldezeiten einstellen
Abbildung 4.8 Die Computer, an denen sich der Benutzer anmelden darf, können Sie explizit angeben
PROFIL
4.2 Administrative Grundfunktionen
Die Registerkarte PROFIL (siehe Abbildung 4.9) stellt das Basisverzeichnis und das Anmeldeskript des Benutzers sowie den Speicherungsort seines Benutzerprofils ein. Die folgende Aufzählung beschreibt die vorhandenen Eigenschaften: Abbildung 4.9 Die Registerkarte PROFIL des Dialogfeldes Eigenschaften
씰
PROFILPFAD. Dies ist der Speicherungsort im Netzwerk für das Benutzerprofil. Über die Eingabe des Speicherungsortes unter Verwendung eines UNCNamens (UNC, Universal Naming Convention) können Sie den Benutzer so konfigurieren, dass er mit einem server-gespeicherten – Profil arbeitet.
씰
ANMELDESKRIPT. Dies ist der Name der Stapeldatei, die bei der Anmeldung des Benutzers ausgeführt werden soll. Normalerweise gilt diese Option für Downlevel-Clients. Sie brauchen nur den Namen einzugeben, da sich die Datei immer in der SYSVOL-Freigabe auf den Domänencontrollern befindet. Bei der Datei kann es sich entweder um eine BAT- oder CMD-Datei handeln. Falls Sie eine BAT-Datei verwenden, starten Windows NT oder Windows 2000 zur Ausführung der Datei eine DOS-Emulationssitzung. Eine CMD-Datei läuft im 32-Bit-Modus ab. Die Namenserweiterung ist in diesem Eingabefeld nicht enthalten.
197
198
Kapitel 4
씰
Active Directory-Dienste verwalten
LOKALER PFAD. Hiermit wird der Basisordner des Benutzers auf ein Verzeichnis des lokalen Computers oder ein gemeinsam genutztes Verzeichnis im Netzwerk eingestellt.
HINWEIS Die Variable USERNAME Die Variable %USERNAME% kann dazu verwendet werden, ein Verzeichnis mit demselben Namen zu erstellen, den der Benutzer vor Windows 2000 als Anmeldenamen verwendet hat. Dies kann für den Profilpfad (\\Servername\Freigabename\ %USERNAME%) oder den Basisordner verwendet werden. Abbildung 4.10 Die Registerkarte RUFNUMMERN des Dialogfeldes Eigenschaften
RUFNUMMERN Die Registerkarte RUFNUMMERN enthält, wie Sie sich schon gedacht haben werden, die verschiedenen Rufnummern, die ein Benutzer haben kann (siehe Abbildung 4.10). Auf dieser Registerkarte gibt es zwei Abschnitte: 씰
RUFNUMMERN. Hier können Sie alle Telefonnummern für die Person, und zwar auch mehrere pro Kategorie, eingeben.
4.2 Administrative Grundfunktionen
씰
ANMERKUNG. In diesem Abschnitt geben Sie Kommentare zum Benutzer ein.
ORGANISATION Die Registerkarte ORGANISATION (siehe Abbildung 4.11) wird zur Eingabe von Informationen über die Rolle eines Benutzers innerhalb der Organisation verwendet. Die folgende Liste enthält die Beschreibung der Eigenschaften: 씰
ANREDE. Die Anrede des Benutzers.
씰
ABTEILUNG. Dies ist die Abteilung, in der der Benutzer arbeitet.
씰
FIRMA. Dies ist der Name des Unternehmens, für welches der Benutzer arbeitet.
씰
VORGESETZTER. Dies ist der Name des Vorgesetzten des Benutzers. Der Name wird aus den bereits in Active Directory vorhandenen Benutzern ausgewählt.
씰
MITARBEITER. Dies ist eine Liste der Personen, die an diesen Benutzer berichten. Sie wird automatisch von Active Directory aufgebaut.
Abbildung 4.11 Die Registerkarte ORGANISATION des Dialogfeldes Eigenschaften
199
200
Kapitel 4
Active Directory-Dienste verwalten
TERMINALSERVER Die nächsten vier Registerkarten haben alle mit der Konfiguration der Einstellungen für den Terminalserver zu tun. Sie werden nur dann angezeigt, wenn Sie den Terminalserver installiert haben. Auf der Registerkarte UMGEBUNG (siehe Abbildung 4.12) können Sie die Optionen einstellen, über die Sie die Umgebung des Benutzers bei der Verwendung des Terminalservers kontrollieren. Es folgt eine Liste mit den Beschreibungen der verfügbaren Optionen: 씰
PROGRAMM STARTEN. Über diesen Abschnitt können Sie ein Programm angeben, welches automatisch bei der Anmeldung des Benutzers ausgeführt wird.
씰
CLIENTGERÄTE. Hiermit können Sie steuern, ob Clientgeräte und Drucker neu zugeordnet werden, wenn der Benutzer eine neue Sitzung startet.
Abbildung 4.12 Die Registerkarte UMGEBUNG des Dialogfeldes Eigenschaften
4.2 Administrative Grundfunktionen
Die Registerkarte SITZUNGEN (siehe Abbildung 4.13) kann dazu verwendet werden, die Zeitüberschreitungen für die Sitzungen und die Verbindungswiederherstellungen zu konfigurieren. Die folgende Liste beschreibt die zur Verfügung stehenden Optionen: 씰
GETRENNTE SITZUNG BEENDEN. Teilt dem Benutzer mit, wie lange er auf die Beendigung einer Sitzung warten muss, wenn er getrennt wird. Der Benutzer kann dieselbe Sitzung während dieses Zeitraums wiederherstellen.
씰
AKTIVES SITZUNGSLIMIT. Dies ist die maximale Dauer einer Sitzung im Terminalserver für diesen Benutzer.
씰
LEERLAUFSITZUNGSLIMIT. Gibt an, wie lange eine Sitzung aufrechterhalten wird, in der keine Benutzeraktivität stattfindet.
씰
WENN
DAS SITZUNGSLIMIT ERREICHT ODER DIE WURDE. Teilt dem System mit, was geschehen soll,
VERBINDUNG GETRENNT wenn eine der Einstellun-
gen oben überschritten wird. 씰
ERNEUTE VERBINDUNG ZULASSEN. Hiermit können Sie einstellen, über welche Station sich der Benutzer erneut verbinden kann, wenn die Sitzung getrennt wurde.
Abbildung 4.13 Die Registerkarte SITZUNGEN des Dialogfeldes Eigenschaften
201
202
Kapitel 4
Active Directory-Dienste verwalten
Mit der Registerkarte REMOTEÜBERWACHUNG (siehe Abbildung 4.14) können Sie die Optionen zur Übernahme der Kontrolle über die Sitzung des Benutzers einstellen. Die folgende Liste beschreibt die verfügbaren Optionen: 씰
REMOTEÜBERWACHUNG AKTIVIEREN. Hiermit wird die Möglichkeit zur Übernahme der Kontrolle über die Benutzersitzung aktiviert.
씰
ERLAUBNIS DES BENUTZERS EINHOLEN. Wenn diese Option aktiviert wird, wird der Benutzer darüber informiert, dass jemand seine Sitzung übernehmen will, und seine Erlaubnis eingeholt.
씰
STEUERUNGSEBENE. Dies stellt ein, ob Sie nur zur Anzeige der Sitzung oder auch zur Ausführung von Aktionen darin fähig sind.
Abbildung 4.14 Die Registerkarte REMOTEÜBERWACHUNG des Dialogfeldes Eigenschaften
Die letzte Registerkarte von TERMINALSERVER heißt TERMINALDIENSTPROFILE (siehe Abbildung 4.15). Mit dieser können Sie den Speicherungsort des Benutzerprofils und das Basisverzeichnis des Benutzers ändern, der den Terminalserver verwendet. Die zur Verfügung stehenden Eigenschaften sind: 씰
BENUTZERPROFIL. Hiermit wird dem Server mitgeteilt, von wo das Benutzerprofil kommt und wo es gespeichert ist.
4.2 Administrative Grundfunktionen
씰
TERMINALDIENSTE-BASISVERZEICHNIS. Das Verzeichnis, das als das Basisverzeichnis des Benutzers verwendet werden soll, der den Terminalserver verwendet.
씰
TERMINALSERVER-ANMELDUNG ZULASSEN. Legt fest, ob dem Benutzer die Anmeldung am Terminalserver erlaubt ist.
Abbildung 4.15 Die Registerkarte TERMINALDIENSTPROFILE des Dialogfeldes Eigenschaften
VERÖFFENTLICHTE ZERTIFIKATE Die Registerkarte VERÖFFENTLICHTE ZERTIFIKATE (siehe Abbildung 4.16) ermöglicht Ihnen die Kontrolle der Zertifikate, die dem Benutzer zur Verfügung stehen. Zertifikate können Sie entweder über einen lokalen Zertifikatspeicher oder über eine Datei hinzufügen. Es handelt sich hierbei um X.509-Zertifikate, die für die Internet-Authentifizierung genutzt werden können und sich auch im verschlüsselten Dateisystem befinden.
203
204
Kapitel 4
Active Directory-Dienste verwalten
Abbildung 4.16 Die Registerkarte VERÖFFENTLICHTE ZERTIFIKATE des Dialogfeldes Eigenschaften
Abbildung 4.17 Die Registerkarte MITGLIED VON des Dialogfeldes Eigenschaften
4.2 Administrative Grundfunktionen
MITGLIED VON Über die Registerkarte MITGLIED VON (siehe Abbildung 4.17) wird verwaltet, zu welcher Gruppe ein Benutzer gehört, und welche Gruppe seine primäre Gruppe ist. Mit den Schaltflächen HINZUFÜGEN und ENTFERNEN können Sie den Benutzer zu Gruppen hinzufügen oder von dort entfernen. Die primäre Gruppe des Benutzers findet nur bei Benutzern Anwendung, die sich am Netzwerk über einen MacintoshComputer anmelden oder POSIX-Anwendungen betreiben. Solange Sie solche Dienste nicht beanspruchen, brauchen Sie den Wert Domänen-Benutzer für die primäre Gruppe nicht zu verändern. EINWÄHLEN Die Registerkarte EINWÄHLEN (siehe Abbildung 4.18) erlaubt Ihnen die Einstellung der verschiedenen Einwahloptionen für den Benutzer. Die folgende Aufzählung enthält die zur Verfügung stehenden Optionen: 씰
RAS-BERECHTIGUNGEN. Hier können Sie festlegen, ob dem Benutzer RASBerechtigungen erteilt werden sollen, oder ob diese über die RAS-Richtlinie geregelt werden.
씰
ANRUFERKENNUNG VERIFIZIEREN. Hiermit wird die von einem RADIUSSystem übermittelte Anruferkennung eingestellt.
씰
RÜCKRUFOPTIONEN. Dies legt fest, ob der Benutzer die Möglichkeit eines Rückrufs eingeräumt bekommen soll, was die Gesprächskosten bei Fernverbindungen reduzieren kann. Außerdem können Sie eine Rückrufnummer festlegen, die einen zusätzlichen Sicherheitsmechanismus dadurch einführt, dass der Benutzer unter dieser Nummer erreichbar sein muss.
씰
STATISCHE IP-ADRESSE VERWENDEN. Hiermit können Sie die Verwendung einer statischen IP-Adresse festlegen.
씰
STATISCHE ROUTEN ANWENDEN. Hiermit können Sie das Routing für das Remote-System konfigurieren.
Weitere Registerkarten Die Registerkarten OBJEKT und SICHERHEITSEINSTELLUNGEN bieten weitere Kontrollmöglichkeiten an. Die Registerkarte OBJEKT dient dabei der Information und enthält den vollen Namen des Objekts, sein Erstellungsdatum, sein Aktualisierungsdatum und seine USN.
205
206
Kapitel 4
Active Directory-Dienste verwalten
Abbildung 4.18 Die Registerkarte EINWÄHLEN des Dialogfeldes Eigenschaften
Mit der Registerkarte SICHERHEITSEINSTELLUNGEN können Sie die Sicherheit für das Active Directory-Objekt festlegen. Dieses Thema wird weiter unten im Kapitel im Abschnitt »Berechtigungen in Active Directory-Diensten« behandelt. Weitere Funktionen für die Benutzerverwaltung Zusätzlich zum Hinzufügen eines Benutzerkontos stehen noch einige andere Funktionen zur Verfügung, auf die Sie ggf. ebenfalls zurückgreifen müssen. Dieser Abschnitt erörtert, wie diese zusätzlichen Funktionen eingesetzt werden. Manchmal müssen Sie ein Benutzerkonto wieder löschen. Denken Sie an dieser Stelle daran, dass beim Löschen eines Benutzerkontos alle Berechtigungen und Mitgliedschaften, mit denen dieses Konto verknüpft sein kann, verloren gehen. Da die SID jedes Kontos eindeutig ist, führt das Hinzufügen eines neuen Benutzerkontos mit demselben wie dem zuvor gelöschten Namen nicht dazu, dass die zuvor gelöschten Berechtigungen und Mitgliedschaften nun automatisch wieder mit dem Konto verknüpft werden. Führen Sie die folgenden Schritte zum Löschen eines Benutzerkontos aus.
4.2 Administrative Grundfunktionen
SCHRITT FÜR SCHRITT 4.11 Benutzerkonto löschen 1. Öffnen Sie den Ordner ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf USERS bzw. klicken Sie auf den Ordner, der das Benutzerkonto enthält. 3. Klicken Sie mit der rechten Maustaste auf dem Benutzerkonto und wählen Sie im Kontextmenü LÖSCHEN. 4. Bestätigen Sie den Löschvorgang im angezeigten Dialogfeld. Gelegentlich müssen Sie einen Benutzer umbenennen, was passieren kann, wenn ein Mitarbeiter, der das Unternehmen verlassen hat, durch einen neuen Mitarbeiter ersetzt wird, oder wenn einer Ihrer Benutzer seinen Namen durch Heirat ändert. Führen Sie zum Umbenennen eines Benutzerkontos die nun folgenden Schritte aus.
SCHRITT FÜR SCHRITT 4.12 Benutzerkonto umbenennen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Container, der das gewünschte Benutzerkonto enthält. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf dem Benutzerkonto und wählen Sie im Kontextmenü UMBENENNEN aus. 4. Geben Sie den neuen Namen ein, oder drücken Sie (Entf) und danach die (¢), um das Dialogfeld BENUTZER UMBENENNEN anzuzeigen. 5. Geben Sie unter VOLLSTÄNDIGER NAME den Benutzernamen ein. 6. Geben Sie im Feld VORNAME den Vornamen des Benutzers ein. 7. Geben Sie im Feld NACHNAME den Nachnamen des Benutzers ein. 8. Geben Sie im Feld ANZEIGENAME den Namen ein, der den Benutzer identifiziert. 9. Geben Sie im Feld BENUTZERANMELDENAME den Namen ein, mit dem der Benutzer angemeldet wird. Wählen Sie im Drop-down-Listenfeld das Suffix aus, welches an diesen Namen angehängt werden soll. 10. Ändern Sie erforderlichenfalls den Downlevel-Anmeldenamen.
207
208
Kapitel 4
Active Directory-Dienste verwalten
11. Klicken Sie auf OK. Es gibt viele Gründe zum Umbenennen oder Ersetzen eines Benutzers. Darüber hinaus müssen Sie sicher auch einmal ein Benutzerkonto deaktivieren. Das Deaktivieren eines Benutzerkontos ist empfehlenswert, wenn ein Benutzer die Organisation verlässt oder für eine bestimmte Zeit außer Haus ist. Falls der Benutzer die Organisation für immer verlässt, können Sie das Konto später, wenn der neue Mitarbeiter eingetroffen ist, umbenennen. Sie haben auch die Möglichkeit, deaktivierte Benutzerkonten mit den üblichen Gruppenmitgliedschaften zu erstellen. Deaktivierte Benutzerkonten können weiterhin als Kontovorlagen verwendet werden, die das Erstellen von Benutzerkonten vereinfachen. Führen Sie die folgenden Schritte aus, um ein Benutzerkonto zu deaktivieren.
SCHRITT FÜR SCHRITT 4.13 Benutzerkonto deaktivieren 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf USERS oder auf den Ordner, der das gewünschte Benutzerkonto enthält. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Benutzer. 4. Klicken Sie auf KONTO DEAKTIVIEREN. 5. Klicken Sie zum Bestätigen OK. Wenn Sie ein Konto deaktivieren, dessen Benutzer für eine bestimmte Zeit außer Haus ist, ersparen Sie sich die Mühe, das Konto bei der Rückkehr des Benutzers neu erstellen zu müssen. Nützlich ist dies außerdem insofern, als Sie ein deaktiviertes Konto mit allen gewünschten Einstellungen erstellen und dann nur noch kopieren müssen, um auf diese Weise viele neue Benutzer hinzuzufügen. Manchmal werden Sie das Benutzerkonto löschen oder neu reaktivieren müssen, Das Symbol deaktivierter Konten enthält in Active Directory-Benutzer und -Computer ein Kreuz im roten Kreis. In der folgenden Schritt-für-Schritt-Anleitung erfahren Sie, wie Sie ein deaktiviertes Benutzerkonto reaktivieren.
4.2 Administrative Grundfunktionen
SCHRITT FÜR SCHRITT 4.14 Deaktiviertes Benutzerkonto aktivieren 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf USERS oder auf den Ordner, der das gewünschte Benutzerkonto enthält. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf dem Benutzer, und klicken Sie dann auf KONTO AKTIVIEREN. 4. Klicken Sie zum Schließen des Dialogfeldes mit der Bestätigung auf OK. Eine weitere Funktion, die Sie wahrscheinlich noch öfter als alle anderen ausführen werden, ist das Zurücksetzen des Kennwortes, das ein Benutzer vergessen hat. Vergewissern Sie sich jedoch immer, dass es tatsächlich der Benutzer ist, der das Kennwort zurücksetzen lassen möchte, und nicht etwa eine dritte Person mit unlauteren Absichten. Das Zurücksetzen eines Kennworts wird in der folgenden Schritt-fürSchritt-Anleitung behandelt.
SCHRITT FÜR SCHRITT 4.15 Benutzerkennwort zurücksetzen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner, der das gewünschte Benutzerkonto enthält. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Benutzer, den Sie zurücksetzen möchten, und klicken Sie dann auf KENNWORT ZURÜCKSETZEN. 4. Geben Sie das Kennwort ein und bestätigen Sie es. Kennwörter dürfen bis zu 128 Zeichen lang sein und Buchstaben, Ziffern und die meisten Sonderzeichen enthalten. 5. Falls Sie möchten, dass der Benutzer bei der nächsten Anmeldung sein Kennwort ändert, aktivieren Sie das Kontrollkästchen BENUTZER MUSS DAS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN. 6. Klicken Sie zum Zurücksetzen auf das Kennwort, und klicken Sie danach zum Schließen des Dialogfeldes mit der Bestätigung auf OK.
209
210
Kapitel 4
Active Directory-Dienste verwalten
ACHTUNG Kennwort für Dienstkonto Dienste, die sich über ein Benutzerkonto authentifizieren, müssen zurückgesetzt werden, falls das Kennwort ihres Benutzerkontos geändert worden ist.
Vorlagen verwenden Mit Kontovorlagen können Sie Muster erstellen, die immer wieder für neue Benutzerkonten kopiert werden können. Sie erledigen dies, indem Sie ein Beispielkonto erzeugen und die entsprechenden Gruppen- und anderen Optionen für dieses Konto vergeben. Anschließend haben Sie dann eine Vorlage für zukünftige Konten. Sie kopieren dann die Vorlage und bearbeiten danach die Einstellungen so, dass ein persönlich angepasstes Konto entsteht. Das Kopieren eines Benutzerkontos wird in der folgenden Schritt-für-Schritt-Anleitung demonstriert.
SCHRITT FÜR SCHRITT 4.16 Benutzerkonto kopieren 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner, der das gewünschte Benutzerkonto enthält. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf dem Benutzerkonto, welches Sie kopieren möchten, und wählen Sie im Kontextmenü KOPIEREN aus. 4. Geben Sie im Feld VORNAME den Vornamen des Benutzers ein. 5. Geben Sie im Feld NACHNAME den Nachnamen des Benutzers ein. 6. Den Namen im Feld VOLLSTÄNDIGER NAME bearbeiten Sie, indem Sie Initialen hinzufügen oder die Reihenfolge von Vor- und Nachnamen ändern. 7. Im Feld BENUTZERANMELDENAME tragen Sie den Namen ein, mit dem sich der Benutzer anmeldet, und wählen Sie im Drop-down-Listenfeld das Suffix aus, welches an den Anmeldenamen des Benuters angehängt wird. 8. Geben Sie ggf. den Benutzeranmeldenamen (Windows NT 3.5x/4.0) ein. 9. Geben Sie in den Feldern KENNWORT und KENNWORTBESTÄTIGUNG das Benutzerkennwort ein. 10. Wählen Sie die gewünschte Kennwortoption aus.
4.3 Weitere Programme für die Verwaltung von Objekten
11. Falls das Konto, welches Ihnen als Kopiervorlage gedient hat, deaktiviert war, klicken Sie zum Deaktivieren auf das Kontrollkästchen KONTO IST DEAKTIVIERT, womit das neue Konto aktiviert ist. 12. Klicken Sie, wenn Sie fertig sind, auf OK. Durch die Verwendung von Vorlagen als Kopiervorlage zum Erstellen neuer Benutzerkonten sparen Sie viel Zeit und Mühe gegenüber dem manuellen Erstellen der Konten. Wie Sie gesehen haben, ist dieser Vorgang zweigeteilt: Als Erstes erstellen Sie ein deaktiviertes Benutzerkonto mit den Grundinformationen und kopieren dieses dann im zweiten Schritt. Die Verwaltung von Benutzern und Computern ist eine der grundlegendsten Funktionen eines Netzwerkadministrators. Während der Lebensdauer eines Netzwerks werden Sie vermutlich viele Male Benutzerkonten hinzufügen, bearbeiten und löschen müssen. Zum Glück ist dieser Vorgang, wie Sie gesehen haben, so einfach wie möglich gehalten worden, und nahezu identisch mit dem Vorgang beim Erstellen von Computerkonten. Es gibt noch weitere Möglichkeiten zum Erstellen und Verwalten von Objekten in Active Directory, die Sie kennen sollten.
4.3
Weitere Programme für die Verwaltung von Objekten
Über die Funktionen hinaus, die Sie bereits kennen gelernt haben, stehen noch weitere Programme zur Verfügung, mit denen Sie sowohl für die Prüfung als auch die berufliche Praxis bekannt sein sollten. Hierzu gehören die Programme LDIFDE und CSVDE für den Verzeichnisaustausch sowie die ADSI-Schnittstelle. Der folgende Abschnitt beschreibt, wie Sie diese Programme verwenden.
4.3.1
Programme für den Verzeichnisaustausch
Mit den zwei Programmen für den Verzeichnisaustausch können Sie Benutzer und andere Objekte einschließlich von Attributen und Klassen importieren. Diese Programme wurden in diese Erörterung aufgenommen, weil sie Ihnen eine Möglichkeit dafür geben, umfangreiche Aktualisierungen in kurzer Zeit zu erledigen. Die wochenlange Arbeit, die zuvor vielleicht für die Implementierung derartiger Änderungen investiert werden musste, wird so auf die Zeit verkürzt, die Sie zum Erstellen eines Programms benötigen, welches die Änderungen in einem Rutsch vornimmt.
211
212
Kapitel 4
Active Directory-Dienste verwalten
LDIFDE verwenden Das Programm LDIFDE (LDAP Data Interchange Format Directory Exchange) verwenden Sie zu dem Zweck, Daten in Active Directory zu importieren oder von dort zu exportieren. Der LDIF-Standard ist ein Industriestandard zum Importieren oder Bearbeiten von LDAP-Verzeichnissen, und das Programm LDIFDE wird dazu eingesetzt, diese Funktionen in Windows 2000 zur Verfügung zu stellen. Der entsprechende Programmaufruf findet über die Eingabeaufforderung statt. Die Funktion des Programms wird sowohl über mitgegebene Optionen als auch über die Informationen der Datei gesteuert. Das Programm bietet folgende Befehlszeilenparameter: LDIFDE -i -f -s -c -v -t -d -r -p -l -o -m -n -j -g -k -a -b -?-u
Die zahlreichen Optionen sprechen für die Flexibilität dieses Programms und können dreifach unterteilt werden: Allgemeine Funktionen, Exportfunktionen und Importfunktionen. Die zur Verfügung stehenden Funktionen werden in der folgenden Aufzählung beschrieben: 씰
-f Dateiname. Diese Option gibt den Namen einer Datei an, die importiert bzw. in die exportiert wird.
씰
-u. Diese Option gibt an, dass sich die von Ihnen verwendete Datei im Uni-
code-Format befindet. 씰
-s Servername. Diese Option gibt an, auf welchem Domänencontroller die
Funktion ausgeführt werden soll. Wenn diese Option nicht angegeben wurde, wird ein Domänencontroller aus der Domäne verwendet, an der der Benutzer gegenwärtig angemeldet ist. 씰
-c vonDN zuDN. Diese Option ersetzt jedes Vorkommen von Distinguished
Name mit Distinguished Name in der angegebenen Reihenfolge. 씰
-t Portnummer. Falls der von Ihnen verwendete LDAP-Server nicht den Standardanschluss 389 benutzt, können Sie hier die tatsächliche Portnummer angeben. Die Portnummer des globalen Katalogs lautet beispielsweise 3268.
씰
-v. Diese Option schaltet den ausführlichen Modus ein, der mehr Informationen über die Operation zurückliefert.
씰
-?. Hiermit erhalten Sie eine Online-Hilfe.
4.3 Weitere Programme für die Verwaltung von Objekten
씰
-a Name Kennwort. Diese Option teilt den Benutzernamen und das Kennwort
mit, welche zur Authentifizierung an den LDAP-Server gesendet werden sollen. Anstelle des Kennworts können Sie auch »*« eingeben, wodurch eine Eingabeaufforderung für eine verdeckte Eingabe des Kennworts möglich wird. 씰
-b Benutzername Domäne Kennwort. Hiermit können Sie anstelle des Distin-
guished Name die standardmäßige Anmeldeinformation verwenden. Anstelle des Kennworts können Sie auch »*« eingeben, wodurch eine Eingabeaufforderung für eine verdeckte Eingabe des Kennworts möglich wird. 씰
-i. Hiermit wird der Importmodus eingestellt. Der Standardwert ist der Ex-
portmodus, der keine explizite Optionsangabe erfordert. 씰
-k Aktion. Diese Angabe ermöglicht Ihnen die Einstellung einer Aktion, die im Fehlerfall ausgeführt werden soll.
씰
-d distinguished name. Legt den Ausgangspunkt für den Export fest. Falls
nicht vorhanden, wird der Stamm der aktuellen Domäne verwendet. 씰
-r LDAP-Filter. Über diese Option können Sie über die Verwendung einer
LDAP-Eigenschaft als Kriterium filtern, welche Datensätze exportiert werden sollen. 씰
-p LDAP-Suchbereich. Mit dieser Option können Sie den Suchbereich der
LDAP-Suche festlegen. Die zur Verfügung stehenden Optionen lauten auf Basis, eine Ebene oder untergeordnete Struktur. 씰
-l LDAP-Attributeliste. Mit dieser Option wird die Liste der LDAP-Attri-
bute festgelegt, die Sie exportieren möchten. Standardmäßig werden alle Attribute exportiert. 씰
-o Attributliste. Mit dieser Option können Sie den Export bestimmter At-
tribute unterdrücken. Sie erstellen eine LDAP-Datei, die von einem anderen LDAP-kompatiblen System importiert werden kann, welches nicht so viele Attribute unterstützt. 씰
-m. Mit dieser Option werden Active Directory-spezifische Informationen
aus der Exportdatei ausgeschlossen. Sie verwenden diese Option, wenn Sie nach Ihren Änderungen einen Rückimport derselben Liste planen. 씰
-n. Über diese Option verhindern Sie den Export binärer Werte, die standardmäßig immer exportiert werden.
213
214
Kapitel 4
씰
Active Directory-Dienste verwalten
-j Dateipfadname. Mit dieser Option wird der Pfadname der Protokolldatei
angegeben, die während eines Exports generiert wird. 씰
-g. Diese Option schaltet bei einem Export seitenweise Suchvorgänge ab.
Wie Sie sehen können, steht Ihnen eine ganze Reihe von Optionen zur Verfügung. Die meisten von diesen werden allerdings nur beim Export verwendet. In der Prüfung sollten Sie sowohl mit den grundlegenden Import- als auch Exportfunktionen vertraut sein. Die Datei, mit der Sie arbeiten, ist eine Textdatei, die Sie normal bearbeiten können. Es folgt nun ein Beispiel einer solchen Datei: dn:CN=Bio,CN=Users,DC=Biotech,DC=com changetype:add cn:Gerdsen description:Thomas Gerdsen objectClass:user sAMAccountName:Thomas
Sie können eine solche Datei selbst erstellen, oder über den Export des Verzeichnisses von LDIFDE erstellen lassen. In jedem Fall haben Sie die Möglichkeit, den Inhalt der Datei bearbeiten und auf Korrektheit überprüfen zu können. Anschließend importieren Sie sie mit dem folgenden Befehl: ldifde -i -f import.ldf
Wie Sie sehen, stellt das Programm LDIFDE eine besonders schnelle Methode dafür zur Verfügung, eine Liste der Benutzer von Active Directory zu erhalten, eine solche aus einer anderen Quelle stammende Liste in Active Directory zu importieren, oder sogar eine Liste mit Attributen zu exportieren, um sie zu bearbeiten und danach wieder zu importieren. Das Programm arbeitet ausschließlich mit LDIFDateien; falls Ihre Datei eine kommaseparierte Datei ist, können Sie anstelle dessen CSVDE verwenden. CSVDE verwenden Das andere zur Verfügung stehende Programm ist CSVDE, welches mit kommaseparierten Dateien arbeitet. Dieser Dateityp ist nützlich, wenn Sie beim Umgang mit Dateien, die Sie importieren oder exportieren wollen, mit Anwendungen wie Excel arbeiten.
4.3 Weitere Programme für die Verwaltung von Objekten
Das Programm ähnelt sehr LDIFDE und unterscheidet sich hauptsächlich dadurch, dass es nur zum Hinzufügen von Datensätzen zu Active Directory verwendet werden kann – es kann keine Änderungen vornehmen. Außerdem ist die Datei einfacher aufgebaut; sie besteht aus einer Kopfzeile mit Attributnamen und einer Anzahl von zeilenweise angeordneten Datensätzen mit den Attributen in etwa dem folgenden Format: dn,cn,.rstName,surname,description,objectClass, sAMAccountname "cn=Heidi Hagan,cn=Users,dc=Biotech,dc=com",Heidi Hagan,Heidi,Hagan,VP – Research,user,HHagan "cn=Wayne Cassidy,cn=Users,dc=Biotech,dc=com",Wayne Cassidy,Wayne,Cassidy,Manager,user,Wcassidy
Wenn Sie genau hinschauen, werden Sie bemerken, dass die Datei keinerlei Hinweis auf den Änderungstyp enthält, was der Grund dafür ist, dass Sie sie nicht für Änderungen einsetzen können. Die Befehlszeile ist fast mit LDIFDE identisch – die zur Verfügung stehenden Optionen haben nahezu dieselbe Bedeutung wie bei LDIFDE. CSVDE -i -f -s -c -v -t -d -r -p -l -o -m -n -e -j -g -k -a -b -?-u
Trotz der leichten Unterschiede sind sowohl LDIFDE und CSVDE in der Lage, Informationen aus Active Directory herauszuholen oder dort hineinzuschreiben. Falls Sie Active Directory jedoch programmiertechnisch bearbeiten möchten, setzen Sie dazu ADSI ein. Skripte mit ADSI Wie Sie selbst gesehen haben, ist das Erstellen und Importieren einer Benutzerliste in Active Directory nicht allzu schwierig. Da die Klassen und Attribute und deren Definition ein Bestandteil von Active Directory sind, ist es unter Verwendung der entsprechenden Werkzeuge möglich, auch diese zu bearbeiten. Wenn Sie jedoch interaktiv mit Active Directory arbeiten müssen, erledigen Sie das am besten über die Schnittstelle Active Directory Service Interface (ADSI). Diese Schnittstelle zur interaktiven Arbeit mit Active Directory können Sie über verschiedene Programmiersprachen einschließlich des Windows Scripting Host, ansprechen. ADSI ist kompatibel mit Common Object Model (COM) und unterstützt die standardmäßigen COM-Funktionen. Eine vollständige Erörterung dessen, wie ADSI-Skripte erstellt werden, wäre ein Thema aus der Programmierung und ginge über den Rahmen dieses Buches hinaus. Für die hier zugrunde liegenden Zwecke sollten Sie sich nur im Klaren darüber sein, dass ADSI existiert und mit jeder Programmiersprache einschließlich des Windows
215
216
Kapitel 4
Active Directory-Dienste verwalten
Scripting Host zusammenarbeitet. Das folgende Beispiel soll Ihnen eine Vorstellung davon vermitteln, wie einfach diese Schnittstelle bedient werden kann: Dim objDomain Dim objUser Set objDomain=GetObject("LDAP://OU=Users,DC=Biotech,DC=com") Set objUser =objDomain.Create("user","cn=Dave Shapton") objUser.Put "samAccountName","Dshapton" objUser.Put "givenName","Dave" objUser.Put "sn","Shapton" objUser.Put "userPrincipalName","[email protected]" objUser.SetInfo MsgBox "Benutzer erstellt: " &&objUser.Name Set objDomain =Nothing MsgBox "Fertig" WScript.Quit
In diesem Beispiel dienen die ersten zwei Zeilen als Platzhalter für die Objekte, die erstellt werden. Als Nächstes wird über die Komponente LDAP:// die Verbindung mit dem LDAP-Server hergestellt. Anschließend wird ein Benutzerobjekt mit dem neuen Namen erstellt. Danach werden verschiedene Attribute vergeben und die Information gespeichert. Ein Dialogfeld teilt Ihnen zum Schluss mit, dass der Benutzer erstellt und das Programm beendet wurde. Dies ist zwar ein simples Programm, aber ein gutes Beispiel dafür, wie leistungsfähig die Schnittstelle ist. Für Ihre Prüfung müssen Sie lediglich wissen, dass ADSI existiert. Viel mehr müssen Sie dagegen über Gruppen wissen.
4.4
Gruppen in Windows 2000
Sicherlich möchten Sie 70.000 Benutzer nicht einzeln bearbeiten müssen, daher brauchen Sie ein Verfahren, mit dem Sie Benutzer und Gruppen so zusammenfassen können, dass Sie mit vielen Benutzern oder Computern auf einmal arbeiten können. Bevor Sie mehr über Gruppen in Windows 2000 erfahren, sollten Sie sich noch einmal all das vor Augen halten, was Sie über das Speichern von Benutzern gelernt haben. Eine der Kernintentionen von Windows 2000 besteht ja darin, die Verzeichnisdienste der Netzwerk- und der E-Mail-Seite zusammenzubringen. Ein großer Teil der Daten, die Sie über die Benutzer speichern können, besteht zu einem gro-
4.4 Gruppen in Windows 2000
ßen Teil aus Daten, die Sie bis dahin in der Regel im E-Mail-System abgelegt haben. Wenn Sie sich mit Gruppen befassen, wird dies offensichtlich, denn im Windows2000-Verzeichnisdienst können Sie zwei Hauptgruppen erstellen: 씰
Verteilergruppe. Diese Gruppen sind ausschließlich für die E-Mail vorgesehen und können nicht zur Vergabe von Sicherheitseinstellungen verwendet werden.
씰
Sicherheitsgruppen. Diese Gruppen dienen dazu, Benutzer zusammenzufassen oder Berechtigungen für Objekte im Netzwerk oder in Active Directory zu vergeben. Diese Gruppen können auch für die E-Mail verwendet werden.
Die folgenden Erörterungen werden sich hauptsächlich um die Sicherheitsgruppen drehen, obwohl auch die Verteilergruppen legitime Objekte in Windows 2000 Active Directory darstellen. Sie werden die Hauptfunktionen von Gruppen, den Domänenmodus, die Strategien für die Verwendung von Gruppen, integrierte und vordefinierte Gruppen, vordefinierte globale Gruppen, spezielle Identitäten und die Verwaltung von Gruppen untersuchen. In Windows 2000 Active Directory übernimmt eine Gruppe zwei Hauptfunktionen: Sie fasst Benutzerkonten zu einer einzelnen Einheit zur Vereinfachung der Administration zusammen, und sie vergibt Berechtigungen für Objekte und Ressourcen. Der Unterschied besteht dabei im Bereich der Gruppe. 씰
Global. Globale Gruppen werden normalerweise zum Gruppieren von Benutzerkonten eingesetzt und sollten in der Regel keine Berechtigungen erhalten. Die Berechtigungen bekommen die Benutzer über das Hinzufügen einer globalen Gruppe zu einer lokalen Gruppe, die über die erforderlichen Berechtigungen verfügt. Globale Gruppen können nur Benutzer aus der lokalen Domäne enthalten. Sie stehen in der Domäne zur Verfügung, in der sie erstellt worden sind, sowie in anderen Domänen in der Struktur bzw. Gesamtstruktur.
씰
Lokal. Lokale Gruppen werden dazu verwendet, Berechtigungen zur Ausführung von Funktionen innerhalb einer Domäne zusammenzufassen. Die lokale Gruppe in einer Windows-NT-Domäne steht nur auf dem Computer zur Verfügung, auf dem sie erstellt worden ist. In Windows 2000 dagegen steht die lokale Gruppe allen Systemen in der Domäne zur Verfügung, die mit Windows 2000 laufen, und wird als domänenlokale Gruppe bezeichnet.
217
218
Kapitel 4
씰
4.4.1
Active Directory-Dienste verwalten
Universell. Universelle Gruppen kombinieren die Eigenschaften globaler und lokaler Gruppen. Sie können Benutzer und Computer aus jeder Domäne einer Struktur oder Gesamtstruktur enthalten, und Rechte für Ressourcen oder Objekte in jeder Domäne zugewiesen bekommen. Diese Gruppe beseitigt aus der Sicht der Administration die Grenzen zwischen den Domänen. Dafür steigert sie den zwischen Servern für den globalen Katalog erforderlichen Replikationsaufwand, da diese Art Gruppe von den Servern für den globalen Katalog verwaltet wird. Die Gruppen stehen nur im einheitlichen Modus zur Verfügung.
Domänenmodus
Die aktuelle Verwendung und der Bereich von Gruppen hängt von dem Modus ab, in dem Sie eine Domäne betreiben. In einer Windows-2000-Domäne stehen Ihnen zwei Modi zur Verfügung: 씰
Gemischter Modus. In diesem Modus können Sie die Domänencontroller von Windows NT und Windows 2000 in derselben Domäne einsetzen. Dieser Modus ist standardmäßig eingestellt und stellt Ihnen die während des Aktualisierungsvorgangs nötige Funktionalität zur Verfügung.
씰
Einheitlicher Modus. In diesem Modus nutzen Sie die Vorteile verschiedener erweiterter Funktionen der Gruppe einschließlich der Vorteile universeller Gruppen.
Der einheitliche Modus von Windows 2000 steht nur für Domänen zur Verfügung, die keine Domänencontroller mit Windows NT 4.0 besitzen. Sie können auf den einheitlichen Modus aktualisieren, nachdem Sie alle eingeplanten Domänencontroller aktualisiert und alle Domänencontroller mit Windows NT entfernt haben. Der Wechsel des Domänenmodus wird in der nächsten Schritt-für-Schritt-Anleitung demonstriert.
SCHRITT FÜR SCHRITT 4.17 Domänenmodus ändern 1. Öffnen Sie ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN. 2. Klicken Sie mit der rechten Maustaste auf der Domäne, die Sie ändern möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie auf der Registerkarte ALLGEMEIN (siehe Abbildung 4.19) auf die Schaltfläche MODUS WECHSELN.
4.4 Gruppen in Windows 2000
4. Sie erhalten eine Warnung angezeigt, die darauf hinweist, dass Sie nicht wieder zum gemischten Modus zurückkehren können. Klicken Sie zum Fortfahren auf WEITER. 5. Klicken Sie zum Abschluss der Operation auf OK. 6. Sie erhalten eine Warnung angezeigt, die darauf hinweist, dass die Replikation 15 Minuten und länger dauern kann. Klicken Sie zum Schließen des Meldungsfeldes auf OK. Abbildung 4.19 Klicken Sie in der Registerkarte auf die Schaltfläche Modus wechseln
Die folgende Tabelle fasst die Auswirkung des Domänenmodus auf Gruppen zusammen. Gruppentyp
Funktion
Gemischter Modus
Einheitlicher Modus
Universell
kann welche Mitglieder enthalten
nicht verfügbar
Konten, globale Gruppen und universelle Gruppen aus allen Domänen
Tabelle 4.1: Auswirkungen des Domänenmodus auf Gruppen
219
220
Kapitel 4
Active Directory-Dienste verwalten
Gruppentyp
Global
Domänenlokal
Funktion
Gemischter Modus
Einheitlicher Modus
kann Mitglied sein von
nicht verfügbar
kann anderen Gruppen jeder Domäne hinzugefügt werden
wird verwendet für
nicht verfügbar
kann in jeder Domäne Berechtigungen zugewiesen bekommen
kann in andere Typen umgewandelt werden
nicht verfügbar
nicht verfügbar
kann welche Mitglieder enthalten
Konten aus derselben Domäne
Konten und andere globale Gruppen aus derselben Domäne
kann Mitglied sein von
lokale Gruppen in jeder Domäne
kann anderen Gruppen jeder Domäne hinzugefügt werden
wird verwendet für
kann in jeder Domäne Berechtigungen zugewiesen bekommen
kann in jeder Domäne Berechtigungen zugewiesen bekommen
kann in andere Typen umgewandelt werden
nicht verfügbar
kann in den universellen Gültigkeitsbereich umgewandelt werden, sofern nicht Mitglied einer anderen Gruppe mit globalem Gültigkeitsbereich
kann welche Mitglieder enthalten
Konten und globale Gruppen aus jeder Domäne
Konten, globale Gruppen und universelle Gruppen aus allen Domänen als auch domänenlokale Gruppen aus derselben Domäne
Tabelle 4.1: Auswirkungen des Domänenmodus auf Gruppen
4.4 Gruppen in Windows 2000
Gruppentyp
Funktion
Gemischter Modus
Einheitlicher Modus
kann Mitglied sein von
nicht verfügbar
kann anderen domänenlokalen Gruppen in derselben Domäne hinzugefügt werden
wird verwendet für
kann Berechtigungen in der lokalen Domäne zugewiesen bekommen
kann nur Berechtigungen in derselben Domäne zugewiesen bekommen
kann in andere Typen umgewandelt werden
nicht verfügbar
kann in den universellen Gültigkeitsbereich umgewandelt werden, sofern nicht Mitglied einer anderen Gruppe mit globalem Gültigkeitsbereich
Tabelle 4.1: Auswirkungen des Domänenmodus auf Gruppen
Für den Einsatz von Gruppen brauchen Sie eine Strategie, die der Gegenstand des folgenden Abschnitts sein wird.
4.4.2
Strategien zum Einsatz von Gruppen
Wenn Sie noch vor der Installation von Windows 2000 einen Plan dafür entwickeln, wie Sie Ihre Gruppen verwenden werden, wird Ihnen dies viel Zeit und Mühe bei der Anpassung der Gruppen an Ihr Netzwerk ersparen. Der erste Schritt bei der Planung Ihrer Gruppen besteht, wie Sie sich vielleicht schon gedacht haben, darin, den zu verwendenden Domänenmodus festzulegen. Die lokalen, globalen und universellen Gruppen bieten dem Administrator unterschiedliche Grade der Kontrolle an. Domänenlokale Gruppen verwenden Normalerweise nutzen Sie domänenlokale Gruppen zum Zuweisen von Berechtigungen. Indem Sie die domänenlokale Gruppe für Berechtigungen verwenden, können Sie über globale und universelle Gruppen aus jeder Domäne Benutzer mit Berechtigungen zu verknüpfen. Nehmen Sie beispielsweise an, dass Sie einen Drucker haben, und den Buchhaltern in Ihrer Domäne dessen Verwendung erlauben möchten. Sie können nun sehr ein-
221
222
Kapitel 4
Active Directory-Dienste verwalten
fach eine globale Gruppe definieren, die die Buchhalter enthält, und diese in eine lokale Gruppe mit den Berechtigungen für diesen Drucker aufnehmen. Falls Sie später einmal eine Buchhaltergruppe einer anderen Domäne hinzufügen müssen, erledigen Sie dies einfach durch Hinzufügen der globalen Gruppe. Müssen Sie später die Berechtigung für den Drucker auf einen anderen Drucker ändern, dann vergeben Sie diese Berechtigung einfach der lokalen Gruppe. Mit lokalen Gruppen können Sie gleichzeitig mit mehreren globalen Gruppen arbeiten, die als Einheit den Zugriff auf verschiedene lokale Ressourcen benötigen. Globale Gruppen verwenden Globale Gruppen dienen normalerweise nur dem Zweck, Benutzer einer Domäne zu einer Einheit zusammenzufassen, die dann in der lokalen Domäne oder einer beliebigen anderen Domäne in der Struktur oder Gesamtstruktur Verwendung findet. Da Gruppen mit globalem Bereich nicht außerhalb ihrer Domäne repliziert werden, können Konten in einer Gruppe mit globalem Bereich häufig geändert werden, ohne dass zusätzlicher Replikationsverkehr zum globalen Katalog ausgelöst wird. Universelle Gruppen verwenden Gruppen mit universellem Bereich verwenden Sie zur Konsolidierung von domänenübergreifenden Gruppen. Zu diesem Zweck fügen Sie Konten den Gruppen mit globalem Bereich hinzu, und schachteln diese Gruppen dann in Gruppen mit universellem Bereich ein. Bei Verwendung dieser Strategie haben Änderungen der Mitgliedschaft in den globalen Gruppen keinerlei Auswirkung auf die Gruppen mit universellem Bereich. Dies ist deshalb von Bedeutung, weil Änderungen an universellen Gruppenmitgliedschaften dazu führen, dass alle Mitgliedschaften der Gruppe an jeden globalen Katalog in der Gesamtstruktur repliziert werden. Bei der Arbeit mit Gruppen ist es wichtig daran zu denken, dass globale Gruppen zum Zusammenfassen von Benutzern, und lokale Gruppen zum Zuweisen von Berechtigungen eingesetzt werden. Durch Aufnahme einer globalen Gruppe in eine lokale Gruppe erhalten die Benutzer die Berechtigungen. Universelle Gruppen erlauben Ihnen die Zusammenfassung von globalen Gruppen und deren Aufnahme in mehrere domänenübergreifende lokale Gruppen. Außer den von Ihnen erstellten Gruppen stehen Ihnen noch mehrere eingebaute Gruppen zur Verfügung, die Sie bei der Verwaltung Ihres Netzwerks unterstützen.
4.4 Gruppen in Windows 2000
4.4.3
Integrierte und vordefinierte Gruppen
Während der Installation der Domäne werden standardmäßig mehrere Gruppen angelegt. Diese Gruppen repräsentieren verschiedene Rollen, die Benutzer in Ihrem Netzwerk übernehmen, und sind zu dem Zweck vorhanden, Ihnen die Einrichtung der Administration für Ihr Netzwerk zu erleichtern. Integrierte lokale Gruppen Die im Ordner Builtin für Active Directory-Benutzer und -Computer vorhandenen Gruppen sind: 씰
Konten-Operatoren
씰
Administratoren
씰
Sicherungs-Operatoren
씰
Gäste
씰
Druck-Operatoren
씰
Replikations-Operator
씰
Server-Operatoren
씰
Benutzer
씰
Hauptbenutzer (nur in Windows Professional und Standalone-Servern vorhanden)
Alle diese Gruppen verfügen über einen domänenlokalen Bereich und werden hauptsächlich zu dem Zweck verwendet, Berechtigungen an Benutzer zu verleihen, die eine administrative Rolle in der Domäne spielen sollen. Die folgende Tabelle zeigt die standardmäßigen Berechtigungen für jede dieser Gruppen und die generellen Berechtigungen für alle Benutzer auf, die in einer besonderen Gruppe namens Jeder zusammengefasst sind.
223
224
Kapitel 4
Active Directory-Dienste verwalten
Benutzerrechte
Erlaubt
Gruppen, denen diese Rechte standardmäßig zugewiesen sind
Zugriff auf diesen Computer im Netzwerk
Verbindung mit diesem Computer über das Netzwerk
Administratoren, Jeder, Hauptbenutzer
Dateien und Ordner sichern
Dateien und Ordner unabhängig von den Datei- und Ordnerberechtigungen sichern
Administratoren, Sicherungs-Operatoren
Ordner durchsuchen
Eine Ordnerstruktur durchsuchen, in der der Benutzer normalerweise kein Recht zum Zugriff auf Unterordner besitzt
Jeder
Systemzeit ändern
Systemzeit des Computers einstellen
Administratoren, Hauptbenutzer
Auslagerungsdatei erstellen
Keine sonstigen Auswirkungen
Administratoren
Programme debuggen
Verschiedene Systemobjekte wie etwa Threads debuggen
Administratoren
Herunterfahren von anderem System im Netzwerk erzwingen
Computer im Netzwerk herunterfahren
Administratoren
Multitaskingpriorität heraufsetzen
Priorität eines Prozesses heraufsetzen
Administratoren, Hauptbenutzer
Gerätetreiber laden und entladen
Gerätetreiber installieren und entfernen
Administratoren
Lokal anmelden
Am Computer direkt anmelden
Administratoren, Sicherungs-Operatoren, Jeder, Gäste, Hauptbenutzer und Benutzer
Tabelle 4.2: Die den integrierten administrativen Gruppen zugewiesenen Rechte
4.4 Gruppen in Windows 2000
Benutzerrechte
Erlaubt
Gruppen, denen diese Rechte standardmäßig zugewiesen sind
Überwachungs- und Sicherheitsprotokoll
Überwachungsprotokoll kontrollieren und anzeigen sowie Sicherheitsprotokoll anzeigen und löschen. Mitglieder der Gruppe Administratoren können das Sicherheitsprotokoll immer anzeigen und löschen
Administratoren
Umgebungsvariablen des BIOS ändern
Die im nichtflüchtigen RAM in Computern gespeicherten Umgebungsvariablen ändern, die eine Änderung unterstützen
Administratoren
Leistungsmessung eines Prozesses
Ausführen einer Leistungsmessung für einen Prozess
Administratoren, Hauptbenutzer
Leistungsmessung des Systems
Ausführen einer Leistungsmessung für den Computer
Administratoren
Dateien und Ordner wiederherstellen
Gesicherte Dateien und Ordner unabhängig von den Datei- und Ordnerberechtigungen wiederherstellen
Administratoren, Sicherungs-Operatoren
System herunterfahren
Den Computer herunterfahren
Administratoren, Sicherungs-Operatoren, Jeder, Hauptbenutzer und Benutzer
Besitzrechte übernehmen
Übernahme des Besitzrechtes an Dateien, Ordnern, Druckern und anderen Objekten, die sich auf dem Computer befinden bzw. mit diesem verknüpft sind
Administratoren
Tabelle 4.2: Die den integrierten administrativen Gruppen zugewiesenen Rechte
Außer den zusätzlichen lokalen Gruppen gibt es noch mehrere vordefinierte Gruppen mit globalem Bereich.
225
226
Kapitel 4
4.4.4
Active Directory-Dienste verwalten
Vordefinierte globale Gruppen
Die im Ordner Users von Active Directory-Benutzer und -Computer untergebrachten vordefinierten Gruppen sind die folgenden: 씰
Zertifikatherausgeber
씰
Domänen-Admins
씰
Domänencomputer
씰
Domänencontroller
씰
Domänen-Gäste
씰
Domänen-Benutzer
씰
Organisations-Admins
씰
Richtlinien-Ersteller-Besitzer
씰
Schema-Admins
Diese Gruppen ermöglichen Ihnen die Zusammenfassung verschiedener Benutzertypen und deren Verknüpfung mit den integrierten lokalen Gruppen. Standardmäßig sind alle Benutzer Mitglieder der Gruppe Domänen-Benutzer, während alle Computer zur Gruppe Domänencomputer gehören. Mit diesen Gruppen können Sie die Masse aller Benutzer und Computer in Ihrem Netzwerk verwalten. Standardmäßig ist die Gruppe Domänenbenutzer in einer Domäne ein Mitglied der Gruppe Benutzer in derselben Domäne. Die Gruppe Domänen-Admins wird für die Administratoren der Domäne verwendet und ist ein Mitglied der lokalen Gruppe Administratoren. In diese Gruppe sollten Sie nur dann Benutzer aufnehmen, wenn diese volle Administratorprivilegien innerhalb der Domäne benötigen. Die integrierten und vordefinierten Gruppen helfen bei der Verwaltung des größten Teils Ihres Netzwerks. Diese Gruppen in Verbindung mit den von Ihnen selbst erstellten Gruppen gestalten die Administration einfacher.
4.4.5
Spezielle Identitäten
Benutzer können zu drei speziellen Gruppen gehören. Sie werden zu Mitgliedern dieser Gruppen nicht dadurch, dass sie in diese aufgenommen werden, sondern durch die Aktionen, die sie selbst unternehmen. Es handelt sich um die folgenden Gruppen:
4.4 Gruppen in Windows 2000
씰
JEDER. Repräsentiert alle aktuellen Benutzer eines Systems, die sich über das Netzwerk oder lokal anmelden.
씰
NETZWERK. Diese Gruppe enthält alle Benutzer, die eine Ressource im Netzwerk benutzen.
씰
INTERAKTIV. Diese Gruppe ist für Benutzer bestimmt, die sich physisch am Computer befinden.
Obwohl diesen speziellen Identitäten Rechte und Berechtigungen für Ressourcen zugewiesen werden können, können Sie die Mitgliedschaften dieser speziellen Identitäten nicht ändern oder anzeigen. Sie werden diese Gruppen im Rahmen der Verwaltung nicht zu Gesicht bekommen, und können spezielle Identitäten auch nicht in Gruppen unterbringen. Gruppenrichtlinien können auf spezielle Identitäten nicht angewendet werden. Den Benutzern werden diese Identitäten automatisch zugewiesen, sobald sie sich anmelden oder eine bestimmte Ressource beanspruchen.
4.4.6
Gruppen verwalten
Da Sie nun die Konzepte von Gruppen kennen gelernt haben, wird es Zeit zu sehen, wie Administratoren mit ihnen arbeiten. Der folgende Abschnitt zeigt, wie Sie Gruppen hinzufügen, bearbeiten und löschen, und wie Sie Mitglieder hinzufügen oder löschen. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Gruppe hinzufügen.
SCHRITT FÜR SCHRITT 4.18 Gruppe hinzufügen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf dem Ordner, in welchen Sie die Gruppe hinzufügen möchten, und zeigen Sie auf NEU/GRUPPE. 3. Geben Sie den Namen der neuen Gruppe ein. Standardmäßig wird der Name, den Sie eingeben, ebenfalls als Gruppenname für Windows NT 3.5x/4.0 verwendet. Sie können diesen Namen nach Bedarf ändern. 4. Klicken Sie den gewünschten Gruppenbereich an. 5. Klicken Sie den gewünschten Gruppentyp an. 6. Bestätigen Sie die Eingaben (siehe Abbildung 4.20) und klicken Sie auf OK.
227
228
Kapitel 4
Active Directory-Dienste verwalten
Abbildung 4.20 Bestätigen Sie die Eingaben und klicken Sie auf OK
Vergessen Sie nicht, dass Sie mit globalen Gruppen Benutzer zusammenfassen, die Sie zu administrativen Zwecken als Einheit behandeln wollen. Lokale Gruppen dienen zum Zusammenfassen von Rechten. Den Zweck einer vorhandenen Gruppe sollten Sie immer genauestens überprüfen, da Sie ggf. die Gesamtzahl der Gruppen und damit auch die Notwendigkeit von Berechtigungsüberprüfungen reduzieren können. Wie bei den Benutzern gibt es auch hier mehrere Optionen, die Sie einstellen können. Zum Bearbeiten dieser Optionen müssen Sie die Gruppeneigenschaften bearbeiten. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie dies tun.
SCHRITT FÜR SCHRITT 4.19 Gruppeneigenschaften bearbeiten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie den Ordner an, der die Gruppe enthält. 3. Klicken Sie mit der rechten Maustaste auf der Gruppe, und klicken Sie dann im Kontextmenü auf EIGENSCHAFTEN. 4. Ändern Sie nach Bedarf die Eigenschaften und klicken Sie auf OK. Sie können zwar bei Bedarf die Eigenschaften der Gruppen ändern, werden jedoch im Normalfall eher die Gruppenmitgliedschaften bearbeiten wollen. Damit haben Sie die Möglichkeit, Benutzer der Gruppe hinzuzufügen oder von dort zu entfernen.
4.4 Gruppen in Windows 2000
Außerdem können Sie den Manager dieser Gruppen ändern, sofern die Verwaltung delegiert worden ist. Es gibt sechs Registerkarten zum Konfigurieren von Gruppen. Die folgende Aufstellung benennt diese Registerkarten und die darin zur Verfügung stehenden Optionen. 씰
ALLGEMEIN. Hiermit können Sie den Downlevel-Namen der Gruppe ändern. Weiterhin können Sie eine Beschreibung und E-Mail-Adresse hinzufügen, den Bereich und Typ der Gruppe modifizieren und Kommentare aufnehmen.
씰
MITGLIEDER. Diese Registerkarte ermöglicht Ihnen über die entsprechenden Schaltflächen das Hinzufügen und Entfernen von Mitgliedern.
씰
MITGLIED VON. Wie Benutzer können auch Gruppen Mitglieder anderer Gruppen sein. Diese Registerkarte gibt Ihnen die Gelegenheit, Gruppen anderen Gruppen hinzuzufügen oder von dort zu entfernen.
씰
VERWALTET VOn. Hiermit können Sie den Benutzer einrichten, der der Manager der Gruppe ist. Die Informationen über diesen Benutzer werden angezeigt.
씰
OBJEKT. Teilt Ihnen den Namen, das Erstellungsdatum, das Aktualisierungsdatum und die USN des Objekts mit.
씰
SICHERHEITSEINSTELLUNGEN. Hiermit richten Sie die Sicherheit für das Objekt in Active Directory ein. Dies wird weiter unten in diesem Kapitel detailliert erörtert.
Gelegentlich möchten Sie eine Gruppe sicher auch einmal löschen. Denken Sie in diesem Fall daran, dass eine Gruppe wie ein Benutzer eine eindeutige SID besitzt. Mit dem Löschen der Gruppe löschen Sie gleichzeitig die SID. Mit dem Erstellen einer neuen Gruppe mit genau demselben Namen stellen Sie die Rechte und Berechtigungen, die früher bestanden haben, nicht wieder her, sondern müssen diese neu zuweisen. Die Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Gruppe löschen.
SCHRITT FÜR SCHRITT 4.20 Gruppe löschen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
229
230
Kapitel 4
Active Directory-Dienste verwalten
2. Klicken Sie in der Baumstruktur der Konsole zweimal auf den Domänenknoten. 3. Klicken Sie den Ordner an, in dem sich die Gruppe befindet. 4. Klicken Sie im Detailfenster mit der rechten Maustaste auf der Gruppe, und wählen Sie im Kontextmenü LÖSCHEN aus. 5. Klicken Sie im angezeigten Dialogfeld zum Bestätigen auf JA. Wenn Sie eine Gruppe nicht mehr benötigen und sicher sind, dass auch niemand sonst mehr mit dieser Gruppe arbeitet, sollten Sie sie löschen. Dadurch vermeiden Sie, dass im System »herrrenlose« Berechtigungen einer Gruppe existieren. Gleichzeitig wird dieses Objekt damit aus Active Directory entfernt. Denken Sie daran, dass Sie zum Hinzufügen eines Benutzers entweder die Gruppeneigenschaften bearbeiten oder den Benutzer über dessen Eigenschaften zur Gruppe hinzufügen können. Mit diesen Vorgehensweisen überprüfen Sie gleichzeitig, zu welchen Gruppen ein Benutzer gehört bzw. welche Benutzer Mitglieder einer Gruppe sind. Wie bei allen Netzwerkbetriebssystemen stellen Gruppen ein Schlüsselwerkzeug für die Administration dar. Sie ermöglichen eine rasche und einfache Verwaltung einer größeren Menge von Benutzern. Obwohl Gruppen kein offizieller Bestandteil der Prüfung sind, können in dem einen oder anderen Fall diesbezügliche Fragen auftauchen. Stellen Sie sicher, dass Sie die Gruppentypen (Sicherheit und Verteiler) und den Bereich von Gruppen (global, universell und lokal) kennen. Im nächsten Abschnitt erfahren Sie, wie Sie Objekte suchen, was sich als nützlich erweisen wird, wenn Sie Gruppen erstellen.
4.5
Objekte in Verzeichnisdiensten suchen
Active Directory-Objekte verwalten 씰
Objekte in Active Directory suchen
Mit der steigenden Anzahl von Objekten, die Sie in Active Directory speichern, benötigen Sie auch eine Methode zum Suchen von Objekten, mit denen Sie arbeiten möchten. Darüber hinaus genügt es nicht, einfach nur Active Directory zum Erzeugen einer Liste mit unternehmensweiten Objekten zu konfigurieren, sondern die Benutzer müssen diese Objekte auch ausfindig machen können. Im folgenden Abschnitt werden Sie erfahren, wie Sie Objekte in Active Directory sowohl über die administrative als auch die Benutzerschnittstelle suchen können.
4.5 Objekte in Verzeichnisdiensten suchen
4.5.1
Objekte über Active Directory-Benutzer und Computer lokalisieren
Wenn Sie mit den Benutzern und Computern Ihres Netzwerks arbeiten, müssen Sie auch in der Lage sein, die Objekte ausfindig zu machen, die Sie verwalten möchten. Dies erledigen Sie entweder über den Befehl SUCHEN, der sich im Kontextmenü der Domäne befindet, oder über das Symbol SUCHEN in der Symbolleiste. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, die Sie den Befehl SUCHEN zum Lokalisieren eines Objekts einsetzen.
SCHRITT FÜR SCHRITT 4.21 Objekt mit dem Befehl Suchen lokalisieren 1. Öffnen Sie VERWALTUNG/ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf einer beliebigen Domäne und wählen Sie im Kontextmenü SUCHEN aus. 3. Wählen Sie im Feld SUCHEN das Objekt aus, welches Sie lokalisieren möchten (siehe Abbildung 4.21). 4. Wählen Sie im Feld IN die Domäne aus, in der Sie suchen möchten bzw. legen Sie fest, dass Sie im gesamten Active Directory suchen wollen (siehe Abbildung 4.22). Abbildung 4.21 Das Dialogfeld SUCHEN zeigt Ihnen, welche Objekte Sie lokalisieren können
5. Je nach Ihrer Auswahl können Sie nun die Optionen angeben, mit denen Sie die Suche ausführen wollen. Folgende Optionen stehen Ihnen zur Verfügung: 씰
BENUTZER, KONTAKTE UND GRUPPEN. Hier können Sie einen Namen bzw. eine Beschreibung angeben.
231
232
Kapitel 4
Active Directory-Dienste verwalten
Abbildung 4.22 Das Dialogfeld SUCHEN mit den Suchoptionen
씰
COMPUTER. Geben Sie bei der Suche nach Computern den Namen des Computers, des Besitzers oder der Rolle in der Domäne (Domänencontroller oder Arbeitsplatz-PC/Server) ein.
씰
DRUCKER. Bei Druckern können Sie nach dem Druckernamen, Standort oder Modell suchen.
씰
FREIGEGEBENE ORDNER. Bei freigegebenen Ordnern haben Sie die Möglichkeit, nach dem Namen oder nach Schlüsselwörtern, die mit dem freigegebenen Ordner verknüpft sind, zu suchen.
씰
ORGANISATIONSEINHEIT. Falls Sie nach einer OU suchen müssen, können Sie hier als einzige Option den Namen eingeben.
씰
BENUTZERDEFINIERTE SUCHE. Diese Option ermöglicht Ihnen eine genaue Festlegung dessen, wonach und über welche Kriterien Sie suchen. Das Dialogfeld BENUTZERDEFINIERTE SUCHE entspricht dem der Option WEITERE für die restlichen lokalisierbaren Objekte. Die Option WEITERE wird detailliert weiter unten in diesem Kapitel beschrieben.
씰
REMOTEINSTALLATIONSCLIENTS. Hiermit können Sie nach der global eindeutigen ID oder dem Remoteinstallationsserver suchen, dem sie zugewiesen ist.
Sie brauchen nicht den vollständigen Wert eines Textfeldes einzugeben, da der Suchvorgang normalerweise mit ein oder zwei Suchworten auskommt. Beispielsweise finden Sie durch Eingabe von Schmidt im Suchfeld alle Personen mit dem Nachnamen Schmidt. 6. Wenn Sie nach einem Drucker suchen, können Sie auf die Registerkarte FUNKTIONEN anklicken, und den Drucker über eine Suche nach seinen Funktionen ausfindig machen (siehe Abbildung 4.23).
4.5 Objekte in Verzeichnisdiensten suchen
Abbildung 4.23 Drucker finden Sie über deren Funktionen
7. Wenn Sie auf JETZT SUCHEN klicken und das System den Suchvorgang ausführt, werden die Ergebnisse im Ergebnisfenster dargestellt (siehe Abbildung 4.24). Abbildung 4.24 Das Ergebnis der Suche
Nachdem Sie das Objekt oder die Objekte gefunden haben, nach denen Sie Ausschau halten, können Sie sie markieren und über die rechte Maustaste das Kontextmenü anzeigen. Auf diese Weise stehen Ihnen dieselben Optionen zur Verfügung, als ob Sie manuell nach dem Objekt gesucht und mit der rechten Maustaste geklickt hätten.
233
234
Kapitel 4
4.5.2
Active Directory-Dienste verwalten
Erweitertes Suchen
Über die erweiterte bzw. benutzerdefinierte Suche können Sie spezifischere Angaben zu dem Objekt machen, welches Sie lokalisieren möchten. Die Objekte, nach denen Sie suchen können, werden dabei zusammen mit einer Liste ihrer Attribute angezeigt. Die folgende Schritt-für-Schritt-Anleitung demonstriert die Verwendung der erweiterten Suchmöglichkeiten.
SCHRITT FÜR SCHRITT 4.22 Erweitertes Suchen 1. Wählen Sie im Dialogfeld SUCHEN das zu lokalisierende Objekt aus, und klicken Sie dann auf die Registerkarte WEITERE (siehe Abbildung 4.25). 2. Klicken Sie zum Anzeigen einer Liste von Feldern, nach denen Sie suchen können, auf die Schaltfläche FELD. Wählen Sie das gewünschte Feld aus (siehe Abbildung 4.26). Abbildung 4.25 Die Registerkarte WEITERE
Abbildung 4.26 Ihre Suchoptionen hängen von dem gewünschten Objekt ab. In einigen Fällen erhalten Sie eine Liste von Objekten mit der dazugehörigen Liste von Feldern in einem Menü angezeigt
4.5 Objekte in Verzeichnisdiensten suchen
3. Wählen Sie die Bedingung im Drop-down-Listenfeld BEDINGUNG aus (siehe Abbildung 4.27). 4. Geben Sie ggf. im Feld WERT einen Wert ein. 5. Klicken Sie zum Hinzufügen der Bedingung zur Liste auf HINZUFÜGEN. Durch Markieren und Klicken auf ENTFERNEN entfernen Sie sie wieder aus der Liste. 6. Wiederholen Sie die Schritte 2 bis 5 für alle folgenden Bedingungen, nach denen Sie suchen. Die Bedingungen werden durch ein logisches UND verknüpft. 7. Klicken Sie zum Ausführen der Suche auf JETZT SUCHEN. Abbildung 4.27 Sie haben die Wahl unter verschiedenen Bedingungen mit Werten wie beispielsweise Vorhanden bzw. nicht vorhanden (überprüft die Existenz des Objekts)
Über die erweiterten Suchoptionen lokalisieren Sie die Objekte, die Sie benötigen, schneller, und bekommen sie übersichtlicher präsentiert. Die erweiterte Suche erlaubt Ihnen außerdem die Suche nach bestimmten Objektcharakteristiken, sodass Sie Gruppen von Objekten mit gemeinsamen Eigenschaften lokalisieren können. Nicht nur für Sie als Administrator ist die Lokalisierung von Objekten über die unter VERWALTUNG zur Verfügung stehenden Funktionen nützlich, sondern auch die Benutzer selbst müssen Objekte in Active Directory suchen können.
4.5.3
Objekte als Benutzer suchen
Auch Benutzer müssen Objekte in Active Directory suchen können. Drucker oder andere Personen finden sie sehr leicht über das entsprechende Suchwerkzeug im Startmenü. Die folgende Schritt-für-Schritt-Anleitung demonstriert die Suche nach einem Drucker.
235
236
Kapitel 4
Active Directory-Dienste verwalten
SCHRITT FÜR SCHRITT 4.23 Als Benutzer nach einem Drucker suchen 1. Klicken Sie auf START/SUCHEN/NACH DRUCKERN. Das Dialogfeld in der Abbildung 4.28 wird angezeigt. 2. Geben Sie die Suchkriterien wie in der Abbildung 4.28 ein, oder lassen Sie das Dialogfeld leer, um nach allen Druckern zu suchen. 3. Klicken Sie auf JETZT SUCHEN. Abbildung 4.28 Dieses Dialogfeld ermöglicht Benutzern die Suche nach Druckern
Hat der Benutzer einen Drucker lokalisiert, kann er ihn mit der rechten Maustaste anklicken und mit VERBINDEN den Drucker nutzen. Das Suchen nach Personen ähnelt der Suche nach Druckern. Die folgende Schritt-für-Schritt-Anleitung erklärt Ihnen die Suche nach Personen in Active Directory.
SCHRITT FÜR SCHRITT 4.24 Nach Personen in Active Directory suchen 1. Klicken Sie auf START/SUCHEN/NACH PERSONEN. Das Dialogfeld PERSONEN SUCHEN wird angezeigt. 2. Wählen Sie im Listenfeld SUCHEN dung 4.29).
IN
ACTIVE DIRECTORY aus (siehe Abbil-
3. Geben Sie den Namen oder andere Informationen zu der Person ein, und klicken Sie auf SUCHEN (siehe Abbildung 4.30).
4.5 Objekte in Verzeichnisdiensten suchen
Abbildung 4.29 Mit dem Dialogfeld PERSONEN SUCHEN können Sie in Active Directory oder einem anderen LDAP-Dienst suchen
Abbildung 4.30 Die Ergebnisse werden in einem Ergebnisfenster angezeigt
Mit diesem Programm können Benutzer andere Benutzer des Netzwerks ausfindig machen und Informationen über sie erhalten. Sie können dieses Programm außerdem zu dem Zweck einsetzen, ihnen E-Mails zu schicken. Sicherlich haben Sie nun gelernt, dass sowohl Administratoren als auch Benutzer fähig sein müssen, Objekte zu lokalisieren. Vielleicht haben Sie sich in diesem Zusammenhang bereits Gedanken über die Sicherheit gemacht, denn es sieht ja so
237
238
Kapitel 4
Active Directory-Dienste verwalten
aus, als ob jede beliebige Person Objekte in Ihrem Netzwerk lokalisieren könnte. Darum brauchen Sie sich jedoch keine Sorgen zu machen, denn alle Objekte sind durch die jeweilige Zugriffssteuerungsliste (ACL, Access Control List) geschützt. Bis hierhin haben Sie also erfahren, wie Sie mit Benutzer- und Computerkonten umgehen, und wie Sie diese unter Verwendung von Gruppen verwalten. Außerdem ist Ihnen nun die Suche nach Objekten in Active Directory bekannt. Als Nächstes werden Sie sich mit Organisationseinheiten befassen und erfahren, wie Sie sie zum Delegieren der Kontrolle über gewisse Objekte an andere Benutzer oder Gruppen einsetzen.
4.6
Organisationseinheit erstellen
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Implementieren einer Organisationseinheitenstruktur
Mit dem zunehmenden Wachstum Ihres Netzwerks werden Sie feststellen, dass Sie immer mehr Benutzer zu verwalten haben. Sie werden darüber hinaus bemerken, dass Sie einen Weg finden müssen, all die Benutzer so voneinander zu trennen, dass Sie sie als Benutzergruppen verwalten können. Noch besser wäre, wenn Sie auch noch eine Methode zur Verfügung hätten, mit der Sie die Kontrolle von Benutzergruppen an andere Benutzer im Netzwerk delegieren können. Mit Organisationseinheiten sind Sie in der Lage, Benutzer, Computer und andere Ressourcen im Netzwerk logisch zu organisieren. Mit Organisationseinheiten können Sie nicht nur eine zentrale Kontrolle des Netzwerks aufbauen, sondern auch Benutzer und Computer zu dem Zweck gruppieren, die Kontrolle zu delegieren und Gruppenrichtlinien anzuwenden. Stellen Sie sich einmal ein Netzwerk mit etwa 8.000 Benutzern vor, und überlegen Sie, welche Möglichkeiten sich anbieten, um dieses Netzwerk sinnvoll zu organisieren. Sie könnten eine Stammdomäne und anschließend untergeordnete Domänen erstellen, oder Sie könnten ebenso gut eine einzelne Domäne erstellen und dann das Netzwerk mit Hilfe von Organisationseinheiten aufsplitten. Sogar in einem Unternehmen, in dem Sie die Organisation über untergeordnete Domänen innerhalb einer einzigen Stammdomäne vorgenommen haben, können Sie immer noch Organisationseinheiten verwenden, um die Benutzer innerhalb einer Domäne zu organisieren.
4.7 Berechtigungen in Active Directory-Diensten
4.6.1
Wo Organisationseinheiten sinnvoll sind
Die Wahl zwischen Domänen oder Organisationseinheiten ist ein Bestandteil des Netzwerkdesigns. Domänen stellen normalerweise Grenzen hinsichtlich der Replikation und Sicherheit dar. Sind keine Domänen vorhanden, dann kann Ihre logische Organisation unter Verwendung von Organisationseinheiten erfolgen.
SCHRITT FÜR SCHRITT 4.25 Organisationseinheit erstellen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem Sie die neue Organisationseinheit erstellen wollen. In Active Directory verhält sich eine Organisationseinheit wie ein Ordner. 3. Wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus. 4. Geben Sie den Namen der Organisationseinheit ein, und klicken Sie auf OK. Nachdem Sie die Organisationseinheit erzeugt haben, können Sie Benutzer und Computer in diese verschieben oder direkt darin neu erstellen. Darüber hinaus können Sie in einer Organisationseinheit auch andere Objekte wie Gruppen, Drucker, freigegebene Ordner und weitere Organisationseinheiten erstellen. Vergessen Sie nicht, dass der Hauptgrund zum Erstellen einer Organisationseinheit darin besteht, Ihnen die Delegierung der Kontrolle über die Organisationseinheit an andere Benutzer oder Gruppen zu ermöglichen. Sie erledigen dies durch die Einstellungen der Berechtigungen für diese Organisationseinheit, sodass ein Benutzer oder eine Gruppe die entsprechenden Kontrollmöglichkeiten bekommen kann.
4.7
Berechtigungen in Active DirectoryDiensten
Active Directory-Objekte verwalten 씰
Zugriff auf Active Directory-Objekte verwalten
Jedes Objekt in Active Directory besitzt eine Sicherheits-ID (SID), eine eindeutige Nummer, die das Objekt identifiziert. Wenn sich ein Benutzer in Windows 2000 anmeldet, generiert das System ein Zugriffstoken, welches dann standardmäßig an den Startprozess (Explorer.exe) des Benutzers angehängt wird. Das Zugriffstoken besteht neben weiteren Informationen aus der SID des Benutzers und der SID jeder Gruppe, zu der der Benutzer gehört.
239
240
Kapitel 4
Active Directory-Dienste verwalten
Dieses Zugriffstoken wird an jeden weiteren Prozess angehängt, den der Benutzer startet. Es wird laufend mit den Objektberechtigungen verglichen, um zu ermitteln, ob der Benutzer dazu berechtigt ist, auf das Objekt zuzugreifen. In Windows 2000 beinhaltet dies auch den Zugriff auf Objekte in Active Directory. Jedes Objekt verfügt über eine Sicherheitsbeschreibung, die SID des Besitzers, die SID der Hauptgruppe des Besitzers sowie eine DACL (Discretionary Access Control List, Zugriffssteuerungsliste) und eine SACL (System Access Control List, Systemzugriffssteuerungsliste). Die SID des Besitzers wird dazu verwendet, dem Besitzer die Änderung von Berechtigungen möglich zu machen. Die SID der Gruppe wird für den Gruppenzugriff aus POSIX-Anwendungen heraus und für Macintosh-Dienste verwendet. Die SACL kontrolliert den Zugriff des lokalen Systems auf das Objekt. Die DACL enthält zahlreiche Zugriffssteuerungseinträge. Ein solcher ACE-Eintrag besteht aus einer SID, dem Zugriffstyp für den Eintrag, und einer Angabe darüber, ob der Zugriff gewährt oder verweigert wird. Wenn ein Zugriff auf das Objekt stattfindet (wenn Sie beispielsweise versuchen, die Attribute eines Objektes zu lesen), wird das Zugriffstoken Ihrer Sitzung gelesen und jede SID mit dem ersten ACE verglichen. Falls einer der SIDs in Ihrem Zugriffstoken der Zugriff erlaubt ist, haben Sie damit freie Bahn und den Zugriff. Falls nicht, erhalten Sie den Zugriff nicht. Verweigerungen sind immer als Erste aufgeführt. Wird Ihr Zugriff nicht im ersten ACE gefunden, werden die folgenden so lange untersucht, bis Sie entweder die erforderlichen Rechte besitzen oder nicht. Über die Einstellung von Berechtigungen für ein Objekt können Sie die Aktionen steuern, die Personen für diese Objekte ausführen dürfen. Auf diese Weise legen Sie fest, wie andere Benutzer oder Gruppen im Netzwerk Teile Ihrer Organisation verwalten.
4.7.1
Berechtigungen auf Objektebene
Bevor Sie Berechtigungen auf Objektebene vergeben oder auch nur anzeigen können, müssen Sie die erweiterten Einstellungen für Objekte in Active Directory anzeigen. Dies erreichen Sie, in dem Sie den Befehl ERWEITERTE FUNKTIONEN im Menü ANSICHT aktivieren. Hat er ein Häkchen, dann ist er eingeschaltet; anderenfalls ist er ausgeschaltet. Dieser Befehl funktioniert wie ein Umschalter: Wenn Sie ihn im ausgeschalteten Zustand anklicken, wird er eingeschaltet und umgekehrt. Wenn die erweiterten Funktionen eingeschaltet sind, können Sie die Berechtigungen auf Objektebene anzeigen und einstellen. Normalerweise werden Sie dies so nicht tun, sondern anstelle dessen eine OU erstellen und die Kontrolle über die OU an einen Benutzer oder eine Gruppe delegieren. Die folgende Schritt-für-SchrittAnleitung beschreibt nichtsdestotrotz den Vorgang.
4.7 Berechtigungen in Active Directory-Diensten
SCHRITT FÜR SCHRITT 4.26 Objektberechtigung einstellen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Suchen Sie nach dem Objekt, dessen Berechtigung Sie einstellen möchten, und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie auf die Registerkarte SICHERHEITSEINSTELLUNGEN. Sollte diese Registerkarte nicht angezeigt werden, schließen Sie das Dialogfeld und überprüfen Sie, ob Sie im Menü ANSICHT ERWEITERTE FUNKTIONEN eingeschaltet haben. 4. Suchen Sie im Listenfeld den Benutzer oder die Gruppe zum Überprüfen oder Ändern der Berechtigung heraus (siehe Abbildung 4.31). Falls der gewünschte Benutzer oder die Gruppe nicht aufgeführt ist, klicken Sie auf HINZUFÜGEN, und wählen den Benutzer bzw. die Gruppe explizit aus. 5. Wählen Sie im Listenfeld BERECHTIGUNGEN durch Aktivieren der entsprechenden Kontrollkästchen die Berechtigungen aus, die Sie gewähren oder verweigern möchten. Durch Deaktivieren eines Kontrollkästchens wird die Berechtigung verweigert. Alle Berechtigungen sind in einer Liste aufgeführt. 6. Klicken Sie zum Zuweisen der Berechtigungen auf OK.
Abbildung 4.31 Die Registerkarte SICHERHEITSEINSTELLUNGEN einer Organisationseinheit
241
242
Kapitel 4
Active Directory-Dienste verwalten
HINWEIS Vererbte Berechtigungen Falls die Berechtigung abgeblendet dargestellt ist, wurde sie aus einer höheren Ebene in Active Directory vererbt. Dieses Thema wird im nächsten Abschnitt, »Vererbung von Berechtigungen«, erörtert.
Wie Sie gesehen haben, konnten Sie fünf verschiedene Berechtigungen einstellen. Die Berechtigungen sind selbsterklärend und in der folgenden Übersicht dargestellt: 씰
UNEINGESCHRÄNKTER ZUGRIFF. Hiermit wird dem Benutzer bzw. der Gruppe der uneingeschränkte Zugriff auf das Objekt in Active Directory erlaubt. Der Uneingeschränkter Zugriff umfasst die folgenden Berechtigungen:
씰
LESEN. Dies ermöglicht einem Benutzer das Lesen des Objekts und der mit ihm verknüpften Eigenschaften. Es ist gleichzeitig die Standardberechtigung aller Benutzer und versetzt sie in die Lage, das Objekt beim Durchsuchen des Active Directory ausfindig machen können.
씰
SCHREIBEN. Der Benutzer kann die Eigenschaften des Objekts ändern.
씰
ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN. Der Benutzer bzw. die Gruppe erhält die Erlaubnis zum Erstellen von weiteren Objekten. Damit können Sie beispielsweise Benutzer und Computer in Containerobjekten wie etwa Organisationseinheiten erstellen.
씰
ALLE UNTERGEORDNETEN OBJEKTE LÖSCHEN. Damit kann ein Benutzer die untergeordneten Objekte in einem Containerobjekt wie beispielsweise einer Organisationseinheit auch dann löschen, wenn er dieses Objekt nicht selbst erstellt hat.
Wenn Sie sich die Abbildung 4.31 noch einmal anschauen, dann werden Sie bemerken, dass es eine Schaltfläche ERWEITERT gibt. Damit können Sie einerseits die einzelnen Berechtigungen noch spezifischer festlegen, und andererseits die Überwachung konfigurieren sowie den Besitz am Objekt übernehmen. Die Schritt-fürSchritt-Anleitung führt Sie durch die Schritte in der Anwendung der erweiterten Berechtigung.
SCHRITT FÜR SCHRITT 4.27 Erweiterte Berechtigung einstellen 1. Klicken Sie auf der Registerkarte SICHERHEITSEINSTELLUNGEN im Dialogfeld für die Objekteigenschaften auf die Schaltfläche ERWEITERT.
4.7 Berechtigungen in Active Directory-Diensten
2. Wählen Sie im Listenfeld BERECHTIGUNGSEINTRÄGE in der Registerkarte BERECHTIGUNGEN (siehe Abbildung 4.32) einen Eintrag aus, den Sie bearbeiten möchten, und klicken Sie auf ANZEIGEN/BEARBEITEN. Wählen Sie einen Benutzer aus der Liste aus. 3. Klicken Sie im Dialogfeld BERECHTIGUNGSEINTRAG auf die Registerkarte (siehe Abbildung 4.33), über die Sie Berechtigungen einstellen möchten. Wählen Sie entweder OBJEKT zur Kontrolle des gesamten Objekts, oder EIGENSCHAFTEN zur Kontrolle individueller Eigenschaften des Objekts. Abbildung 4.32 Über dieses Dialogfeld nehmen Sie genaue Einstellungen der Zugriffssteuerung für Objekte vor
4. Wählen Sie auf der jeweiligen Registerkarte die gewünschten Berechtigungen aus. Durch Anklicken der Schaltfläche ALLES LÖSCHEN löschen Sie alle Berechtigungen auf einmal. 5. Klicken Sie zum Fortfahren auf OK. Normalerweise brauchen Sie die erweiterten Berechtigungen nicht selbst einzustellen, da sie vom Assistenten zum Zuweisen der Objektverwaltung zugewiesen werden. Die hier beschriebenen Schritte können Sie jedoch zu ihrer Überprüfung verwenden, was wohl der häufigere Verwendungszweck sein dürfte.
243
244
Kapitel 4
Active Directory-Dienste verwalten
Abbildung 4.33 Die erweiterten Berechtigungen können separat für das Objekt und seine Eigenschaften eingestellt werden
Es gibt zahlreiche Berechtigungen, die Sie einstellen können, und die allesamt in der folgenden Übersicht aufgeführt sind. Diese Übersicht dient mehr Ihrer persönlichen Information und wird für die Prüfung nicht benötigt. Sie haben die Auswahl unter folgenden Objektberechtigungen: 씰
UNEINGESCHRÄNKTER ZUGRIFF. Erlaubt dem Benutzer oder der Gruppe die volle Kontrolle über das Objekt. Hier können Sie auch den Bereich kontrollieren, auf den der uneingeschränkte Zugriff angewendet werden soll.
씰
INHALT AUFLISTEN. Der Benutzer oder die Gruppe darf den Inhalt eines Containerobjekts auflisten.
씰
ALLE EIGENSCHAFTEN LESEN. Ein Benutzer bzw. eine Gruppe darf alle Eigenschaften des Objekts lesen.
씰
ALLE EIGENSCHAFTEN SCHREIBEN. Damit kann ein Benutzer bzw. eine Gruppe sämtliche Eigenschaften eines Objektes schreiben.
씰
LÖSCHEN. Dem Benutzer oder der Gruppe wird das Löschen des Objekts erlaubt.
4.7 Berechtigungen in Active Directory-Diensten
씰
UNTERSTRUKTUR LÖSCHEN. Der Benutzer oder die Gruppe darf das Objekt und alle darin enthaltenen Objekte löschen.
씰
BERECHTIGUNGEN LESEN. Der Benutzer bzw. die Gruppe darf die Berechtigungen des Objekts lesen.
씰
BERECHTIGUNGEN ÄNDERN. Der Benutzer oder die Gruppe hat die Erlaubnis, die Berechtigungen für das Objekt zu ändern.
씰
BESITZER ÄNDERN. Falls diese Berechtigung gegeben ist, darf der Benutzer bzw. die Gruppe den Besitz am Objekt übernehmen.
씰
ALLE BESTÄTIGTEN SCHREIBVORGÄNGE. Hiermit erhält der Benutzer oder die Gruppe die Erlaubnis zum Ausführen von Schreiboperationen für das Objekt.
씰
ALLE ERWEITERTEN RECHTE. Der Benutzer oder die Gruppe erhält den Zugriff auf die erweiterten Rechte für das Objekt.
씰
ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN/LÖSCHEN. Der Benutzer oder die Gruppe darf untergeordnete Objekte erstellen und über die LÖSCHEN-Berechtigung alle untergeordneten Objekte einschließlich derjenigen, die anderen gehören, löschen.
씰
OBJEKTE
ERSTELLEN/LÖSCHEN. Diese Reihe von Einträgen ähnelt ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN/LÖSCHEN mit der Ausnahme, dass die
Rechte nur das namentlich aufgeführte Objekt betreffen. Hier können Sie beispielsweise die Kontrolle über Computer innerhalb einer Organisationseinheit delegieren. Über die Registerkarte EIGENSCHAFTEN können Sie einem Benutzer selektiv das Lesen und Schreiben der Eigenschaften eines Objekts erlauben oder verweigern. Diese Einstellungen sollten Sie mit Sorgfalt handhaben, da sie Active Directory dazu zwingt, eine spaltenweise Überprüfung der Berechtigungen vorzunehmen. Die Optionen für den Bereich sind ähnlich wie bei den Eigenschaften aufgeteilt. Die Berechtigungen können so eingestellt werden, dass sie nur das aktuelle Objekt, das aktuelle Objekt und seine untergeordneten Objekte, nur die untergeordneten Objekte oder einen bestimmten Objekttyp betreffen. Die von Ihnen eingerichteten Berechtigungen haben unter Umständen auch Auswirkungen auf andere Objekte.
245
246
Kapitel 4
4.7.2
Active Directory-Dienste verwalten
Vererbung von Berechtigungen
Die in einem Container erstellten Objekte vererben die Berechtigungen, die für Containerobjekte in Active Directory eingerichtet worden sind. Wenn Sie Berechtigungen in einer Organisationseinheit einrichten, und in dieser Organisationseinheit dann eine weitere Organisationseinheit erstellen, werden die Berechtigungen von der obersten Organisationseinheit an die Organisationseinheit der unteren Ebene und an alle darin erstellten Objekte weitergereicht. Obwohl diese Funktion standardmäßig gegeben ist, muss sie nicht immer erwünscht sein. Sie verfügen daher über die Wahl, die Vererbung von Berechtigungen zuzulassen oder nicht, was über die Registerkarte SICHERHEITSEINSTELLUNGEN erledigt wird. Die Schritt-für-Schritt-Anleitung führt Sie durch die Schritte zum Blockieren von vererbten Berechtigungen. Abbildung 4.34 Betreffend die vererbten Berechtigungen stehen Ihnen zwei Auswahlmöglichkeiten zur Verfügung
SCHRITT FÜR SCHRITT 4.28 Vererbung von Berechtigungen blockieren 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Lokalisieren Sie das Objekt, dessen Berechtigungen Sie bearbeiten möchten, und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie auf die Registerkarte SICHERHEITSEINSTELLUNGEN. Falls diese Registerkarte nicht angezeigt wird, schließen Sie das Dialogfeld und überprüfen Sie, ob Sie im Menü ANSICHT DIE ERWEITERTEN FUNKTIONEN eingeschaltet haben. 4. Deaktivieren Sie das Kontrollkästchen VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN, damit die Einstellung an das Kontrollkästchen dieses Objekts weitergegeben wird.
4.7 Berechtigungen in Active Directory-Diensten
5. Ein Dialogfeld erscheint und fragt, was Sie mit den Berechtigungen machen wollen, die dem Objekt bereits zugewiesen worden sind (siehe Abbildung 4.34). 6. Klicken Sie zum Beibehalten der Berechtigungen auf KOPIEREN, oder klicken Sie zum Löschen auf ENTFERNEN. Nach dem Deaktivieren dieses Kontrollkästchens werden die Berechtigungen nicht mehr weitervererbt, bis Sie das Kontrollkästchen erneut aktivieren. Dies gilt sogar dann, wenn Sie das Objekt in einen anderen Container verschieben. In den meisten Fällen werden Sie diese Berechtigungen nicht direkt einrichten, sondern die Kontrolle einer Organisationseinheit mit den darin enthaltenen Objekten delegieren.
4.7.3
Objektverwaltung zuweisen
Active Directory-Objekte verwalten 씰
Administrative Kontrolle über Objekte in Active Directory zuweisen
Die Kombination von Organisationseinheiten und Berechtigungen bietet Ihnen die Möglichkeit, die Verwaltung von Teilen von Active Directory an andere Benutzer zu delegieren. Auf diese Weise können Sie eine Organisationseinheit erstellen und einem Benutzer oder einer Gruppe dann die erforderlichen Rechte geben, die sie für die Verwaltung dieser Organisationseinheit benötigen. Tatsächlich erzeugen Sie damit so etwas wie eine Arbeitsgruppe oder eine Art lokalen Administrator innerhalb einer einzelnen Domäne. Die Zuweisung des erforderlichen Vollzugriffs können Sie zwar auch über die Registerkarte SICHERHEITSEINSTELLUNGEN vornehmen, jedoch empfiehlt sich die Verwendung des Assistenten zum Zuweisen der Objektverwaltung, über den Sie die Kontrolle einer Organisationseinheit entweder vollständig oder teilweise zuweisen. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie es machen.
SCHRITT FÜR SCHRITT 4.29 Der Assistent für die Objektverwaltung 1. Klicken Sie in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER mit der rechten Maustaste auf der Organisationseinheit, deren Objektverwaltung Sie zuweisen möchten. 2. Wählen Sie im Kontextmenü OBJEKTVERWALTUNG ZUWEISEN aus. 3. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER.
247
248
Kapitel 4
Active Directory-Dienste verwalten
4. Benutzen Sie im nächsten Bildschirm die Schaltfläche HINZUFÜGEN zum Hinzufügen von Benutzern oder Gruppen, denen Sie die Objektverwaltung zuweisen möchten. Klicken Sie, wenn Sie fertig sind, auf OK. 5. Im nächsten Bildschirm des Assistenten werden Sie gefragt, was Sie dem Benutzer bzw. der Gruppe zu tun erlauben möchten. Aus der Liste können Sie ein oder mehr häufige Funktionen auswählen. Sie können auch genau festlegen, was Sie zuweisen möchten. Folgende allgemeine Aufgaben können Sie zuweisen: 씰
Erstellt, entfernt und verwaltet Benutzerkonten
씰
Setzt Kennwörter von Benutzerkonten zurück
씰
Liest alle Benutzerinformationen
씰
Erstellt, löscht und verwaltet Gruppen
씰
Ändert die Mitgliedschaft einer Gruppe
씰
Verwaltet Gruppenrichtlinien-Verknüpfungen
6. Wenn Sie BENUTZERDEFINIERTE AUFGABEN ZUM ZUWEISEN ERSTELLEN ausgewählt haben, werden Sie zur Angabe des oder der Objekte aufgefordert, die der Benutzer oder die Gruppe kontrollieren darf. 7. Anschließend erhalten Sie eine Liste der generellen Berechtigungen angezeigt, die in der Aufzählung weiter oben in diesem Abschnitt beschrieben worden sind. Durch Aktivieren der Kontrollkästchen EIGENSCHAFTENSPEZIFISCH bzw. ERSTELLEN/LÖSCHEN der Berechtigungen von bestimmten untergeordneten Objekten zeigen Sie außerdem die erweiterten Berechtigungen an. 8. Legen Sie die Rechte fest, die der Benutzer oder die Gruppe haben soll, und klicken Sie auf WEITER. 9. Überprüfen Sie die Informationen, und klicken Sie auf FERTIG STELLEN. Der Hauptgrund zum Erstellen von Organisationseinheiten besteht im Delegieren der Kontrolle. Durch den Vorgang der Delegierung werden die erforderlichen Berechtigungen zugewiesen, was Sie so oft machen können, wie Berechtigungen vergeben werden sollen. Es ist wichtig, die Vergabe von Berechtigungen an Objekte verstanden zu haben, da Sie auf diese Weise die Aktionen der Benutzer und, in manchen Fällen, auch der Administratoren kontrollieren können. Es sind die Berechtigungen, die die Delegierung der Kontrolle und sichere dynamische Aktualisierungen möglich machen. Sie müssen darüber hinaus aber auch Berechtigungen für Drucker und freigegebene Ordner vergeben können.
4.8 Freigaben verwalten
4.8
Freigaben verwalten
Eine Freigabe ist ein Datenbereich auf Ihrem Datenträger, auf den andere Personen im Netzwerk mit Ihrer Erlaubnis zugreifen dürfen. Dort, wo Sie die Freigabe erstellen, kann auf alle Verzeichnisse darunter über die Freigabe zugegriffen werden. Dies stellt die hauptsächliche Methode dafür dar, Benutzern den Zugriff auf Serverdaten zu erlauben. Die Freigabe von Verzeichnissen ist kein Bestandteil der Verwaltung von Active Directory. Dieser Abschnitt wurde nur deshalb hier aufgenommen, damit Sie eine Grundlage zum Verständnis öffentlicher Freigaben in Active Directory haben und verstehen können, wie die Berechtigungen vergeben werden. Bei der Freigabe eines Verzeichnisses erstellen Sie einen Namen, der dieses Verzeichnis im Netzwerk repräsentiert und vom Benutzer unter Verwendung der UNCKonvention (UNC, Universal Naming Convention) angesprochen werden kann. Das Erstellen einer Freigabe ist ein simpler Vorgang, den Sie mit verschiedenen Methoden erledigen können. Die folgende Schritt-für-Schritt-Anleitung erstellt eine Freigabe mit Hilfe der Eingabeaufforderung.
SCHRITT FÜR SCHRITT 4.30 Freigabe über die Eingabeaufforderung erstellen 1. Starten Sie über START/PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG die Eingabeaufforderung. 2. Geben Sie folgenden Befehl ein: NET SHARE Freigabename=Pfad ein. Freigabename ist der Name, mit dem sich die Benutzer im Netzwerk verbin-
den können. Pfad ist der Name auf Ihrem Datenträger, den Sie freigeben möchten.
3. Drücken Sie die (¢). Obwohl Sie normalerweise nicht die Eingabeaufforderung zum Erstellen von Freigaben verwenden, müssen Sie doch wissen, wie Sie diese einsetzen können, um gelegentlich mit Skripten einige Ihrer administrativen Aufgaben automatisieren können. Dies ist recht nützlich, wenn Sie sich der Vorteile des Telnet-Dienstes bedienen, der mit Windows 2000 ausgeliefert wird. Er kann nämlich dazu benutzt werden, eine Liste der Verzeichnisse und Namen zu erstellen, die Sie freigegeben haben. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie Sie eine Liste der Freigaben erstellen.
249
250
Kapitel 4
Active Directory-Dienste verwalten
SCHRITT FÜR SCHRITT 4.31 Liste der Freigaben über die Eingabeaufforderung erstellen 1. Starten Sie eine Eingabeaufforderung (START/PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG). 2. Geben Sie den Befehl NET SHARE ein und drücken Sie die (¢). Dies ist eine recht schnelle Methode zum Anzeigen der Freigaben, die auf Ihrem Computer erstellt worden sind. In den meisten Fällen erstellen Sie Freigaben auf Ihrem Computer unter Verwendung des Explorer, des Snap-In Computerverwaltung oder des Snap-In Active Directory-Benutzer und -Computer. Hierbei wird zum Erstellen der Freigabe die grafische Oberfläche benutzt. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie Sie mit dem Explorer eine Freigabe erstellen. Abbildung 4.35 Das Dialogfeld zu den Eigenschaften eines Ordners mit der Registerkarte FREIGABE
4.8 Freigaben verwalten
SCHRITT FÜR SCHRITT 4.32 Verzeichnis mit Explorer freigeben 1. Öffnen Sie den Explorer (klicken Sie mit der rechten Maustaste auf ARBEITSPLATZ und wählen Sie im Kontextmenü EXPLORER aus). 2. Lokalisieren Sie das Verzeichnis, welches Sie freigeben möchten. 3. Klicken Sie mit der rechten Maustaste das Verzeichnis an, und wählen Sie im Kontextmenü FREIGABE aus. 4. Klicken Sie in der Registerkarte FREIGABE (siehe Abbildung 4.35) auf DIESEN ORDNER FREIGEBEN. 5. Nun wird ein Standardname für die Freigabe angezeigt, den Sie nach Wunsch ändern können. 6. Geben Sie einen Kommentar zum Beschreiben der Freigabe und ihres Inhalts ein. 7. Stellen Sie mit der Option BENUTZERBEGRENZUNG die Anzahl gleichzeitiger Benutzer ein. Sie haben die Wahl unter MAXIMUM ERLAUBT oder MAX. N BENUTZER. Geben Sie im letzteren Fall die erlaubte Anzahl ein. 8. Stellen Sie ggf. die Optionen BERECHTIGUNGEN und ZWISCHENSPEICHERN ein. 9. Klicken Sie zum Freigeben des Ordners auf OK. Schließen Sie dann das Dialogfeld EIGENSCHAFTEN. Diesen üblichen Weg zum Erstellen von Freigaben sollten Sie kennen, da Sie ihn gelegentlich zum Erstellen von Freigaben benutzen werden. Vielleicht müssen Sie auch einmal einen Benutzer dazu anleiten, eine Freigabe über eben diesen Weg zu erstellen. Eine Freigabe können Sie auch über die Computerwaltung erstellen. Starten Sie das Snap-In COMPUTERVERWALTUNG entweder durch Öffnen von Computerverwaltung im Ordner VERWALTUNG oder durch Öffnen von ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Anschließend können Sie mit der rechten Maustaste den Computer anklicken, auf dem Sie die Freigabe erstellen möchten, und wählen im Kontextmenü VERWALTEN aus. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie über die Computerverwaltung eine Freigabe erstellen.
251
252
Kapitel 4
Active Directory-Dienste verwalten
SCHRITT FÜR SCHRITT 4.33 Freigabe über die Computerverwaltung erstellen 1. Blenden Sie die Ordner SYSTEM, FREIGEGEBENE ORDNER und FREIGABEN ein. 2. Klicken Sie mit der rechten Maustaste auf dem Ordner FREIGABEN, und wählen Sie im Kontextmenü NEUE DATEIFREIGABE aus. 3. Lokalisieren Sie im Dialogfeld FREIGABE ERSTELLEN durch Einblenden des Laufwerks und der Unterverzeichnisse den Ordner, den Sie freigeben wollen, und klicken Sie diesen an. Der Ordnername erscheint im Dialogfeld ORDNER. Alternativ dazu geben Sie den Namen einfach manuell ein. Geben Sie im Feld FREIGABENAME den Namen ein, mit dem sich die Benutzer verbinden sollen. 4. Klicken Sie auf WEITER. Sie haben nun die Gelegenheit, Berechtigungen einzustellen. Wenn Sie die Berechtigungen ändern wollen, haben Sie die Gelegenheit, diese entweder nur der Freigabe oder der Freigabe und den Dateien und Ordnern darin zuzuweisen. Klicken Sie zum Erstellen der Freigabe auf FERTIG STELLEN. 5. Falls Sie eine weitere Freigabe erstellen möchten, klicken Sie im Dialogfeld FREIGABE ERSTELLEN auf JA – anderenfalls auf NEIN. Die Freigabe eines Ordners ist eine grundlegende Aktion in einem Netzwerk und wird viele Male vorgenommen. Eine andere Art der Freigabe in Windows 2000 nennt sich Distributed File System (DFS). Eine umfassende Erörterung des verteilten Dateisystems DFS würde über das Thema dieses Buches hinausgehen – hinsichtlich Ihrer Prüfung sollten Sie aber schon einmal davon gehört haben. Mit dem Dateisystem DFS können Sie einen einzelnen Freigabepunkt wie beispielsweise \\server\DFS erstellen, mit dem sich andere Benutzer verbinden. Unterhalb dieser Freigabe erstellen Sie dann untergeordnete DFS-Knoten, die eigentlich Zeiger auf andere Freigaben im Netzwerk darstellen. Die Benutzer brauchen sich jetzt nur noch mit der Hauptfreigabe zu verbinden, um alle anderen Freigaben einfach durch das Wechseln von »Verzeichnissen« erreichen zu können. Unter DFS stehen die folgenden zwei Typen zur Verfügung: Domänen-DFS-Stamm und der eigenständige DFS-Stamm. Ein eigenständiger DFS-Stamm ist wie eine reguläre Freigabe, die Sie nach Wunsch in Active Directory veröffentlichen können. Ein Domänen-DFS-Stamm stellt einen untergeordneten Knoten zur Verfügung, der auf mehr als einen Server zeigt. Dies in Kombination mit dem Dateireplikationssystem macht DFS fehlertolerant und ermöglicht einen Lastenausgleich. Der Domänen-DFSStamm wird zu einem Bestandteil von Active Directory – es wird automatisch veröffentlicht.
4.8 Freigaben verwalten
Beim Freigeben von Dateien müssen Sie immer auch die Berechtigungen einrichten.
4.8.1
Berechtigungen freigeben
Wenn Sie eine Freigabe erstellen, werden die Informationen in dieser Freigabe im Netzwerk bekannt gegeben. Um sicherzustellen, dass nur autorisierte Benutzer den Zugriff auf die Freigabe erhalten, müssen Sie die entsprechenden Berechtigungen einstellen. Die tatsächlichen Berechtigungen für eine Freigabe bestehen aus einer Kombination der Freigabe- und NTFS-Berechtigungen, sofern sich die Freigabe auf einem NTFS-Laufwerk befindet (was immer der Fall sein sollte). Normalerweise vergeben Sie für eine Freigabe etwas liberalere Berechtigungen als bei NTFS, insofern für das freigegebene Verzeichnis und alle Unterverzeichnisse darin ein und dieselben Freigabeberechtigungen verwendet werden. Die Berechtigungen der Freigabe werden dann mit den NTFS-Berechtigungen verglichen und diejenigen angewendet, die restriktiver sind. Falls ein Benutzer über NTFS voll auf eine Datei zugreifen kann, als Zugriff für die Freigabe jedoch nur Lesen erhält, wird die Lesen-Berechtigung angewendet – der Benutzer verliert also einen Teil seiner zuvor zugewiesenen Rechte. Hat der Benutzer dagegen vollen Zugriff über die Freigabe und auf NTFS-Ebene nur Zugriff über eine einzelne Datei, nicht über die anderen, dann kann er nur mit dieser einen Datei arbeiten. Er erhält den Zugriff auf diese Datei, weil die Berechtigungen der Freigabe und der Datei zusammenarbeiten und gleich behandelt werden. Die Zugriffsberechtigungen werden kombiniert und restriktiv angewandt. Für eine Datei kann der Benutzer die folgenden sechs NTFS-Hauptberechtigungen erhalten: 씰
LESEN (R). Der Benutzer darf Informationen lesen.
씰
SCHREIBEN (W). Der Benutzer darf Informationen ändern und die geänderte Version speichern.
씰
AUSFÜHREN (X). Der Benutzer darf eine Programmdatei laden und den Code darin ausführen.
씰
LÖSCHEN (D). Der Benutzer darf eine Datei oder einen Ordner löschen.
씰
BERECHTIGUNGEN (P). Der Benutzer darf die Berechtigungen für eine Datei ändern.
253
254
Kapitel 4
씰
Active Directory-Dienste verwalten
BESITZ ÜBERNEHMEN (O). Der Benutzer darf den Besitz an der Datei übernehmen und erhält damit die Möglichkeit, Berechtigungen zu ändern.
Die Standardberechtigungen stellen eine Kombination dieser Rechte dar und erlauben dem Benutzer die Ausführung verschiedener Funktionen. Es gibt drei Freigabeberechtigungen, die Sie Benutzern gewähren oder verweigern können: LESEN (RX), ÄNDERN (RWXD) und VOLLZUGRIFF (RWXDPO). Die folgende Schritt-für-SchrittAnleitung demonstriert die Anwendung von Berechtigungen auf freigegebene Ordner.
SCHRITT FÜR SCHRITT 4.34 Berechtigungen für freigegebene Ordner einstellen 1. Öffnen Sie die Freigabeeigenschaften (siehe die vorige Schritt-für-Schrittanleitung). 2. Klicken Sie auf die Schaltfläche FREIGABEBERECHTIGUNGEN. 3. Klicken Sie auf HINZUFÜGEN und fügen Sie die Gruppen oder Benutzer hinzu, die den Zugriff erhalten sollen. Falls sich der Benutzer in einer anderen Domäne befindet, verwenden Sie zum Suchen der Domäne das Listenfeld SUCHEN IN. 4. Wählen Sie nach dem Hinzufügen aller Benutzer den Zugriffstyp aus, den Sie ihnen gewähren wollen, und klicken Sie auf OK. 5. Wiederholen Sie nach Bedarf die Schritte 2 bis 4. Falls Sie einen Benutzer entfernen möchten, klicken Sie ihn an, und klicken dann auf ENTFERNEN. 6. Klicken Sie auf OK, wenn Sie fertig sind, und schließen Sie das Dialogfeld EIGENSCHAFTEN.
HINWEIS Berechtigungen verweigern Microsoft empfiehlt, dass Sie die Funktion zum Verweigern von Berechtigungen möglichst sparsam verwenden. Die Verweigerung überschreibt nämlich sämtliche anderen Berechtigungen auch in dem Fall, dass der Benutzer den Vollzugriff bekommen hat. Daher kann es in Abhängigkeit davon, wo die Verweigerung eingestellt worden ist, schwierig werden, ihren Ursprung zu finden. Vergessen Sie nicht, dass ein Benutzer, dem Sie keine Berechtigungen verleihen, auch keine Berechtigungen besitzt. Wenn Sie bei der Vergabe von Berechtigungen umsichtig sind, besteht auch keine Notwendigkeit, diese wieder zu verweigern.
4.8 Freigaben verwalten
Neben der Einstellung der Freigabeberechtigungen sollten Sie ebenfalls die NTFSBerechtigungen einstellen. Sie erledigen dies in ähnlicher Weise wie bei der Freigabe, indem Sie mit der rechten Maustaste im Explorer eine Datei oder einen Ordner anklicken und im Kontextmenü EIGENSCHAFTEN auswählen. Von da aus können Sie dann in der Registerkarte SICHERHEITSEINSTELLUNGEN die NTFS-Berechtigungen einstellen.
4.8.2
Freigabe veröffentlichen
Active Directory-Objekte verwalten 씰
Ressourcen in Active Directory veröffentlichen
Über die Veröffentlichung einer Freigabe können die Benutzer die Freigabe in Active Directory lokalisieren. Die Veröffentlichung selbst ist ein simpler Vorgang, der unter Active Directory-Benutzer und -Computer erledigt wird, wie die folgende Anleitung demonstriert.
SCHRITT FÜR SCHRITT 4.35 Freigabe in Active Directory veröffentlichen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Blenden Sie die Domäne ein, in der Sie die Freigabe veröffentlichen möchten, und lokalisieren Sie den Ordner, unter dem Sie sie veröffentlichen wollen. 3. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie im Kontextmenü NEU/FREIGEGEBENER ORDNER aus. 4. Geben Sie den Namen ein, der in Active Directory erscheinen soll, und den Namen der Freigabe selbst. 5. Klicken Sie auf OK. Durch die Einbindung einer Freigabe in Active Directory wird es einfacher für die Benutzer, diese zu finden. Manche Benutzer können nicht mit UNC-Namen umgehen und haben so eine einfache Möglichkeit, die gesuchte Freigabe ausfindig zu machen. So wie Sie Ordner veröffentlichen können, können Sie auch Drucker zum einfacheren Lokalisieren veröffentlichen.
255
256
Kapitel 4
4.9
Active Directory-Dienste verwalten
Drucker veröffentlichen
Active Directory-Objekte verwalten 씰
Ressourcen in Active Directory veröffentlichen
Durch die Veröffentlichung von Druckern werden diese in Active Directory verfügbar, was den Benutzern die Gelegenheit gibt, sie suchen und sich mit ihnen verbinden zu können. In Windows 2000 erledigen Sie dies über die Registerkarte FREIGABE in den Eigenschaften des Druckers durch Anklicken von IM VERZEICHNIS ANZEIGEN. Falls der Drucker nicht an einen Windows-2000-Computer angeschlossen ist, müssen Sie ihn über Active Directory-Benutzer und -Computer hinzufügen. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie dies tun.
SCHRITT FÜR SCHRITT 4.36 Drucker (nicht Windows 2000) in Active Directory veröffentlichen 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Blenden Sie die Domäne ein, in der Sie die Freigabe veröffentlichen möchten, und lokalisieren Sie den Ordner, unter dem Sie sie veröffentlichen wollen. 3. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie im Kontextmenü NEU/DRUCKER aus. 4. Geben Sie den Netzwerkpfad des Druckers ein. 5. Klicken Sie auf OK. Der Drucker stellt nun ein Objekt in Active Directory dar, nach dem die Benutzer suchen können. Drucker gehören zu den Objekten, die Active Directory standardmäßig immer hinzugefügt werden – Sie sollten daher wissen, wie Sie diese Arbeit erledigen. Darüber hinaus müssen Sie auch noch den Vorgang des Verschiebens von Objekten kennen lernen.
4.10 Objekte im Verzeichnis verschieben Active Directory-Objekte verwalten 씰
Active Directory-Objekte verschieben
4.10 Objekte im Verzeichnis verschieben
Im Laufe der Zeit werden Sie zusätzliche Organisationseinheiten erstellen und Benutzer neu organisieren, was die Folge der normalen Reorganisation des Unternehmens oder des Zu- und Abgangs der Mitarbeiter ist. Das Verschieben von Objekten in Active Directory ist sehr einfach, sofern Sie Benutzer zwischen Organisationseinheiten verschieben. Müssen Sie dagegen einen Benutzer in eine andere Domäne verschieben, benötigen Sie dazu das Programm MOVETREE. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie ein Objekt zwischen Organisationseinheiten verschieben.
SCHRITT FÜR SCHRITT 4.37 Objekt zwischen Organisationseinheiten verschieben 1. Lokalisieren Sie in ACTIVE DIRECTORY-BENUTZER Objekt, welches Sie verschieben möchten.
UND
-COMPUTER das
2. Klicken Sie mit der rechten Maustaste auf dem Objekt, und wählen Sie im Kontextmenü VERSCHIEBEN aus. 3. Wählen Sie in der angezeigten Liste die Organisationseinheit aus, in der Sie das Objekt verschieben möchten, und klicken Sie auf OK (siehe Abbildung 4.36).
Abbildung 4.36 In der Liste wählen Sie die Organisationseinheit aus, in die Sie das Objekt verschieben möchten
Durch das Verschieben von Objekten können Sie Veränderungen in Ihrer Organisationsstruktur, die im Laufe der Zeit immer wieder auftreten werden, abbilden. Das Verschieben der in Active Directory-Benutzer und -Computer integrierten Objekte wird Ihre Alltagsarbeit als Administrator einfacher machen; Programme von Drittanbietern sind zu diesem Zweck nicht nötig.
257
258
Kapitel 4
Active Directory-Dienste verwalten
Das Verschieben eines Objekts zwischen Domänen ist schwieriger als das Verschieben zwischen Organisationseinheiten. Der Grund liegt darin, dass die SID auch aus der SID der Domäne in Verbindung mit der relativen ID besteht. Zum Verschieben eines Objekts zwischen Domänen benötigen Sie daher das Programm Movetree. Der Befehl Movetree erwartet von Ihnen die Angabe des Quell- und Zielservers sowie die Distinguished Names von Quelle und Ziel. Die Server können beliebige Server in der Quell- oder Zieldomäne darstellen. Die Syntax des Befehls lautet wie folgt: Movetree [/Operation ] [/s Quellserver ] [/d Zielserver ] [/sdn Quellname ] [/ddn Zielname ] [/u Domäne\Benutzername ] [/p Kennwort] [/verbose ]
Unter Operation können Sie Start zum Start des Vorgangs, Check zum Überprüfen der Verzeichnisstruktur oder Continue zum Fortführen einer abgebrochenen MoveOperation angeben. Wenn Sie beispielsweise eine Organisationseinheit namens Marketing von der Domäne Office in eine neue Domäne namens Marketing verschieben möchten, lautet der Befehl etwa wie folgt: Movetree /start /s ADSRV1.office.local /d ADSRV1.marketing.office.local /sdn cn=marketing,dc=office,dc=local /ddn cn=Users,dc=marketing,dc=office,dc=local /p office \administrator /p kennwort
Das Verschieben von Objekten innerhalb einer Domäne ist einfach und unproblematisch, was für Sie besonders deshalb von Bedeutung ist, weil die Benutzer innerhalb einer Organisation öfter die Funktion wechseln. Das Verfahren zum Verschieben von Objekten zwischen Domänen ist zwar etwas heikler, spart Ihnen aber im Gegensatz zur Verwendung von Drittanbieter-Programmen Zeit und Mühe.
Fallstudie: Active Directory verwalten Das Wichtigste im Überblick Im Folgenden wird das Erstellen von Organisationseinheiten und die Platzierung der Server erörtert. Solange Sie einige wesentliche Punkte nicht aus dem Auge verlieren, gibt es hier nicht viel zu überlegen: 씰
Jeder Standort benötigt mindestens einen Server für den globalen Katalog und mindestens einen Domänencontroller in jeder Domäne.
Fallstudie: Active Directory verwalten
씰
Es gibt fünf Domänen, die nicht auf dem Aufenthaltsort des Benutzers, sondern auf seiner Funktion in der Organisation beruhen.
씰
Für die verschiedenen Stationierungsorte werden Standorte erstellt, deren Replikation so konfiguriert ist, dass die Daten jedes Hauptstationierungsortes nicht älter als drei Stunden sind.
씰
Es gibt 15 Standorte, von denen 4 die Hauptbüros und die restlichen 11 die Zweigbüros darstellen.
Situationsbeschreibung In diesem Kapitel sind Sie mit umfangreichen Informationen konfrontiert worden. Die meisten dieser Informationen betreffen nicht das Design, des Netzwerks, sondern die notwendigen Richtlinien im Netzwerk. Richtlinien werden zum Erstellen und zur Verwendung von Gruppentypen und zum Hinzufügen von Objekten in Active Directory benötigt. Richtlinien müssen außerdem zu dem Zweck entwickelt werden, die Delegierung der Kontrolle über die Organisationseinheiten und den Inhalt der jeweiligen Kontrollfunktionen zu regeln. Weiterhin wird die Sonnenschein-Brauerei Standards für die verschiedenen Sicherheitsebenen für Dokumente setzen und festlegen müssen, welche Berechtigungen und Überwachungsanforderungen für diese Dokumente bestehen sollten. Die Fallstudie wird sich auch mit dem Erstellen der Organisationseinheiten und der Platzierung der Server für den globalen Katalog beschäftigen. Durch die hier vorgeschlagene Organisation der Standorte, die korrekte Platzierung der Server und die erstellten Organisationseinheiten werden Sie unabhängig von den jeweils gewählten Richtlinien immer auf der sicheren Seite sein. Dieses Beispiel ist, es sei noch einmal gesagt, recht unproblematisch – Sie müssen vor allem dafür Sorge tragen, dass es an jedem Standort einen Server für den globalen Katalog gibt, und dass die entsprechenden Organisationseinheiten erstellt werden.
Situationsanalyse Möglicherweise werden Sie viele Organisationseinheiten benötigen, was jedoch kein Problem sein sollte, da alle von ihnen nur als Objekte in Active Directory existieren. In jeder Domäne werden schließlich getrennte Organisationseinheiten für jeden Standort existieren.
259
260
Kapitel 4
Active Directory-Dienste verwalten
Hierdurch erhalten Sie die Möglichkeit, alle Benutzer eines Typs auf der Domänenebene oder alle Benutzer desselben Typs am selben Standort auf der Organisationseinheitenebene verwalten zu können. Die Anwendung standortbezogener Gruppenrichtlinien wird dadurch schwieriger, weil Sie diese in einer Domäne definieren und dann Verknüpfungen von anderen Domänen her erstellen müssen. Dies hat zur Folge, dass standortbezogene Richtlinien in der Stammdomäne definiert werden müssen, die mindestens einen Domänencontroller an jedem Standort hat. Hinsichtlich der Server für den globalen Katalog werden Sie noch erfahren, wie die Bridgehead-Server für die Standortverknüpfungen so konfiguriert werden, dass sie als Server für den globalen Katalog eingesetzt werden können.
Zusammenfassung Dieses Kapitel hat sich mit der elementaren Administration von Active Directory beschäftigt. Sie haben erfahren, wie Objekte verschiedenen Typs erstellt und verschoben, und wie Berechtigungen für Objekte zugewiesen werden. Weiterhin haben Sie gesehen, wie Organisationseinheiten erstellt werden, und wie Sie die Kontrolle über diese Organisationseinheiten an andere Benutzer und Gruppen delegieren. Schlüsselbegriffe 쎲
Berechtigung auf Objektebene
쎲
Verteilergruppe
쎲
Domänenlokale Gruppe
쎲
MOVETREE
쎲
Einheitlicher Modus
쎲
Rechte
쎲
Gemischter Modus
쎲
Sicherheitsgruppe
쎲
Globale Gruppe
쎲
Sicherheits-Principal
쎲
Lokale Gruppe
쎲
Universelle Gruppe
쎲
Vererbung
Lernzielkontrolle
Lernzielkontrolle Übungen 4.1
Konten in Active Directory erstellen
In dieser Übung werden Sie über Active Directory-Benutzer und -Computer Benutzer- und Computerkonten erstellen, die in den nachfolgenden Übungen verwendet werden. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Blenden Sie Ihre Domäne ein. 3. Klicken Sie mit der rechten Maustaste auf den Ordner USERS und wählen Sie im Kontextmenü NEU/BENUTZER aus. 4. Geben Sie als Vornamen Sales und als Nachnamen Admin ein. 5. Geben Sie als Benutzernamen SalesAdmin ein, und klicken Sie dann auf WEITER. 6. Deaktivieren Sie auf der Bildschirmseite des Assistenten für das Kennwort das Kontrollkästchen BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN, geben Sie Trojan als Kennwort ein, und bestätigen Sie die Eingaben zum Kennwort. 7. Klicken Sie auf WEITER und dann im Abschlussbildschirm auf FERTIG STELlen. 8. Fügen Sie mit den Schritten 3 bis 7 die folgenden Benutzer hinzu: Vorname
Nachname
Benutzername
Kennwort
Marylou
Scott
MScott
eastern
Anne
Sheard
ASheard
eastern
Judy
Jamieson
JJamieson
eastern
Ralph
Smith
RSmith
eastern
Krista
Bailey
KBailey
eastern
Dan
Harris
DHarris
western
Peter
Loke
PLoke
western
Helen
Burke
HBurke
western
261
262
Kapitel 4
Active Directory-Dienste verwalten
Vorname
Nachname
Benutzername
Kennwort
Mark
Spence
MSpence
western
Jim
Xu
JXu
western
9. Klicken Sie mit der rechten Maustaste auf den Ordner COMPUTERS und wählen Sie im Kontextmenü NEU/COMPUTER aus. 10. Geben Sie als den Computernamen WKS5542 ein. 11. Klicken Sie auf WEITER und im Abschlussbildschirm auf FERTIG STELLEN. 12. Fügen Sie mit den Schritten 9 bis 11 die folgenden Computer hinzu:
4.2
씰
WKS8726
씰
WKS8652
씰
WKS0823
씰
WKS0564
씰
WKS8762
씰
WKS7645
씰
WKS2735
씰
WKS0012
씰
WKS3218
Organisationseinheiten erstellen
In dieser Übung werden Sie die Organisationseinheit Sales und innerhalb der Organisationseinheit Sales zwei weitere Organisationseinheiten namens Eastern und Western erzeugen. Geschätzte Zeit: 5 Minuten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf Ihrer Domäne und wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus. 3. Geben Sie als den Namen der Organisationseinheit Sales ein, und klicken Sie auf OK. 4. Blenden Sie, falls erforderlich, Ihre Domäne ein und lokalisieren Sie die gerade erstellte Organisationseinheit.
Lernzielkontrolle
5. Klicken Sie mit der rechten Maustaste auf der Organisationseinheit Sales und wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus. 6. Geben Sie als den Namen der neuen Organisationseinheit Eastern ein, und klicken Sie auf OK. 7. Wiederholen Sie die Schritte 5 und 6 zum Erstellen der Organisationseinheit Western. 4.3
Objektverwaltung für Organisationseinheit zuweisen
In dieser Übung werden Sie die Objektverwaltung für die Organisationseinheit Sales dem Konto SalesAdmin zuweisen. Geschätzte Zeit: 10 Minuten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Öffnen Sie den Ordner BENUTZER und lokalisieren Sie das Konto SalesAdmin. 3. Klicken Sie mit der rechten Maustaste auf das Konto SalesAdmin, und wählen Sie im Kontextmenü VERSCHIEBEN aus. 4. Wählen Sie in der Ordnerliste die Organisationseinheit Sales aus, und klicken Sie auf OK. 5. Klicken Sie die Organisationseinheit Sales an und vergewissern Sie sich, dass das Konto SalesAdmin vorhanden ist. 6. Klicken Sie mit der rechten Maustaste auf der Organisationseinheit Sales und wählen Sie im Kontextmenü OBJEKTVERWALTUNG ZUWEISEN aus. 7. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 8. Klicken Sie auf dem nächsten Bildschirm auf die Schaltfläche HINZUFÜGEN. Wählen Sie den Benutzer SalesAdmin aus, klicken Sie auf HINZUFÜGEN und dann auf OK. Klicken Sie zum Anzeigen des nächsten Bildschirms auf WEITER. 9. Aktivieren Sie im nächsten Bildschirm des Assistenten die im Folgenden aufgeführten Optionen und klicken Sie anschließend auf WEITER. 씰
Erstellt, entfernt und verwaltet Benutzerkonten
씰
Setzt Kennwörter von Benutzerkonten zurück
씰
Liest alle Benutzerinformationen
263
264
Kapitel 4
Active Directory-Dienste verwalten
씰
Erstellt, löscht und verwaltet Gruppen
씰
Ändert die Mitgliedschaft einer Gruppe
10. Überprüfen Sie die Informationen und klicken Sie dann auf FERTIG STELLEN. 4.4
Objekte in Active Directory verschieben
In dieser Übung werden Sie Benutzer in die Organisationseinheit Eastern innerhalb der Organisationseinheit Sales verschieben. Geschätzte Zeit: 5 Minuten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie das Benutzerobjekt KBailey an. Halten Sie die Taste (Strg) gedrückt, und klicken Sie die restlichen vier Konten der Region Eastern an (MScott, ASheard, JJamison und RSmith). 3. Klicken Sie die markierten Konten mit der rechten Maustaste an, und wählen Sie im Kontextmenü VERSCHIEBEN aus. 4. Blenden Sie in der Liste der Ordner die Organisationseinheit Sales ein, und klicken Sie dann auf die Organisationseinheit Eastern. Klicken Sie auf OK. 5. Blenden Sie die Organisationseinheit Sales ein, und klicken Sie auf der Organisationseinheit Eastern. Vergewissern Sie sich, dass die Konten darin vorhanden sind. 6. Verschieben Sie die verbleibenden fünf Konten in die Organisationseinheit Western unterhalb von Sales (DHarris, PLoke, HBurke, MSpence und JXu). 4.5
Benutzer lokalisieren
In dieser Übung setzen Sie die Funktion Suchen zum Lokalisieren eines Benutzerkontos ein. Geschätzte Zeit: 5 Minuten 1. Klicken Sie zum Anzeigen des Dialogfeldes PERSONEN SUCHEN/NACH PERSONEN.
SUCHEN
auf START/
2. Wählen Sie im Listenfeld SUCHEN IN ACTIVE DIRECTORY aus. 3. Geben Sie den Namen Dan ein und klicken Sie auf SUCHEN. 4. Überprüfen Sie, ob die Informationen zu Dan Harris angezeigt werden.
Lernzielkontrolle
4.6
Freigabe veröffentlichen
In dieser Übung werden Sie eine Freigabe in Active Directory veröffentlichen. Geschätzte Zeit: 5 Minuten 1. Öffnen Sie den Explorer, indem Sie mit der rechten Maustaste auf ARBEITSPLATZ klicken und im Kontextmenü EXPLORER wählen. 2. Klicken Sie auf dem Laufwerk C:. Klicken Sie dann im rechten Detailfenster eine leere Stelle an. 3. Wählen Sie im Kontextmenü NEU/ORDNER aus. Geben Sie als Ordnernamen PubText ein, und drücken Sie die (¢). 4. Klicken Sie mit der rechten Maustaste das Verzeichnis PubTest an, und wählen Sie im Kontextmenü FREIGABE aus. 5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf DIESEN ORDNER FREIGEBEN, und klicken Sie anschließend zur Übernahme der Standardwerte auf OK. 6. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 7. Blenden Sie Ihre Domäne und die Organisationseinheit Sales ein. 8. Klicken Sie mit der rechten Maustaste auf der Organisationseinheit Sales und wählen Sie im Kontextmenü NEU/FREIGEGEBENER ORDNER aus. 9. Geben Sie als den in Active Directory anzuzeigenden Namen SalesFiles und als Freigabenamen \\Servername\PupText ein (Servername ist der Name Ihres Server). 10. Klicken Sie auf OK. 11. Vergewissern Sie sich, dass der Ordner in der Organisationseinheit Sales angezeigt wird. Falls nicht, klicken Sie mit der rechten Maustaste Sales an und wählen AKTUALISIEREN im Kontextmenü aus. Wiederholungsfragen 1. Worin besteht der Hauptzweck der Organisationseinheiten? 2. Welches Protokoll wird zum Suchen in Active Directory verwendet? 3. Worin besteht der Zweck von Gruppen? 4. Bis zu welcher Anzahl von Ebenen sollten Sie Organisationseinheiten maximal schachteln? 5. Worin besteht der Effekt in der Delegierung des Zugriffs auf eine Organisationseinheit?
265
266
Kapitel 4
Active Directory-Dienste verwalten
6. Was passiert mit den Berechtigungen des Objekts in einer Organisationseinheit, sobald Sie die Berechtigungen der Organisationseinheit einrichten? 7. Was müssen Sie tun, um einen Drucker in Active Directory veröffentlichen zu können? 8. Welches Werkzeug sollten Sie zum Verschieben eines Objekts innerhalb einer Domäne einsetzen? 9. Was passiert mit den Berechtigungen eines Objekts, dessen Kontrollkästchen VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN Sie deaktiviert haben, und welches Sie in eine andere Domäne verschieben? 10. Was können Sie mit der Registerkarte WEITERE im Bildschirm SUCHEN machen? Prüfungsfragen 1. Jon ist für ein Netzwerk mit nur einer einzigen Windows-2000-Domäne verantwortlich. Das Netzwerk wird gegenwärtig von 700 Benutzern verwendet und steht dem gesamten Unternehmen zur Verfügung. Jon hat in den letzten Tagen mit der Personalabteilung gesprochen und mit dieser vereinbart, dass sie ihre Computerkonten selbst verwalten darf. Was muss Jon tun, um der Abteilung die Verwaltung ihrer eigenen Computerkonten zu ermöglichen (wählen Sie zwei Antworten aus)? A. Er muss eine neue Domäne erstellen. B. Er muss eine neue Organisationseinheit erstellen. C. Er muss einen neuen Standort erstellen. D. Er muss die individuellen Berechtigungen der Computerkonten ändern. E. Er muss den Assistenten zum Zuweisen der Objektverwaltung einsetzen. 2. Ein Benutzer namens Ralph hat ein Problem in Active Directory, und Wanda ist auf der Fehlersuche. Ralph verfügt über die Berechtigung zum Verwalten einer Organisationseinheit und versucht die Kontoinformationen eines Benutzers zu ändern, der gerade das Unternehmen verlassen hat. Ralph kann die Informationen aber nicht ändern. Was sollte Wanda überprüfen? A. Sie sollte überprüfen, ob der Benutzer tatsächlich die Berechtigung zum Verwalten der Organisationseinheit besitzt. B. Sie sollte überprüfen, ob das Konto in die richtige Organisationseinheit verschoben worden ist.
Lernzielkontrolle
C. Sie sollte überprüfen, ob die Option VERERBBARE RECHTIGUNGEN ÜBERNEHMEN aktiviert worden ist.
ÜBERGEORDNETE
BE-
D. Sie sollte die Datenbankintegrität überprüfen. 3. Sie haben vor, mehrere Computer zu verschieben, um sie besser verwalten zu können. Wohin können Sie die Computer verschieben (wählen Sie alle zutreffenden Antworten aus)? A. Domänen B. Standorte C. Organisationseinheiten D. Gruppen E. Vertrauensstellungen 4. Sally versucht einen Drucker in Active Directory zu veröffentlichen. Der Drucker ist an einen Computer mit Windows 95 angeschlossen und wird über einen Computer mit Windows 2000 verwaltet. Was muss Sie tun, um den Drucker in Active Directory erstellen zu können? A. Sie muss den Drucker auf dem Windows-95-Computer freigeben. B. Sie muss den Drucker auf dem Windows-2000-Computer freigeben. C. Sie muss auf dem Windows-95-Computer eine Dateifreigabe erstellen. D. Sie muss den Drucker manuell zu Active Directory hinzufügen, weil er an den Windows-95-Computer angeschlossen ist. 5. David versucht ein Objekt von cn=user, dc=sonnenschein, dc=com nach cn=accounting, dc=sonnenschein, dc=com zu verschieben. Was muss er tun, um den Benutzer zu verschieben? A. Er muss die Benutzer vom ersten Standort löschen und an einem anderen Standort neu erstellen. B. Er muss mit der rechten Maustaste auf den Benutzer klicken und die zutreffende Organisationseinheit auswählen. C. Er muss über die Eingabeaufforderung den Befehl Movetree verwenden. D. Er muss NTDSUTIL zum Verschieben des Benutzers verwenden.
267
268
Kapitel 4
Active Directory-Dienste verwalten
6. David versucht ein Objekt von cn=user, dc=sonnenschein, dc=com nach cn=accounting, dc=hq, dc=sonnenschein, dc=com zu verschieben. Was muss er tun, um den Benutzer zu verschieben? A. Er muss die Benutzer im ersten Standort löschen und an einem anderen Standort neu erstellen. B. Er muss mit der rechten Maustaste auf den Benutzer klicken und die zutreffende Organisationseinheit auswählen. C. Er muss den Befehl Movetree über die Eingabeaufforderung verwenden. D. Er kann den Benutzer nicht verschieben. 7. Sam erstellt Gruppen in einer neuen Domäne in einer Active Directory-Struktur. In der Domäne befindet sich eine Benutzergruppe, die den Zugriff auf Ressourcen in drei anderen Domänen benötigt. Welche Gruppentypen muss er verwenden? A. Global B. Universell C. Domänenlokal D. Lokal 8. Tom ist auf der Fehlersuche bei einem Berechtigungsproblem von Danielle. Danielle hat eine Datei, die sie einmal pro Woche auf den Server laden muss. Die Datei kann von den Benutzern des Managements in der Organisation gelesen werden. Im Moment muss Danielle immer zu dem Server gehen, sich anmelden und dann über eine Diskette die Datei auf den Server kopieren. Stattdessen möchte sie sich aber lieber mit der Freigabe verbinden, die die Mitarbeiter des Managements zum Lesen der Datei verwenden. Was muss Tom überprüfen? A. Die NTFS-Berechtigungen. B. Die Berechtigungen der Gruppe Jeder. C. Die Freigabeberechtigungen. D. Die Berechtigungen des Dateiobjekts in Active Directory. 9. Ein Computer in Ihrem Netzwerk ist vor kurzem abgestürzt. Bei dem System handelte es sich um einen älteren P233 MMX mit 64MB RAM. Sie wollen es durch ein neues Multiprozessor-System ersetzen. Da hierdurch die HardwareAbstraction-Layer von einem einzelnen auf mehrere Prozessoren geändert
Lernzielkontrolle
werden muss, wissen Sie, dass Sie den Computer neu installieren müssen. Was sollten Sie in Active Directory tun, um sicherzustellen, dass Sie den Computer später wieder leicht zur Domäne hinzufügen können? A. Das vorhandene Computerkonto umbenennen. B. Das vorhandene Computerkonto in den Ordner Lost and Found verschieben. C. Das Computerkonto löschen. D. Das Computerkonto zurücksetzen. 10. Dave hat eine Benutzergruppe in einer Domäne, auf die er andere Gruppenrichtlinien anwenden möchte. Was muss er tun, um die Gruppenrichtlinie anzuwenden? A. Eine globale Gruppe erstellen. B. Eine universelle Gruppe erstellen. C. Eine neue Domänen erstellen. D. Eine Organisationseinheit erstellen. 11. Glen ist am Helpdesk tätig und bekommt einen dringenden Anruf von einem Benutzer namens Tim. Tims Chef Lesslie befindet sich auf einem Meeting in Rom und braucht unbedingt ein Dokument auf ihrer Festplatte. Im Moment kann sie aber nicht an ihre E-Mail heran. Was sollte Glen Tim raten? A. Das Dokument auf eine Diskette kopieren und per Kurier schicken. B. Das Dokument drucken und faxen. C. Einen Drucker im Active Directory in Rom lokalisieren und das Dokument dort drucken. D. Tim anweisen, sich von Lesslie anrufen zu lassen und ihr beim Zugang zur E-Mail zu helfen. 12. Die Personalabteilung hat sich an Sie mit einem Problem gewandt. Sie hat ein freigegebenes Verzeichnis namens HR mit Personaldaten, das anscheinend niemand lokalisieren kann. Die Abteilung möchte sicherstellen, dass die Benutzer die Dokumente lokalisieren können. Was können Sie tun, um dies zu ermöglichen? A. Eine neue Gruppe erstellen und die Dokumente dort hineinkopieren. B. Eine Mailliste erstellen und die Personalabteilung veranlassen, die Dokumente an alle Benutzer zu mailen.
269
270
Kapitel 4
Active Directory-Dienste verwalten
C. Die Freigabe HR in Active Directory veröffentlichen. D. Das Verzeichnis in einem neuen DFS-Stamm unterbringen. 13. Sam erstellt gerade Gruppen in einer neuen Domäne einer Active DirectoryStruktur. Er verfügt über eine Ressource auf einem Domänencontroller mit Windows 2000 in der Domäne, auf die von Gruppen in der lokalen und von vier weiteren Domänen aus zugegriffen wird. Welche Gruppentypen sollte er verwenden? A. Global B. Universell C. Domänenlokal D. Lokal 14. Um die Anzahl der Anrufe, die das Helpdesk in Ihrer Organisation bearbeiten muss, zu minimieren, haben Sie sich dazu entschlossen, eine Gruppe »Benutzerberater« zu erstellen, die eine zusätzliche Schulung und einige besondere Berechtigungen im Netzwerk bekommen sollen. Diese Benutzer sollen in der Lage sein, die Benutzercomputer zu verwalten. Die Computer werden in je einer Organisationseinheit pro Domäne (es gibt sechs Domänen) untergebracht. Die Benutzerberater sollen außerdem dazu berechtigt sein, die Kennwörter von Benutzern zurückzusetzen, die sich ebenfalls in einer Organisationseinheit pro Domäne befinden. Die Benutzer, die zu den Benutzerberatern gemacht werden sollen, sind in den verschiedenen Domänen verstreut. Welchen Gruppentyp müssen Sie verwenden, um die Berechtigungen, die benötigt werden, delegieren zu können? A. Global B. Universell C. Domänenlokal D. Keine Gruppe verwenden, nehmen Sie anstelle dessen eine Organisationseinheit. 15. Sally versucht ein Verzeichnis freizugeben. Welches Werkzeug sollte sie zu diesem Zweck verwenden? A. Explorer B. Active Directory-Standorte und -Dienste
Lernzielkontrolle
C. Active Directory-Benutzer und -Computer D. Servermanager Antworten zu den Wiederholungsfragen 1. Der Hauptzweck der Organisationseinheiten besteht darin, Ihnen die Delegierung der Kontrolle über eine Gruppe von Computern, Benutzern und anderen Objekten in Active Directory zu ermöglichen. Erledigt wird dies entweder über die manuelle Einstellung der Berechtigungen für die Organisationseinheit oder durch Einsatz des Assistenten zum Zuweisen der Objektverwaltung. Siehe dazu den Abschnitt »Organisationseinheit erstellen«. 2. Das Protokoll, welches in Active Directory zum Suchen verwendet wird, ist das LDAP-Protokoll (LDAP, Lightweight Directory Access Protocol). Es wurde ursprünglich über die X.500-Spezifikationen definiert. Siehe dazu den Abschnitt »Objekte in Active Directory suchen«. 3. Der Zweck von Gruppen besteht darin, Benutzer oder Rechte zusammenzufassen. Globale Gruppen werden zum Zusammenfassen von Benutzern in besser verwaltbare Einheiten und zu dem Zweck angelegt, diese Gruppen in der lokalen und in allen anderen Domänen verfügbar zu machen. Die lokale Gruppe fasst typischerweise alle die Rechte zusammen, die Sie zuweisen möchten. Die Benutzer erhalten ihre Rechte dann durch die Zuweisung der globalen Gruppe zur lokalen Gruppe. Universelle Gruppen fungieren als Brücke zwischen globalen und lokalen Gruppen und können mehrere Domänen umfassen. Siehe dazu den Abschnitt »Gruppen in Windows 2000«. 4. Microsoft empfiehlt, dass Sie Organisationseinheiten nicht über drei Ebenen hinaus schachteln. Der Grund liegt hauptsächlich darin, dass jede Organisationseinheitenebene neben der Domäne und dem Standort des Benutzers über zugewiesene Gruppenrichtlinien verfügen kann. Durch mehr als fünf Gruppenrichtliniendokumente jedoch würde der Anmeldevorgang unzumutbar verlangsamt werden. Siehe dazu den Abschnitt »Organisationseinheit erstellen«. 5. Bei der Delegierung des Zugriffs auf eine Organisationseinheit vergeben Sie gleichzeitig Berechtigungen für die Organisationseinheit und die Objekte darin. Die Person, an die Sie delegieren, kann nur das kontrollieren, was die Berechtigungen zulassen. Siehe dazu den Abschnitt »Administrative Kontrolle delegieren«. 6. Wenn Sie die Berechtigungen einer Organisationseinheit einstellen, erben die Objekte in der Organisationseinheit diese Einstellungen. Dieses Standardverhalten kann durch die Blockierung der Vererbung aufgehoben werden. Siehe dazu den Abschnitt »Vererbung von Berechtigungen«.
271
272
Kapitel 4
Active Directory-Dienste verwalten
7. Wenn der Drucker an einen Windows-2000-Computer angeschlossen ist, brauchen Sie den Drucker nur freizugeben und das Kontrollkästchen IM VERZEICHNIS ANZEIGEN aktivieren (ist standardmäßig aktiviert). Siehe dazu den Abschnitt »Drucker veröffentlichen«. 8. Das Verschieben eines Objekts innerhalb einer Domäne kann mit dem Befehl VERSCHIEBEN im Kontextmenü des Objekts erledigt werden. Falls Sie ein Objekt über Domänengrenzen hinweg verschieben müssen, nehmen Sie dazu Movetree. Siehe dazu den Abschnitt »Objekte im Verzeichnis verschieben«. 9. Die Berechtigungen bleiben dieselben. Die Berechtigungen für das Objekt, dessen Vererbung Sie deaktiviert haben, bleiben unabhängig davon, ob das Objekt nun verschoben wird oder nicht, dieselben. Siehe dazu den Abschnitt »Objekte im Verzeichnis verschieben«. 10. Über die Registerkarte WEITERE können Sie im Einzelnen festlegen, wonach Sie suchen. Sie erhalten zu diesem Zweck eine Liste der Objekte und Attribute, nach denen Sie suchen können. Siehe dazu den Abschnitt »Erweitertes Suchen«. Antworten auf die Prüfungsfragen 1. B, E. Die beste Entscheidung besteht in diesem Fall darin, eine Organisationseinheit zu erstellen und über den Assistenten zum Zuweisen der Objektverwaltung den Benutzern von HR die Kontrolle zuzuweisen. Sie könnten auch eine Domäne (A) erstellen, jedoch würde dies dem Netzwerk eine zusätzliche Komplexität hinzufügen, die nicht nötig ist. Obwohl er auch an jedem einzelnen Computer (D) die Berechtigungen einstellen könnte, würde dies mehr Arbeit machen, als für dasselbe Ergebnis den Assistenten zu benutzen. Das Erstellen eines Standorts (C) erlaubt keine Delegierung der Kontrolle. Siehe dazu den Abschnitt »Administrative Kontrolle delegieren«. 2. C. In diesem Fall ist bekannt, dass das Benutzerkonto verschoben wurde. Das wahrscheinliche Problem wird daher darin bestehen, dass das Kontrollkästchen zum Vererben der Berechtigungen deaktiviert wurde. Antwort A ist auch möglich, setzt jedoch voraus, dass der Benutzer die Berechtigung besitzt, über die er jedoch gerade für dieses Konto nicht verfügt. Auch Antwort B ist möglich. Jedoch können Sie davon ausgehen, dass der Benutzer dies bereits getan hat und daher an der richtigen Stelle nach dem Konto schaut. Hinsichtlich der Überprüfung der Integrität, was auch möglich wäre, wären vermutlich andere Fehlersymptome aufgetreten. Siehe dazu den Abschnitt »Objekte im Verzeichnis verschieben«. 3. A, C, D. Ein Computerkonto kann Bestandteil einer Domäne, Organisationseinheit oder Gruppe sein. Hierdurch wird eine zusätzliche Kontrolle möglich, die es in NT 4.0 nicht gab. Der Standort ist kein Container für Computer (aus-
Lernzielkontrolle
genommen Domänencontroller), und Vertrauensstellungen stellen die Verknüpfungen dazwischen dar. Siehe dazu die Abschnitte »Gruppen in Windows 2000« und »Organisationseinheit erstellen«. 4. B. In Windows 2000 werden freigegebene Drucker automatisch in Active Directory veröffentlicht. Da dieser Drucker über ein Windows-2000-System kontrolliert wird, gibt es darüber hinaus nichts zu tun. Weil der Drucker an ein System mit Windows 95 angeschlossen ist, sind die Antworten A und D falsch. Dateifreigaben haben mit dem Drucker in Active Directory nichts zu tun, sodass die Antwort C auch falsch ist. Siehe dazu den Abschnitt »Drucker veröffentlichen«. 5. B. In diesem Fall wird das Objekt von einer Organisationseinheit in eine andere derselben Domäne verschoben. Dies können Sie mit dem Befehl VERSCHIEBEN im Kontextmenü erledigen. Die Antwort A ist falsch und würde dazu führen, dass sämtliche Benutzerberechtigungen verloren gehen. Die Antwort C ist falsch, weil der Verschiebevorgang innerhalb einer Domäne stattfindet. Die Antwort D ist falsch, weil NTDSUTIL zum Verwalten und nicht zum Verschieben von Benutzern verwendet wird. Siehe dazu den Abschnitt »Objekte im Verzeichnis verschieben«. 6. C. In diesem Fall wird der Benutzer von einer Domäne in eine andere verschoben. Der Befehl VERSCHIEBEN aus dem Kontextmenü funktioniert nur innerhalb einer einzelnen Domäne, sodass Antwort B falsch ist. Die Antwort A würde gehen, jedoch alle Benutzerinformationen und -berechtigungen aufheben und dem Benutzer eine neue SID geben, was diese Antwort nicht zu der bestmöglichen macht. Die Antwort C ist richtig, weil dies der Zweck des Befehls Movetree ist. Die Antwort D ist falsch, weil Antwort C korrekt ist. Siehe dazu den Abschnitt »Objekte im Verzeichnis verschieben«. 7. A. Globale Gruppen stehen in der Domäne zur Verfügung, in der sie erstellt worden sind, sowie in anderen Domänen innerhalb einer Gesamtstruktur. Lokale und domänenlokale Gruppen stehen nur in der Domäne zur Verfügung, in der sie erstellt worden sind, und würden in diesem Fall nicht sinnvoll sein, was die Antworten C und D falsch macht. Eine universelle Gruppe wird verwendet, wenn Sie Benutzer aus mehreren Domänen haben, die alle den Zugriff auf Ressourcen in mehreren Domänen benötigen – die Antwort B ist daher falsch. Siehe dazu den Abschnitt »Strategien zum Einsatz von Gruppen«. 8. C. In diesem Fall können Sie die NTFS-Berechtigungen ausschließen, da der Benutzer die Operation lokal ausführen kann. Die Antwort A ist daher falsch. Die Gruppe Jeder besitzt keine Berechtigungen, was wegen der Vertraulichkeit der Informationen, die nur für leitende Mitarbeiter bestimmt sind, auch richtig ist (Antwort B daher falsch). Dateiobjekte sind kein Bestandteil von Active Directory, wodurch die Antwort D unzutreffend wird. Damit bleiben
273
274
Kapitel 4
Active Directory-Dienste verwalten
die Freigabeberechtigungen, was richtig ist. Denken Sie daran, dass Freigabeund NTFS-Berechtigungen kombiniert und die niedrigeren Berechtigungen verwendet werden. Da Danielle die NTFS-Berechtigung besitzt, kann sie lokal operieren. Daher können Sie davon ausgehen, dass die Freigabeberechtigungen falsch sind. Siehe dazu den Abschnitt »Freigaben verwalten«. 9. D. Das Umbenennen des Computerkontos würde ein totes Computerkonto in Active Directory zurücklassen, welches nie wieder benutzt werden würde. Daher ist die Antwort A falsch. Im Verzeichnis Lost and Found hinterlegt das System die verwaisten Objekte, die es gefunden hat. Dieses Verzeichnis wird von den Benutzern nicht verwendet, sodass die Antwort B falsch ist. Das Löschen und Neuerstellen des Kontos führt zum Verlust aller Gruppenmitgliedschaften und Gruppenrichtlinien und ist daher auch falsch. Das Zurücksetzen des Kontos behält das Konto bei und gibt Ihnen die Möglichkeit, den Computer später wieder der Domäne hinzuzufügen – dies ist daher die beste Antwort. Siehe dazu den Abschnitt »Computerkonten«. 10. D. Da Sie eine Gruppenrichtlinie auf der Ebene der Organisationseinheit anwenden können, ist dies die beste Antwort. Die Antworten A und B wären möglich, falls Sie Gruppenrichtlinienfilter verwenden, was jedoch nicht der beste Weg wäre, da alle anderen Benutzer die Richtliniendatei ebenfalls würden laden müssen. Es gibt bei Gruppenrichtlinien meist keine Notwendigkeit, eine neue Domäne zu erstellen, was die Antwort C falsch macht. Siehe dazu den Abschnitt »Organisationseinheit erstellen«. 11. C. Diese einfache Frage überprüft, ob Sie wissen, dass Sie in Active Directory suchen können. Die Antwort A wäre möglich, jedoch wären die damit verbundenen Kosten und der Zeitaufwand zu hoch. Die Antwort B ist wahrscheinlich das, was die meisten Benutzer tun würden, jedoch gibt es auch hier zu hohe Kosten. Außerdem wäre eine Faxkopie vielleicht unleserlich. Die Antwort D wäre zwar ebenfalls möglich, jedoch ist Antwort C simpler, da Tims Chef wahrscheinlich recht beschäftigt ist. Siehe dazu den Abschnitt »Objekte in Active Directory suchen«. 12. C. Obwohl eine neue Gruppe verwendet werden könnte, würde dies nicht dazu führen, dass die HR-Dokumente einfacher gefunden werden könnten, weil die Benutzer dazu den Newsserver überprüfen und neue Gruppen suchen müssten. Die Mailliste könnte funktionieren, würde aber die Last auf dem Mailserver und dem Netzwerk stark erhöhen. Das Verzeichnis in einem neuen DFS-Stamm zu lokalisieren, würde es leichter machen, den Zugriff darauf zu bekommen, aber nicht, es zu finden. Die Antwort C bleibt damit als einzig richtige Antwort übrig. Sie ist sinnvoll, weil die Veröffentlichung einer Freigabe gleichzeitig dazu führt, dass die Freigabe einfacher lokalisiert werden kann. Siehe dazu den Abschnitt »Freigaben verwalten«.
Lernzielkontrolle
13. C. Eine lokale Gruppe wird nur auf Standalone-Servern und Windows Professional verwendet, was die Antwort D falsch macht. Globale Gruppen werden dazu eingesetzt, die Benutzer in einer Domäne anderen Domänen verfügbar zu machen, weshalb die Antwort A falsch ist, da es sich um eine Ressource handelt. Universelle Gruppen (Antwort B) werden benutzt, um Benutzer aus mehreren Domänen zusammenzufassen und ihnen Berechtigungen in mehreren Domänen zu verschaffen. Übrig bleibt daher nur eine domänenlokale Gruppe, wodurch die Antwort C korrekt wird. Die globalen Gruppen aus der lokalen und den vier anderen Domänen würden dieser domänenlokalen Gruppe hinzugefügt werden und den Benutzern die erforderlichen Rechte geben. Siehe dazu den Abschnitt »Strategien zum Einsatz von Gruppen«. 14. B. In diesem Fall haben Sie es mit Benutzern zu tun, die Teil mehrerer Domänen sind, und denen Sie Rechte in mehreren Domänen verschaffen. Das korrekte Werkzeug dafür ist eine universelle Gruppe. Globale Gruppen erlauben Ihnen die Zusammenfassung von Benutzern und können in anderen Domänen verwendet werden, während lokale Gruppen Rechte beherbergen und normalerweise globale Gruppen als Mitglieder enthalten. Sie könnten in diesem Fall auch eine Kombination einer globalen und lokalen Gruppe einsetzen, was über die universelle Gruppe jedoch viel leichter erledigt wird, die daher die richtige Antwort darstellt. Siehe dazu den Abschnitt »Strategien zum Einsatz von Gruppen«. 15. A. Sally kann drei Werkzeuge einsetzen: den Befehl NET, Explorer und das Snap-In COMPUTERVERWALTUNG. Aufgeführt ist lediglich der Explorer. Standorte und Dienste wird nur zur Kontrolle von Standorten in Active Directory und einigen Diensten eingesetzt, während Benutzer und Computer der Verwaltung von Active Directory-Objekten dient und auch dazu benutzt werden kann, das Snap-In Computerverwaltung für einen Computer zu laden. Unter NT 4.0 war dafür der Servermanager zuständig, während wir es hier aber mit Windows 2000 zu tun haben. Siehe dazu den Abschnitt »Freigaben verwalten«. Weiterführende Literaturhinweise und Quellen Microsoft Windows 2000 Server Manual, Microsoft Press, 2000. Microsoft Windows 2000 Resource Kit, Deployment Planning Guide. Microsoft Press, 2000.
275
Server verwalten
5
Lernziele Dieses Kapitel behandelt einige der Themen und Unterthemen der Lerneinheiten »Installieren, Konfigurieren und Fehlerbehebung von Active Directory« und »Verwalten, Überwachen und Optimieren der Komponenten von Active Directory«. Die übrigen Themen und Unterthemen dieser Lerneinheiten finden Sie in den entsprechenden sonstigen Kapiteln. Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Funktion des Betriebsmasters übertragen
Dieses Thema wurde hier wegen der großen Bedeutung der Betriebsmaster aufgenommen. Sie müssen verstanden haben, was die verschiedenen Betriebsmaster tun, und welche Auswirkungen ein Betriebsmaster hat, der online ist. Darüber hinaus sollten Sie in der Lage sein, die Rolle des Betriebsmasters übertragen zu können, und zwar unabhängig von der Verfügbarkeit des Masters, der vorher existiert hat. Active Directory sichern und wiederherstellen 씰
Autorisierte Wiederherstellung von Active Directory durchführen
씰
Wiederherstellung nach einem Systemausfall
Die Sicherung und Wiederherstellung ist eine wichtige Funktionen in der Verwaltung eines Netzwerks, zu der auch die Sicherung und Wiederherstellung des Verzeichnisdienstes gehört. Dieses Thema wird erörtert, um sicherzustellen, dass Sie eine normale Wiederherstellungsprozedur durchführen können, indem Sie entweder einen Ersatzcontroller installieren oder über eine Datensicherung wiederherstellen.
278
Kapitel 5
Server verwalten
Active Directory-Leistung verwalten 씰
Überwachen, Verwalten und Fehlerbehebung der Domänencontrollerleistung
씰
Überwachen, Verwalten und Fehlerbehebung der Komponenten von Active Directory
Dieses Thema wurde hauptsächlich deswegen einbezogen, damit Sie wissen, wie Sie die Active Directory-Datenbank überwachen und verwalten. Zu diesem Zweck müssen Sie die zur Verfügung stehenden Werkzeuge kennen und wissen, welche von diesen Sie auf welche Weise verwenden.
Tipps für das Selbststudium Dieses Kapitel befasst sich mit den allgemeinen Administrationsaufgaben für Server. Es beginnt mit einer Betrachtung der Rollen, die ein Server im Netzwerk übernehmen kann. Anschließend wird es sich mit der Sicherung und Wiederherstellung von Servern und insbesondere mit den drei zur Verfügung stehenden Methoden zur Wiederherstellung eines Domänencontrollers beschäftigen. Der Rest des Kapitels behandelt die Überwachung und Verwaltung von Servern im Netzwerk. Achten Sie beim Studium dieses Kapitels vor allem auf die folgenden Punkte: 씰
Sie müssen die fünf Betriebsmasterrollen kennen
씰
Sie sollten wissen, welche Rollen auf der Domänen- und Unternehmensebene existieren
씰
Sie sollten wissen, wie Rollen übertragen und überschrieben werden
씰
Sie sollten wissen, welche Server wiedereingesetzt werden können, nachdem die Rolle überschrieben wurde
씰
Sie sollten die standardmäßigen Optionen zum Sichern und Wiederherstellen bei Microsoft Backup kennen
씰
Sie müssen wissen, welche drei Methoden zur Wiederherstellung eines Domänencontrollers zur Verfügung stehen, und wie Sie diese verwenden
씰
Sie sollten mit den Optionen von NTDSUTIL vertraut sein
씰
Sie sollten wissen, welche Werkzeuge zur Überwachung eines Servers oder Netzwerks zur Verfügung stehen, und wann Sie sie nutzen sollten
5.1 Einführung
5.1
Einführung
Eine Funktion, die ein Netzwerkadministrator häufig auszuführen hat, ist die Verwaltung der Server. Im Zuge der Einführung von Windows 2000 werden Sie keine primären Domänencontroller, Backupdomänencontroller und Mitgliedsserver mehr haben, sondern anstelle dessen verschiedene andere Servertypen, die Sie kennen und verwalten müssen. Hierzu gehören der Schemamaster, der Domänennamensmaster, der PDC-Emulator, der RID-Master und der Infrastrukturmaster. Über die Funktionen hinaus, die Sie bereits im vorigen Kapitel kennen gelernt haben (Benutzer, Computer und Gruppen verwalten), müssen Sie auch die Überwachung Ihrer Server beherrschen; d.h., Sie müssen Sicherungen und Wiederherstellungen durchführen und Schlüsselserverrollen von einem auf den anderen Server übertragen können.
5.2
Serverrollen
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active Directory 씰
Funktion des Betriebsmasters übertragen
Die Betriebsmaster besitzen im Netzwerk eine entscheidende Funktion. Als Netzwerkadministrator müssen Sie sicherzustellen, dass diese einsatzbereit sind, wenn sie gebraucht werden. Manchmal bleibt der Ausfall derartiger Rollen längere Zeit ohne ernste Auswirkungen, während zu anderen Zeitpunkten sehr schnell dramatische Beeinträchtigungen entstehen können. In den nächsten Abschnitten werden Sie mehr über die einzelnen Betriebsmasterrollen erfahren. Die Diskussion wird sich darum drehen, wie Rollen platziert und übertragen werden. Anschließend werden Sie sehen, wie eine Rolle in dem Fall überschrieben wird, dass ein Server abgestürzt ist. Zum Schluss wird es noch eine Erörterung des Servers für den globalen Katalog geben.
5.2.1
Betriebsmaster
In Active Directory können Änderungen an Benutzerkonten, Computerkonten, Freigaben u.ä. an jedem Domänencontroller vorgenommen werden, was Ihnen eine große Flexibilität ermöglicht. Manche Änderungen dürfen dagegen nur an einer einzigen Stelle durchgeführt werden (z.B. Schemaänderungen).
279
280
Kapitel 5
Server verwalten
Diese Einschränkung umgeht Active Directory durch den Einsatz einer Gruppe von Servern, die Betriebsmaster genannt werden, und bestimmte Rollen innerhalb des Unternehmens oder einer Domäne übernehmen. Für den Fall, dass ein Server heruntergefahren wird oder abstürzt, müssen Sie wissen, welche Rollen dies sind, und wie Sie die fünf Betriebsmaster übertragen können. 씰
Schemamaster. Es gibt immer nur einem Schemamaster für das gesamte Unternehmen. Der Schemamaster verfügt über die Originalversion des Schemas und stellt den einzigen Ort dar, an dem das Schema geändert werden kann.
씰
Domänennamensmaster. Der Server, der diese Rolle übernimmt, ist für das Hinzufügen und Entfernen von Domänen im gesamten Unternehmen verantwortlich und ist daher der einzige Server seiner Art. Dieser Server gewährleistet die Eindeutigkeit der Domänennamen und stellt sicher, dass sie in den Namespace des Unternehmens passen. Die Informationen über die logische Struktur des Active Directory-Namespace werden bei der Verwaltung der Vertrauensstellungen zwischen den Domänen verwendet.
씰
RID(Relative ID)-Master. Jedes auf einem Domänencontroller erstellte Objekt besitzt eine Sicherheits-ID (SID). In Active Directory ist dies eine Kombination der Sicherheits-ID der Domäne plus einer eindeutigen ID innerhalb der Domäne. Der RID-Master ist nun dafür verantwortlich, den zweiten Teil der Sicherheits-ID zu erstellen. Er generiert zu diesem Zweck eine ganze Serie davon und reicht diese IDs an die Controller weiter. Da die gesamte SID nur in der Domäne eindeutig ist, stellt sie lediglich eine beschränkt eindeutige ID dar. Ein RID-Master ist für jede Domäne zwingend erforderlich.
씰
PDC-Emulator. Zur Unterstützung von Downlevel-Clients übernimmt einer der Domänencontroller in einer Domäne die Rolle eines primären Domänencontrollers (PDC). Dieser Domänencontroller ist für die Replikation der Active Directory-Domäne mit den Backupdomänencontrollern von NT 4.0 verantwortlich. Der PDC-Emulator empfängt, sofern sich Ihre Domäne im einheitlichen Modus befindet, die Replikation von Kennwortänderungen. Falls ein Downlevel-Client sich dann anzumelden versucht und von einem anderen Controller bedient wird, der die Aktualisierung nicht empfangen hat, reicht dieser Controller die Anmeldung an den PDC-Emulator weiter.
씰
Infrastrukturmaster. Dieser Server verwaltet die Zuordnung BenutzerGruppe seiner Domäne. Wenn die Benutzer umbenannt oder in einen anderen Container verschoben werden, aktualisiert der Infrastrukturmaster die entsprechenden Referenzen und repliziert sie an andere Domänencontroller. Jeder Infrastrukturmaster bearbeitet nur die Konten innerhalb der eigenen Domäne; auch für Gruppen aus anderen Domänen.
5.2 Serverrollen
Alle diese Rollen müssen verwaltet werden, um sicherzustellen, dass sie den Systemen im Netzwerk zur Verfügung stehen, und dass bei Systemausfällen Möglichkeiten zur Wiederherstellung vorhanden sind. Hierin eingeschlossen ist die Planung sinnvoller Standorte für diese Server.
5.2.2
Standorte von Betriebsmastern planen
Beim Aufbau Ihrer Domänenstruktur und der Installation Ihres ersten Domänencontrollers sorgen Sie gleichzeitig auch für die Standorte aller zuvor erwähnten Rollen. Mit dem zunehmenden Wachstum des Unternehmens und dem Hinzufügen neuer untergeordneter Domänen wird der erste Domänencontroller, den Sie in jeder Domäne installieren, der Domänenbetriebsmaster (RID-Master, PDC-Emulator und Infrastrukturmaster) für diese Domäne sein. Für eine kleine Domäne in einem kleineren Gebäude oder für eine Gesamtstruktur, die nur wenige Domänen mit wenigen Controllern besitzt, funktioniert dieses Verfahren im Allgemeinen recht gut. Im Verlauf von Erweiterungen jedoch werden Sie in Ihrer Planung auch das Verschieben von Domänenbetriebsmastern in Erwägung ziehen. Die Planung von Betriebsmastern in einer Domäne stellt daher das Thema des nächsten Abschnitts dar, dem eine Erörterung über die Planung von Betriebsmastern in einer Gesamtstruktur folgt. Betriebsmaster in einer Domäne planen In einer Domäne mit nur einem Domänencontroller erfüllt dieser Controller sämtliche Betriebsmasterrollen. Normalerweise werden Sie mehrere Domänencontroller und daher auch eine gewisse Wahl dahingehend haben, welche Controller Sie für die verschiedenen Betriebsmasterrollen einsetzen. Im Allgemeinen kommen dafür eher die besonders leistungsfähigen Systeme im Netzwerk in Frage. Darüber hinaus können Sie noch einen Betriebsmaster als Standby-System festlegen, welches über eine gute Anbindung an den Betriebsmaster verfügen sollte. Normalerweise fassen Sie die Betriebsmasterrollen auf demselben Server zusammen, was bedeutet, dass Sie die verschiedenen Rollen nicht irgendwie noch separat überwachen müssen. Bei einer wachsenden Anzahl von Änderungen an Gruppen, einer großen Menge von Downlevel-Clients, oder bei fortwährendem Hinzufügen neuer Benutzer und Computer wäre jedoch unter Umständen eine Trennung dieser Rollen erwägenswert. Normalerweise trennen Sie die Rollen, indem Sie den PDCEmulator auf ein anderes System verschieben. Dabei sollten Sie sicherstellen, dass das entsprechende System eine gute Netzwerkanbindung an den Standby-Betriebsmaster besitzt.
281
282
Kapitel 5
Server verwalten
Betriebsmaster in einer Gesamtstruktur planen Eine Trennung des Schemamasters und Domänennamensmasters erbringt keinerlei Vorteil, da diese Funktionen nur gelegentlich ausgeführt werden. Der Server, der diese Rollen ausführt, sollte sich nahe an den Arbeitsplätzen befinden, die für Administrationszwecke verwendet werden. Außer diesen eher logistischen Anforderungen besteht keine weitere Notwendigkeit zum Ändern der Serverstandorte. Über die Planung der Standorte von Betriebsmastern sind Sie nun informiert – als Nächstes sollten Sie wissen, wie Sie die Rollen übertragen.
5.2.3
Betriebsmasterrollen übertragen
Durch die Übertragung einer Masterrolle wird die Rolle von einem Server auf einen anderen übertragen, wobei beide Server verfügbar sein müssen. Wie Sie in den folgenden Abschnitten erfahren werden, sind die erforderlichen Schritte für die einzelnen Rollen, die Sie ggf. werden verschieben müssen, recht ähnlich.
HINWEIS Falls Sie das Snap-In noch nicht hinzugefügt haben sollten, erklären die folgenden Schritte die Vorgehensweise. Klicken Sie auf START/AUSFÜHREN, und geben Sie mmc ein. Nach dem Klicken wird die Management-Konsole angezeigt. Klicken Sie nun KONSOLE/SNAP-IN HINZUFÜGEN/ENTFERNEN und anschließend die Schaltfläche HINZUFÜGEN an. Wählen Sie aus der Liste ACTIVE DIRECTORY-SCHEMA aus, und klicken Sie auf HINZUFÜGEN. Schließen Sie das Dialogfeld EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN und klicken Sie auf OK, um zur Konsole zurückzukehren. Falls sich dieses Snap-In nicht auf Ihrem System befinden sollte, klicken Sie mit der rechten Maustaste im Dateiverzeichnis auf Adminpak.msi und folgen den angezeigten Anweisungen.
Schemamasterrolle übertragen Führen Sie zum Übertragen der Schemamasterrolle die folgende Schritt-für-SchrittAnleitung aus.
SCHRITT FÜR SCHRITT 5.1
Schemamasterrolle übertragen
1. Öffnen Sie das Snap-In ACTIVE DIRECTORY-SCHEMA. Dieses Snap-In müssen Sie zuvor über die Microsoft Management Console hinzufügen. 2. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHEMA, und klicken Sie dann auf DOMÄNENCONTROLLER ÄNDERN.
5.2 Serverrollen
Abbildung 5.1 Entweder wählen Sie selbst einen bestimmten Controller aus, oder Sie lassen ihn durch das System festlegen
3. Sie können entweder BELIEBIGER DOMÄNENCONTROLLER auswählen, das System selbst einen Controller festlegen lassen, oder aber auf NAMEN ANGEBEN klicken und den Namen des Controllers eingeben, dem Sie die Rolle eines Schemamasters zuweisen möchten (siehe Abbildung 5.1). Dieser Controller erhält damit den Fokus – vergewissern Sie sich, dass kein anderes System als der aktuelle Schemamaster den Fokus hat. 4. Klicken Sie ein weiteres Mal auf ACTIVE DIRECTORY-SCHEMA und wählen Sie BETRIEBSMASTER aus. 5. Klicken Sie auf ÄNDERN. Der Schemamaster stellt eine der Rollen auf Unternehmensebene dar und wird Ihnen nur dann ggf. Probleme bereiten, wenn über einen Administrator oder eine Softwareinstallation der Versuch unternommen wird, das Schema zu modifizieren. Nachdem Sie dem Schemamaster einmal seinen Platz angewiesen haben, brauchen Sie ihn nicht wieder zu verschieben; es sei denn, Sie möchten das System, auf welchem er untergebracht ist, austauschen (dasselbe gilt auch für den Domänennamensmaster). Rolle des Domänennamensmaster übertragen Stellen Sie sicher, dass sich der Domänennamensmaster wie auch der Schemamaster in einem Subnetz zusammen mit einem anderen Domänencontroller befinden, damit alle Änderungen schnell an den zweiten Controller repliziert werden können. Normalerweise liegen in dieser Situation der Schemamaster und der Domänennamensmaster auf demselben Controller, während sich ein weiterer Controller zu Sicherungszwecken in demselben Subnetz befindet. Den Standort der Rolle des Domänennamensmaster ändern Sie mit der folgenden Schritt-für-Schritt-Anleitung.
283
284
Kapitel 5
Server verwalten
SCHRITT FÜR SCHRITT 5.2
Standort der Rolle des Domänennamensmasters ändern
1. Öffnen Sie ACTIVE DIRECTORY-DOMÄNEN (unter START/PROGRAMME/VERWALTUNG).
UND
-VERTRAUENSSTELLUNGEN
2. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN aus. 3. Wählen Sie die Domäne entweder durch Eingabe ihres Namens oder über die Schaltfläche DURCHSUCHEN aus. Normalerweise sollte sich der Domänennamensmaster in der Stammdomäne befinden. Legen Sie dann in der Liste der verfügbaren Domänencontroller einen Controller fest, zu dem Sie die Rolle verschieben können. Klicken Sie zum Verbinden mit dem Controller auf OK. Der Controller, der die Rolle ausüben soll, erhält damit den Fokus (siehe Abbildung 5.2). 4. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü BETRIEBSMASTER aus. 5. Klicken Sie zum Verschieben der Rolle auf ÄNDERN.
Abbildung 5.2 Wählen Sie den Domänencontroller aus, auf den Sie die Rolle verschieben möchten
Domänenmasterrolle übertragen Der Betriebsmaster auf der Domänenebene befindet sich ebenfalls typischerweise auf einem einzelnen Controller, dem ein weiterer Controller in demselben Subnetz für Sicherungszwecke zugeordnet ist. Gelegentlich werden Sie diese Rollen ver-
5.2 Serverrollen
schieben müssen, um Wartungsarbeiten auf dem Controller durchzuführen, oder weil der Server ausfällt. Die folgende Schritt-für-Schrittanleitung beschreibt, wie Sie eine oder alle Domänenmasterrollen übertragen.
SCHRITT FÜR SCHRITT 5.3
Domänenmasterrollen übertragen
1. Öffnen Sie im Ordner Verwaltung ACTIVE DIRECTORY-BENUTZER -COMPUTER.
UND
2. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und wählen Sie im Kontextmenü VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN aus. 3. Wählen Sie den Domänencontroller aus, auf den Sie die Rolle verschieben möchten, und klicken Sie auf OK. Hiermit ist der Fokus auf den Domänencontroller übergegangen. 4. Klicken Sie ein weiteres Mal auf ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und wählen Sie BETRIEBSMASTER im Kontextmenü aus (siehe Abbildung 5.3). Abbildung 5.3 Wählen Sie die entsprechende Registerkarte der Rolle aus, die Sie ändern möchten, und klicken Sie dann zum Verschieben der Rolle auf Ändern
285
286
Kapitel 5
Server verwalten
5. Legen Sie den Betriebsmaster fest, indem Sie die Registerkarte der Rolle, die Sie ändern möchten, auswählen. Klicken Sie auf dieser Registerkarte zum Verschieben der Rolle auf ÄNDERN. Zum Verschieben sämtlicher Rollen klicken Sie ÄNDERN auf allen Registerkarten an. Wie Sie selbst sehen, ist das Verschieben der Betriebsmasterrollen recht einfach, solange beide System online sind. Ist dies aber nicht der Fall, müssen Sie feststellen, welcher Master ausgefallen ist, und wie lange das System nicht zur Verfügung stehen wird. In manchen Fällen müssen Sie die Rolle dann überschreiben.
5.2.4
Wiederherstellung nach Ausfall eines Masters
Wie schon unter Windows NT 4.0 müssen Sie beim Ausfall eines Systems gewisse Schritte einleiten, um das Problem zu beheben. In diesem Fall überschreiben Sie die Rolle vom System, welches sie zuvor innehatte, an ein Standby-System. Dieser Schritt ist recht drastisch, weil die Gefahr besteht, dass das gesamte Netzwerk einen Schaden in dem Fall erleidet, dass Sie später den ursprünglichen Master wieder in Betrieb nehmen. Der PDC-Emulator und der Infrastrukturmaster können jedoch wieder online genommen werden. Führen Sie zum Überschreiben einer Serverrolle die folgende Schritt-für-Schritt-Anleitung aus.
SCHRITT FÜR SCHRITT 5.4
Betriebsmasterrolle überschreiben
1. Starten Sie eine Eingabeaufforderung und geben Sie ntdsutil ein. 2. Geben Sie in der Eingabeaufforderung von NTDSUTIL roles ein. 3. Jetzt wird die Eingabeaufforderung von NTDSUTIL, fsmo maintenance, angezeigt. Geben Sie connections ein. 4. Geben Sie in der Eingabeaufforderung der Server-Connections connect to server gefolgt von dem FQDN-Namen des Standby-Servers ein. 5. Geben Sie quit ein, um zur Eingabeaufforderung fsmo maintenance zurückzukehren. 6. Geben Sie seize gefolgt von der zu überschreibenden Rolle ein. 7. Ein Dialogfeld fragt Sie nun nach einer Bestätigung Ihrer seize-Aktion (siehe Abbildung 5.4). 8. Geben Sie quit zum Verlassen von fsmo maintenance ein, und geben Sie zum Verlassen von NTDSUTIL quit ein.
5.2 Serverrollen
Abbildung 5.4 Seize-Befehl bestätigen
HINWEIS Rollen übertragen NTDSUTIL können Sie auch zum Übertragen der Betriebsmasterrollen verwenden, indem Sie anstelle des Befehls seize den Befehl transfer verwenden.
Ihre vollständige Sitzung sollte etwa den folgenden Inhalt haben: C:\>ntdsutil ntdsutil:roles fsmo maintenance:connections server connections:connect to server behemoth Binding to behemoth ... Connected to behemoth using credentials of locally logged on user server connections:quit fsmo maintenance:seize PDC Attempting safe transfer of PDC FSMO before seizure. FSMO transferred successfully – seizure not required. Server "behemoth" knows about 5 roles Schema -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOffice,CN=Sites,CN=Configuration,DC =SonnenscheinBrauerei,DC=com Domain -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOffice,CN=Sites,CN=Configuration,DC =SonnenscheinBrauerei,DC=com PDC -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOffice,CN=Sites,CN=Configuration,DC =SonnenscheinBrauerei,DC=com RID -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOffice,CN=Sites,CN=Configuration,DC =SonnenscheinBrauerei,DC=com
287
288
Kapitel 5
Server verwalten
HINWEIS Infrastructure -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOffice,CN=Sites,CN=Configuration,DC=SonnenscheinBrauerei,DC=com fsmo maintenance:quit ntdsutil:quit Disconnecting from behemoth ...
Sie können folgende Rollen überschreiben: 씰
Schemamaster
씰
Domänennamensmaster
씰
RID-Master
씰
PDC
씰
Infrastrukturmaster
Das Überschreiben einer Rolle sollte nur die allerletzte Zuflucht darstellen, da Sie sich dadurch Probleme im Netzwerk einhandeln können. Der einzige spezielle Servertyp, von dem Sie mehrere verwenden können, ist der Server für den globalen Katalog.
5.2.5
Server für den globalen Katalog
Zusätzlich zu den Rollen, die Sie bereits kennen gelernt haben, gibt es noch eine weitere Rolle, die ein Server in Ihrem Unternehmen spielen kann: die Rolle des Servers für den globalen Katalog. Dieser Server speichert eine Liste sämtlicher Informationen über Objekte in seiner Domäne plus sämtlicher in anderen Domänen des gesamten Unternehmens befindlichen Objekte; bezüglich der Letzteren jedoch nur eine Untermenge der Objektattribute. Der globale Katalog wird für gewisse unternehmensweite Informationen wie etwa die Mitgliedschaften bestimmter (insbesondere universeller) Gruppen verwendet. Die andere Hauptfunktion des globalen Katalogs besteht darin, den Benutzern und anderen Prozessen im System die Suche nach benötigten Objekten im gesamten Unternehmen zu ermöglichen. Der erste Domänencontroller in der Domäne ist standardmäßig der Server für den globalen Katalog. Sie können weitere Server für den globalen Katalog hinzufügen, wenn Sie dies wünschen oder vorhandene Server austauschen wollen. Es muss
5.3 Server sichern und wiederherstellen
jedoch immer mindestens einen Server für den globalen Katalog pro Gesamtstruktur geben. Zum Konfigurieren eines Domänencontrollers als einen Server für den globalen Katalog führen Sie die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 5.5
Domänencontroller für globalen Katalog konfigurieren
1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Blenden Sie den Ordner SITES und den Ordner des Standorts ein, der den Domänencontroller enthält, den Sie bearbeiten möchten. 3. Öffnen Sie im Standort den Ordner SERVERS und blenden Sie den Server ein, den Sie konfigurieren möchten. 4. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 5. Aktivieren Sie in der Registerkarte ALLGEMEIN das Kontrollkästchen GLOBALER KATALOG, um den Domänencontroller zum Server für den globalen Katalog zu machen. Wenn das System die Rolle nicht länger innehat, deaktivieren Sie dieses Kontrollkästchen. Klicken Sie zum Schluss auf OK. In diesem Abschnitt haben Sie die Betriebsmasterrollen und ihren Verwendungszweck kennen gelernt. Sie haben etwas über die Platzierung der Server und darüber erfahren, wie die Betriebsmasterrollen übertragen und überschrieben werden. Der Zweck dieser Erörterung bestand darin, Sie bei Problemen mit einem Server in die Lage zu versetzen, einzugreifen und das Problem zu lösen. Ein weiterer wichtiger Aspekt bei der Behebung eines Systemausfalls ist der Einsatz des Sicherungs- und Wiederherstellungsprogramms.
5.3
Server sichern und wiederherstellen
Die Systemsicherung ist in jeder Produktionsumgebung ein kritischer Punkt. Probleme mit versehentlich verloren gegangenen oder wegen eines Systemausfalls beschädigten Daten, die von Ihnen den Einsatz eines Sicherungsverfahrens verlangen, können immer wieder mal auftreten. Die in Windows 2000 ausgelieferte Version der Datensicherung stellt gegenüber der früheren Version eine deutliche Verbesserung dar, wobei die wichtigste Neuerung darin besteht, dass Sie als Sicherungsmedium nun auch andere Medien als nur Bänder festlegen können. Mit dem Sicherungsprogramm können Sie die folgenden Aktionen ausführen:
289
290
Kapitel 5
Server verwalten
씰
Ausgewählte Dateien und Ordner sichern
씰
Gesicherte Dateien auf unterschiedlichen Datenträgern wiederherstellen
씰
Eine Notfalldiskette erstellen
씰
Sichern lokaler Daten, von verbundenen Netzlaufwerken sowie Daten von Remotespeichern
씰
Eine Sicherung des Systemstatus einschließlich der Registrierung, der Active Directory-Datenbank und der Zertifikatsdienstedatenbank erstellen
Die folgenden Abschnitte zeigen Ihnen, wie Sie das Sicherungsprogramm verwenden, und wie Sie damit einen Windows-2000-Server sichern und wiederherstellen.
5.3.1
Sicherungsarten
Zunächst müssen Sie eine Entscheidung darüber treffen, welchen Sicherungstyp und welche Sicherungshäufigkeit Sie zu verwenden gedenken, und was Sie eigentlich sichern wollen. Mit dem Sicherungsprogramm in Windows 2000 können Sie lokale FAT- oder NTFS-Partitionen sichern oder Partitionen, die sich im Netzwerk befinden. Für die Sicherungen, die Sie zum Vermeiden von Datenverlusten ausführen, stehen Ihnen fünf verschiedene Arten zur Verfügung, die Sie separat oder kombiniert verwenden können. Die folgende Liste erläutert diese fünf Sicherungsarten. 씰
Kopieren. Diese Sicherungsart kopiert die von Ihnen ausgewählten Dateien auf das Sicherungsmedium. Das Archivattribut wird durch sie nicht verändert, was sinnvoll ist, wenn Sie beispielsweise vor der Installation einer neuen Software schnell eine Datensicherung machen wollen, die die regulären normalen und inkrementellen Sicherungen nicht stören soll.
씰
Täglich. Diese Sicherungsart verwendet das Datumsattribut einer Datei dazu, jede Datei zu kopieren, die sich während des Tages geändert hat. Auch diese Sicherungsart setzt das Archivattribut nicht, und hat daher auch keinerlei Störungen der sonstigen Sicherungsarten zur Folge. Dies ist eine schnelle Methode zum Erfassen von Änderungen, die während des Tages stattgefunden haben, und kann in Verbindung mit anderen Sicherungsverfahren dazu verwendet werden, uhrzeitgenaue Wiederherstellungen vorzunehmen.
씰
Differenziell. Bei einer differenziellen Sicherung werden alle Dateien, bei denen das Archivattribut gesetzt worden ist, gesichert, ohne dass das Archivattribut gesetzt wird. Beispielsweise können Sie einer normalen Systemsiche-
5.3 Server sichern und wiederherstellen
rung mehrere differenzielle Sicherungen folgen lassen, und brauchen später bei der Wiederherstellung nur die normale und die letzte differenzielle Sicherung einzuspielen. Negativ wirkt sich bei dieser Sicherungsart aus, dass der Umfang einer solchen Sicherung im Laufe der Zeit beträchtlich wachsen kann. 씰
Inkrementell. Hiermit werden alle Dateien gesichert, die seit der letzten normalen oder inkrementellen Sicherung gesichert worden sind. Diese Art setzt das Archivattribut zurück und zeigt damit an, dass die entsprechenden Dateien gesichert worden sind. Bei dieser Sicherungsart benötigen Sie zur Wiederherstellung eine normale und alle inkrementellen Sicherungen, die seitdem stattgefunden haben.
씰
Normal. Dies ist die vollständige Sicherungsart, die einfach alle Dateien nach und nach sichert und anschließend das Archivattribut zurücksetzt.
Normalerweise legen Sie fest, ob Sie entweder die normale und inkrementelle oder die normale und differenzielle Sicherungsart miteinander kombinieren möchten. Bei jeder Methode führen Sie typischerweise eine wöchentliche vollständige und anschließend tägliche differenzielle oder inkrementelle Sicherung aus. Inkrementelle Sicherungen reduzieren die Menge des erforderlichen Speicherplatzes für die Daten und die Zeit, die zur Ausführung der täglichen Sicherungen benötigt wird. Allerdings dauert dafür der Wiederherstellungsprozess länger. Differenzielle Sicherungen benötigen dagegen mehr Speicherplatz und mehr Zeit, machen jedoch dafür die Wiederherstellungszeit kürzer, da nur die normale und die letzte differenzielle Sicherung wiederhergestellt werden müssen.
5.3.2
Erforderliche Berechtigungen für Sicherungen
Natürlich darf nicht jedermann hingehen und Sicherungen des Systems durchführen, da man auf diese Weise recht einfach die Daten des Systems mit sich nehmen könnte. Ebenso wäre ohne eine Zugangsbeschränkung beim Wiederherstellen der Daten kein Schutz von Daten gewährleistet, die nicht für jedermann bestimmt sind. Zum Ausführen einer Datensicherung brauchen Sie also die entsprechenden Berechtigungen. Generell gilt, dass Sie dafür ein Mitglied entweder der Gruppe Administratoren oder Sicherungs-Operatoren sein müssen. Sie müssen sich sowohl für das lokale System als auch für jedes weitere System, welches Sie über das Netzwerk sichern, in einer dieser Gruppen befinden. Erst damit steht Ihnen die Möglichkeit zur Verfügung, Daten zu sichern, die nicht Ihre eigenen sind.
291
292
Kapitel 5
Server verwalten
ACHTUNG Lesen-Berechtigungen verwenden Vergessen Sie nicht, dass jeder Benutzer mit Lesen- oder höheren Berechtigungen in der Lage ist, Daten zu kopieren und daher auch zu lesen.
Hinsichtlich von Datensicherungen gibt es eine Reihe von Vorsichtsmassnahmen, die Sie treffen können, wenn Sie sich vor Sicherheitsrisiken schützen wollen. Eine dieser Optionen lautet ZUGRIFF AUF SICHERUNGSDATEN NUR FÜR BESITZER ODER ADMINISTRATOR ZULASSEN und hindert eine Person, die Zugriff auf ein Sicherungsmedium hat, daran, die Daten auf diesem Medium selbst wiederherzustellen. Des Weiteren können Sie die Gruppenrichtlinien (in Kapitel 6, »Gruppenrichtlinien zum Verwalten von Benutzern verwenden«) so anpassen, dass die Sicherungs-Operatoren die Daten nur sichern, nicht jedoch auch wiederherstellen können.
5.3.3
Systemstatus sichern
Beim Systemstatus handelt es sich um spezielle Daten, deren Sicherung Sie gesondert vorsehen müssen. Diese Daten können nicht über das Netzwerk gesichert werden, sondern nur über das lokale System. Zu den Systemstatusdaten gehören: 씰
Die Registrierung
씰
Die COM+-Registrierungsdatenbank
씰
Die Bootdateien einschließlich der Systemdateien
씰
Die Zertifikatsdienstedatenbank
씰
Die Active Directory-Dienstedatenbank
씰
Das Systemvolume (SYSVOL)
씰
Die Clusterdienstinformationen
Nicht jede Konfiguration von Windows 2000 enthält diese Objekte. Sie werden jedoch alle, sofern vorhanden, gesichert, wenn Sie über das Sicherungsprogramm die Sicherung der Systemstatusdaten veranlassen. Eine Wahl hinsichtlich der Objekte, die im Rahmen des Systemstatus gesichert werden, haben Sie wegen des internen Zusammenhangs der Komponenten nicht – entweder alles oder gar nichts! Bei der Wiederherstellung der Systemstatusdaten müssen Sie das System in einem speziellen Modus starten, der unter der Bezeichnung »Verzeichnisdienste wiederherstellen« bekannt ist und im über (F8) erscheinenden Menü angezeigt wird. Sie
5.3 Server sichern und wiederherstellen
haben dabei die Möglichkeit, die Systemstatusdaten auch an einen anderen Speicherungsort zurückzuschreiben, wodurch jedoch lediglich die Registrierungsdateien, die Systemvolumeinformationen, die Clusterdienstdatenbank und die Bootdateien wiederhergestellt werden; die restlichen Daten werden nicht wiederhergestellt. Der Grund liegt darin, dass die COM-Registrierungsdatenbank während der Installation von Komponenten aufgebaut wird, und diese neu installiert werden müssen, wenn die Quelldateien an anderen Speicherungsorten abgelegt werden. Auch die Zertifikatsinformationen müssen neu aufgebaut werden, da der Zertifikatsserver neu installiert werden muss, und daher auch einen neuen Signaturschlüssel erhält. Die Active Directory-Datenbank muss nicht wiederhergestellt werden. Es wird vorausgesetzt, dass Sie mehrere Domänencontroller im Einsatz haben und daher in der Lage sind, die entsprechenden Informationen über Replikationsvorgänge wiederherzustellen. Eine wiederhergestellte Active Directory-Datenbank (die nicht an einen alternativen Speicherungsort zurückgeschrieben wurde) würde ohnehin erneut überschrieben werden. Zu einem Problem kann dies führen, wenn Teile Ihres Active Directory versehentlich verlorengegangen sind. Falls Sie beispielsweise irrtümlich eine Organisationseinheit (OU) gelöscht haben, würde die Wiederherstellung über eine Datensicherung diese Organisationseinheit nicht wiederherstellen. Zur Wiederherstellung eines gelöschten Objekts in Active Directory müssen Sie eine maßgebende Wiederherstellung durchführen.
5.3.4
Maßgebende Wiederherstellungen
In Fällen wie einer gelöschten OU könnten Sie zwar eine vollständige Wiederherstellung an den normalen Speicherungsort erzwingen, was tatsächlich eine Wiederherstellung der Active Directory-Datenbank bewirken würde. Jedoch entstünde dabei das Problem, dass zusammen mit dem Objekt auch die originalen USNs (Update Sequence Number, ein numerischer Wert, der bei jeder Änderung eines Objekts aktualisiert wird, wobei der höchste Wert den aktuellen Zustand darstellt) wiederhergestellt würden. Da die USN des gelöschten Objekts, welches sich noch in Active Directory befindet, höher als diejenige des wiederhergestellten Objekts ist, hat dies zur Folge, dass das Objekt erneut gelöscht wird. Bei der Wiederherstellung der OU im Verlauf der nächsten Replikation würden die USNs dem lokalen System mitteilen, dass die Organisationseinheit gelöscht worden ist. Die OU wird daher ein weiteres Mal gelöscht und nicht an die anderen Domänencontroller repliziert. Um dieses Problem zu umgehen, müssen Sie mit NTDSUTIL eine maßgebende Wiederherstellung durchführen. Der Vorgang ist problemlos insofern, als Sie wie gewohnt den Wiederherstellungsprozess veranlassen. Vor dem Neustart des Servers jedoch starten Sie NTDSUTIL
293
294
Kapitel 5
Server verwalten
zu dem Zweck, den Teil von Active Directory, den Sie wiederherstellen wollen, zu markieren. Durch diesen Vorgang werden die USNs einfach nur auf einen höheren Wert gesetzt. Nach dem Start des Servers und dem Beginn der Replikation ist der Wert der Kopie nun höher, was bewirkt, dass das Objekt an andere Domänencontroller repliziert wird. Denken Sie also daran, dass Sie zur Wiederherstellung eines ausgefallenen Computers lediglich eine reguläre Wiederherstellung durchführen, die die Daten ersetzt und es der Replikation überlässt, das System erneut zu aktualisieren. Führen Sie dagegen eine Wiederherstellung an einen anderen Speicherungsort durch, werden nur Teile der Systemstatusdaten wiederhergestellt, wobei auch hier der Prozess der Replikation das System aktualisiert. Eine maßgebende Wiederherstellung müssen Sie nur dann vornehmen, wenn Teile von Active Directory verlorengegangen sind.
5.3.5
Sicherungen durchführen
Nach der Theorie wird es nun Zeit dafür, die praktische Durchführung von Sicherungs- und Wiederherstellungsoperationen detailliert zu betrachten. Grundlage dieses Abschnitts stellt das in Windows 2000 enthaltene Sicherungsprogramm dar. Das Sicherungsprogramm von Windows 2000 ermöglicht Ihnen eine Sicherung auf ein Band oder in eine Datei. Wenn Sie eine Datei verwenden, müssen Sie einen Speicherungsort und einen Namen angeben – die standardmäßige Dateinamenserweiterung .BKF ist dabei optional. Verwenden Sie am besten immer die Standarderweiterungen, damit auch andere Benutzer die Dateitypen erkennen können. Die Datei kann sich auf einem festen oder wechselbaren Datenträger im System oder in einer Freigabe eines Netzcomputers befinden. Eine Sicherung besteht aus den folgenden grundlegenden Schritten: 1. Wählen Sie über die im Sicherungsprogramm angezeigte Verzeichnisstruktur die Dateien und Verzeichnisse aus, die Sie sichern möchten. 2. Legen Sie das Sicherungsmedium fest, welches Sie verwenden möchten (Datei oder Band). Identifizieren Sie das Band bzw. die Datei. 3. Legen Sie die Optionen für den Sicherungstyp fest, und bestimmen Sie, ob die Sicherung protokolliert werden soll. Weiterhin können Sie entscheiden, ob Daten auf gemounteten Laufwerken gesichert werden sollen, ob Sie bestimmte Dateitypen von der Sicherung ausschließen möchten, und ob die Sicherung verifiziert werden soll. 4. Legen Sie ggf. erweiterte Optionen sowie den Zeitplan für die Sicherung fest.
5.3 Server sichern und wiederherstellen
Zum Konfigurieren der Sicherung können Sie auch den eingebauten Assistenten verwenden. Sicherungs-Assistent verwenden Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Sicherung mit dem Sicherungs-Assistenten konfigurieren.
SCHRITT FÜR SCHRITT 5.6
Sicherung über den Sicherungs-Assistenten durchführen
1. Starten Sie das Sicherungsprogramm (START/PROGRAMME/ZUBEHÖR/ SYSTEMPROGRAMME/SICHERUNG). 2. Klicken Sie auf die Schaltfläche SICHERUNGS-ASSISTENT (siehe Abbildung 5.5). Abbildung 5.5 Klicken Sie im Sicherungsprogramm auf die Schaltfläche SICHERUNGSASSISTENT
3. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 4. Legen Sie fest, was Sie sichern möchten, und klicken Sie dann auf WEITER (siehe Abbildung 5.6). 5. Wenn Sie sich dazu entschlossen haben, die zu sichernden Dateien selbst auszuwählen, erhalten Sie eine Baumstruktur angezeigt, in der die Laufwerke und Dateien auf Ihrem Computer enthalten sind. Durch Einblenden der Baumstruktur können Sie Dateien oder Ordner anzeigen und durch Aktivieren der Kontrollkästchen vor den Namen der Objekte dafür sorgen, dass sie gesichert werden (siehe Abbildung 5.7).
295
296
Kapitel 5
Server verwalten
Abbildung 5.6 Legen Sie fest, was Sie sichern möchten
Abbildung 5.7 Wählen Sie die Dateien aus, die Sie sichern möchten
6. Legen Sie das Sicherungsmedium (Band oder Datei) und das Bandlaufwerk bzw. den Dateinamen fest (siehe Abbildung 5.8). 7. Klicken Sie im nächsten Bildschirm auf FERTIG STELLEN – die Sicherung beginnt. Durch Anklicken der Schaltfläche ERWEITERT erhalten Sie weitere Einstelloptionen (siehe Abbildung 5.9).
5.3 Server sichern und wiederherstellen
Abbildung 5.8 Legen Sie den Speicherungsort und den Namen der Sicherung fest
Abbildung 5.9 Auf dem Zusammenfassungsbildschirm können Sie erweiterte Sicherungsoptionen einstellen
8. Die erste erweiterte Option fragt danach, welche Sicherungsart Sie verwenden möchten (siehe Abbildung 5.10). Wählen Sie unter den verfügbaren Sicherungsarten die gewünschte Art aus. Außerdem können Sie Dateien sichern lassen, die auf Remotespeicher migriert worden sind. Aktivieren Sie das Kontrollkästchen, wenn Sie dies wünschen, und klicken Sie dann auf WEITER.
297
298
Kapitel 5
Server verwalten
Abbildung 5.10 Wählen Sie die Sicherungsart aus und legen Sie fest, ob migrierte Daten gesichert werden sollen
9. Auf dem nächsten Bildschirm können Sie festlegen, ob Sie die fertig gestellte Sicherung verifizieren lassen möchten (siehe Abbildung 5.11), was empfehlenswert ist. Außerdem geben Sie an, ob Ihr Bandlaufwerk eine Hardwarekompression unterstützt. Klicken Sie nach dem Einstellen der Optionen auf WEITER. Abbildung 5.11 Die Verifizierung der Sicherung sollten Sie immer vornehmen lassen
5.3 Server sichern und wiederherstellen
10. Als Nächstes können Sie festlegen, ob die vorhandenen Daten überschrieben werden sollen, oder ob die Sicherung angehängt werden soll. Wenn Sie sich für das Überschreiben entscheiden, haben Sie noch die Wahl, ob nur der Besitzer bzw. Administrator auf die Sicherung zugreifen darf. Klicken Sie zum Fortfahren auf WEITER (siehe Abbildung 5.12). Abbildung 5.12 Legen Sie fest, ob die Sicherung an das bestehende Medium angehängt werden soll
Abbildung 5.13 Geben Sie Bezeichnungen für die Sicherung und das Medium ein
299
300
Kapitel 5
Server verwalten
11. Als Nächstes haben Sie die Möglichkeit, Bezeichnungen für die Sicherung und das Medium einzugeben (siehe Abbildung 5.13). Klicken Sie nach dem Einstellen auf WEITER. 12. Der nächste Bildschirm gibt Ihnen die Gelegenheit, die Sicherung sofort oder nach einem Zeitplan auszuführen (siehe Abbildung 5.14). Wählen Sie die gewünschte Option aus, und klicken Sie auf WEITER. Abbildung 5.14 Legen Sie den Zeitplan dieser Sicherung fest
Abbildung 5.15 Die Sicherung läuft
5.3 Server sichern und wiederherstellen
13. Wenn Sie auf SPÄTER klicken, werden Sie zur Eingabe des Benutzernamens und Kennwortes für den Sicherungsauftrag aufgefordert. Nehmen Sie die Eingaben vor und geben Sie dann den Namen des Sicherungsauftrags ein. Klicken Sie zur Einstellung des Zeitplans auf die Schaltfläche ZEITPLAN FESTLEGEN (die Zeitplanoptionen werden in der folgenden Schritt-für-SchrittAnleitung demonstriert). Klicken Sie danach zum Fortfahren auf WEITER. 14. Jetzt können Sie auf FERTIG STELLEN klicken – der Auftrag wird nun gestartet oder als geplanter Auftrag gespeichert (siehe Abbildung 5.15).
SCHRITT FÜR SCHRITT 5.7
Sicherung planen
1. Klicken Sie auf der Bildschirmseite ZEITPUNKT DER SICHERUNG im Assistenten auf SPÄTER. Geben Sie nach Aufforderung einen Benutzernamen und ein Kennwort zum Ausführen der Sicherung ein. 2. Geben Sie einen Auftragsnamen im Feld AUFTRAG ein, und klicken Sie auf ZEITPLAN FESTLEGEN. Abbildung 5.16 Wählen Sie die Sicherungshäufigkeit aus
301
302
Kapitel 5
Server verwalten
3. Geben Sie im Dialogfeld AUFTRAG PLANEN als Erstes ein, wie oft der Auftrag laufen soll. Die Häufigkeit legen Sie über das Drop-down-Listenfeld TASK AUSFÜHREN fest (siehe Abbildung 5.16). 4. Je nach der gewählten Option erhalten Sie nun acht verschiedene Auswahlmöglichkeiten angezeigt. 씰
TÄGLICH. Bei täglichen Aufträgen können Sie festlegen, zu welchem Zeitpunkt der Auftrag gestartet wird, und ob die Sicherungen jeden Tag oder weniger häufig laufen sollen.
씰
WÖCHENTLICH. Bei wöchentlichen Aufträgen legen Sie wieder fest, ob die Sicherung jede Woche oder weniger häufig laufen soll. Außerdem können Sie die Startzeit des Auftrags und die Wochentage der Sicherung bestimmen.
씰
MONATLICH. Auch hier legen Sie wieder die Startzeit des Auftrags fest. Darüber hinaus bestimmen Sie noch den Tag des Monats (entweder über die Nummer des Tages oder über den Wochentag; z.B. der erste Dienstag des Monats). Darüber hinaus wählen Sie über die Schaltfläche MONATE AUSWÄHLEN die Monate zur Ausführung des Zeitplans aus.
씰
ERWEITERT. Die Schaltfläche ERWEITERT steht für tägliche, wöchentliche und monatliche Zeitpläne zur Verfügung und gibt Ihnen die Möglichkeit, ein Start- und Endedatum für den Auftrag festzulegen. Außerdem kann der Auftrag auch noch mehrmals am Tag ausgeführt werden. Beispielsweise können Sie ihn erneut minuten- oder stundenweise oder auch nur bis zu einem bestimmten Zeitpunkt ausführen lassen, wobei Ihnen die Option zur Verfügung steht, den Auftrag vorher zu beenden, sofern er noch ausgeführt wird.
씰
EINMAL. Der Auftrag wird zum gegebenen Datum und der gegebenen Uhrzeit gestartet.
씰
BEIM SYSTEMSTART. Der Auftrag wird beim Start des Systems ausgeführt.
씰
BEI DER ANMELDUNG. Der Auftrag wird ausgeführt, sobald sich ein Benutzer am System anmeldet.
씰
IM LEERLAUF. Der Auftrag wird ausgeführt, wenn das System für die angegebene Anzahl Minuten im Leerlauf ist.
5. Falls Sie mehr als einen Zeitplan für den Sicherungsauftrag benötigen, aktivieren Sie das Kontrollkästchen MEHRFACHE ZEITPLÄNE ANZEIGEN und erstellen weitere Zeitpläne. 6. Klicken Sie zum Festlegen der Optionen des Zeitplans auf die Registerkarte EINSTELLUNGEN (siehe Abbildung 5.17).
5.3 Server sichern und wiederherstellen
Abbildung 5.17 Die Registerkarte EINSTELLUNGEN bietet weitere Optionen für den Auftrag an
7. Wählen Sie unter den folgenden zur Verfügung stehenden Optionen aus: 씰
TASK LÖSCHEN, WENN ER NICHT ERNEUT GEPLANT WIRD. Hiermit wird der Task, sofern er nicht erneut geplant ist, aus der Taskliste entfernt.
씰
TASK BEENDEN NACH. Hier können Sie eine Grenze für die Laufzeit des Auftrags festlegen. Der Auftrag wird beendet, sobald die Zeitgrenze überschritten ist.
씰
LEERLAUF. Sie legen hier fest, ob der Task nur dann gestartet werden soll, wenn der Computer für mindestens die angegebene Zeitdauer im Leerlauf ist. Derartige Tasks werden nur im Leerlauf des Computers ausgeführt. Sie können die gewünschte Leerlaufzeit in Minuten und die Wartezeit für wiederholte Versuche zum Start des Auftrags einstellen. Außerdem legen Sie fest, ob der Task gestoppt werden soll, wenn der Computer nicht mehr im Leerlauf ist.
씰
ENERGIEVERWALTUNG. Mit den Optionen an dieser Stelle können Sie die Ausführung eines Tasks verhindern, wenn der Computer im Akkubetrieb läuft bzw. einen laufenden Task abbrechen, wenn der Computer in den Akkubetrieb wechselt.
8. Klicken Sie nach dem Einstellen des Zeitplans auf WEITER.
303
304
Kapitel 5
Server verwalten
HINWEIS Zeitpläne bearbeiten Zum Bearbeiten eines Zeitplans klicken Sie auf START/PROGRAMME/ZUBEHÖR/ SYSTEMPROGRAMME/GEPLANTE TASKS, und klicken den Zeitplan dann zweimal an.
Sie haben in diesem Abschnitt die Grundlagen der Sicherung eines Servers in Ihrem Netzwerk kennen gelernt. Einmal erstellte Sicherungen sollten Sie als Nächstes natürlich auch wiederherstellen können!
5.3.6
Nicht maßgebende Wiederherstellung ausführen
Es ist außerordentlich wichtig, die Daten eines Domänencontrollers oder anderen Servers ordnungsgemäß wiederherstellen zu können. Dieser Abschnitt befasst sich daher mit den grundlegenden Wiederherstellungsprozeduren, während der darauf folgende Abschnitt eine maßgebende Wiederherstellung behandelt. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie einfach die Wiederherstellung einer Sicherung auf einem Server ist.
SCHRITT FÜR SCHRITT 5.8
Wiederherstellung ausführen
1. Ein häufiger Grund zum Wiederherstellen besteht darin, dass versehentlich Dateien gelöscht wurden. Das Sicherungsprogramm zeigt Ihnen einen Verzeichnisbaum an, in dem Sie die Dateien, die Sie wiederherstellen möchten, bequem selektieren können. Wählen Sie daher als Erstes die Dateien aus, die Sie wiederherstellen möchten. 2. Legen Sie als Nächstes einen Speicherungsort fest, an dem die Dateien wiederhergestellt werden sollen. Das Programm bietet Ihnen dazu drei Auswahlmöglichkeiten an: Sie können die Daten in der ursprünglichen Verzeichnisstruktur, in einem alternativen Verzeichnis unter Beibehaltung der ursprünglichen Verzeichnisstruktur oder in einem einzelnen Ordner ohne die Verzeichnisstruktur (alle Dateien werden in einen einzigen Ordner geschrieben) wiederherstellen. 3. Legen Sie fest, was geschehen soll, wenn sich die wiederherzustellenden Dateien bereits auf dem Datenträger befinden. Die zur Verfügung stehenden Optionen lauten DATEIEN NICHT ERSETZEN (EMPFOHLEN), DATEI NUR ERSETZEN, WENN SIE ÄLTER IST oder DATEI IMMER ERSETZEN.
5.3 Server sichern und wiederherstellen
4. Nun können Sie entweder die Wiederherstellung starten oder vorher noch die erweiterten Optionen einstellen. Die erweiterten Optionen betreffen die Sicherheitseinstellungen, die Datenbank des Wechselmediendienstes und die Abzweigungspunkte.
ACHTUNG Wiederherstellung auf FAT-Partition Daten, die auf einer NTFS-Partition unter Windows 2000 gesichert worden sind, sollten auch wieder auf der ursprünglichen Partition wiederhergestellt werden. Es werden nämlich auch verschiedene Eigenschaften des NTFS-Dateisystems mitgesichert, die die Berechtigungen, die Verschlüsselung und die Remotespeicherinformationen betreffen. Diese Informationen können nicht wiederhergestellt werden, wenn die Zielpartition eine FAT-Partition ist. Ein Teil dieser Informationen kann dagegen auf einer NTFS-Partition unter Windows NT 4.0 wiederhergestellt werden.
Active Directory sichern und wiederherstellen 씰
Wiederherstellen nach einem Systemausfall
Zum Wiederherstellen eines Domänencontrollers stehen mehrere Methoden zur Verfügung. Beispielsweise können Sie über die Replikation dafür sorgen, dass die Daten des Active Directory im Netzwerk aktuell gehalten werden. Auf diesem Wege sind die Daten immer vollständig up to date. Sie können die Systemstatusinformationen aber auch über eine Sicherung wiederherstellen. Bevor Sie eine der Wiederherstellungsmethoden verwenden, müssen Sie erst das Problem beheben bzw. den Computer neu installieren. Falls Sie den Computer komplett neu installieren müssen, sollten Sie sicherstellen, dass die Anzahl und Größe der Datenträger und ihr Format gleich sind. Wiederherstellen über die Replikation Der einfachste Weg zum Wiederherstellen eines Domänencontrollers besteht im Einsatz der Replikation. Normalerweise ist dies der Fall, wenn Sie den Computer wegen eines Hardwarefehlers oder einer Beschädigung des Betriebssystems vollständig neu installieren müssen; eine Prozedur, die nur dann funktioniert, wenn das System aktuell noch kein Domänencontroller ist (d.h., der Computer ist gerade frisch installiert, und Sie haben noch kein DCPROMO laufen lassen). Alle Extradienste, die auf dem System gelaufen sind, müssen neu installiert und konfiguriert werden, da die Konfigurationsinformationen sonst nicht vorhanden sind.
305
306
Kapitel 5
Server verwalten
Der Vorgang selbst ist einfach und verläuft relativ schnell. Die folgende Schritt-fürSchritt-Anleitung demonstriert, wie Sie einen Domänencontroller mit Hilfe der Replikation wiederherstellen.
SCHRITT FÜR SCHRITT 5.9
Wiederherstellen eines Domänencontrollers über die Replikation
1. Öffnen Sie auf einem arbeitenden System ACTIVE DIRECTORY-STANDORTE UND -DIENSTE und löschen Sie die Referenz auf den Domänencontroller. 2. Stufen Sie das System mit dem Installationsassistenten für Active Directory auf einem Domänencontroller herauf. Durch diesen Vorgang wird ein arbeitsfähiger Domänencontroller mit allen aktuellen Active Directory-Informationen erzeugt. Auch wenn Sie die volle Wiederherstellung eines ausgefallenen Systems planen, sollten Sie normalerweise erst den Computer neu installieren und dann vor dem Start des Vorgangs diese Schritte ausführen. Wiederherstellen über eine Sicherung Wenn ein Domänencontroller noch über weitere konfigurierte Dienste verfügt, müssen Sie den gesamten Domänencontroller wiederherstellen. Dazu müssen Sie vor dem Start dieses Vorgangs die Dateien und den Systemstatus sichern. Bevor Sie mit dem Wiederherstellen der Systemstatusdaten beginnen können, müssen Sie den Computer neu starten und in den Modus VERZEICHNISDIENST WIEDERHERSTELLEN wechseln. Führen Sie dazu die folgende Schritt-für-Schritt-Anleitung aus.
SCHRITT FÜR SCHRITT 5.10 Computer im Modus Verzeichnisdienstwiederherstellung starten 1. Schalten Sie Ihren Computer ein. Klicken Sie im Startmenü auf BEENDEN und wählen Sie im Menü NEU STARTEN aus. 2. Beim Neustart des Computers erscheint eine Eingabeaufforderung, über die Sie das zu startende Betriebssystem auswählen können. Drücken Sie nach der Auswahl (F8). 3. Wählen Sie mit den Pfeiltasten den Modus VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-2000-DOMÄNENCONTROLLER) aus und drücken Sie die (Eingabetaste).
5.3 Server sichern und wiederherstellen
4. Melden Sie sich nach der Aufforderung am System an. Während der Anmeldung wird eine Warnung angezeigt, dass das System im abgesicherten Modus läuft (siehe Abbildung 5.18).
Abbildung 5.18 Diese Warnung weist darauf hin, dass das System im abgesicherten Modus läuft
Nun befindet sich Ihr System im korrekten Betriebsmodus – Sie können jetzt mit dem Wiederherstellungsprogramm die Systemstatusdaten und andere erforderliche Dateien wie etwa die für die Dienste benötigten Dateien wiederherstellen. Zum Wiederherstellen der Systemstatusdaten führen Sie die folgende Schritt-für-SchrittAnleitung aus.
SCHRITT FÜR SCHRITT 5.11 Systemstatusdaten wiederherstellen 1. Starten Sie das Sicherungsprogramm (START/PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME/SICHERUNG). 2. Klicken Sie auf die Schaltfläche WIEDERHERSTELLUNGS-ASSISTENT. 3. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 4. Im folgenden Bildschirm können Sie festlegen, welche Sicherung wiederhergestellt werden soll (siehe Abbildung 5.19). Falls die Sicherung nicht erscheinen sollte, klicken Sie auf die Schaltfläche DATEI IMPORTIEREN und suchen nach der Datei, die die Sicherung enthält. Anschließend klicken Sie auf OK, um die Sicherung in die Liste zu übernehmen (siehe Abbildung 5.20). 5. Klicken Sie auf WEITER, um zum Bildschirm FERTIGSTELLEN DES ASSISTENTEN weiterzugehen. Klicken Sie zum Start der Wiederherstellung auf FERTIG STELLEN. 6. Wenn das Programm Sie nach einer Bestätigung des Dateinamens für die Wiederherstellung fragt, überprüfen Sie diesen und klicken auf OK. Anschließend beginnt die Wiederherstellung (siehe Abbildung 5.21).
307
308
Kapitel 5
Server verwalten
Abbildung 5.19 Wählen Sie die wiederherzustellende Sicherung aus
Abbildung 5.20 Falls die Sicherung nicht angezeigt wird, können Sie sie importieren
Abbildung 5.21 Die Systemstatusdaten werden wiederhergestellt
5.3 Server sichern und wiederherstellen
7. Nach der Wiederherstellung klicken Sie zum Schließen des Dialogfeldes auf OK, und schließen dann auch das Sicherungsprogramm. 8. Starten Sie den Computer im normalen Modus. Nach dem Neustart sollte sich das System wieder im normalen Zustand mit der Ausnahme befinden, dass es unter Umständen nicht mehr aktuell ist. Mit dem Eintreffen der Replikationen von den anderen Domänencontrollern sollte sich dieser Zustand jedoch nach und nach ändern. Dadurch entsteht allerdings eine Frage: Was geschieht, wenn Sie Active Directory wiederherstellen, um ein oder mehr Objekte wiederzugewinnen, die gelöscht wurden? Die Antwort lautet, dass diese Art der Wiederherstellung nicht die erhofften Ergebnisse bringen wird, da die lokale Kopie von Active Directory durch die Replikation mit den anderen Domänencontrollern wie jede andere Kopie auch aussehen wird. Um ein gelöschtes Objekt wiederherzustellen, müssen Sie eine maßgebende Wiederherstellung durchführen.
5.3.7
Maßgebende Wiederherstellung ausführen
Active Directory sichern und wiederherstellen 씰
Maßgebende Wiederherstellung von Active Directory ausführen
Nach der Wiederherstellung eines Domänencontrollers aus einer Sicherung werden die Daten, die sich zum Schluss auf dem System befinden, exakt dieselben sein, die sich auch früher darauf befunden haben. Normalerweise ist dies auch genau das Ergebnis, welches Sie sich wünschen werden. Falls Sie jedoch eine Löschung eines Objekts in Active Directory rückgängig machen möchten, müssen Sie ein anderes Verfahren wählen. Die USN (Update Sequence Number) des Objekts, welches wiederhergestellt wird, liegt niedriger als die letzte Version dieses Objekts im Active Directory der anderen Domänencontroller. Dies hat zur Folge, dass der lokale Controller bei Beginn der Replikation aufgrund der höheren USN der anderen Domänencontroller gezwungen ist, das Objekt erneut zu löschen. Um diesen Effekt zu vermeiden, müssen Sie eine maßgebende Wiederherstellung durchführen. Eine maßgebende Wiederherstellung folgt exakt den in der vorherigen Schritt-für-Schritt-Anleitung angegebenen Schritten mit der Ausnahme eines weiteren Schrittes, der vor den Neustart des Computers eingeschaltet wird. Dieser zusätzliche Schritt liegt zwischen den ursprünglichen Schritten 7 und 8. Sein Zweck liegt darin, die Attribut-USN zu erhöhen, und so die anderen Server zu zwingen, dies als die letzte Änderung des Objekts zu akzeptieren.
309
310
Kapitel 5
Server verwalten
Die folgende Schritt-für-Schritt-Anleitung führt Sie durch eine maßgebende Wiederherstellung.
SCHRITT FÜR SCHRITT 5.12 Aktualisieren der USN zum Wiederherstellen eines Objekts 1. Starten Sie die Eingabeaufforderung und geben Sie ntdsutil ein. 2. Geben Sie in der Eingabeaufforderung von ntdsutil authoritative restore ein, und drücken Sie die (Eingabetaste). 3. Geben Sie restore subtree und den vollständigen Namen des Objekts ein, welches Sie wiederherstellen. Der Name besteht aus den Bestandteilen cn= und dc= und darf keine Leerzeichen enthalten. 4. Es wird ein Dialogfeld angezeigt, welches Sie zu einer Bestätigung der Wiederherstellung auffordert. Überprüfen Sie das Objekt und klicken Sie auf JA, wenn Sie sicher sind (siehe Abbildung 5.22). Abbildung 5.22 Bestätigen Sie, dass der Objektname korrekt ist
5. Nach Beendigung der Wiederherstellung können Sie entweder weitere Objekte wiederherstellen oder quit zum Verlassen des Restore-Modus eingeben. Geben Sie noch einmal quit zum Beenden von NTDSUTIL ein. 6. Starten Sie den Computer neu. Der ganze Vorgang ist im folgenden Listing verzeichnet: C:\>ntdsutil ntdsutil:authoritative restore authoritative restore:restore subtree cn=testit,dc=SonnenscheinBrauerei,dc=com Opening DIT database...Done. The current time is 03-10-00 15:00.52. Most recent database update occured at 03-10-00 13:51.56. Increasing attribute version numbers by 10000. Counting records that need updating... Records found:0000000018 Done.
5.4 Andere administrative Funktionen
Found 18 records to update. Updating records... Records remaining:0000000000 Done. Successfully updated 18 records. Authoritative Restore completed successfully. authoritative restore:quit ntdsutil:quit C:\>
Maßgebende Wiederherstellungen sind, wie Sie eben gesehen haben, nicht besonders schwierig durchzuführen. Hoffentlich haben Sie nichtsdestotrotz nicht zu oft mit ihnen zu tun! Dieser Abschnitt hat die Grundlagen der Sicherung und Wiederherstellung behandelt, die einen wesentlichen Bestandteil der Alltagsarbeit eines Administrators ausmachen, und Ihnen vertraut sein sollten. Eine andere Hauptfunktion Ihrer Arbeit besteht im Überwachen der Server, um deren Betriebsbereitschaft zu gewährleisten oder ein Problem zu beseitigen.
5.4
Andere administrative Funktionen
Active Directory-Leistung überwachen 씰
Überwachen, Verwalten und Fehlerbehebung der Domänencontrollerleistung
씰
Überwachen, Verwalten und Fehlerbehebung der Active Directory-Komponenten
Zusätzlich zur Fähigkeit im Umgang mit Problemen, die von Zeit zu Zeit auftauchen, müssen Sie auch in der Lage sein, Ihre Server einschließlich Ihrer Domänencontroller zu verwalten. Die Überwachung Ihrer Domänencontroller hilft Ihnen dabei, deren Leistung auf dem Höchststand zu halten. Dieser Abschnitt befasst sich mit generellen Fragen der Überwachung und den dafür zur Verfügung stehenden Werkzeugen. Es wird außerdem darüber gesprochen, welche verschiedenen Probleme bei Domänencontrollern auftreten, und wie Sie diese beseitigen können.
311
312
Kapitel 5
5.4.1
Server verwalten
NTDSUTIL
Eines der Schlüsselwerkzeuge zum Verwalten von Active Directory ist NTDSUTIL, ein Befehlszeilenprogramm für verschiedene Funktionen: 씰
Authoritative Restore. Die maßgebende Wiederherstellung wird, wie Sie bereits erfahren haben, dazu verwendet, die Wiederherstellung eines Objektes zu erzwingen. Dies geschieht durch Wiederherstellen des Objekts aus einer Datensicherung und anschließender Aktualisierung seiner USN.
씰
Domain Management. Mit dieser Option können Sie vor dem eigentlichen Installieren Objekte in Active Directory wie etwa untergeordnete Domänen erstellen, sodass der Benutzer, der das System physisch installiert, nicht über die Privilegien eines Organisations-Admins verfügen muss.
씰
File. Mit dieser Option verwalten Sie NTDS.dit und die dazugehörigen Verzeichnisdienstdatenbanken. Zum Verwalten dieser Dateien müssen Sie den Computer im Modus VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS2000-DOMÄNENCONTROLLER) starten, um zu vermeiden, dass die Dateien geöffnet werden.
씰
IPDenyList. Diese Option erlaubt Ihnen das Erstellen einer Liste von IPAdressen, die der Server zum Abweisen von LDAP-Abfragen benutzt. Diese Option betrifft die standardmäßige LDAP-Richtlinie und wirkt sich auf alle Domänencontroller aus, die über keine bestimmte LDAP-Richtlinie verfügen.
씰
LDAP Policies. Um sicherzustellen, dass die Domänencontroller ordnungsgemäß weiterarbeiten, müssen Sie eine Grenze für die Anzahl der LDAPOperationen festlegen, was über diese Option geschieht.
씰
Metadata Cleanup. Wenn ein Domänencontroller ausgefallen oder ohne Verwendung von DCPROMO entfernt worden ist, bleiben noch Informationen über die Domänen bzw. den Server in den Konfigurationsdaten zurück. Mit dieser Option können Sie solche verwaisten Datensätze beseitigen.
씰
Roles. Wie Sie schon erfahren haben, gibt es fünf verschiedene Betriebsmasterrollen. Die Rollen dienen als Grundlage für bestimmte Funktionen innerhalb des Netzwerks. Mit dieser Option übertragen bzw. überschreiben Sie die Betriebsmasterrolle.
씰
Security Account Management. Falls es ein Problem mit dem RID-Master und damit die Gefahr doppelter SIDs im Netzwerk gibt, suchen und beseitigen Sie mit dieser Option doppelte SIDs.
5.4 Andere administrative Funktionen
씰
Semantic Database Analysis. Der Befehl files hat mit den Dateien zu tun, aus denen Active Directory besteht. Die Semantic Database Analysis kann dazu verwendet werden, Probleme bei den Verknüpfungen zwischen logischen Strukturen ausfindig zu machen. Dazu gehört beispielsweise ein verwaister Benutzer, der Teil einer Organisationseinheit ist, die nicht mehr existiert. Inkonsistenzen dieser Art sollten sich auch im Container Lost+Found zeigen.
Das Programm NTDSUTIL ist einfach zu bedienen, besitzt aber keine grafische Oberfläche, weil davon ausgegangen wird, dass die entsprechende Funktion später einmal über eine spezielle Managementschnittstelle zur Verfügung stehen wird. Einige dieser Funktionen müssen jedoch auch über die Wiederherstellungskonsole ausgeführt werden, die ein reines Befehlszeilenprogramm ist, sodass NTDSUTIL in der vorliegenden Form immer seinen Sinn haben wird. Neben NTDSUTIL zum Untersuchen und Verwalten von Active Directory stehen noch einige weitere Werkzeuge zur Verfügung, die zum Überwachen von Domänencontrollern und des Netzwerks eingesetzt werden können.
5.4.2
Domänencontroller überwachen
Zum Überwachen der Systeme in Ihrem Netzwerk stehen Ihnen verschiedene Programme zur Verfügung, wie beispielsweise der Task-Manager, die Ereignisanzeige, der Netzwerkmonitor und die Programme für die Leistungsmessung, die in diesem Abschnitt behandelt werden. Jedes dieser Programme hat seinen ganz speziellen Nutzen, und Sie werden im Allgemeinen immer mehr als eines davon benötigen, um ein Problem festzustellen und zu lösen. Einige Programme wie beispielsweise der Task-Manager, mit dem Sie rasch feststellen können, ob Sie weitere Überwachungswerkzeuge einsetzen müssen, werden häufig verwendet. Die Verwendungsweise dieses Programms wird daher als Erste erörtert. Task-Manager Eine besonders schnelle und einfache Methode zur Überprüfung Ihrer Systemleistung steht mit dem Task-Manager zur Verfügung. Ursprünglich sollte Ihnen dieses Programm lediglich nur die Gelegenheit geben, im System laufende Tasks anzuzeigen, zu starten und zu stoppen. Tatsächlich ist der Task-Manager gleichzeitig aber auch ein sehr nützliches Werkzeug bei der Fehlersuche.
313
314
Kapitel 5
Server verwalten
Abbildung 5.23 Der Task-Manager mit der Registerkarte ANWENDUNGEN
Den Task-Manager starten Sie über die folgenden Verfahrensweisen: 씰
Drücken Sie (Strg)+(Shift)+(Esc).
씰
Klicken Sie mit der rechten Maustaste auf der Taskleiste, und wählen Sie im Kontextmenü TASK-MANAGER aus.
씰
Drücken Sie (Strg)+(Alt)+(Entf) und klicken Sie auf die Schaltfläche TASK-MANAGER.
Nach dem Start des Task-Managers werden Sie bemerken, dass er drei verschiedene Registerkarten enthält: ANWENDUNGEN, PROZESSE und SYSTEMLEISTUNG (siehe Abbildung 5.23). In den Registerkarten befinden sich jeweils unterschiedliche Informationen – beispielsweise teilt Ihnen ANWENDUNGEN mit, welche Anwendungen gerade geladen sind und laufen. An dieser Stelle können Sie durch Anklicken der Anwendung und der Schaltfläche TASK BEENDEN einen Task beenden, der abgestürzt ist oder sich aufgehängt hat. Mit der Schaltfläche NEUER TASK können Sie eine neue Anwendung starten.
5.4 Andere administrative Funktionen
In der Registerkarte PROZESSE können Sie alle Prozesse einschließlich der Anwendungen und Dienste anzeigen, aus denen Windows 2000 besteht und die gegenwärtig in Ihrem System laufen. In dieser Registerkarte befinden sich standardmäßig die folgenden Spaltenüberschriften: 씰
NAME. Dies ist der Name des gegenwärtig laufenden Prozesses. Pro gestarteter Instanz eines Prozesses kann es mehrere Namen für denselben Prozess geben.
씰
PID. Über die Prozess-ID verfolgt das Betriebssystem den laufenden Prozess im Kernel von Windows 2000.
씰
CPU-NUTZUNG (%). Dies stellt die vom Prozess gegenwärtig beanspruchte CPU-Zeit dar und ist eine schnelle Methode, um Prozesse zu entdecken, die die CPU übermäßig belasten. Durch Anklicken der Spaltenüberschrift erhalten Sie eine sortierte Liste.
씰
CPU-ZEIT. Dies ist die aktuelle Betriebsdauer des Prozesses.
씰
SPEICHERNUTZUNG. Dies ist die Speichergröße, die die Anwendung im System beansprucht. Auch dies stellt eine Gelegenheit für Sie dar, bei Speicherengpässen oder übermäßiger Aktivität der Auslagerungsdatei speicherhungrige Anwendungen zu entdecken.
HINWEIS Ausgelastete Anwendungen Manchmal gibt es Anwendungen, die so stark ausgelastet sind, dass sie als nicht reagierende Anwendungen angezeigt werden. Solche Anwendungen sind aber nicht zwangsläufig immer auch abgestürzte Anwendungen. Der Task-Manager schaut nur nach, ob die betreffende Anwendung noch auf die Systemanfragen reagiert. Wenn diese stark belastet ist, kann sie das aber nicht immer. Bevor Sie solche Anwendungen beenden, sollten Sie ihr noch einige Minuten Zeit geben.
Zusätzlich zu den genannten können Sie jedoch noch weitere Datenquellen anzeigen. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie es machen.
SCHRITT FÜR SCHRITT 5.13 Spalten im Task-Manager hinzufügen 1. Wählen Sie im Task-Manager ANSICHT/SPALTEN AUSWÄHLEN aus.
315
316
Kapitel 5
Server verwalten
2. Aktivieren Sie die Kontrollkästchen neben den Namen der Datenquellen, die Sie anzeigen möchten. 3. Klicken Sie auf OK. Spalten, die Sie hinzufügen können, gibt es viele. Falls Sie sich über die Bedeutung einzelner Datenquellen nicht im Klaren sein sollten, erfahren Sie über die Hilfe im Menü weitere Einzelheiten. Die letzte Registerkarte liefert Ihnen einen raschen Überblick über die Systemleistung. Sie soll keinen erschöpfenden Einblick in die Aktivität des Systems darstellen, sondern dient lediglich der Anzeige des aktuellen Systemstatus. Auf dieser Registerkarte befinden sich sechs Bereiche, die in der folgenden Liste beschrieben werden: 씰
CPU-NUTZUNG. Zeigt die aktuelle CPU-Nutzung einschließlich einer grafischen Verlaufskurve der Nutzung in der letzten Zeit an, deren Verteilung von der von Ihnen eingestellten Aktualisierungsgeschwindigkeit abhängt. Dieser Bereich wird über zwei Optionen im Menü ANSICHT beeinflusst: CPU-VERLAUF hat mit der Verlaufskurve zu tun und ermöglicht die Auswahl einer Kurve pro CPU oder einer Gesamtkurve für alle CPUs. Die zweite Option, KERNEL-ZEITEN ANZEIGEN, fügt eine zweite Verlaufskurve in Rot hinzu, die die Kernelmoduszeit anzeigt. Dies ermöglicht eine rasche Überprüfung der CPU des Systems. Falls die Prozessorzeit(en) konstant über 80% liegen, sollten Sie sich einmal die Registerkarte PROZESSE ansehen und überprüfen, welcher Prozess die Belastung verursacht. Falls kein Prozess dafür verantwortlich ist, benötigen Sie unter Umständen eine Hardwareerweiterung.
씰
SPEICHERNUTZUNG. Zeigt die Speichermenge an, die gegenwärtig beansprucht wird, und kann Ihnen einen schnellen Überblick darüber verschaffen, ob das System überlastet ist. Wenn die Speichermenge größer als die physisch im System vorhandene Speichermenge ist, benötigen Sie einen Speicherausbau.
씰
INSGESAMT. Teilt Ihnen die Gesamtanzahl der Handles, Threads und Prozesse mit.
씰
REALER SPEICHER (KB). Dies ist die Menge physischen Speichers, der im System zur Verfügung steht und nach der verfügbaren Menge sowie der für den Systemcache benötigten Menge aufgeteilt ist. Idealerweise sollte der verfügbare Speicher nicht unter 4096 KB fallen. Generell gilt: je mehr Speicher, umso besser. Haben Sie jedoch mehr als 65536 KB frei, dann haben Sie entweder zuviel Speicher im System, oder es gibt Dienste, die nicht gestartet worden sind.
5.4 Andere administrative Funktionen
씰
ZUGESICHERTER VIRTUELLER SPEICHER (KB). Dies ist die Gesamtmenge an Speicher einschließlich dem physischen RAM und den Auslagerungsdateien, der allen im System laufenden Anwendungen zugeteilt wird. INSGESAMT gibt die aktuell zugeteilte Speichermenge an. Wenn dieser Wert höher als der physische RAM liegt, brauchen Sie ggf. mehr Speicher im System. GRENZWERT gibt die RAM-Menge und die verfügbare Größe der Auslagerungsdatei an. MAXIMALWERT gibt den höchsten Speicherbetrag an, der seit dem letzten Systemstart verbraucht worden ist.
씰
KERNEL-SPEICHER (KB). Dies ist Speicher, der Systemfunktionen wie etwa dem Serverdienst und dem RPC-Subsystem zugewiesenen ist. Der Wert unter INSGESAMT steigt mit den zunehmenden Belastungen des Systems. Der Wert unter AUSGELAGERT ist die Speichermenge, die erforderlichenfalls auf die Platte ausgelagert werden kann. Der Speicherwert NICHT AUSGELAGERT stellt den Speicherbedarf des Betriebssystemkerns dar, und hängt von den installierten Treibern ab. Wenn Sie feststellen, dass sich dieser Wert langsam, aber stetig steigert, haben Sie wahrscheinlich Speicher»lecks« im System. Ein Speicher»leck« entsteht, wenn ein Treiber oder eine andere Anwendung Speicher allokiert, aber später nicht wieder korrekt freigibt. Gegebenenfalls müssen Sie Ihr System dann neu starten. Entfernen Sie in einem solchen Fall die Treiber (einen nach dem anderen), bis das »Leck« verschwindet. Nachdem Sie so den schuldigen Treiber gefunden haben, besorgen Sie sich als Nächstes am besten eine aktuelle Version dieses Treibers.
Wie Sie sehen, ist der Task-Manager ein recht nützliches Werkzeug, welches Sie immer dann einsetzen können, wenn sich eine Anwendung auffällig verhält. Außerdem können Sie mit ihm den Status des Systems überprüfen. Die Grenze des TaskManagers liegt darin, dass Sie mit ihm nur sehen können, was im Moment passiert. Gelegentlich möchten Sie jedoch auch wissen, was bereits zu früheren Zeitpunkten im System geschehen ist – dies erledigen Sie mit der Ereignisanzeige. Ereignisanzeige Windows 2000 besitzt die Fähigkeit, auch bei Problemen mit einem Dienst oder Gerät starten zu können. Gleichwohl kann es frustrierend sein, während des Bootvorgangs auf die entsprechenden Meldungen des fehlerhaften Gerätes oder Dienstes warten zu müssen, bis es endlich weitergeht. Unter Windows 2000 können Sie anschließend das System untersuchen und das Problem beseitigen. Nach dem Start sollten Sie daher als Erstes über die Ereignisanzeige die Ursache des Problems feststellen.
317
318
Kapitel 5
Server verwalten
Bestandteile des Ereignisprotokolls Abbildung 5.24 Die Ereignisanzeige starten Sie über PROGRAMME/VERWALTUNG/ EREIGNISANZEIGE
Wie andere Verwaltungsprogramme in Windows 2000 ist auch die Ereignisanzeige ein Snap-In von MMC. Microsoft und andere Hersteller erhalten dadurch die Gelegenheit, der Ereignisanzeige weitere Protokolle hinzuzufügen. Die folgende Beschreibung enthält die üblichen sechs Protokolle (siehe Abbildung 5.24). 씰
Anwendungsprotokoll. Jede Anwendung, die nach den Microsoft-Standards entwickelt worden ist, kann im Anwendungsprotokoll Informationen hinterlegen. Dieses Protokoll kann Ihnen oftmals Auskunft darüber geben, weshalb beispielsweise der Exchange Server nicht richtig läuft, oder warum der SQL Server nicht gestartet worden ist.
씰
Sicherheitsprotokoll. Dieses Protokoll verzeichnet Ereignisse, die im Zusammenhang mit der Sicherheit des Systems eingetreten sind. Die Informationen, die protokolliert werden, hängen von den von Ihnen vorgenommenen Einstellungen in den Gruppenrichtlinien ab. Denken Sie daran, dass exzessive Protokollierungen negative Auswirkungen auf die Systemleistung haben.
씰
Systemprotokoll. In dieses Protokoll schreiben sowohl alle Gerätetreiber und Dienste als auch systembezogene Komponenten ihre Fehler. In diesem Protokoll finden Sie nähere Hinweise, wenn beim Systemstart von Windows 2000 die Meldung erscheint, dass mindestens ein Treiber oder Dienst nicht gestartet werden konnte.
5.4 Andere administrative Funktionen
씰
Directory Service. Dieses Protokoll enthält Ereignisse, die mit der Active Directory-Datenbank und ihrer Replizierung zu tun haben.
씰
DNS Server. Dieses Protokoll verfolgt Ereignisse, die mit dem DNS-Server zu tun haben. Sie sollten es immer dann kontrollieren, wenn Sie Probleme beim Auflösen von Netzwerknamen oder beim Anmelden haben.
씰
Dateireplikationsdienst. Dieser Service bearbeitet die Replikation von Dateien in SYSVOL. Wenn Sie feststellen, dass die Gruppenrichtlinien oder andere im SYSVOL-Verzeichnis enthaltene Informationen nicht an alle Domänencontroller übermittelt werden, sollten Sie dieses Protokoll überprüfen.
Die Ereignisprotokolle sollten Sie regelmäßig überprüfen. Sie teilen Ihnen oftmals die Ursachen von Problemen mit, auf die Sie noch gar nicht aufmerksam geworden sind, und können mögliche Fehlerquellen in der Zukunft aufzeigen. Ereignisprotokolle konfigurieren Die Ereignisprotokolle enthalten ziemlich viele und wichtige Informationen. Je mehr Dienste und Anwendungen im System laufen, und je mehr Überwachung Sie erwarten, umso umfangreicher werden auch die zur Verfügung stehenden Informationen werden. Um zu vermeiden, dass die Ereignisprotokolle zu viel Platz wegnehmen und damit vielleicht Probleme verursachen, sollten Sie sie so konfigurieren, dass sie nur so viel Speicherplatz wie nötig verbrauchen. Damit stellen Sie gleichzeitig sicher, dass die Protokollinformationen zur Verfügung stehen, wenn sie gebraucht werden. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie die Ereignisprotokolle konfigurieren.
SCHRITT FÜR SCHRITT 5.14 Ereignisprotokoll konfigurieren 1. Starten Sie die Ereignisanzeige. 2. Klicken Sie mit der rechten Maustaste auf dem Protokoll, welches Sie konfigurieren möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus (siehe Abbildung 5.25). Jede Eigenschaft kann individuell konfiguriert werden. 3. Konfigurieren Sie in der Registerkarte ALLGEMEIN die gewünschte Protokolloption, von denen Ihnen die folgenden zur Verfügung stehen: 씰
ANGEZEIGTER NAME. Dieser Name erscheint in der Liste der Protokolle.
씰
MAXIMALE PROTOKOLLGRÖSSE. Dieser Wert in Kilobyte legt die maximale Größe des Protokolls fest.
319
320
Kapitel 5
Server verwalten
Abbildung 5.25 Die Registerkarte ALLGEMEIN im Dialogfeld EIGENSCHAFTEN VON ANWENDUNGSPROTOKOLL
씰
WENN DIE MAXIMALE PROTOKOLLGRÖSSE ERREICHT IST. Teilt dem System mit, was getan werden soll, wenn die maximale Größe des Protokolls erreicht ist. Die zur Verfügung stehenden Optionen lauten: EREIGNISSE NACH BEDARF ÜBERSCHREIBEN, EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS N TAGE SIND, oder EREIGNISSE NIE ÜBERSCHREIBEN. Denken Sie bei Auswahl der Optionen 2 und 3 daran, dass in diesem Fall Aktionen, die im Server stattfinden könnten, ggf. nicht mehr protokolliert werden. Bei den meisten Protokollen ist die Option EREIGNISSE NACH BEDARF ÜBERSCHREIBEN wahrscheinlich die günstigste. Allerdings verfügt das Sicherheitsprotokoll nicht über diese Option. Sie haben die Möglichkeit, den Server so zu konfigurieren, dass er bei einem Ausfall der Protokollierung beendet wird, was vermeidet, dass nicht protokollierte Aktivität im Server stattfindet.
씰
STANDARD WIEDERHERSTELLEN. Hiermit werden die Standardeinstellungen wiederhergestellt.
씰
PROTOKOLL LÖSCHEN. Löscht das Protokoll. Vorher werden Sie gefragt, ob Sie die Informationen darin archivieren möchten.
씰
NIEDRIGE ÜBERTRAGUNGSRATE. Damit können Sie dem System mitteilen, dass Sie sich mit dem Remote-System über eine langsame Leitung verbinden.
5.4 Andere administrative Funktionen
4. Klicken Sie zur Übernahme der Einstellungen auf OK. Da die Ereignisprotokolle pro Computer im Netzwerk verwaltet werden, müssen Sie die zuvor beschriebenen Einstellungen einzeln für jedes System vornehmen. Dazu begeben Sie sich entweder selbst zu den Computern oder verbinden sich mit ihnen über das Netzwerk. Mit Remote-System verbinden Die Protokolle anderer Systeme im Netzwerk können Sie auch konfigurieren, indem Sie sich mit der Ereignisanzeige des Remote-Systems verbinden. Die Schritte dazu zeigt die folgende Schritt-für-Schritt-Anleitung auf.
SCHRITT FÜR SCHRITT 5.15 Ereignisprotokoll auf Remote-System anzeigen 1. Starten Sie die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf den Ordner EREIGNISANZEIGE. 2. Wählen Sie im Kontextmenü VERBINDUNG STELLEN aus.
ZU ANDEREM
COMPUTER
HER-
3. Wählen Sie im Dialogfeld COMPUTER WÄHLEN entweder LOKALEN COMPUTER oder ANDEREN COMPUTER aus, und geben Sie dessen Namen ein. 4. Klicken Sie auf OK. Auf diese Weise können Sie den Status von Remote-Systemen überprüfen, ohne die Computer selbst aufsuchen zu müssen. Besonders praktisch wird dies, wenn Ihre Clients mit Windows 2000 Professional laufen, da Sie in diesem Fall Probleme unter Verwendung des Ereignisprotokolls sogar über das Netzwerk beseitigen können. Ereignisprotokoll verwenden Das Ereignisprotokoll verzeichnet alle Aktivitäten im System, wozu nicht nur normale Aktivitäten, sondern auch Fehler gehören. Jeder Ereignistyp, der im Protokoll verzeichnet ist, ist mit einem Symbol markiert, welches das Erkennen von Problemen erleichtert. Es gibt fünf verschiedene Symbole: Information. Dieses Ereignis ist nicht kritisch, sondern lediglich informationshalber aufgeführt. Eine Information dieser Art kann nützlich sein, wenn Sie feststellen möchten, ob alle Prozesse korrekt laufen.
321
322
Kapitel 5
Server verwalten
Warnung. Diese Warnung weist darauf hin, dass etwas nicht richtig arbeitet. Der Fehler verhindert nicht den Start des Prozesses, sollte aber trotzdem von Ihnen überprüft werden. Fehler. Dies ist ein kritischer Fehler und weist auf einen Prozess hin, der wegen eines Fehlers nicht fortfahren konnte. Manche Prozesse versuchen nach einem Fehler erneut zu starten, und schreiben daher das Protokoll mit ihren Fehlermeldungen voll. Fehlerüberwachung. Dieser Eintrag zeigt an, dass jemand eine Aktion auszuführen versucht hat, für die er nicht die erforderliche Berechtigung besaß. Dies passiert nur im Sicherheitsprotokoll und sollte überprüft werden. Erfolgsüberwachung. Zeigt an, dass eine Aktion versucht wurde, für die der Benutzer die erforderliche Berechtigung besaß. Die Meldung ist im Allgemeinen zwar ein gutes Zeichen, kann Ihnen aber auch dazu dienen, Benutzer zu verfolgen, die es geschafft haben, in Ihr System einzudringen. In den meisten Fällen können Sie die reinen Informationsmeldungen ignorieren. Entscheidend sind die Fehlerüberwachungs-Hinweise im Sicherheitsprotokoll – diese sollten Sie unverzüglich überprüfen, weil sie darauf hinweisen, dass jemand eine Aktion versucht hat, zu der er nicht berechtigt war. Hinsichtlich der anderen Protokolle müssen Sie sich die Warnungen und Fehler näher anschauen. Bei der Arbeit mit den Ereignisprotokollen beginnen die meisten Leute normalerweise mit dem ersten Eintrag, und arbeiten sich dann nach unten weiter. Der Trick besteht aber darin, erst nach dem Beginn des Fehlers zu suchen, und ab dieser Stelle das Protokoll durchzuarbeiten. Schauen Sie sich die Einträge beginnend mit dem ältesten bis zum neuesten Eintrag an – so können Sie den Verlauf des Problems besser verfolgen. Wenn Sie dann den ersten bzw. frühesten Eintrag gefunden haben, der auf das Problem hinweist, können Sie die Details des Ereignisses anzeigen. Ereignisdetails anzeigen Durch die Anzeige der Ereignisdetails erhalten Sie nicht nur mehr Informationen über das betreffende Ereignis, sondern in manchen Fällen sogar nützliche Daten. Sie brauchen nur zweimal auf den Ereigniseintrag zu klicken (siehe Abbildung 5.26). Das Dialogfeld EIGENSCHAFTEN besteht aus vier Bereichen. Die Informationen oben im Dialogfeld informieren über den Fehler und seine Quelle. Es gibt drei Schaltflächen, mit denen Sie im Ereignisprotokoll wandern können. Das Dialogfeld enthält darüber hinaus die Bereiche BESCHREIBUNG und DATEN.
5.4 Andere administrative Funktionen
Abbildung 5.26 Die Details eines Ereignisses
Folgende Einträge sind im Dialogfeld vorhanden: 씰
DATUM. Das Datum des Ereignisses.
씰
UHRZEIT. Die Uhrzeit des Ereignisses.
씰
TYP. Der Fehlertyp (beispielsweise Information, Warnung, Fehler).
씰
BENUTZER. Der Name des Benutzers, der den Fehler verursacht bzw. den Prozess gestartet hat, der zum Fehler führte.
씰
COMPUTER. Der Name des Computers, auf dem das Ereignis aufgetreten ist.
씰
QUELLE. Der Prozess (ein Programm oder Dienst), der das Ereignis gemeldet hat.
씰
KATEGORIE. Manchen Diensten sind spezielle Kategorien zugewiesen, die bei der Identifizierung des Dienstes helfen, der das Problem verursacht hat.
씰
EREIGNIS-ID. Diese Nummer können Sie in TechNet suchen. Es handelt sich dabei um eine interne Nummer des Dienstes, die das Ereignis beschreibt.
323
324
Kapitel 5
Server verwalten
Die Schaltfläche mit dem Aufwärtspfeil ermöglicht Ihnen standardmäßig die Aufwärtswanderung im Ereignisprotokoll bzw. die Vorwärtsbewegung in der Zeit. Diese Option eignet sich gut, wenn Sie die zeitliche Reihenfolge eines Ereignisses verfolgen möchten. Die Schaltfläche mit dem Abwärtspfeil bewirkt das Gegenteil. Mit der anderen Schaltfläche können Sie das Ereignis in die Zwischenablage kopieren und in eine Anwendung (wie z.B. die E-Mail) wieder einfügen. Die Beschreibung soll Ihnen beim Verständnis des Fehlers helfen. Microsoft hat sich zwar bemüht, die Fehlerbeschreibungen in Windows 2000 möglichst aussagekräftig zu formulieren, jedoch werden Sie sich gelegentlich doch einmal an andere Quellen wie etwa TechNet auf der Microsoft-Website wenden müssen, um schwierige Fehlermeldungen zu verstehen. Die angezeigten Datenbereiche können sich als nützlich erweisen, und als Bytes oder Words angezeigt werden. Die Anzeige als Bytes ist am besten, um lesbare Zeichen auf der rechten Seite zu erhalten. Die Anzeige der Nachricht als Words (ein Wort besteht aus 16 Bit) liefert Ihnen in der Regel keine sinnvollen Informationen. Das Durchsuchen des ganzen Protokolls kann seine Zeit dauern. Um diese Zeit zu verkürzen, können Sie die Informationen im Protokoll auch filtern. Abbildung 5.27 Die Registerkarte FILTER im Dialogfeld EIGENSCHAFTEN VON ANWENDUNGSPROTOKOLL
5.4 Andere administrative Funktionen
Filter Im Ereignisprotokoll können Tausende von Ereignissen verzeichnet sein. Um ein Problem schneller entdecken zu können, filtern Sie das Protokoll. Führen Sie zum Filtern des Protokolls die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 5.16 Ereignisprotokoll filtern 1. Starten Sie die Ereignisanzeige. 2. Klicken Sie mit der rechten Maustaste auf dem Protokoll, welches Sie filtern möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie die Registerkarte FILTER an und wählen Sie die Ereignistypen aus, die Sie sehen wollen (siehe Abbildung 5.27). 4. Klicken Sie zur Anwendung des Filters auf OK. Das Filtern stellt eine Methode dar, die Ansicht der Ereignisse im Protokoll anders zu gestalten. Es stehen aber noch weitere Ansichtsoptionen zur Verfügung, die im folgenden Abschnitt erläutert werden.
HINWEIS Statusleiste Ob ein Filter gerade aktiv ist oder nicht, können Sie über die Statusleiste oberhalb der Liste der Ereignisse feststellen. Zum Abschalten des Filters gehen Sie wieder zur Registerkarte FILTER, und klicken auf die Schaltfläche STANDARD WIEDERHERSTELLEN.
Ansichtsoptionen Zusätzlich zum Filtern der Ereignisse können Sie auch ANSICHT im Kontextmenü (siehe Abbildung 5.28) dazu verwenden, die Anzeige der Informationen zu verändern. Es stehen die folgenden Optionen zur Verfügung: 씰
SPALTEN WÄHLEN. Hiermit können Sie die Spalten festlegen, die Sie im Detailbereich anzeigen lassen möchten. Standardmäßig werden alle verfügbaren Spalten angezeigt.
씰
ALLE EINTRÄGE. Hiermit wird der Filter, der ggf. eingeschaltet ist, wieder abgeschaltet.
325
326
Kapitel 5
Server verwalten
Abbildung 5.28 Das Menü Ansicht im Kontextmenü. Sie müssen erst auf dem Protokoll klicken, damit es den Fokus erhält; anschließend erhalten Sie das Menü durch Klicken mit der rechten Maustaste 씰
FILTER. Eine andere Möglichkeit, zu den Einstellungen zum Datenfiltern zu gelangen.
씰
NEUERE ZUERST. Hiermit werden die Einträge beginnend mit den neuesten bis zu den ältesten Einträgen sortiert.
씰
ÄLTERE ZUERST. Hiermit werden die Einträge beginnend mit den ältesten bis zu den neuesten Einträgen sortiert.
씰
SUCHEN. Hiermit wird ein Dialogfeld ähnlich dem Dialogfeld FILTER angezeigt. Der Unterschied besteht darin, dass SUCHEN Sie zum jeweils nächsten Eintrag bringt, der Ihren Suchkriterien entspricht.
씰
ANPASSEN. Hiermit können Sie die Ansicht Ihrer Microsoft-ManagementKonsole anpassen.
Die meisten Optionen, die Ihnen zur Verfügung stehen, um die Ansicht der Ereignisprotokolle anzupassen, haben Sie nun kennen gelernt. Der Abschnitt schließt mit einem Blick auf das Speichern und Laden von Protokolldateien. Protokolle archivieren In einigen Fällen möchten Sie die Ereignisprotokolle archivieren, um Sie zu einem späteren Zeitpunkt noch einmal zu überprüfen oder mit gewissen Programmen weiterzubearbeiten, um Probleme herausfiltern zu können. Das Speichern und Laden eines Ereignisprotokolls wird, wie die folgende Schritt-für-Schritt-Anleitung zeigt, über das Kontextmenü erledigt.
5.4 Andere administrative Funktionen
SCHRITT FÜR SCHRITT 5.17 Speichern und Laden von Ereignisprotokollen 1. Starten Sie die Ereignisanzeige. 2. Klicken Sie mit der rechten Maustaste auf dem Protokoll, mit dem Sie arbeiten möchten. 3. Wählen Sie unter den folgenden Optionen aus: 씰
PROTOKOLLDATEI ÖFFNEN. Über diese Option können Sie eine gespeicherte Protokolldatei laden und den Inhalt anzeigen.
씰
PROTOKOLLDATEI SPEICHERN UNTER. Hiermit speichern Sie die Protokolldatei. Hinsichtlich des Dateityps haben Sie die Wahl unter Ereignisprotokoll, Textdatei oder kommaseparierter Datei.
씰
NEUE PROTOKOLLANSICHT. Hiermit wird die aktuelle Protokolldatei beendet und eine neue angefangen.
씰
ALLE EREIGNISSE LÖSCHEN. Löscht die Protokolldatei. Sie werden vorher gefragt, ob Sie die Ereignisse speichern wollen.
Mit diesen Schritten können Sie die Aktivitäten des Systems über einen größeren Zeitraum hinweg verfolgen und überprüfen. Die Ereignisanzeige ist ein recht wichtiges Werkzeug, weil Sie mit ihm überwachen können, was eigentlich auf Ihrem Computer passiert. Es gibt Ihnen allerdings keine Informationen darüber, was im Netzwerk geschieht – dazu benötigen Sie den Netzwerkmonitor, der eines der Schlüsselprogramme zur Diagnose darstellt und in Windows 2000 enthalten ist. Netzwerkmonitor Eine vollständige Erörterung des Netzwerkmonitors wäre für Sie sicher interessant, übersteigt aber bei weitem den Rahmen dieses Buches. Nichtsdestotrotz sind Sie dringend aufgefordert, sich eingehend mit dem Netzwerkmonitor zu beschäftigen, um Techniken zur Fehlerbehebung zu erlernen, die Sie nicht nur auf lokale, sondern auch auf Systeme im Netzwerk anwenden können. Die Kenntnisse über die Funktionsweise des Netzwerkmonitors brauchen Sie für die Vorbereitung auf die Prüfung 70-217.
327
328
Kapitel 5
Server verwalten
In einem Broadcasting-Netzwerk wie Ethernet oder Token Ring wird ein gesendetes Datenpaket von jeder Netzwerkkarte im Subnetz empfangen. Die Karte identifiziert das Paket und überprüft die Zieladresse, um feststellen zu können, ob es sich um einen vollständigen Broadcast oder ein Datenpaket für das lokale System handelt. Falls das Paket nicht für eine dieser Adressen bestimmt ist, wird es gelöscht. Der Netzwerkmonitor veranlasst die Karte, in den »Promiscuous«-Modus umzuschalten. Die Karte beginnt nun alle Pakete im Netzwerk zu sammeln und für Analysezwecke zu speichern (siehe Abbildung 5.29). Abbildung 5.29 Die vom Netzwerkmonitor gesammelten Daten
Der Netzwerkmonitor fasst die Daten zusammen und erzeugt Berichte über die verschiedenen Protokolle im Netzwerk und die Sitzungen zwischen den Computern. Er gibt Ihnen auch die Gelegenheit, den Netzwerkverkehr in einer Form zu verfolgen, die durch eine Aufbereitung und Interpretation aller Codes des Netzwerks besser lesbar ist (siehe Abbildung 5.30). Sie können sich die Informationen auch detailliert anzeigen lassen und die verschiedenen Schichten betrachten (siehe Abbildung 5.31). Mit dem Netzwerkmonitor können Sie die Daten, die durch Ihr Netzwerk wandern, unmittelbar analysieren, was sich als nützlich erweisen kann, wenn Sie beispielsweise Probleme beim Suchen von Computern haben. Mit dem Netzwerkmonitor stellen Sie fest, wie die DNS-Abfrage aussieht und wo sie hingeht. Oder schauen Sie sich bei Problemen mit der Authentifizierung einmal die Sitzung und den Authentifizierungs-Handshake genauer an. Dies sind nur zwei Beispiele für den sinnvollen Einsatz des Netzwerkmonitors.
5.4 Andere administrative Funktionen
Abbildung 5.30 Eine Anzeige der Daten, die beim Erfassen über das Netzwerk gesendet wurden
Abbildung 5.31 Anzeige der Datenpakete im Detail
Mit dem Netzwerkmonitor haben Sie die Gelegenheit, die Ereignisse im Netzwerk näher untersuchen zu können. Falls das Problem, welches Sie zu beheben versuchen, mit dem Computer selbst zu tun hat, hilft er Ihnen wahrscheinlich nicht – dafür brauchen Sie ein anderes wichtiges Diagnosewerkzeug in Windows 2000, den Systemmonitor.
329
330
Kapitel 5
Server verwalten
Leistung Eine vollständige Erörterung des Leistungsprogramms würde den Rahmen dieses Buches überschreiten. Nichtsdestotrotz benötigen Sie zur Vorbereitung auf die Prüfung 70-217 Kenntnisse über seinen Zweck und seine Verwendung. Das Leistungsprogramm besteht eigentlich aus zwei Teilen: Es gibt einmal den Systemmonitor, der Ihnen eine grafische Anzeige der aktuellen oder protokollierten Aktivitäten auf einem Server bietet. Damit erhalten Sie die Gelegenheit, Trends in einer Zeitkurve erkennen und minutengenaue Informationen über Ihr System gewinnen zu können. Der andere Teil des Leistungsprogramms sind die Leistungsdatenprotokolle und Warnungen, mit denen Sie Protokolldateien über die Aktivitäten auf dem Server erstellen oder Warnungen konfigurieren können, die beim Überschreiten bestimmter Schwellenwerte ausgelöst werden. Beide Werkzeuge können Sie für unterschiedliche Aufgabenstellungen einsetzen: 씰
Durch eine Leistungsmessung der Dienste in Ihrem System erhalten Sie eine Auskunft darüber, wie viele Benutzer sie unterstützen können, und welche Ressourcen noch für andere Dienste übrigbleiben. Daten dieser Art können Sie dann zur Optimierung von Diensten auf Domänencontrollern verwenden.
씰
Das Leistungsprogramm kann Ihnen dazu dienen, Durchschnittswerte der Systemleistung zu ermitteln. Wenn Sie dann später einmal Änderungen zur Steigerung der Leistung vornehmen, können Sie die aktuelle Leistung mit diesen Durchschnittswerten vergleichen und den Leistungsgewinn besser beurteilen.
씰
Durch Leistungsmessungen und Tuningmaßnahmen, die Sie im Verlauf der Systemnutzung durch Hinzufügen oder Entfernen der Ressourcen vornehmen, gewährleisten Sie die konstante Wartung und Pflege Ihrer Systeme.
An dieser Stelle können Sie auch eine Parallele zwischen dem Leistungsprogramm und dem Netzwerkmonitor ziehen – was der Netzwerkmonitor für Ihr Netzwerk ist, ist das Leistungsprogramm für Ihren Einzel-PC. Objekte Das Leistungsprogramm arbeitet unter Mitwirkung verschiedener Datenquellen, die in die Microsoft-Dienste eingebaut sind und vom Leistungsprogramm ausgewertet werden. Die Ergebniswerte können grafisch angezeigt, protokolliert oder in Verbindung mit einer Warnung verwendet werden.
5.4 Andere administrative Funktionen
Der Ursprung der Datenquelle, also der Dienst, in den die Datenquelle eingebaut ist, ist aus der Sicht des Leistungsprogramms ein Leistungsindikator. So stellt beispielsweise der Prozessor einen vom Betriebssystemkern bereitgestellten Leistungsindikator dar, während der Server ein vom Serverdienst angebotener Leistungsindikator ist. Jedes Objekt verfügt über verschiedene Leistungsindikatoren, die Sie darstellen können. Unter diesen befindet sich beispielsweise der Indikator Prozessorzeit (%), über den die meisten Prozesse verfügen. Weiterhin stehen Leistungsindikatoren zur Verfügung, die für das jeweilige Objekt spezifisch sind. Beispielsweise besitzt das Prozessorobjekt den Indikator Interrupts/s, und das Serverobjekt den Indikator Anmeldungen/s. Zusätzlich zur Festlegung des Objekts und dessen Leistungsindikator können Sie noch auswählen, welche Instanz eines Objekts Sie untersuchen möchten. Dies ist notwendig, weil Sie mehr als eine verfügbare Instanz des Objekts haben können. So können Sie beispielsweise zwei Kopien desselben Programms starten oder mehrere physikalische Datenträger im System haben. Das Leistungsprogramm besteht aus zwei Hauptkomponenten: dem Systemmonitor und den Leistungsdatenprotokollen und Warnungen. Im Systemmonitor nehmen Sie die Analyse und Anzeige der Daten vor, die der Computer generiert oder die Sie zuvor gesammelt haben. Systemmonitor Den Systemmonitor setzen Sie zur Analyse der von Ihnen gesammelten Daten ein. Diese Daten können von einem Live-System oder aus einer gespeicherten Protokolldatei stammen. Bezüglich des Live-Systems können Sie festlegen, welches der verfügbaren Objekte Sie analysieren möchten, und welche Leistungsindikatoren Sie für die Instanz, die Sie beobachten möchten, benutzen. Außerdem haben Sie die Gelegenheit, eine Aktualisierungshäufigkeit für die Abfrage der Live-Daten oder ein Zeitfenster zum Mitprotokollieren einzustellen. Ein weiterer Bestandteil des Leistungsprogramms ist dessen Fähigkeit, die Leistungsindikatoren im System zu protokollieren, um sie später im Systemmonitor betrachten zu können. Außerdem kann dieser Teil dazu verwendet werden, Warnungen einzurichten, die ausgelöst werden, wenn gewisse Leistungsindikatoren einer spezifischen Instanz eines Objekts unterhalb oder oberhalb eines bestimmten Schwellenwerts liegen.
331
332
Kapitel 5
Server verwalten
ACHTUNG Aktualisierungshäufigkeit Eine kleine Aktualisierungshäufigkeit (also viele Aktualisierungen) beeinträchtigt die Systemleistung und führt dazu, dass das Protokoll rasch gefüllt wird und eventuell den Datenträgerplatz verknappt.
Leistungsdatenprotokolle und Warnungen Die Leistungsprotokolle zeichnen dieselben Daten auf, die Sie auch grafisch im Systemmonitor verfolgen können, der ja auch zum Anzeigen dieser Daten verwendet wird. Leistungsprotokolle können für alle verfügbaren Objekte und deren Leistungsindikatoren erstellt und zu einstellbaren Zeitpunkten gestartet und gestoppt werden. Auch für Protokolldateien müssen Sie eine Aktualisierungshäufigkeit festlegen. Es gibt auch ein Ablaufverfolgungsprotokoll, welches Informationen über den Start und Stopp von Prozessen oder Threads enthält oder I/Os der Datenträger überwacht. Warnungen sind ein weiterer Bestandteil der Leistungsmessung. Mit Warnungen haben Sie die Gelegenheit, einen Schwellenwert für einen Leistungsindikator zu definieren und das System zu veranlassen, beim Erreichen eines Schwellenwertes (unter – oder oberhalb) eine bestimmte Aktion auszuführen. Eine solche Aktion kann im Senden einer Netzwerkwarnung, Starten eines Leistungsprotokolls oder Ausführen eines Programms bestehen. Das Leistungsprogramm ist ein Werkzeug, mit dem Sie die Anzahl der Benutzer ermitteln können, die ein Server bearbeiten kann, oder mit dem Sie die Quelle eines Flaschenhalses in der Systemleistung entdecken. Die Hauptwerkzeuge zur Überwachung eines Domänencontrollers bzw. der Aspekte eines Domänencontrollers haben Sie jetzt kennen gelernt. Mit einigen weiteren Werkzeugen können Sie einen Blick auf weitere Details in Windows 2000 und Active Directory werfen.
5.4.3
Weitere Werkzeuge zur Fehlersuche
Zusätzlich zu den zuvor erörterten Werkzeugen stehen noch einige andere zur Verfügung, die Bestandteil des Resource Kit sind. Das Setupprogramm für diese Werkzeuge finden Sie auf der Windows-2000-CD im Verzeichnis \support\tools. Obwohl nicht alle diese Werkzeuge mit Active Directory zu tun haben, sollten Sie doch die folgenden Programme kennen:
5.4 Andere administrative Funktionen
씰
ACLDiag. Mit diesem Programm können Sie feststellen, ob einem Benutzer der Zugriff auf ein Verzeichnisobjekt gegeben worden ist. Außerdem wird es dazu verwendet, Zugriffssteuerungslisten auf ihren Standardzustand zurückzusetzen.
씰
ADSIEdit. Dieses MMC-Snap-In ermöglicht Ihnen die Anzeige aller Objekte im Verzeichnis und deren Modifizierung bzw. die Änderung der Zugriffssteuerungslisten.
씰
DNSCMD. Dieses Programm überprüft die dynamische Registrierung der DNS-Ressourceneinträge.
씰
DOMMAP. Dieses Programm überprüft die Replikationstopologie und Domänenbeziehungen.
씰
DSACLS. Hiermit können Sie die Zugriffssteuerungslisten von Verzeichnisobjekten überprüfen und bearbeiten.
씰
DSAStat. Vergleicht die Informationen auf Domänencontrollern und sucht nach Unterschieden.
씰
ESEUtil. Dieses Programm arbeitet mit der erweiterbaren Speicherengine zusammen und kann Datenbankdateien reparieren, überprüfen, kompaktifizieren, verschieben und ausgeben. Diese Funktionen werden von NTDSUTIL zu verschiedenen Zwecken verwendet.
씰
NETDOM5. Dieses Programm behandelt die Stapelverarbeitung von Vertrauensstellungen, verbindet Computer mit Domänen und verifiziert Vertrauensstellungen und gesicherte Verbindungen.
씰
NETTest. Dieses Programm kann die Netzwerk-Konnektivität und die Funktionen verteilter Dienste überprüfen.
씰
NLTest. Dieses Programm überprüft, ob der Locatordienst und die gesicherte Verbindung funktionieren.
씰
NTDSUtil. Zusätzlich zum Verwalten der Betriebsmaster und dem Zulassen maßgebender Wiederherstellungen bearbeitet dieses Programm unter Verwendung von ESEUtil Datenbankdateien und zeigt Standorte, Domänen und Serverinformationen an.
333
334
Kapitel 5
Server verwalten
씰
REPAdmin. Überprüft die Replikationskonsistenz zwischen Replikationspartnern, überwacht den Replikationsstatus, zeigt Replikationsmetadaten an, und erzwingt Replikationsereignisse sowie Neuberechnungen des KnowledgeKonsistenzprüfers.
씰
REPLMon. Dieses Programm zeigt die Replikationstopologie an, überwacht den Replikationsstatus und erzwingt Replikationsereignisse sowie Neuberechnungen des Knowledge-Konsistenzprüfers.
씰
SDCheck. Mit diesem Programm kann ein Administrator überprüfen, ob Zugriffssteuerungslisten korrekt vererbt wurden, und ob Änderungen an Zugriffssteuerungslisten von einem Domänencontroller an den anderen repliziert werden.
씰
SIDWalker. Mit diesem Programm können Sie die ACL von Objekten bearbeiten, die verschobenen, gelöschten oder verwaisten Konten gehören.
Alle diese Werkzeuge können Sie dazu verwenden, das Problem, welches Sie einmal erkannt haben, dingfest zu machen und zu beseitigen. Für die Prüfung sollten Sie die Namen und den Verwendungszweck dieser Programme kennen. Wenn Ihnen die Zeit zur Verfügung steht, sollten Sie diese Programme außerdem ausprobieren, um ein Gefühl für ihre Funktionsweise zu bekommen. Die Überwachung von Servern ist wichtig, um Probleme schon im Keim vermeiden zu können. Die Programme, die Sie gerade kennen gelernt haben, haben alle ihren jeweiligen spezifischen Einsatzzweck und -zeitpunkt, und Sie sollten verstanden haben, wie sie mit ihnen umgehen.
Fallstudie: Überwachen und Verwalten von Active Directory Das Wichtigste im Überblick Bei der Rückschau auf das Unternehmen Sonnenschein-Brauerei werden Sie sich vielleicht noch daran erinnern, dass es eine Reihe von Standorten gibt, die Sie bearbeiten müssen, und fünf verschiedene Domänen, die diese Standorte umfassen. Die Wiederherstellung wird hierdurch erschwert, weil Sie in der Lage sein müssen, jede Domäne von jedem Standort aus wiederherzustellen. Es gibt noch einige weitere Gesichtspunkte, die im Folgenden aufgeführt sind:
Fallstudie: Überwachen und Verwalten von Active Directory
씰
Es gibt nur wenige Änderungen in Active Directory, und obwohl die Benutzer gelegentlich von Standort zu Standort wandern, bleiben sie normalerweise am gewohnten Platz und damit auch in derselben Domäne.
씰
Sie brauchen pro Standort einen Server für den globalen Katalog. Die Anzahl der Standorte ist hoch.
씰
Zu Wiederherstellungszwecken werden Sie die Betriebsmaster in Ottawa verwenden.
씰
Sie planen alle Sicherungen so, dass sie automatisch ausgeführt werden.
Wenn Sie die angesprochenen Punkte berücksichtigen, werden Sie bei der Analyse des Falls keine großen Schwierigkeiten haben.
Situationsbeschreibung Diese Fallstudie beschäftigt sich mit den Vorbereitungen einer Wiederherstellung. Dies gehört zu den Dingen, die Sie bereits im Vorfeld gut geplant haben sollten, sodass Sie beispielsweise auch wissen, wo Sie im Katastrophenfall Ersatzteile oder andere Server bekommen können. Weiterhin sollten Sie einen Plan für eine alternative Platzierung der Server für den Fall haben, dass der Computerraum nicht zur Verfügung steht. Ihr Plan sollte ebenfalls die Frage der Notstromversorgung vorsehen. Im vorliegenden Fall werden Sie jedoch speziell mit der Platzierung der Server und der Planung der Sicherungsstrategie zu tun haben.
Situationsanalyse Bezüglich der Stationierung der Betriebsmaster ist vorgesehen, dass ein Paar Domänencontroller in Ottawa untergebracht und ein Verbindungsobjekt zwischen diesen beiden erstellt wird, welches sicherstellt, dass beide Replikationspartner sind. Einer dieser Server wird als Schema- und Domänennamensmaster und der andere nur als ein Domänencontroller konfiguriert. Für die Betriebsmaster auf Domänenebene wird ein ähnliches Paar für jede Domäne im Büro Ottawa erstellt. Die Sicherungen im Büro Ottawa für die Server, die als Betriebsmaster und Backups konfiguriert sind, finden einmal wöchentlich voll und jede Nacht differenziell statt. Die Sicherungen werden vier Wochen lang aufgehoben und dann von hinten her wieder überschrieben. Es wird weiterhin monatliche, vierteljährliche und jährliche Sicherungen geben. Die monatlichen Sicherungen werden bis zur nächsten monatlichen Sicherung am Standort aufbewahrt, und dann außerhalb des Standortes für 15 Jahre gelagert.
335
336
Kapitel 5
Server verwalten
Zusammenfassung Dieses Kapitel hat sich mit den Serverrollen einschließlich der zwei Unternehmensrollen Schema- und Domänennamensmaster beschäftigt. Es hat weiterhin die drei Masterrollen erörtert, die sich in jeder Domäne finden: der PDC-Emulator, der RIDMaster und der Infrastrukturmaster. Sie haben erfahren, welchem Zweck jede Rolle dient, und wie Sie die Rolle in dem Fall, dass ein Server abstürzt, auf einen anderen Server verschieben oder überschreiben. Anschließend haben Sie die Sicherungs- und Wiederherstellungsoptionen kennen gelernt, die Ihnen in Windows 2000 zur Verfügung stehen. Es wurden die Grundlagen der Sicherung – die verschiedenen Arten und Verwendungszwecke – und das Sicherungsprogramm selbst vorgestellt. Weiterhin wurde der Wiederherstellungsvorgang für Server, die zuvor andere Dienste betrieben haben, untersucht, und Sie haben erfahren, wie Sie einen Server grundsätzlich neu installieren. Anschließend ging die Diskussion zur maßgebenden Wiederherstellung und den Voraussetzungen über, die mit diesem Vorgang verbunden sind. Zum Schluss haben Sie einige der verfügbaren Werkzeuge zur Überwachung und Fehlersuche kennen gelernt. Diese Programme erfordern eine Menge Übung – sie sollten sich einige Zeit lang mit ihnen beschäftigen, bevor Sie in die Prüfung gehen! Schlüsselbegriffe 쎲
Betriebsmaster
쎲
PDC-Emulator
쎲
Ereignisanzeige
쎲
RID-Master
쎲
Infrastrukturmaster
쎲
Server für den globalen Katalog
쎲
Leistung
쎲
Sicherung
쎲
Maßgebende Wiederherstellung
쎲
Systemstatusdaten
쎲
Netzwerkmonitor
쎲
Task-Manager
쎲
NTDSUTIL
쎲
Wiederherstellen
Lernzielkontrolle
Lernzielkontrolle Übungen 5.1
Mit Serverrollen arbeiten
In dieser Übung werden Sie den Betriebsmaster auf Unternehmensebene von einem Server auf den anderen verschieben. Die Übung setzt voraus, dass Sie zwei Server mit Windows 2000 oder mit Advanced Server installiert und zu Domänencontrollern in derselben Domäne heraufgestuft haben. Geschätzte Zeit: 10 Minuten 1. Melden Sie sich am zweiten Domänencontroller als Administrator an. 2. Lokalisieren Sie Ihr Quelldateienverzeichnis; in der Regel Ihre InstallationsCD mit Windows 2000, sofern Sie das Verzeichnis i386 nicht auf die Festplatte kopiert haben. 3. Starten Sie Windows Explorer und lokalisieren Sie die Datei adminpak.msi. Klicken Sie mit der rechten Maustaste auf der Datei und wählen Sie im Kontextmenü INSTALLIEREN aus. 4. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms des Assistenten auf WEITER. 5. Wählen Sie im nächsten Bildschirm ALLE VERWALTUNGSPROGRAMME STALLIEREN aus, und klicken Sie auf WEITER.
IN-
6. Klicken Sie nach Beendigung der Installation auf FERTIG STELLEN. 7. Schließen Sie Windows Explorer und wählen Sie im Startmenü AUSFÜHREN aus. Geben Sie MMC ein und drücken Sie (Enter). 8. Wählen Sie im Menü KONSOLE/SNAP-IN HINZUFÜGEN/ENTFERNEN aus. 9. Klicken Sie im Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN auf HINZUFÜGEN, lokalisieren Sie ACTIVE DIRECTORY-SCHEMA und klicken Sie auf HINZUFÜGEN. 10. Klicken Sie zum Schließen der Snap-In-Liste auf SCHLIESSEN, und klicken Sie danach zum Schließen des Dialogfeldes SNAP-IN HINZUFÜGEN/ENTFERNEN auf OK. 11. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHEMA und wählen Sie im Kontextmenü DOMÄNENCONTROLLER ÄNDERN aus. 12. Klicken Sie auf NAMEN ANGEBEN und geben Sie den Namen des zweiten Domänencontrollers ein. Klicken Sie auf OK.
337
338
Kapitel 5
Server verwalten
13. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHEMA und wählen Sie im Kontextmenü BETRIEBSMASTER aus. 14. Vergewissern Sie sich, dass AKTUELLER FOKUS und DER SERVER IST ZURZEIT zwei verschiedene Server bezeichnen. Falls dies nicht der Fall sein sollte, gehen Sie zu Schritt 11 zurück und geben den Namen des anderen Servers ein. 15. Klicken Sie auf ÄNDERN. 16. Schließen Sie MMC. Klicken Sie auf NEIN, wenn Sie zum Speichern der Änderungen aufgefordert werden. 17. Öffnen Sie im Ordner VERWALTUNG ACTIVE DIRECTORY-DOMÄNEN -VERTRAUENSSTELLUNGEN.
UND
18. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN aus. 19. Klicken Sie auf die Schaltfläche DURCHSUCHEN und wählen Sie Ihre Domäne aus. Wählen Sie aus der Serverliste den Server aus, auf den Sie die Schemamasterrolle übertragen haben. 20. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü BETRIEBSMASTER aus. 21. Vergewissern Sie sich, dass die Servernamen im Dialogfeld ÄNDERN unterschiedlich sind. Falls nicht, gehen Sie zu Schritt 18 zurück und legen einen anderen Server fest. 22. Klicken Sie auf ÄNDERN. 23. Schließen Sie ACTIVE DIRECTORY-DOMÄNEN GEN. 5.2
UND
-VERTRAUENSSTELLUN-
Systemstatusdaten sichern
Diese Übung erfordert zwei Computer, von denen der eine als Sicherungsziel und der andere als Quelle der Sicherung benutzt wird. Geschätzte Zeit: 15 Minuten 1. Melden Sie sich am System an, welches die Sicherung speichern soll. 2. Erstellen Sie auf diesem System ein Verzeichnis namens Backup und geben Sie das Verzeichnis frei.
Lernzielkontrolle
3. Melden Sie sich an dem System, welches Sie sichern werden, als Administrator an. 4. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG und wählen Sie im Kontextmenü NETZLAUFWERK VERBINDEN aus. 5. Wählen Sie als Laufwerk O: aus und geben Sie als Pfad \\ihr-anderer-server\Backup ein. 6. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 7. Klicken Sie mit der rechten Maustaste auf Ihrer Domäne und wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus. Geben Sie Testit und den Namen ein, und klicken Sie auf OK. 8. Blenden Sie Ihre Domäne ein und klicken Sie mit der rechten Maustaste die Organisationseinheit Testit an. Wählen Sie im Kontextmenü NEU/BENUTZER aus. Verwenden Sie den Namen David Smith und den Anmeldenamen Dsmith. Klicken Sie auf WEITER. 9. Klicken Sie im Kennwortbildschirm zur Übernahme der Standardwerte auf WEITER, und klicken Sie dann auf FERTIG STELLEN. 10. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 11. Wählen Sie START/PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME/SICHERUNG zum Start des Sicherungsprogramms aus. 12. Klicken Sie auf die Schaltfläche SICHERUNGS-ASSISTENT und dann zum Weiterschalten des Begrüßungsbildschirms auf WEITER. 13. Klicken Sie im Bildschirm ZU SICHERNDE DATEN auf NUR DIE SYSTEMSTATUSDATEN SICHERN. 14. Geben Sie im Bildschirm SPEICHERORT und klicken Sie auf WEITER.
DER
15. Klicken Sie im Bildschirm FERTIGSTELLEN STELLEN.
SICHERUNG O:\state.bkf ein, DES
ASSISTENTEN auf FERTIG
16. Klicken Sie nach der Beendigung der Sicherung auf SCHLIESSEN und beenden Sie danach das Sicherungsprogramm. 5.3
Domänencontroller wiederherstellen
In dieser Übung werden Sie den in der vorherigen Übung gesicherten Domänencontroller wiederherstellen. Vor der Wiederherstellung des Domänencontrollers werden Sie der Domäne einen Benutzer hinzufügen.
339
340
Kapitel 5
Server verwalten
Geschätzte Zeit: 15 Minuten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf dem Ordner USERS und wählen Sie NEU/BENUTZER im Kontextmenü aus. 3. Geben Sie als Namen John White und als Anmeldenamen JWhite ein. Klicken Sie auf WEITER. 4. Übernehmen Sie die Standardwerte beim Kennwort durch Klicken auf WEITER und FERTIG STELLEN. 5. Warten Sie sechs Minuten, bis die Replikation stattgefunden hat. 6. Starten Sie den Computer neu, den Sie gesichert haben. 7. Wählen Sie beim Erscheinen des Bootmenüs das Betriebssystem aus. Drücken Sie während der Anzeige des Startvorgangs (F8), um zu den erweiterten Startoptionen zu gelangen. 8. Wählen Sie VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-2000-DOMÄNENCONTROLLER) aus. 9. Drücken Sie nach Aufforderung (Strg)+(Alt)+(Entf) und melden Sie sich als Administrator an. 10. Klicken Sie auf OK, um das Meldungsfeld zu schließen, welches Sie auf den abgesicherten Modus hinweist. 11. Starten Sie das Sicherungsprogramm. 12. Klicken Sie auf die Schaltfläche WIEDERHERSTELLUNGS-ASSISTENT. 13. Klicken Sie zum Weiterschalten des ersten Bildschirms auf WEITER. 14. Blenden Sie den Eintrag DATEI links im Fenster ein und wählen Sie Ihre letzte Sicherung (aus der letzten Übung) aus. Nach der Markierung der Sicherung (durch Häkchen kenntlich) klicken Sie zum Fortfahren auf WEITER. 15. Klicken Sie auf der Bildschirmseite FERTIGSTELLEN DES ASSISTENTEN zum Start des Wiederherstellungsprozesses auf FERTIG STELLEN. Wenn das Programm Sie zur Überprüfung des Namens der wiederherzustellenden Sicherung auffordert, überprüfen Sie dessen Richtigkeit und klicken auf OK. 16. Nach Beendigung der Wiederherstellung klicken Sie zum Schließen des Dialogfeldes auf OK und beenden das Sicherungsprogramm. 17. Starten Sie den Computer nach der Aufforderung neu. 18. Melden Sie sich am System als Administrator an.
Lernzielkontrolle
19. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 20. Klicken Sie auf den Ordner USERS und suchen Sie nach John White. Falls er nicht darin ist, warten Sie einige Minuten, klicken mit der rechten Maustaste auf den Ordner USERS und wählen im Kontextmenü AKTUALISIEREN aus. 5.4
Maßgebende Wiederherstellung durchführen
In dieser Übung werden Sie eine maßgebende Wiederherstellung für den Domänencontroller durchführen, den Sie in der vorherigen Übung gesichert haben. In diesem Fall werden Sie die Organisationseinheit Testit nach einer versehentlichen Löschung wiederherstellen. Geschätzte Zeit: 25 Minuten 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf den Ordner Testit und wählen Sie im Kontextmenü LÖSCHEN aus. 3. Sie erhalten nun eine Warnung angezeigt, die darauf hinweist, dass Testit ein Container ist. Die Warnung fragt Sie danach, ob Sie den Container und alle Objekte darin löschen wollen. Klicken Sie auf JA. 4. Warten Sie sechs Minuten, bis die Replikation stattgefunden hat. 5. Starten Sie den Computer neu, den Sie gesichert haben. 6. Wählen Sie beim Erscheinen des Bootmenüs das Betriebssystem aus. Drücken Sie während der Anzeige des Startvorgangs (F8), um zu den erweiterten Startoptionen zu gelangen. 7. Wählen Sie VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-2000-DOMÄNENCONTROLLER) aus. 8. Drücken Sie nach Aufforderung (Strg)+(Alt)+(Entf) und melden Sie sich als Administrator an. 9. Klicken Sie auf OK, um das Meldungsfeld zu schließen, welches Sie auf den abgesicherten Modus hinweist. 10. Starten Sie das Sicherungsprogramm. 11. Klicken Sie auf die Schaltfläche WIEDERHERSTELLUNGS-ASSISTENT. 12. Klicken Sie zum Weiterschalten des ersten Bildschirms auf WEITER. 13. Blenden Sie den Eintrag DATEI links im Fenster ein und wählen Sie Ihre letzte Sicherung aus. Nach der Markierung der Sicherung (durch Häkchen kenntlich) klicken Sie zum Fortfahren auf WEITER.
341
342
Kapitel 5
Server verwalten
14. Klicken Sie auf der Bildschirmseite FERTIGSTELLEN DES ASSISTENTEN zum Start des Wiederherstellungsprozesses auf FERTIG STELLEN. Wenn das Programm Sie zur Überprüfung des Namens der wiederherzustellenden Sicherung auffordert, überprüfen Sie dessen Richtigkeit und klicken auf OK. 15. Nach Beendigung der Wiederherstellung klicken Sie zum Schließen des Dialogfeldes auf OK und beenden das Sicherungsprogramm. 16. Starten Sie den Computer nach der Aufforderung jetzt nicht neu. 17. Starten Sie eine Eingabeaufforderung und geben Sie ntdsutil ein. 18. Geben Sie an der Eingabeaufforderung von NTDSUTIL authoritative restore ein, und drücken Sie (Enter). 19. Geben Sie restore subtree und den vollständigen Namen der Organisationseinheit ein, die Sie zuvor gelöscht haben. Wenn Ihre Domäne beispielsweise ODIN.COM heißt, geben Sie nun dc=com,dc=odin,cn=Testit ein. 20. Ein Dialogfeld fragt Sie danach, ob Sie dieses Objekt tatsächlich wiederherstellen möchten. Klicken Sie auf JA. 21. Geben Sie nach Ende der Wiederherstellung quit zum Beenden des Wiederherstellungsmodus ein, und geben Sie ein weiteres Mal quit zum Beenden von NTDSUTIL ein. 22. Starten Sie den Computer neu. 23. Melden Sie sich als Administrator an. 24. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 25. Vergewissern Sie sich, dass die Organisationseinheit Testit wieder an Ort und Stelle ist. Wiederholungsfragen 1. Was ist die Rolle des Domänennamensmasters? 2. Was müssen Sie wiederherstellen, bevor Sie eine inkrementelle Sicherung wiederherstellen? 3. Sie möchten wissen, wie viele Benutzer ein neuer Servertyp bearbeiten kann. Welches Werkzeug verwenden Sie zu diesem Zweck? 4. Aus welchen zwei Komponenten besteht die SID eines Objektes in Active Directory? 5. Welches Programm verwenden Sie zum Erfassen der Schemamasterrolle, wenn diese fehlerhaft ist?
Lernzielkontrolle
6. Sie haben einen Server, der andere Server im Netzwerk nicht erkennen kann. Mit welchem Werkzeug stellen Sie fest, welche Abfragen er sendet? 7. Sie mussten die Schemamasterrolle überschreiben. Welche Vorsichtsmaßnahme sollten Sie hinsichtlich des Servers ergreifen, der ausgewechselt wurde? 8. Wenn Sie Ihren Computer starten, erhalten Sie eine Meldung, die darauf hinweist, dass ein Dienst oder Gerät nicht gestartet werden konnte. Was müssen Sie tun, um die Ursache des Problems zu finden? 9. Sie müssen eine Organisationseinheit wiederherstellen, die versehentlich gelöscht worden ist. Was müssen Sie tun? 10. Was müssen Sie erwägen, wenn Sie eine Rolle überschreiben müssen, und den Server festlegen, auf dem Sie die Rolle platzieren möchten? Prüfungsfragen 1. Jon versucht einen Computer zum ersten Domänencontroller in einer neuen untergeordneten Domäne heraufzustufen. Alles läuft soweit gut. Als er den Domänennamen eingeben will, hängt sich das System jedoch auf. Er wiederholt die Aktion zwei weitere Male, nachdem er sichergestellt hat, dass alle Einstellungen korrekt sind und die Berechtigungen stimmen. Was sollte Jon tun? A. Überprüfen, ob der Infrastrukturmaster offline ist. B. Überprüfen, ob der DNS-Server beendet ist. C. Überprüfen, ob der Domänennamensmaster offline ist. D. Keine der genannten Möglichkeiten. 2. Franz fügt einer Domäne Benutzer hinzu. Nachdem er die ersten 117 Benutzer der Domäne hinzugefügt hat, kann er plötzlich keine weiteren Benutzer mehr aufnehmen. Warum nicht? A. Der PDC-Emulator steht nicht zur Verfügung. B. Die Domäne, der er Benutzer hinzufügt, hat ein Maximum von 10.000 Benutzern erreicht. C. Der DNS-Server kann die neuen Benutzer nicht registrieren. D. Der RID-Master ist offline. 3. Diane ist am Helpdesk und nimmt einen Benutzeranruf entgegen. Der Benutzer kann sein Netzwerkkennwort nicht ändern. Er arbeitet an einem alten Windows-95-PC. Diane verifiziert den Benutzernamen und setzt das Kenn-
343
344
Kapitel 5
Server verwalten
wort für ihn zurück. Der Benutzer kann es immer noch nicht ändern. Was sollte Diane als Nächstes überprüfen? A. Sie sollte sicherstellen, dass der Benutzer einen DNS-Eintrag in seiner TCP/IP-Konfiguration hat. B. Sie sollte sicherstellen, dass er eine gültige TCP/IP-Adresse hat. C. Sie sollte sicherstellen, dass der PDC-Emulator online ist. D. Sie sollte sicherstellen, dass die Dateireplikation arbeitet. 4. Bubba arbeitet an einem Server, der letztens sehr langsam reagiert hat. Er versucht das TCP-Fenster und die SRTT-Werte zu tunen. Er stellt für eine der Anwendungen einen neuen Wert ein und dreht noch an einigen anderen Einstellungen. Er glaubt, dass der Server jetzt schneller läuft, aber die Benutzer beklagen sich immer noch. Einige behaupten sogar, es sei noch schlimmer geworden. Was sollte Bubba vor dem Tunen des TCP-Fensters und der SRTT-Werte machen, um feststellen zu können, ob die Leistung besser oder schlechter wird? A. Er hätte mit der Stoppuhr einige Anwendungen stoppen sollen, die auf dem Computer gelaufen sind, den er getunt hat. Diese Zeiten kann er dann dazu benutzen, den Status der Anwendungen vor und nach der Änderung miteinander zu vergleichen. B. Er hätte den Netzwerkmonitor verwenden sollen, um die Leistung des Servers zu verfolgen. C. Er hätte mit der Stoppuhr einige Anwendungen stoppen sollen, die im Netzwerk auf einem Computer gelaufen sind, der mit dem von ihm getunten Computer verbunden ist. Diese Zeiten kann er dann dazu benutzen, den Status der Anwendungen vor und nach der Änderung miteinander zu vergleichen D. Er hätte mit dem Systemmonitor einen Ausgangswert ermitteln und diesen dann mit den Werten nach der Änderung vergleichen sollen. 5. Welche der folgenden Möglichkeiten steht zur Verfügung, um einen ausgefallenen Domänencontroller wiederherzustellen? A. Windows 2000 neu installieren und den Domänencontroller heraufstufen. B. Windows 2000 neu installieren und die letzte Sicherung wiederherstellen.
Lernzielkontrolle
C. Windows 2000 neu installieren und eine maßgebende Wiederherstellung durchführen. D. Alles oben Genannte. 6. Welche der folgenden Optionen sind bei der Durchführung einer Sicherung für das Sicherungsprogramm gültig (wählen Sie alles Zutreffende aus)? A. Nach Sicherung verifizieren B. Softwarekompression verwenden C. Benutzerzugriff auf Sicherung zulassen D. Nur dem Besitzer und Administrator den Zugriff auf die Sicherung erlauben 7. Amanda richtet gerade die ersten Domänencontroller in Ihrer Organisation ein. Sie hat bis jetzt vier davon eingerichtet. Plötzlich erinnert sich Amanda daran, dass Sie für den Kunden Änderungen am Schema vornehmen muss. Sie fügt das Snap-In ACTIVE DIRECTORY-SCHEMA hinzu und versucht das Schema zu ändern. Es geht aber nicht. Was ist die wahrscheinliche Ursache? A. Sie verfügt nicht über die Berechtigung. B. Sie kann den Schemamaster nicht finden. C. Das Schema kann nur geändert werden, bevor andere Server hinzugefügt worden sind. D. Dies muss interaktiv auf dem System gemacht werden, welches der Schemamaster ist. 8. Bobby hat einen Sicherungszeitplan für die Server eingestellt und konfiguriert die Server gerade für die Ausführung der Sicherungen. Sie sollen eine volle Sicherung am Sonntag um 1 Uhr nachts und differenzielle Sicherungen am Montag, Dienstag, Mittwoch, Donnerstag und Freitagnacht um 1 Uhr ausführen. Am Donnerstag um 2 Uhr nachts stürzt ein Server ab, den Bobby auf die oben beschriebene Weise konfiguriert hat. Was muss er zur Wiederherstellung des Servers tun? A. Er muss die vollständige Sicherung und danach die differenzielle Sicherung vom Mittwoch einspielen. B. Er muss die vollständige Sicherung und danach die differenziellen Sicherungen von Montag, Dienstag und Mittwoch einspielen.
345
346
Kapitel 5
Server verwalten
C. Er muss die differenzielle Sicherung von Mittwochnacht einspielen. D. Er muss die differenziellen Sicherungen von Montag, Dienstag und Mittwoch einspielen. 9. Bill versucht einen Domänencontroller wiederherzustellen, den er gerade repariert hat. Zur Reparatur gehörte auch der Austausch eines Laufwerks, auf dem sich das Verzeichnis SYSVOL befunden hat. Das Laufwerk wurde getestet und ist jetzt mit NTFS formatiert. Bill lässt das Sicherungsprogramm laufen und versucht den Domänencontroller wiederherzustellen. Er bekommt aber einen Fehler. Was läuft falsch? A. Das Laufwerk benutzt einen anderen Laufwerkbuchstaben. B. Das Laufwerk ist nicht mit NTFS formatiert. C. Das System muss neu gestartet werden, weil das Laufwerk formatiert worden ist. D. Das System muss neu gestartet und in den richtigen Modus gebracht werden. 10. Welche Funktionen können Sie mit NTDSUTIL ausführen (wählen Sie alles Zutreffende aus)? A. Serverrollen ändern B. Sicherungsoptionen ändern C. Update Number eines Objekts in Active Directory ändern D. Berechtigungen eines Objekts in Active Directory ändern 11. Joanne arbeitet für ein Unternehmen mit einem Multidomänennetzwerk. Im Moment erstellt sie neue Gruppen, die für ein Projekt verwendet werden sollen, welches auf SQL Server läuft. Sie erstellt die Gruppen und fügt anschließend die Benutzer hinzu. Als sie vom Mittagessen zurückkommt, bemerkt Joanne, dass sich die Benutzer nicht mehr in den Gruppen befinden. Was kann das Problem sein? A. Sie verfügte nicht über die Berechtigung zum Verwalten der Benutzer. B. Der Infrastrukturmaster ist nicht online. C. Sie hat die Benutzer zur falschen Domäne hinzugefügt. D. Die Gruppen wurden nicht repliziert, als sie die Benutzer hinzugefügt hat.
Lernzielkontrolle
12. Bobby hat einen Sicherungszeitplan für die Server eingestellt und konfiguriert die Server gerade für die Ausführung der Sicherungen. Sie sollen eine volle Sicherung am Sonntag um 1 Uhr nachts und differenzielle Sicherungen am Montag, Dienstag, Mittwoch, Donnerstag und Freitag nachts um 1 Uhr ausführen. Am Freitag um 10 Uhr vormittags stürzt ein Server, den Bobby auf die oben beschriebene Weise konfiguriert hat, ab. Wie viele Daten sind verlorengegangen? A. Alles seit der letzten vollständigen Sicherung B. Alles seit der inkrementellen Sicherung vom Dienstag C. Alles seit der differenziellen Sicherung D. Keine der Antworten trifft zu 13. Welches der folgenden Programme können Sie zum Ändern von Berechtigungen in Active Directory verwenden (wählen Sie alles Zutreffende aus)? A. NTDSUTIL B. ACLDiag C. DSACLS D. DSAStat 14. Frank arbeitet an einem Konnektivitätsproblem und muss die Datenpakete im Netzwerk untersuchen. Was sollte er tun? A. Ereignisanzeige benutzen B. Systemmonitor benutzen C. Netzwerkmonitor benutzen D. NETSTAT benutzen 15. Erika versucht eine Verbindung mit einer Ressource in der Domäne HR herzustellen. Sie befindet sich in der Domäne VERTRIEB und braucht die Ressource, um ihre Überstunden geltend zu machen. Als sie das Helpdesk anruft, verifiziert Mia, dass sie ein gültiger Benutzer ist und korrekt angemeldet ist. Mia vergewissert sich außerdem, dass Erika die Berechtigungen besitzt. Mia versucht sich nun mit Ressource von ihrer Domäne (Administration) her zu verbinden, kann es aber auch nicht. Was sollte sie als Nächstes tun?
347
348
Kapitel 5
Server verwalten
A. Sie sollte sicherstellen, dass der Domänennamensmaster online ist. B. Sie sollte sicherstellen, dass der Schemamaster online ist. C. Sie sollte sicherstellen, dass der PDC-Emulator in der HR-Domäne online ist. D. Sie sollte sicherstellen, dass der Infrastrukturmaster in der Domäne VERTRIEB online ist. Antworten zu den Wiederholungsfragen 1. Der Domänennamensmaster ist für das Hinzufügen und Entfernen von Domänen im gesamten Unternehmen zuständig und ist daher der Einzige seiner Art im Unternehmen. Der Server stellt die Eindeutigkeit der Domänennamen und deren Einpassung in den Namespace des Unternehmens sicher. Siehe dazu den Abschnitt »Serverrollen«. 2. Zum Wiederherstellen einer inkrementellen Sicherung müssen Sie zunächst die letzte vollständige Sicherung vor der inkrementellen Sicherung wiederherstellen. Außerdem müssen Sie alle inkrementellen Sicherungen, die seitdem ausgeführt worden sind, in der gleichen Reihenfolge wiederherstellen. Siehe dazu den Abschnitt »Sicherungsarten«. 3. In diesem Fall sollten Sie den Systemmonitor einsetzen. Sie können damit die Dienste, die auf dem Server laufen, messen und feststellen, wie viel Last jeder Dienst vom Server fordert. Mit dieser Information sind Sie dann in der Lage, die Anzahl Benutzer einzuschätzen, die der Server bearbeiten kann. Siehe dazu den Abschnitt »Domänencontroller überwachen«. 4. Die SID eines Objekts besteht aus der Domänen-SID, gefolgt von einer relativen ID, die dem Domänencontroller vom RID-Master geliefert wird. Siehe dazu den Abschnitt »Serverrollen«. 5. Falls Sie eine Rolle überschreiben müssen, verwenden Sie NTDSUTIL. Mit diesem Programm können Sie die Rolle auch dann übernehmen, wenn der ursprüngliche Server nicht verfügbar ist. In den meisten Fällen sollten Sie sicherstellen, dass der vorherige Server nicht mehr in Betrieb genommen wird, da dann zwei gleiche Betriebsmaster im Netzwerk liegen. Siehe dazu den Abschnitt »Wiederherstellen nach Ausfall des Masters«. 6. In diesem Fall setzen Sie den Netzwerkmonitor ein, mit dem Sie die tatsächlich gesendeten Abfragen und die ggf. von anderen Servern gesendeten Antworten überprüfen können. Siehe dazu den Abschnitt »Domänencontroller überwachen«.
Lernzielkontrolle
7. Nach dem Überschreiben der Schemamasterrolle müssen Sie sicherstellen, das der vorherige Server nicht mehr ins Netzwerk zurückkehrt, weil Sie dann zwei Schemamaster im Netz hätten. Siehe dazu den Abschnitt »Wiederherstellen nach Ausfall des Masters«. 8. Wenn Sie diese Meldung erhalten, sollten Sie zuallererst in der Ereignisanzeige nachschauen. Das Ereignisprotokoll wird Einzelheiten zu dem Fehler enthalten, der während des Startvorgangs aufgetreten ist. Denken Sie daran, erst den Zeitpunkt des Fehlers und dann auf der Zeitachse vorwärts den eigentlichen Eintrag zu suchen. Siehe dazu den Abschnitt »Domänencontroller überwachen«. 9. Falls Sie ein gelöschtes Active Directory-Objekt wiederherstellen müssen, müssen Sie eine maßgebende Wiederherstellung durchführen. Die Änderungsnummer des Objekts wird hierdurch auf einen Wert heraufgesetzt, der eine Replikation des Objekts zurück zu den anderen Servern erzwingt. Siehe dazu den Abschnitt »Maßgebende Wiederherstellung ausführen«. 10. Der beste Server ist einer, der sich auf demselben Subnetz wie der vorherige befindet. Auf diese Weise können Sie sicher sein, dass der Server die aktuellste Information enthält. Anderenfalls sollten Sie die Standorte und Dienste überprüfen und die Replikationspartner des Servers ermitteln. Von diesen wählen Sie dann einen aus. Siehe dazu den Abschnitt »Wiederherstellen nach Ausfall des Masters«. Antworten zu den Prüfungsfragen 1. C. Wenn Sie einer vorhandenen Domänenstruktur eine neue Domäne hinzufügen, müssen Sie in der Lage sein, Ihren Namen gegenüber dem Domänennamensmaster zu validieren. Die Antwort A ist nicht zutreffend, weil der neue Server zum Infrastrukturmaster seiner Domäne wird, da dies ein Server auf Domänenebene ist. Die Antwort B ist falsch, weil DNS vorausgesetzt ist; außerdem würde der Server einen entsprechenden Fehler gemeldet haben. Da die Antwort C zutrifft, ist damit die Antwort D falsch. Siehe dazu den Abschnitt »Serverrollen«. 2. D. Der PDC-Emulator empfängt die Replikation als Erster. Falls er nicht verfügbar sein sollte, können Sie trotzdem noch Benutzer hinzufügen, was die Antwort A falsch macht. Eine praktische Grenze hinsichtlich der Anzahl von Objekten in einer Domäne gibt es nicht, sodass die Antwort B falsch ist. Die Antwort C ist falsch, weil sich die Benutzer nicht beim DNS-Server registrieren, was bedeutet, dass nur Antwort D übrig bleibt. Wenn es keine relativen IDs gibt, kann der Server keine weiteren Objekte hinzufügen. Es gibt keine Möglichkeit, eine SID zu erstellen. Siehe dazu den Abschnitt »Serverrollen«.
349
350
Kapitel 5
Server verwalten
3. C. In diesem Fall konnte sich der Benutzer anmelden. Die Antworten A und B sind, obschon möglich, nicht wahrscheinlich. Weil dies eine Prüfung zu Active Directory ist, können Sie davon ausgehen, dass es sich nicht um ein Netzwerkproblem handelt, da die Sache gestern noch funktionierte. Da eine Dateireplikation für die Anmeldung nicht erforderlich ist, scheidet die Antwort D aus. Die Antwort D hätte richtig sein können, falls verbindliche Profile erwähnt worden wären. Damit bleibt nur die Antwort C übrig, die auch sinnvoll ist, weil es sich um Windows 95 handelt, das standardmäßig kein Active Directory-Client ist. Der Client-Computer braucht zum Ändern von Kennwörtern einen PDC. Siehe dazu den Abschnitt »Serverrollen«. 4. D. Bubba hat mit einer Reihe von Dingen zu tun, die im Buch noch nicht erörtert wurden und auch nicht erörtert werden. Sie sollten sich an dieser Stelle nur darüber im Klaren sein, dass Bubba offenbar nicht genug zu tun hat und aufhören sollte, an der Registrierung zu spielen! Sie sollten außerdem wissen, dass Microsoft manchmal in eine Frage viele irrelevante Informationen unterbringt, von denen Sie sich nicht irritieren lassen dürfen. Die Antworten A und C haben mit einer Stoppuhr zu tun und messen daher nur einen Aspekt der Leistung, der einen Hinweis liefern könnte, aber weder genau noch aussagekräftig ist. Die Antwort B ist richtig, wenn Sie es mit der Frage zu tun haben, was eigentlich in das Netzwerk gesendet wird. Jedoch sollten quantitative Messungen im Netzwerk besser zusammen mit der Leistung des Speichers, Datenträgerzugriffs und der CPU-Nutzung vorgenommen werden, was den Einsatz des Leistungsprogramms empfiehlt. Siehe dazu den Abschnitt »Domänencontroller überwachen«. 5. A, B. Die Antworten A und B betreffen einen Domänencontroller. Die Antwort C beschreibt, wie Sie ein in Active Directory gelöschtes Objekt wiederherstellen können. Die Antwort D trifft nicht zu, weil die Antwort C falsch ist. Wenn Sie auf derartige Fragen stoßen, müssen Sie verstehen, was sich der Fragesteller dabei gedacht hat. Lesen Sie die Frage daher immer sorgfältig. Siehe dazu den Abschnitt »Server sichern und wiederherstellen«. 6. A, D. Die Antwort B ist falsch, wenn Sie sie mit der Hardwarekompression verwechseln. Die Antwort C ist falsch, weil Benutzern keine Sicherungsoder Wiederherstellungsaktionen erlaubt sind. Die Antworten A und D sind beide richtig. Siehe dazu den Abschnitt »Server sichern und wiederherstellen«. 7. B. In diesem Fall können Sie voraussetzen, dass die Person, die alle vier Domänencontroller installiert hat, auch das Administratorkennwort besitzt. Das Schema kann jederzeit modifiziert werden, sodass die Antwort C falsch ist. Die Antwort D sieht wegen der Bedeutung des Schemas zunächst richtig aus, scheidet aber aus, weil dann keine Remoteverwaltung möglich wäre – nahezu alles von Microsoft kann remote verwaltet werden. Damit bleibt nur die Antwort B, die auch sinnvoll ist. Siehe dazu den Abschnitt »Serverrollen«.
Lernzielkontrolle
8. A. Wenn Sie Daten wiederherstellen, beginnen Sie immer mit der vollständigen Sicherung, und fahren dann mit der Wiederherstellung aller inkrementellen Sicherungen fort (beim differenziellen Verfahren benötigen Sie nur eine einzige Sicherung). Die Antworten C und D haben nichts mit einer vollständigen Sicherung zu tun. Die Antwort B stellt Sicherungen wieder her, die gar nicht wiederhergestellt werden müssen. Siehe dazu den Abschnitt »Server sichern und wiederherstellen«. 9. D. Wenn Sie einen Domänencontroller wiederherzustellen versuchen, müssen Sie sich im Modus Verzeichnisdienstwiederherstellung befinden, damit Sie auf das Verzeichnis SYSVOL zugreifen können. Der Laufwerkbezeichner kann derselbe sein, muss aber nicht, weshalb die Antwort A falsch ist. Die Frage stellt schon fest, dass das Laufwerk ein NTFS-Laufwerk ist; daher ist die Antwort B falsch (so was kann Ihnen in der Prüfung auch passieren!). Wenn Sie bei einer Prüfungsfrage einmal nicht genug Informationen haben, was auch vorkommen kann, müssen Sie die Antwort einzuschätzen versuchen. Falls es eine offensichtliche Antwort geben sollte, sollten Sie diese wählen und sich nicht von Inkonsistenzen irritieren lassen. Die Antwort C war lange Jahre hindurch falsch – heute aber können Sie ein Laufwerk partitionieren und formatieren, ohne den Computer neu zu starten. Siehe dazu den Abschnitt »Server sichern und wiederherstellen«. 10. A, C. Diese Frage ist einfach – manchmal bekommen Sie eine solche gestellt. NTDSUTIL kann die USN eines Objekts ändern, was über die maßgebende Wiederherstellung erledigt wird. NTDSUTIL kann außerdem Betriebsmasterrollen ändern und überschreiben. Das Sicherungsprogramm arbeitet mit Sicherungen, weshalb die Antwort B falsch ist. Das Programm zum Ändern von Berechtigungen heißt DSACLS (Directory Service Access Control Lists Setting), wodurch Antwort D falsch wird. Siehe dazu den Abschnitt »NTDSUTIL«. 11. B. Wenn sie keine Berechtigungen gehabt hätte, hätte sie sie nicht erstellen können. Die Antwort A ist daher falsch. Die Benutzer wären immer noch in der Gruppe, wenn sie die Benutzer über eine Vertrauensstellung hinzugefügt hätte. Die Antwort C ist daher falsch. Das Erstellen von Objekten verursacht unverzüglich eine Replikation. Wenn sie die Gruppe gesehen hat, der sie die Benutzer hinzugefügt hat, war sie offensichtlich auch vorhanden; die Antwort D ist daher falsch. Damit bleibt der Infrastrukturmaster, der für die Zuordnung der Benutzer zu Gruppen verantwortlich ist. Siehe dazu den Abschnitt »Serverrollen«. 12. C. In diesem Fall gibt es keine inkrementelle Sicherung, sodass die Antwort B ausscheidet. Die differenziellen Sicherungen sind verfügbar, sodass mit der Antwort C die letzte Sicherung bezeichnet wird und daher der Punkt ist, ab dem die Daten verloren sind. Wenn Sie alles bis zur letzten vollständigen Si-
351
352
Kapitel 5
Server verwalten
cherung verloren haben, werden differenzielle Sicherungen sinnlos, daher ist Antwort A falsch. Da die Antwort C schon zutrifft, ist die Antwort D automatisch unzutreffend. Siehe den Abschnitt »Server sichern und wiederherstellen«. 13. B, C. NTDSUTIL wird zum Verwalten von Servern, nicht von Berechtigungen verwendet. Die Antwort A scheidet daher aus. ACLDiag wird zum Anzeigen und Zurücksetzen der Berechtigungen verwendet. Das Zurücksetzen ändert die Berechtigungen, sodass Antwort B richtig ist. DSCALS ist speziell für diesen Zweck gedacht, sodass die Antwort C korrekt ist. DSAStat wird zum Auffinden und Vergleichen von Unterschieden zwischen den Verzeichnisdatenbanken zweier Server verwendet. Es nimmt keinerlei Änderungen vor, sodass die Antwort D ausscheidet. Siehe dazu den Abschnitt »NTDSUTIL«. 14. C. Das einzige Werkzeug, welches Datenpakete im Netzwerk sammelt und anzeigt, ist der Netzwerkmonitor. Die Ereignisanzeige (Antwort A) zeichnet nicht ein- und ausgehende Datenpakete, sondern Ereignisse im System auf, und ist daher falsch. Der Systemmonitor kann Ihnen viele Informationen über den Server liefern, zeigt aber nicht den Inhalt der Datenpakete an. Die Antwort B ist falsch. NETSTAT kann zum Anzeigen Ihrer Netzwerksitzungen verwendet werden, sammelt aber nichts und zeigt keine Daten an, weshalb die Antwort D falsch ist. Siehe dazu den Abschnitt »Domänencontroller überwachen«. 15. C. Diese Frage ist knifflig. Als Erstes denkt man, dass es ein Problem mit dem Server ist, weil sich keiner mit ihm verbinden kann. Jedoch kommt dies nicht in Frage – daher müssen Sie die einzelnen Antworten eliminieren. Die erste falsche Antwort betrifft den Schemamaster, der mit den alltäglichen Arbeitsabläufen nichts zu tun hat. Als Nächstes können Sie den Infrastrukturmaster ausscheiden lassen – die Benutzer konnten sich anmelden, sodass kein Problem mit den Gruppen vorliegt. Damit bleiben der Domänennamensmaster und der PDC-Emulator übrig. Das Problem könnte die Vertrauensstellungen betreffen, was den Domänennamensmaster ins Spiel bringt, der aber keine Beziehungen verwaltet. Die Beziehungen werden von den PDC-Emulatoren verwaltet, was bedeutet, dass die Antwort C korrekt ist. Siehe dazu den Abschnitt »Serverrollen«. Weiterführende Literaturhinweise und Quellen Microsoft Windows 2000 Server Resource Kit, Microsoft Windows 2000 Server Operations Guide, Microsoft Press, 2000. Microsoft Windows 2000 Server Resource Kit, Microsoft Windows 2000 Server Deployment Planning Guide, Microsoft Press, 2000.
Benutzerverwaltung mit Gruppenrichtlinien
6
Lernziele In diesem Kapitel werden Sie erfahren, wie Sie die Gruppenrichtlinie zu dem Zweck einsetzen, Benutzer und Gruppen auf der Ebene eines Standorts, einer Domäne und einer Organisationseinheit (OU) zu verwalten. Zunächst wird erklärt, was Gruppenrichtlinien sind, wie sie funktionieren und was unter ihrem Bereich zu verstehen ist; weiterhin, wo sie erstellt werden können, und wie ihre Anwendung durchgesetzt wird. Anschließend folgt eine Erörterung darüber, wie Gruppenrichtlinienobjekte auf den verschiedenen Ebenen in Active Directory erstellt werden. Das Durchsetzen der Gruppenrichtlinie und die Sicherheitseinstellungen der Richtlinien sind die nächsten Themen. Organisationen und Untenehmen sind keine statischen Gebilde, sondern im steten Wandel begriffen; Änderungen der geschäftlichen Verfahrensweisen kommen häufig vor. Der Schwerpunkt des anschließenden Themas wird sich daher mit der Verwaltung von Gruppenrichtlinien beschäftigen, worin das Delegieren der administrativen Kontrolle und die Modifizierung der Gruppenrichtlinie, nachdem sie erstellt worden ist, eingeschlossen sind. Das Kapitel wird dann die einzelnen Dinge erörtern, die durch Gruppenrichtlinien kontrolliert werden, wozu Computer- und Benutzereinstellungen und deren Rangfolge gehören. Zum Schluss folgen wieder eine Fallstudie und ein Abschnitt, in dem Sie das Erlernte testen und praktisch anwenden können. Im Kapitel sind einige der Themen und Unterthemen der Lerneinheit »Installieren, Konfigurieren, Verwalten, Überwachen, Optimieren und Fehlerbehebung im Änderungs- und Konfigurationsmanagement« enthalten. Die übrigen Themen werden in den entsprechenden anderen Kapiteln behandelt. Implementieren und Fehlerbehebung von Gruppenrichtlinien 씰
Gruppenrichtlinienvererbung modifizieren
씰
Gruppenrichtlinienobjekt (GPO) erstellen
씰
Vorhandenes GPO verknüpfen
354
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
씰
Gruppenrichtlinieneinstellungen durch die Verknüpfung von Sicherheitsgruppen und GPOs filtern
씰
Administrative Kontrolle über Gruppenrichtlinien delegieren
씰
Gruppenrichtlinien modifizieren
Die Gruppenrichtlinie ist eine der Schlüsselfunktionen von Windows 2000, die Ihnen die Möglichkeit zur wirksamen Kontrolle von Benutzer- und Computerumgebungen gibt. Der Zweck dieses Lernziels liegt darin, Sie mit den Vorgängen des Hinzufügens von Gruppenrichtlinien zu einem Active Directory-Container, der Verknüpfung existierender Gruppenrichtlinien mit einem Active Directory-Container und dem Löschen von Gruppenrichtlinienobjekten (GPOs) vertraut zu machen. Darüber hinaus werden Sie in Fragen der Vererbung von Gruppenrichtlinien zwischen verschiedenen Active Directory-Containern wie Standorten, Domänen und Organisationseinheiten geprüft. Auch die Konfigurierung der Sicherheit von Gruppenrichtlinienobjekten einschließlich der Delegierung der Verwaltung einer Gruppenrichtlinie an andere Benutzer gehört zur Prüfung. Verwaltung und Fehlerbehebung von Benutzerumgebungen mit Gruppenrichtlinien 씰
Benutzerumgebungen mit administrativen Vorlagen kontrollieren
씰
Skriptrichtlinien auf Benutzer und Computer anwenden
Durch administrative Vorlagen werden Registrierungseinstellungen für den Benutzer und/oder den Computer modifiziert, an dem der Benutzer sich anmeldet. Sie werden in der Frage geprüft werden, mit welchen Optionen Sie festlegen können, was dem Benutzer zu tun erlaubt ist, und wann in den administrativen Vorlagen Computer- oder Benutzereinstellungen verwendet werden. In manchen Fällen kann es erforderlich werden, Skripte zu dem Zweck einzusetzen, das Maß der Kontrolle über eine Benutzerumgebung über die Möglichkeiten administrativer Vorlagen hinaus auszudehnen. Sie werden zu der Frage getestet werden, wie Skripte erstellt und verarbeitet werden, und welche Skripttypen möglich sind. 씰
Netzwerkkonfiguration über Gruppenrichtlinien verwalten
Der Zweck dieses Lernziels besteht darin, sicherzustellen, dass Sie mit den Netzwerkelementen, die von Gruppenrichtlinien kontrolliert werden, vertraut sind. Hierzu gehören die Umleitung bestimmter Ordner und die Einstellungen für den Ablauf von RAS- und Netzwerkverbindungen sowie der Fähigkeit der Benutzer, Änderungen an den Netzwerkeinstellungen vorzunehmen.
6.1 Einführung
Tipps für das Selbststudium Hinsichtlich der Vorbereitung auf die Gruppenrichtlinien in der Prüfung »Implementing and Administering a Microsoft Windows 2000 Directory Services Infrastructure (70-217)« besteht der beste Weg, mit dem Thema vertraut zu werden, darin, die Sache praktisch in die Hand zu nehmen. Mit anderen Worten: Um zu verstehen, wie Gruppenrichtlinien funktionieren und welche Dinge mit ihnen kontrolliert werden können, sollten Sie unbedingt den Schritt-für-Schritt-Anleitungen und Übungen in diesem Kapitel sorgfältig folgen. Darüber hinaus ist auch ein gründliches Verständnis der Gruppenrichtlinienvererbung, des Filterns und der Optionen, die mit diesen beiden Gebieten zu tun haben, erforderlich. In der Prüfung werden Sie nicht nur dahingehend getestet werden, wie die Gruppenrichtlinie konfiguriert wird, sondern auch, wie sie arbeitet. Dabei werden Ihnen die Prüfungs- und Wiederholungsfragen am Ende dieses Kapitels eine gute Unterstützung sein. Das Thema Gruppenrichtlinien in der Windows-2000-Welt ist recht umfangreich und in diesem Buch daher in drei Kapitel aufgeteilt worden. Empfehlenswert ist auch ein gutes Verständnis dessen, was Sie mit Gruppenrichtlinien in sämtlichen Anwendungsbereichen (administrative Vorlagen, Sicherheitseinstellungen, Softwarebereitstellung und Desktop-Konfiguration) erreichen können. Arbeiten Sie daher dieses und die folgenden zwei Kapitel sorgfältig durch.
6.1
Einführung
Eines der leistungsfähigsten Werkzeuge innerhalb von Windows 2000 Active Directory ist der Einsatz der Gruppenrichtlinie, die eine zentrale Kontrolle der Benutzer, Gruppen und Computer in einem großen Unternehmen bietet. Über die Gruppenrichtlinie kann der Administrator eines sehr großen Netzwerks die Aktivitäten auf dem Desktop eines Benutzers auch dann kontrollieren, wenn der Benutzer selbst viele Kilometer entfernt ist. Die Gruppenrichtlinie befähigt den Administrator, Teile oder sogar alle administrativen Aufgaben an lokale administrative Ressourcen zu delegieren. Die Gruppenrichtlinie stellt vielleicht die bei weitem leistungsfähigste einzelne Komponente von Windows 2000 dar, die gleichwohl bei falscher Handhabung und Implementierung den meisten Kummer verursachen kann.
6.1.1
Gruppenrichtlinien – eine Einführung
Eine große Herausforderung jedes Administrators in einem Windows-2000-Netzwerk besteht darin, die Einstellungen für die Benutzer-Desktops und andere Komponenten an die im Unternehmen gebräuchlichen Standards anzupassen. Insbesondere gilt dies für große Organisationen mit vielen Benutzern oder sogar mehreren
355
356
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Niederlassungen in verschiedenen und voneinander getrennten Standorten. Active Directory stellt ein Verfahren zur Verfügung, mit dem derartige Einstellungen zentral kontrolliert werden können. Active Directory bietet außerdem ein Verfahren an, mit dem sichergestellt wird, dass sich diese Einstellungen auf alle Benutzer erstrecken, die diese benötigen, und zwar unabhängig von ihrem Standort. Das Verfahren, mit dem dies realisiert wird, ist die Gruppenrichtlinie. Mit der Gruppenrichtlinie kann ein Administrator den Status der Arbeitsumgebung eines Benutzers definieren und festlegen. Windows 2000 Active Directory sorgt dann dafür, dass die damit verbundenen Einstellungen durchgesetzt werden, und zwar unabhängig davon, welchen PC der Benutzer verwendet oder um welchen Benutzer es sich handelt. Die Gruppenrichtlinie erlaubt dem Administrator die folgenden Funktionen: 씰
Durchsetzen einer zentralen Kontrolle der Benutzer- und Computereinstellungen auf der Ebene von Standort und Domäne oder optional die Möglichkeit, lokalen Administratoren die Einbettung lokaler Einstellungen auf der Ebene der Organisationseinheit in die Hand zu geben. Dies ist insbesondere in großen Unternehmen mit vielen geografischen Standorten nützlich, da der Administrator auf diese Weise unternehmensweit geltende Einstellungen durchsetzen kann, während auf der lokalen Ebene immer noch kontrollierte Anpassungen möglich sind. Auf diese Weise steht beispielsweise allen Benutzern die unternehmensweite Intranet-Verknüpfung auf ihrem Desktop zur Verfügung, ohne dass sie dadurch an der Arbeit mit lokal angepassten Anwendungen wie etwa Office 2000 (z.B. die französische Version in Frankreich und die englischsprachige Version in Großbritannien) gehindert werden.
씰
Eine Desktop-Umgebung zur Verfügung stellen, in der die Benutzer ihrer täglichen Arbeit nachkommen können, ohne jedoch gleichzeitig unternehmenswichtige Anwendungen ändern oder entfernen zu können. Hierdurch werden gleichzeitig die Anforderungen an den technischen Support verringert, da Probleme wegen funktionsunfähiger und falsch bedienter Computer vermieden werden.
씰
Festlegen des Erscheinungsbildes des Desktops und der Computerfunktionen durch Kontrolle der Software, die installiert ist bzw. installiert werden darf. Die Gruppenrichtlinie erlaubt die Kontrolle über die Registrierungseinstellungen für Benutzer und Computer, den Start von Skripten zum Ändern der Computer- und Benutzerumgebung, Sicherheitseinstellungen für Computer und Domänen sowie die automatische Installation (oder sogar Entfernung) von Software. Mit der Gruppenrichtlinie ist auch die Kontrolle bestimmter
6.1 Einführung
kritischer Datenverzeichnisse wie etwa dem Basisverzeichnis des Benutzers und dem Arbeitsverzeichnis für das Desktop möglich. Sicherstellen, dass die unternehmensweiten Richtlinien einschließlich von Geschäftsregeln und Sicherheitsanforderungen durchgesetzt werden. So kann beispielsweise gewährleistet werden, dass ein Benutzerkennwort immer eine minimale Länge haben muss, die Benutzer ihr Kennwort alle 90 Tage zu ändern haben, und sich auf dem Desktop aller Benutzer immer eine Verknüpfung zum Unternehmens-Intranet befindet.
씰
HINWEIS Gruppenrichtlinie unter Windows NT 3.51 oder 4.0 Die Gruppenrichtlinie kann die Durchsetzung der Einstellungen für Clients mit Windows NT 3.51 oder 4.0 nicht erzwingen, da diese Betriebssysteme Active Directory nicht unterstützen. Für Clients mit Windows NT 3.51 oder niedriger müssen Sie nach wie vor auf die in NT verfügbaren Systemrichtlinien zurückgreifen, mit denen Benutzer- und Computereinstellungen innerhalb der NT-Domänenstruktur durchgesetzt werden. Dasselbe gilt für Clients mit Windows 95 und 98. Grundsätzlich gilt, dass kein Client Gruppenrichtlinien verwenden kann, der nicht unter Windows 2000 läuft. Sie müssen an dieser Stelle Systemrichtlinien einsetzen.
Die Gruppenrichtlinie ist eine Technik, die auf der Ebene des Standorts, der Domäne und Organisationseinheit innerhalb von Active Directory angewendet werden kann. Weil die Gruppenrichtlinie ein Active Directory-Objekt ist, kann man sie dazu benutzen, die zuvor erwähnten Einstellungen auf jedem Windows-2000-Client durchzusetzen. Dies sind Clients mit Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server und Windows 2000 Data Center Server.
6.1.2
Gruppenrichtlinienkomponenten
Die Gruppenrichtlinie stellt ein Objekt innerhalb von Active Directory dar und wird als Gruppenrichtlinienobjekt (GPO = Group Policy Object) bezeichnet. Die GPO stellt viele Einstellungen zur Verfügung, mit denen Sie zahlreiche Aspekte der ITUmgebung kontrollieren können. Als Objekt in Active Directory kann es mit verschiedenen Active Directory-Containern verknüpft werden (Standorte, Domänen und OUs). Weil sich GPOs mit verschiedenen Containern verknüpfen lassen, eignen sie sich auch zur Durchsetzung organisationsweit (Standorte und Domänen) oder abteilungsweit (OU) geltender Regeln.
357
358
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
HINWEIS Vorkonfigurierte GPOs Wenn Sie Active Directory installieren und den ersten Domänencontroller in der ersten Domäne der ersten Gesamtstruktur installieren, erstellt Windows 2000 Active Directory automatisch zwei Gruppenrichtlinienobjekte: Default Domain Policy und Default Domain Controllers Policy (standardmäßige Domänen- und Domänencontrollerrichtlinie). Diese Standardrichtlinien werden an alle Domänencontroller verteilt, die in allen anderen Domänen in der Gesamtstruktur erstellt werden. Voreinstellungen für die Werte in den GPOs der Benutzer und Computer in der Domäne nehmen Sie in der Default Domain Policy vor. Wenn alle Domänencontroller in allen Domänen mit denselben Einstellungen starten sollen, modifizieren Sie zu diesem Zweck die Default Domain Controllers Policy auf diesem ersten Domänencontroller. Wie Sie später noch erfahren werden, können Domänenadministratoren innerhalb der untergeordneten Domänen diese Einstellungen wieder ändern.
Gruppenrichtlinienobjekte bestehen aus zwei Komponenten: GruppenrichtlinienContainer (GPC) und Gruppenrichtlinienvorlage (GPT). Abbildung 6.1 Der Gruppenrichtlinien-Container in ACTIVE DIRECTORYBENUTZER UND -COMPUTER
Der GPC (siehe Abbildung 6.1) ist ein Active Directory-Objekt, welches die GPOAttribute und Versionsinformationen enthält. Jedes GPO wird durch eine globale ID (Globally Unique Identifier, GUID) dargestellt. Die GUID ist eine 128-Bit-Zahl, die das GPO innerhalb der Gesamtstruktur, der Domänenstruktur und der Domäne eindeutig identifiziert. Die GUID kann vom Benutzer weder geändert noch entfernt werden, und wird automatisch von Active Directory verwaltet. Auch die mit dem GPO verknüpften Versionsinformationen werden innerhalb von Active Directory überwacht. Sie werden mit dem GPC verknüpft und von den Domänencontrollern
6.1 Einführung
gemeinsam genutzt. Jeder Domänencontroller überprüft mit den in Active Directory und dem GPC enthaltenen Informationen, ob er die aktuelle Version eines GPO besitzt. Hat er diese aktuelle Version nicht, findet ein Replikationsvorgang statt, der diese Version von einem anderen Domänencontroller überträgt. Die folgenden Schritte demonstrieren, wie dies geschieht.
SCHRITT FÜR SCHRITT 6.1
GUIDs der Gruppenrichtlinie anzeigen
1. Klicken Sie zum Anzeigen des Gruppenrichtlinien-Containers in Active Directory im Menü ANSICHT auf ERWEITERTE FUNKTIONEN. 2. Blenden Sie zur Anzeige der GUIDs aller bekannten GPOs innerhalb der Domäne die Domäne, den System-Container und den Policies(Richtlinien)-Container ein. Die Gruppenrichtlinienvorlage (GPT) stellt einen Satz von Ordnern und Unterordnern in der SYSVOL-Freigabe auf Windows-2000-Domänencontrollern dar. Jede erzeugte GPO ergibt eine neue Ordnerhierarchie, in der die vom GPO benötigten physischen Dateien und Einstellungen enthalten sind. Hierzu gehören die administrativen Vorlagen, die Sicherheitseinstellungen, Skripte, Softwareinstallationsvorgaben und die Ordnerumleitungsdirektiven. Clients mit Windows 2000 verbinden sich mit dem freigegebenen SYSVOL-Ordner, um diese Einstellungen zu bekommen und den Inhalt anzuwenden. Jeder GPT-Ordner heißt so wie die GUID des GPOs, die gleichzeitig zur Identifizierung im GPC verwendet wird. Die von Active Directory und der dazugehörigen GPT-Struktur wie auch dem GPC verwendete eindeutige ID (die GIUD) ändert sich auch dann nicht, wenn Sie ein GPO nach dem Erstellen umbenennen. Die Abbildung 6.2 zeigt die Struktur einer Beispiel-GPT in der SYSVOL-Freigabe eines Domänencontrollers. Wie Sie also gesehen haben, kann die Gruppenrichtlinie dazu verwendet werden, sowohl für Computer als auch Benutzer eine Reihe von Einstellungen durchzusetzen. Wie zuvor erwähnt, bestehen Gruppenrichtlinienobjekte aus zwei Komponenten: GPC und GPT. Die Gruppenrichtlinie kann nur zum Durchsetzen von Computer- und benutzerbezogenen Einstellungen auf Windows-2000-Computern benutzt werden – Einstellungen anderer Computer (Windows NT, Windows 9x) bedürfen immer noch der Systemrichtlinie.
359
360
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.2 Die Ordnerhierarchie der Gruppenrichtlinienvorlage in der SYSVOL-Freigabe auf einem Windows-2000-Domänencontroller
6.2
Gruppenrichtlinienbereich
Die Gruppenrichtlinie verfügt über einen bestimmten Satz von Regeln, dem sie folgt, wenn sie auf Benutzer und Computer angewendet wird. Einer dieser Regelsätze hat damit zu tun, was mit jedem Active Directory-Container passiert, in dem eine Gruppenrichtlinie existiert (Vererbung), während andere Regeln die Frage betreffen, wie die Einstellungen mehrerer GPOs kombiniert werden, um eine maximale Wirkung in der Anwendung zu erzielen. Schließlich gibt es noch einen dritten Regelsatz, der sich damit befasst, wie GPOs innerhalb desselben Active DirectoryContainers verarbeitet werden. Alle diese verschiedenen Bereiche werden im Folgenden besprochen. Jedes GPO kann innerhalb von Active Directory mit einem oder mehreren Containern verknüpft werden, weil GPOs aus einem separaten Gruppenrichtlinien-Container bestehen. Anders ausgedrückt: Sie können ein einzelnes Gruppenrichtlinienobjekt mit einer vordefinierten Sammlung von Einstellungen erzeugen, die immer angewendet werden sollen (beispielsweise ein Hintergrundbild auf dem Desktop mit dem Firmenlogo). Dieses GPO könnte dann selektiv mit den Organisationseinheiten Marketing und Vertrieb innerhalb der Unternehmensdomäne verknüpft werden, während andere Organisationseinheiten wie beispielsweise FuE oder Support solche verknüpften GPOs unter Umständen gar nicht haben. Auf diese Weise gewährleisten die GPOs die Geltung bestimmter Einstellungen nur für bestimmte Benutzer und Computer, während andere diese nie zu Gesicht bekommen. Der Vorteil dieser Verfahrensweise besteht darin, dass es nicht notwendig wird, mehrere separate GPOs zu erstellen, um für verschiedene Teile Ihres Unternehmens diesel-
6.2 Gruppenrichtlinienbereich
ben Einstellungen durchzusetzen. Eine GPO kann für mehr als einen organisatorischen Teil in Active Directory verwendet werden. Die Administratoren haben außerdem die Möglichkeit, mehr als eine GPO mit demselben Active Directory-Container zu verknüpfen. Anstatt beispielsweise sowohl die Einstellungen für den Benutzerdesktop und die Softwareinstallation in einer GPO unterzubringen, kann der Administrator festlegen, für jede Einstellung ein getrenntes GPO zu erzeugen. Auf diese Weise würden Änderungen am Desktop, die über die GPO durchgeführt werden, nicht dazu führen, dass das GPO für die Softwareinstallation unnötig repliziert wird. Die Administration wird dadurch erleichtert und beeinträchtigt die Systemleistung weniger. Die GPOs werden bei der Anmeldung eines Benutzers oder beim Start eines Computers nur dann angewendet, wenn sie für diesen Container konfiguriert worden sind.
6.2.1
Gruppenrichtlinienvererbung
Abbildung 6.3 Gruppenrichtlinienvererbung während der Verarbeitung
SITE
Domäne
Organisationseinheit
Bei der Verarbeitung der Gruppenrichtlinien wird eine eindeutige Vererbungshierarchie eingehalten (siehe Abbildung 6.3). Dies bedeutet, dass beim Vorliegen ähnlicher Einstellungen auf verschiedenen Ebenen die Reihenfolge der angewendeten GPOs darüber entscheidet, welche Einstellung schließlich auf den Computer oder den Benutzer angewendet wird. Ein Administrator kann auf diese Weise auf der Ebene der Organisationseinheit eine Einstellung überschreiben, die auf der Ebene der Domäne oder des Standorts definiert worden ist. Wie Sie später im Kapitel noch
361
362
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
sehen werden, kann dies von einem Administrator einer höheren Ebene (Domäne oder Organisation) wiederum überschrieben werden. Die zuerst verarbeiteten GPOs sind diejenigen für das Active Directory an dem Standort, an dem sich der Benutzercomputer befindet. Die Computer- und Benutzereinstellungen werden verarbeitet und auf die Registrierung angewendet. Da der Standort einen physischen Ort repräsentiert und ein einzelner Standort mehr als eine Domäne haben kann, ist es wichtig, mit der Gruppenrichtlinie zu beginnen, die eventuelle nationale Besonderheiten oder andere regionale Anforderungen berücksichtigt. Diese Gruppenrichtlinie gilt für den Standort, an dem sich der Computer und der Benutzer befinden. Die nächsten verarbeiteten GPOs sind diejenigen für eine Domäne. Benutzer, Gruppen und Computer sind immer mit einer Domäne verknüpft. Domänenweite Richtlinien betreffen daher auch sämtliche Benutzer und werden hauptsächlich zu dem Zweck verwendet, domänenweite Restriktionen oder allgemeine Geschäftsregeln und Einstellungen durchzusetzen. In Unternehmen, die zur Differenzierung von verschiedenen Geschäftsfeldern eine Domänenstruktur benutzen, stellt diese Verfahrensweise sicher, dass jedes Geschäftsfeld seine eigenen Regeln anwendet, ohne die anderen Teile des Unternehmens zu beeinflussen. Wie bei der Anwendung von GPOs auf Standorte werden auch die Computer- und Benutzereinstellungen, die über die Richtlinie definiert sind, auf die Registrierung übertragen.
HINWEIS Lokales Gruppenrichtlinienobjekt Jeder Computer mit Windows 2000 verfügt auch über ein lokales GPO. So können Einstellungen konfiguriert werden, die nur für diesen Computer gelten und nicht an andere PCs mit Windows 2000 repliziert werden. Bei Verwendung von Active Directory können diese Einstellungen durch Richtlinien überschrieben werden, die auf der Ebene des Standorts, der Domäne oder Organisationseinheit definiert worden sind. Diese Einstellungen gelten dann als die am wenigsten einflussreichsten (d.h., sie haben die niedrigste Priorität). In einer Umgebung ohne Active Directory wie beispielsweise einer Arbeitsgruppe ohne Windows2000-Domänencontroller sind GPOs dieser Art die einzigen, die angewendet werden können – ihre Bedeutung ist daher entsprechend größer.
Zuletzt werden die GPOs für die Organisationseinheit verarbeitet, in der sich der Benutzer oder Computer innerhalb von Active Directory befindet. Active Directory ermöglicht es einer Domäne oder einem Organisations-Admin, die Benutzer und Computer innerhalb einer Domäne weiter in administrative Einheiten namens OUs zu unterteilen. Richtlinien dieser Art sollten daher nur für die kleinstmögliche Anzahl an Objekten angewendet werden, und Sie sollten sicherstellen, dass darüber hinaus sehr spezielle Regeln durchgesetzt werden. Nehmen Sie beispielsweise an,
6.2 Gruppenrichtlinienbereich
dass Sie innerhalb der Unternehmensstruktur eine Domäne Vertrieb haben, in der Sie eine Organisationseinheit Telemarketing erstellen. Die Benutzer, die in dieser OU untergebracht werden, brauchen restriktivere Desktopeinstellungen als die anderen Vertriebsmitarbeiter in der Organisation. Sie erreichen dies, indem Sie eine GPO mit der OU Telemarketing verknüpfen und die Gruppenrichtlinie mit dieser Einstellung konfigurieren. Wie bei der Anwendung der GPOs auf Standorte und Domänen werden auch die von der Richtlinie definierten Benutzer- und Computereinstellungen auf die Registrierung übertragen.
HINWEIS Verarbeitung der Systemrichtlinie In Umgebungen, in denen sich sowohl Clients mit Windows 2000 und Windows 9x oder NT 4.0 befinden, brauchen Sie unter Umständen immer noch Systemrichtlinien zum Durchsetzen von Desktop- oder anderen Einstellungen. Bei der Anmeldung eines Clients mit Windows 9x oder NT 4.0 am Netzwerk verarbeitet dieser anstelle der Gruppenrichtlinie die Systemrichtlinie. Falls sich Domänencontroller mit Windows NT 4.0 in der Domäne befinden, senden diese den Benutzern bei der Anmeldung an der Domäne ebenfalls die Systemrichtlinie. Je nach den Richtlinieneinstellungen kann dies die Konfiguration eines Client-Computers ändern; sogar eines Clients mit Windows 2000. Es ist daher empfehlenswert, Domänencontroller so schnell wie möglich auf Windows 2000 zu aktualisieren. Auf Windows 2000 aktualisierte Computer behalten nach der Aktualisierung die Registrierungsänderungen bei, die von der Systemrichtlinie des Windows-NTSystems vorgenommen worden sind. Der Grund liegt darin, dass Änderungen der Registrierung als Ergebnis einer Systemrichtlinie während der Aktualisierung nicht zurückgesetzt werden.
Gruppenrichtlinien folgen einem bestimmten Vererbungspfad, der dem Administrator die Gelegenheit verschafft, die Anwendung der Einstellungen auf Benutzer und Computer speziell anzupassen. Die Vererbungshierarchie verläuft immer in Richtung Standort, Domäne und OU, und endet dabei mit der OU, die sich in unmittelbarer Nähe des Benutzer- oder Computerobjekts befindet, auf welches das GPO angewendet wird.
6.2.2
Gruppenrichtlinienverarbeitung
Wie schon erwähnt, können GPOs mit einem Standort, einer Domäne oder Organisationseinheit in Active Directory verknüpft werden. Es ist möglich, mehr als eine GPO mit demselben Container zu verknüpfen, die alle zusammen in Abhängigkeit von der Sicherheit und weiteren konfigurierten Einstellungen verarbeitet werden.
363
364
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Die tatsächlich von Windows 2000 ausgeführten Schritte bei der Verarbeitung einer Gruppenrichtlinie sind recht simpel. Als Erstes muss ein Windows-2000-Computer beim Start mit den Domänencontrollern in der Domäne kommunizieren, um DNS und andere Einstellungen zu aktualisieren und um sicherzustellen, dass er vom Domänencontroller bemerkt wird. Während dieser Prozedur werden die GPOs mit den Computereinstellungen, die auf den Windows-2000-Computer angewendet werden müssen, verarbeitet und auf die Registrierung übertragen. Zu diesem Zeitpunkt werden außerdem die zuvor erstellten und dem Computer zugewiesenen Startskripte verarbeitet, und gewährleisten damit, dass die Computereinstellungen erwartungsgemäß angewendet werden. Bei der Anmeldung eines Benutzers an einem Windows-2000-Computer werden sämtliche GPOs angewendet, die mit dem Standort, der Domäne oder Organisationseinheit verknüpft worden sind, zu der der Benutzer gehört, und die für diesen Benutzer oder die Gruppe, in der der Benutzer Mitglied ist, konfiguriert worden sind. Dies bedeutet, dass zwei Benutzer, die sich zu verschiedenen Zeiten am selben Computer anmelden, je nach ihren Richtlinien zwei komplett andersartige Umgebungen vorfinden können. Außerdem kann Windows 2000 nach der Anmeldung eines Benutzers am Computer Anmeldeskripte ausführen, die für dieses Benutzer oder eine Gruppe, in der er Mitglied ist, konfiguriert worden sind. Die Administratoren können den Inhalt von GPOs im Laufe der Zeit abändern. Da einige dieser Einstellungen unter Umständen in sehr kurzer Zeit angewendet werden müssen unterstützt Windows 2000 eine automatische Aktualisierung von Gruppenrichtlinien im laufenden Betrieb und bei noch angemeldeten Benutzern. Dies gewährleistet, dass Gruppenrichtlinien konsequent auf alle Benutzer und Computer sogar dann angewendet werden, wenn sich ein Benutzer niemals abmeldet oder der betreffende Computer niemals abgeschaltet wird. Auf diese Weise ist es möglich, einen konsistenten Satz von Regeln aufzustellen, die überall im Unternehmen und in jedem Teilbereich einer Organisation befolgt werden. Domänencontroller innerhalb von Windows 2000 Active Directory aktualisieren bzw. erneuern die Anwendung von GPOs alle 5 Minuten. Windows-2000-Mitgliedsserver, die im Rahmen der Verarbeitung von GPOs als Clients angesehen werden, aktualisieren die Gruppenrichtlinie alle 90 Minuten plus/minus einer Verzögerungszeit von etwa 30 Minuten. Hierdurch wird gewährleistet, dass alle Domänencontroller und die Server, mit denen sich die Benutzer verbinden, aktuelle Kopien der geltenden Gruppenrichtlinien haben. Dies heißt nicht, dass GPOs alle 5 Minuten unter den Domänencontrollern ausgetauscht werden, sondern dies geschieht erst dann, wenn die Gruppenrichtlinien verändert werden. Ein Teil dieser Überprüfung findet statt, wenn ein GPO aktualisiert werden muss. Die Aktualisierung geschieht bei der Veränderung eines GPO, was über die Versionsnummer der GPO verfolgt wird.
6.2 Gruppenrichtlinienbereich
Windows-2000-Clients aktualisieren GPOs ebenfalls nur alle 90 Minuten plus/ minus 30 Minuten. Der Aktualisierungsintervall wird unter den Windows-2000-Clients absichtlich verzögert, damit sichergestellt ist, dass die Netzwerkbandbreite im Verlauf der GPO-Aktualisierung nicht überlastet wird. Nehmen Sie beispielsweise an, dass Sie 200 oder mehr Clients haben, die mit einer kleinen Anzahl von Servern und Domänencontrollern verbunden sind. Jeder Client kommuniziert mit jedem Domänencontroller im Rahmen der GPO-Aktualisierung zu unterschiedlichen Zeiten, jedoch immer innerhalb des 90-Minuten-Intervalls. Die erstmalige Überprüfung stellt fest, ob GPOs sich geändert haben und downgeloadet werden müssen. Diesem Vorgang folgt dann der Download der geänderten GPOs. Während dieses Vorgangs werden Änderungen, die an dem GPO vorgenommen worden sind, unverzüglich auf den Client angewendet; auch dann, wenn der Benutzer noch angemeldet sein sollte. Die standardmäßig eingestellte Aktualisierungsrate für ein GPO kann innerhalb der GPO-Vorlage verändert werden. Sie haben so die Möglichkeit, eine standardmäßige Aktualisierungshäufigkeit, die Ihnen zu hoch erscheint, zu verringern oder umgekehrt auch zu erhöhen. Das Ändern der Aktualisierungshäufigkeit kann eine gewisse Verzögerung zwischen der Änderung der GPO und der entsprechenden Anwendung auf dem Client-Computer mit sich bringen (sofern anstelle des Aktualisierungsintervalls von 90 ein höherer von beispielsweise 180 Minuten verwendet wird). Das Ändern der Aktualisierungshäufigkeit kann Netzwerkprobleme verursachen, wenn die Aktualisierung stark verkürzt wird, weil dann alle Clients viel häufiger mit den Domänencontrollern kommunizieren müssen, um nach anstehenden Aktualisierungen zu fragen.
HINWEIS Aktualisierungsregeln Die Einstellungen zur Softwareinstallation, zu Offline-Dateien und zur Ordnerumleitung, die über die Gruppenrichtlinie festgelegt werden können, folgen nicht den Aktualisierungsregeln. Diese GPO-Einstellungen werden nur beim Start eines Computers oder bei der Anmeldung eines Benutzers angewendet. Damit Änderungen an den Einstellungen eines GPO wirksam werden, muss der PC entweder neu gestartet oder der Benutzer ab- und wieder angemeldet werden. Hierdurch wird sichergestellt, dass Dateien, die ein Benutzer während einer Sitzung benötigt, nicht zu mehr als einem Standort umgeleitet werden, und somit keine Verwirrung entsteht.
Eine der größten Veränderungen in Windows 2000 betrifft die Möglichkeit, Gruppenrichtlinieneinstellungen über verschiedene Ebenen (Standort, Domäne oder OU) in Active Directory zu vererben. Die automatische Neuanwendung von GPO-Einstellungen auf alle Domänencontroller, Mitgliedsserver und Windows-2000-Clients zur Gewährleistung aktueller Einstellungen stellt einen Schlüsselvorteil dar. Die Kombination der Gruppenrichtlinienvererbung (die Reihenfolge, in der GPOs aus-
365
366
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
gewertet werden) mit ihrer Verarbeitung (wie GPOs innerhalb desselben Containers und im Netzwerk verarbeitet werden) ist ein sehr wichtiger Punkt dieses Themas und wird als Nächstes behandelt.
6.2.3
Gruppenrichtlinien kombinieren
Implementieren und Fehlerbehebung von Gruppenrichtlinien 씰
Gruppenrichtlinienvererbung modifizieren
Sie haben bereits erfahren, dass Sie GPOs auf drei Ebenen erstellen können: Standorte, Domänen und OUs. Es ist darüber hinaus möglich, mehr als eine Richtlinie pro Ebene mit verschiedenen oder ähnlichen Einstellungen zu erzeugen. Es ist daher wichtig zu verstehen, was genau bei der Kombination von GPOs geschieht, und was das Endergebnis aller angewendeten GPOs sein wird. Der Prozess ist aber wegen der gradlinigen Regeln einfacher, als Sie ihn sich vielleicht vorgestellt haben. Beim Start eines Computers und bei der Anmeldung eines Benutzers stellt der Domänencontroller fest, welche GPOs sowohl auf den Computer als auch den Benutzer angewendet werden müssen. Der Domänencontroller verarbeitet nun als Erstes die GPOs des Computers und anschließend diejenigen für den Benutzer. Er reicht anschließend an den Client eine Liste der angewendeten GPOs weiter. Der Client verbindet sich mit dem SYSVOL-Ordner auf dem Domänencontroller, lokalisiert die Gruppenrichtlinienvorlage des ersten vom Domänencontroller gelieferten GPO, und wendet die Gruppenrichtlinieneinstellungen an. Dieser Prozess wird für alle GPOs wiederholt, die der Domänencontroller für den Client bereithält. Der ganze Vorgang fährt dann mit den Regeln zur Gruppenrichtlinienvererbung fort, die weiter oben erörtert worden sind (Standort, dann Domäne, und zum Schluss OU). Falls auf dieser Stufe der Verarbeitung mehrfache GPOs auf den Computer und/oder Benutzer auf derselben Ebene (Standort, Domäne oder OU) angewendet werden müssen, werden sie von unten nach oben verarbeitet; und zwar in der Reihenfolge, in der sie im Gruppenrichtlinienbereich des Containers, mit dem sie verknüpft sind, auftauchen. Im Beispiel der Abbildung 6.4 werden beide GPOs auf denselben Benutzer bzw. Computer angewendet, wobei zuerst die Kennwortrichtlinie und anschließend die Default Domain Policy angewendet wird. Falls auch in der Default Domain Policy Einstellungen zur Kennwortrichtlinie (siehe Abbildung 6.5 als Beispiel für Kennworteinstellungen) enthalten sind, erhalten die Einstellungen in der Default Domain Policy den Vorrang.
6.2 Gruppenrichtlinienbereich
Abbildung 6.4 Mehrfache GPOs können mit demselben Active Directory-Container verknüpft werden. Die Verarbeitung erfolgt von unten nach oben
Abbildung 6.5 Kennwortrichtlinie für Einstellungen zur Komplexität und Länge des Kennworts
Das folgende Szenario soll als Beispiel dienen: Sie definieren eine Einstellung in der Kennwortrichtlinie. Diese Richtlinie sieht vor, dass das Kennwort mindestens aus sechs Zeichen bestehen und eine Kombination aus Großbuchstaben, Kleinbuchstaben, Ziffern oder Symbolen darstellen soll. Die Default Domain Policy verfügt
367
368
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
ebenfalls über eine Kennwortrichtlinie, die besagt, dass das Kennwort aus acht Zeichen bestehen soll, aber keine Komplexität haben muss. Aus dieser Situation ergibt sich als wirksame Richtlinie, dass ein Kennwort aus acht Zeichen (wie zuletzt in der Default Domain Policy definiert) besteht und, wie in der Kennwortrichtlinie vorgesehen, die Komplexität durchgesetzt wird, weil diese Einstellung von der Default Domain Policy nicht explizit behandelt bzw. nicht deaktiviert worden ist (siehe Abbildung 6.6). Abbildung 6.6 Die Default Domain Policy zur Komplexität und Länge des Kennworts. Beachten Sie, dass die Einstellung zur Kennwortkomplexität nicht aktiviert ist, sodass auf dieser Ebene keine Änderungen stattfinden
Regeln zur Gruppenrichtlinienverarbeitung Wie zuvor schon erwähnt, folgt Windows 2000 bei der Anwendung der Gruppenrichtlinien einer ganzen Reihe von Regeln, von denen einige bereits erörtert worden sind. Alle Regeln finden Sie in der folgenden Übersicht aufgereiht: 씰
Gruppenrichtlinieneinstellungen werden so lange angewendet, wie kein Konflikt auftritt. Dies bedeutet, dass die effektiv wirksamen Richtlinien, die auf einen Benutzer oder Computer angewendet werden, eine Summe der GPOs aller Standorte, Domänen und OUs darstellen, die für den Benutzer und den Computer definiert worden sind.
씰
Auftretende Konflikte werden als identische Einstellungen definiert, die auf mehr als einer Ebene oder in mehr als einer OU in derselben Ebene definiert worden sind (wie im Beispiel weiter oben demonstriert). Tritt ein Konflikt auf, werden die Regeln der Gruppenrichtlinienvererbung angewendet, bis der Konflikt aufgelöst ist.
씰
Die Gruppenrichtlinienvererbung folgt dem Pfad Standort – Domäne – OU.
6.3 Gruppenrichtlinien erstellen und verwalten
씰
Falls mehr als ein GPO mit demselben Active Directory-Container verknüpft ist, werden die GPOs von unten nach oben entsprechend der Liste Gruppenrichtlinie des Containers verarbeitet.
씰
Es wird immer die letzte verarbeitete Einstellung angewendet, was bedeutet, dass bei Konflikten in den Einstellungen verschiedener GPOs in der Vererbungshierarchie diejenige Einstellung angewendet wird, die sich im letzten Container befindet.
씰
Wenn Einstellungen von GPOs, die mit demselben Active Directory-Container verknüpft sind, im Konflikt miteinander stehen, wird die GPO angewendet, die zuoberst in der Liste steht und somit die höchste Priorität hat.
씰
Falls eine Einstellung sowohl für einen Benutzer als auch einen Computer auf derselben GPO-Ebene definiert worden ist, wird die Computereinstellung immer dann angewendet, wenn sie mit einer Benutzereinstellung im Konflikt steht. Mit anderen Worten: Auf derselben GPO-Ebene besitzt die Computereinstellung gegenüber der Benutzereinstellung den Vorrang.
Bereich, Vererbung und Verarbeitungsreihenfolge einer Gruppenrichtlinie sind klar definiert. Gruppenrichtlinien können entweder auf den Computer oder den Benutzer angewendet werden, wobei die Computerrichtlinie eine höhere Priorität gegenüber der Benutzereinstellung besitzt. Der folgende Abschnitt erläutert, wie Sie GPOs auf verschiedenen Ebenen in Active Directory erstellen.
6.3
Gruppenrichtlinien erstellen und verwalten
Implementieren und Fehlerbehebung von Gruppenrichtlinien 씰
Gruppenrichtlinienobjekt (GPO) erstellen
씰
Vorhandene GPO verknüpfen
Das Erstellen von GPOs ist ein recht einfacher und gradliniger Vorgang. Sie benötigen dafür die Administratorrechte in der Domäne oder OU, in der Sie die Richtlinie erstellen möchten. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Gruppenrichtlinie für eine Domäne erstellen.
369
370
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
SCHRITT FÜR SCHRITT 6.2
Gruppenrichtlinie für eine Domäne erstellen
1. Klicken Sie auf START/PROGRAMME/VERWALTUNG (siehe Abbildung 6.7). Abbildung 6.7 Die Programmgruppe VERWALTUNG in Windows 2000
2. Da Sie eine Gruppenrichtlinie für die Domäne erstellen, wählen Sie als Nächstes ACTIVE DIRECTORY-BENUTZER UND -COMPUTER aus. Jetzt wird die Microsoft Management Console (MMC) gestartet (siehe Abbildung 6.8). Abbildung 6.8 Das Snap-In Active Directory-Benutzer und -Computer in der Microsoft Management Console
6.3 Gruppenrichtlinien erstellen und verwalten
3. Zum Erstellen der Gruppenrichtlinie klicken Sie mit der rechten Maustaste auf dem Active Directory-Container, in dem Sie die Richtlinie erstellen möchten. In Windows 2000 Active Directory-Benutzer und -Computer haben Sie die Berechtigung, ein GPO entweder im Container des Domänencontrollers oder in der Domäne selbst zu erstellen. Zum Erstellen einer domänenweit geltenden Richtlinie klicken Sie mit der rechten Maustaste auf dem Domänennamen und wählen im Kontextmenü EIGENSCHAFTEN aus (siehe Abbildung 6.9) Abbildung 6.9 Das Dialogfeld EIGENSCHAFTEN für die Domäne in Active Directory-Benutzer und -Computer
HINWEIS Gruppenrichtlinien und Standard-Container Es ist nicht möglich, eine Gruppenrichtlinie mit den standardmäßigen Active Directory-Containern Users, Computers, Builtin und Foreign Security Principals zu verknüpfen. Der Grund liegt darin, dass das Standard-Domänen-GPO, welches während der Installation von Windows 2000 erstellt wird, bereits mit dem Inhalt dieser Container in Verbindung steht. Das Erstellen eines GPO in diesen Containern wäre also redundant, da diese mit allen GPOs, die in der Domäne erstellt werden, bzw. mit GPOs, die mit Domänencontrollern verknüpft sind, zu tun haben.
371
372
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
4. Das Dialogfeld in der Abbildung 6.9 zeigt alle Container in Active Directory an, mit denen GPOs verknüpft werden können. Durch die Auswahl der Registerkarte GRUPPENRICHTLINIE in diesem Dialogfeld erscheint der Bildschirm in der Abbildung 6.10, der die aktuell mit dem Container verknüpften GPOs anzeigt. Falls mehr als ein GPO mit dem Container verknüpft ist, verläuft die Anwendungsreihenfolge von unten nach oben. In dieser Registerkarte stehen Ihnen verschiedene Schaltflächen zum Erstellen und Verwalten von Gruppenrichtlinien zur Verfügung, deren Funktionen jetzt beschrieben werden: Abbildung 6.10 Die Registerkarte GRUPPENRICHTLINIE eines Active Directory-Containers, der ein mit ihm verknüpftes GPO besitzt
Schaltfläche
Funktion
NEU
Erstellt ein neues GPO auf der Ebene dieses Containers und fügt es unten in die Liste der GPOs dieses Containers ein. Die GPO wird dann automatisch mit diesem Container verknüpft und nach dem Erstellen auf die normalen Benutzer angewendet.
HINZUFÜGEN
Damit verknüpfen Sie ein in einem anderen Active DirectoryContainer erstelltes GPO mit diesem Container und fügen es unten in die Liste der GPOs für diesen Container ein. Das verknüpfte GPO wird ebenfalls nach der Verknüpfung automatisch auf normale Benutzer angewendet.
6.3 Gruppenrichtlinien erstellen und verwalten
Schaltfläche
Funktion
BEARBEITEN
Hiermit können Sie die Attribute des GPO bearbeiten und Richtlinieneinstellungen aktivieren oder deaktivieren. Nach der Bearbeitung des GPO werden die Änderungen unter Verwendung der zuvor umrissenen normalen Aktualisierungsrate auf alle Benutzer und Computer angewendet, die von der Richtlinie betroffen sind.
OPTIONEN
Ermöglicht Ihnen die Einstellung von Optionen für das GPO. Hierin eingeschlossen ist, ob das GPO aktiviert oder deaktiviert ist, und ob seine Einstellungen auf niedrigeren Ebenen der Vererbungshierarchie deaktiviert werden sollen.
LÖSCHEN
Hiermit können Sie die Verknüpfung zum GPO in diesem Container und optional die mit dem GPO verknüpfte GPT löschen. Durch das Löschen der GPT wird das GPO vollständig gelöscht und kann nicht mehr mit anderen Containern verknüpft werden. Wird dagegen nur die Verknüpfung für das GPO gelöscht, bleiben die GPT und die Verknüpfungsmöglichkeit mit anderen Containern bestehen.
EIGENSCHAFTEN
Zeigt ein Dialogfeld an, in dem Sie die Sicherheit des GPO konfigurieren, Teile des GPO, die nicht verwendet werden, deaktivieren und nach allen Containern suchen können, mit denen das GPO verknüpft ist. Diese letzte Option bietet ein Verfahren an, mit dem sichergestellt wird, dass ein gelöschtes GPO keine Probleme mehr in anderen Unternehmensbereichen verursacht.
Eine weitere Option, die der Administrator einstellen kann, betrifft die Deaktivierung der Richtlinienvererbung; ein Thema, welches weiter unten im Abschnitt »Gruppenrichtliniensicherheit« näher besprochen werden wird. Mit den restlichen Schaltflächen können Sie die richtige Reihenfolge in der Anwendung der Gruppenrichtlinie innerhalb des Containers einstellen, sofern dieser mit mehr als einem GPO verknüpft ist. Wie weiter oben erläutert, werden GPOs innerhalb desselben Containers von unten nach oben in der Reihenfolge, in der sie im Dialogfeld angezeigt werden, angewendet. Mit den Schaltflächen NACH OBEN und NACH UNTEN können Sie festlegen, welches GPO als Erstes (das am weitesten unten stehende) und als Letztes angewendet wird, wodurch unter Umständen andere GPO-Einstellungen überschrieben werden.
373
374
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.11 Neues GPO erstellen
Abbildung 6.12 Das Dialogfeld zeigt vorhandene GPO-Verknüpfungen an
5. Zum Erstellen eines neuen GPO, welches automatisch mit diesem Container verknüpft wird, klicken Sie auf die Schaltfläche NEU. Dadurch wird eine GPO ans Ende der Liste angefügt, der Sie sofort einen Namen geben können (siehe Abbildung 6.11).
6.3 Gruppenrichtlinien erstellen und verwalten
Abbildung 6.13 Eine Liste aller GPOs (in alphabetischer Reihenfolge) im Unternehmen finden Sie in der Registerkarte ALLE des Dialogfeldes Gruppenrichtlinienobjekt-Verknüpfung hinzufügen
6. Zum Hinzufügen zu bzw. Verknüpfen einer vorhandenen GPO mit diesem Active Directory-Container klicken Sie auf die Schaltfläche HINZUFÜGEN. Es wird ein Dialogfeld (siehe Abbildung 6.12) mit drei Registerkarten angezeigt. Weil GPOs auf Ebene der Standorte, Domänen und OUs verknüpft werden können, wird in der Registerkarte DOMÄNEN/ORGANISATIONSEINHEITEN die Liste der GPOs angezeigt, die auf der Domänen- oder OU-Ebene erstellt worden sind. Die Liste der GPOs, die nur für Standorte gelten, befindet sich in der Registerkarte STANDORTE. Eine alphabetische Liste aller GPOs, die auf diesem Domänencontroller bekannt und sehr wahrscheinlich im gesamten Unternehmen vorhanden sind, erhalten Sie durch Anklicken der Schaltfläche ALLE. Sie bekommen daraufhin die Liste (siehe Abbildung 6.13) angezeigt. 7. Nach dem Markieren eines GPO haben Sie durch Anklicken der Schaltfläche BEARBEITEN die Gelegenheit, die Einstellungen des GPO zu bearbeiten. Falls das GPO von einem anderen Administrator einer höheren Ebene in Active Directory erstellt worden sein sollte, haben Sie unter Umständen für diese Funktion nicht die erforderlichen Berechtigungen – Sie erhalten dann eine entsprechende Fehlermeldung. Wenn Sie die erforderlichen Berechtigungen zum Ändern der GPO-Einstellungen besitzen, wird ein Dialogfeld (siehe Abbildung 6.14) angezeigt, dem Sie unschwer entnehmen können, wie viele Einstellmöglichkeiten für Benutzer und Computer innerhalb der Gruppenrichtlinie zur Verfügung stehen. Die Bedeutung dieser Einstellungen wird weiter unten erläutert.
375
376
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.14 Die Gruppenrichtlinieneinstellungen können über MMC bearbeitet werden. MMC wird durch Klicken auf die Schaltfläche Bearbeiten automatisch gestartet
Abbildung 6.15 Mit dem Dialogfeld Optionen für ein GPO können Sie eine GPO deaktivieren oder eine weitere Änderungsübernahme nach unten verhindern
8. Durch Anklicken der Schaltfläche OPTIONEN erhalten Sie ein Dialogfeld mit Kontrollkästchen (siehe Abbildung 6.15). Mit dem Kontrollkästchen KEIN VORRANG kann ein Administrator bestimmte GPO-Einstellungen auch dann durchsetzen, wenn andere GPOs weiter unten in der Vererbungshierarchie die Einstellungen überschreiben. KEIN VORRANG wird typischerweise in Situationen benutzt, in denen ein Administrator einer höheren Ebene auf der Domänenebene sicherstellen will, dass GPO-Einstellungen, die Geschäftsregeln betreffen, von Administratoren einer niedrigeren Ebene nicht mehr geändert werden. Auf diese Weise kann verhindert werden, dass Einstellungen aus höheren Ebenen nicht mehr von anderen GPOs außer Kraft gesetzt werden. Das Kontrollkästchen DEAKTIVIERT besagt genau das: Das GPO wird auf dieser Ebene deaktiviert. GPOs können immer aktiviert bzw. deaktiviert werden – wenn Sie nicht möchten, dass eine bestimmte GPO auf den Container ange-
6.3 Gruppenrichtlinien erstellen und verwalten
wendet wird, deaktivieren Sie es mit dieser Option. Sie ist auch in Fällen nützlich, wenn Sie gerade die Einstellungen einer Richtlinie konfigurieren und nicht wünschen, dass sie vor ihrem Abschluss und vor Beseitigung aller Fehler angewendet wird. Abbildung 6.16 Die Schaltfläche LÖSCHEN zeigt ein Dialogfeld an, in dem Sie entweder die Verknüpfung eines GPO oder das GPO selbst löschen können Abbildung 6.17 Das Dialogfeld mit den Haupteigenschaften eines GPO enthält die GUID, das Erstelldatum/Zeit, Revisionen und die Domäne eines GPO. Hier können auch Computerund Benutzereinstellungen für das GPO deaktiviert werden
9. Die Schaltfläche LÖSCHEN zeigt Ihnen das Dialogfeld in der Abbildung 6.16 an. Sie haben damit die Möglichkeit, eine Verknüpfung des aktuellen Active Directory-Containers für das GPO zu löschen, oder das GPO permanent aus Active Directory zu löschen. Zum Löschen der Verknüpfung müssen Sie die Administratorrechte für den Container besitzen. Zum permanenten Löschen der GPO müssen Sie die Administratorrechte für den Container besitzen, in dem das GPO ursprünglich erstellt worden ist.
377
378
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
10. Beim Anklicken der Schaltfläche EIGENSCHAFTEN erhalten Sie das Dialogfeld in der Abbildung 6.17. Die Registerkarte ALLGEMEIN zeigt die GUID des GPO in Active Directory an. Außerdem werden das Erstelldatum/Zeit des GPO sowie die letzten Änderungszeiten und Revisionen angezeigt, die an den Computer- und Benutzereinstellungen vorgenommen worden sind. Sie haben weiterhin die Gelegenheit, den Computer- und Benutzerteil des GPO zu aktivieren bzw. zu deaktivieren. Durch das Deaktivieren des einen oder anderen Teils des GPO werden die Downloadzeiten schneller, da nicht alle Teile der GPT mehr downgeloaded und auf den Client angewendet werden müssen. Durch Anklicken der Registerkarte VERKNÜPFUNGEN im Dialogfeld EIGENSCHAFTEN erhalten Sie den Bildschirm der Abbildung 6.18. Über die Schaltfläche SUCHEN wird eine Suche nach Verknüpfungen für dieses GPO innerhalb des ausgewählten Bereichs ausgelöst. Dies ist sehr nützlich, wenn Sie sicherstellen möchten, dass die GPOs, die Sie permanent löschen möchten, keine Probleme mehr bei anderen Administratoren machen werden, die mit dieser GPO arbeiten. Abbildung 6.18 Über die Registerkarte LINKS können Sie herausfinden, an welcher Stelle aktuell verwendete Verknüpfungen für eine GPO bestehen
6.4 Gruppenrichtliniensicherheit
HINWEIS Konfigurationseinstellungen des Computers deaktivieren und Benutzerdefinierte Konfigurationseinstellungen deaktivieren Wenn Sie in der Registerkarte ALLGEMEIN des Dialogfeldes zu den GPO-Eigenschaften die Kontrollkästchen KONFIGURATIONSEINSTELLUNGEN DES COMPUTERS DEAKTIVIEREN und KONFIGURATIONSEINSTELLUNGEN DEAKTIVIEREN deaktivieren, werden überhaupt keine GPO-Einstellungen mehr auf den Benutzer oder Computer angewendet. Eine Verarbeitung des GPO bei Anmeldung eines Benutzers findet aber immer noch statt. Allerdings entspricht dies nicht dem Deaktivieren der GPO im Dialogfeld OPTIONEN, da das GPO immer noch verarbeitet wird, aber keine GPTs oder Skripte mehr downgeloaded werden. Zum vollständigen Abschalten der GPO-Verarbeitung verwenden Sie das Dialogfeld OPTIONEN.
Die Registerkarte SICHERHEITSEINSTELLUNGEN im Dialogfeld EIGENSCHAFTEN ermöglicht Ihnen das Zulassen und Verweigern von Berechtigungen für dieses GPO. Außerdem haben Sie die Gelegenheit, Berechtigungen für diejenigen Benutzer zu vergeben, auf welche bei der Anmeldung das GPO angewendet wird; ein Thema, welches im folgenden Abschnitt näher erörtert wird.
Wie die letzte Schritt-für-Schritt-Anleitung gezeigt hat, ist das Erstellen eines GPO kein Problem. Auch die Verwaltung des GPO ist einfach vorzunehmen. Der wirklich schwierige Teil besteht in der Festlegung, welche Einstellungen innerhalb des GPO gelten, und welche Benutzer und Computer von der Richtlinie betroffen sein sollen. Dies sind Themen, die später im Zusammenhang mit den administrativen Vorlagen und in den Kapiteln 7 (»Softwarebereitstellung mittels Gruppenrichtlinien«) und 8 (»Sicherheitsmanagement mittels Gruppenrichtlinien«) näher erläutert werden.
6.4
Gruppenrichtliniensicherheit
Implementieren und Fehlerbehebung der Gruppenrichtlinie 씰
Gruppenrichtlinieneinstellungen durch die Verknüpfung von Sicherheitsgruppen mit GPOs filtern
씰
Administrative Kontrolle über Gruppenrichtlinien delegieren
Eine der besten Eigenschaften der Gruppenrichtlinie in Windows 2000 ist die Möglichkeit, die Benutzer und Computer festlegen zu können, auf die ein GPO angewendet werden soll, sowie auch die Benutzer, die die Richtlinie verwalten dürfen, bestimmen zu können. Der Administrator hat die Gelegenheit, über die Vergabe von Berechtigungen und Sicherheitseinstellungen sehr genau festlegen zu können, wie
379
380
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
der Zugriff auf und die Anwendung eines GPO erfolgen soll. Schon diese eine Eigenschaft der Gruppenrichtlinie stellt gegenüber der Systemrichtlinie in Windows NT 4.0, die vor Windows 2000 Verwendung fand, eine enorme Verbesserung dar. Beim Einstellen von Berechtigungen für eine Gruppenrichtlinie kann der Administrator zwei Dinge definieren: 씰
Auf wen die Richtlinie angewendet wird
씰
Welche Benutzer die Erlaubnis haben, Änderungen an der Richtlinie und ihrer Vererbung vorzunehmen
Beide Themen werden ausführlich im nächsten Abschnitt erörtert. Die Konfiguration sowohl der oben genannten Berechtigungen als auch der Vererbung wird über das Dialogfeld EIGENSCHAFTEN des Containers vorgenommen, mit dem das GPO verknüpft ist (siehe Abbildung 6.10).
6.4.1
Gruppenrichtliniensicherheit konfigurieren
Die Konfigurierung der Gruppenrichtliniensicherheit berührt eine Anzahl verschiedener Bereiche. Als Erstes müssen Sie die Berechtigungen für die Gruppenrichtlinie festlegen, um die Benutzer und Computer, auf die das GPO angewendet wird, zu bestimmen. Weiterhin müssen Sie Berechtigungen spezifizieren, die anderen Benutzern die Abänderung der Richtlinie erlauben. Falls Sie es sehr genau machen wollen, können Sie noch erweiterte Berechtigungen für das GPO konfigurieren, was praktisch ein Feintuning hinsichtlich der Frage darstellt, wer welche Privilegien erhält. Berechtigungen zum Verwenden der Richtlinie zuweisen Die Zuweisung von Berechtigungen ist der Ausgangspunkt bei der Konfigurierung der Gruppenrichtliniensicherheit. Standardmäßig wird die Gruppenrichtlinie auf alle Mitglieder der Gruppe Authentifizierte Benutzer angewendet. Wenn Sie diese überschreiben und die Anwendung der Gruppenrichtlinie auf eine bestimmte Gruppe von Benutzern, Computern oder Gruppen einschränken möchten, weisen Sie die Berechtigungen explizit zu. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch den Vorgang beim Zuweisen von Berechtigungen.
6.4 Gruppenrichtliniensicherheit
HINWEIS GPO-Sicherheit ändern Klicken Sie nicht zweimal auf den GPO-Namen, weil Sie dann in den Bearbeitungsmodus für das GPO gelangen. Zum Ändern der GPO-Sicherheit müssen Sie das GPO durch Anklicken ihres Namens markieren und dann über die Schaltfläche EIGENSCHAFTEN anzeigen, dass Sie die GPO-Eigenschaften ändern möchten.
SCHRITT FÜR SCHRITT 6.3
Berechtigung zum Verwenden eines GPO zuweisen
1. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORYBENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf Ihrem Domänennamen und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. Falls sich das GPO, dessen Eigenschaften Sie ändern möchten, auf der Ebene der OU befindet, klicken Sie mit der rechten Maustaste die OU an, und wählen im Kontextmenü EIGENSCHAFTEN aus. 3. Wählen Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE aus. 4. Klicken Sie auf Default Domain Policy oder eine andere Richtlinie, deren Berechtigungen Sie bearbeiten möchten, und klicken Sie dann auf die Schaltfläche EIGENSCHAFTEN. 5. Klicken Sie auf die Registerkarte SICHERHEITSEINSTELLUNGEN, um sich selbst die Berechtigungen zum Ändern dieses GPO zu verschaffen. Im angezeigten Dialogfeld (siehe Abbildung 6.19) können Sie dann die Berechtigungen zum Verwalten und zum Verwenden der Richtlinie bearbeiten. Wie die Abbildung 6.19 zeigt, bekommen Sie eine Liste der Benutzer und Gruppen angezeigt, denen aktuell Berechtigungen für dieses GPO zugewiesen sind. Beim Anklicken der Benutzer- oder Gruppenkonten werden unten im Dialogfeld die verschiedenen Berechtigungen der jeweiligen Gruppe angezeigt. Auf diese Weise können Sie im Rahmen ein und derselben Richtlinie verschiedene Berechtigungen für unterschiedliche Benutzer und Computer zuweisen. Im Abschnitt BERECHTIGUNGEN des Dialogfelds werden die standardmäßigen Berechtigungen aufgeführt, die dem GPO zugewiesen sind. Er zeigt darüber hinaus an, ob diese Berechtigungen dem Benutzer, der Gruppe oder dem Computer gewährt oder verweigert worden sind.
381
382
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.19 Die Registerkarte SICHERHEITSEINSTELLUNGEN des Dialogfeldes für die Eigenschaften von Default Domain Policy
Die Standardberechtigungen lauten wie folgt: Berechtigung
Bedeutung
Uneingeschränkter Zugriff
Der Benutzer bzw. die Gruppe darf sämtliche Funktionen für dieses GPO ausführen. Hierzu gehören das Ändern der GPO-Einstellungen, das Hinzufügen oder Ändern der Berechtigungen für das GPO, der Erstellen und Löschen von untergeordneten Objekten sowie das Löschen des GPO selbst.
Lesen
Der Benutzer, die Gruppe oder der Computer darf das GPO lesen. Falls zusammen mit der Berechtigung zum Lesen der GPO auch die Berechtigung Übernehmen zugewiesen wird, kann der Benutzer oder der Computer auch die angewendeten Einstellungen lesen. Obwohl für die Anwendung eines GPO die Lesen-Berechtigung vorausgesetzt wird, kann diese Berechtigung auch separat zugewiesen werden, um dem Benutzer das Lesen des Inhalts eines GPO zu ermöglichen. Beispielsweise muss der Administrator zum Ändern der GPO-Einstellungen immer das GPO selbst lesen können; auch dann, wenn es nicht auf ihn angewendet wird.
6.4 Gruppenrichtliniensicherheit
Berechtigung
Bedeutung
Schreiben
Der Benutzer oder die Gruppe darf die Einstellungen des GPO ändern. Der Administrator muss über Schreiben-Berechtigungen für das GPO verfügen, um dessen Auswirkung zu ändern. Hiermit können Sie die Richtlinieneinstellungen bearbeiten. Um das MMC-Snap-In Gruppenrichtlinie zum Bearbeiten des GPO verwenden zu können, brauchen Sie außerdem noch die Lesen-Berechtigung zum Lesen der aktuellen Einstellungen.
Alle untergeordneten Objekte erstellen
Diese Berechtigung erlaubt Ihnen das Hinzufügen von Objekten zu GPO-Einstellungen. Beispielsweise müssen Sie bei den Einstellungen zur Softwareinstallation Pakete mit dem GPO verknüpfen, was mit dieser Berechtigung möglich gemacht wird.
Alle untergeordneten Objekte löschen
Hiermit können Sie untergeordnete Objekte löschen, die ggf. für ein GPO vorhanden sind.
Gruppenrichtlinie übernehmen
Diese Berechtigung teilt Active Directory mit, die innerhalb der Gruppenrichtlinienvorlage spezifizierten Einstellungen auf den Benutzer, die Gruppe oder Computer anzuwenden, dem diese Berechtigung gewährt worden ist. Damit ein GPO vollständig angewendet wird, müssen der Benutzer, die Gruppe oder der Computer ebenfalls über die Lesen-Berechtigung verfügen.
HINWEIS Berechtigungen verweigern Die Möglichkeit, eine bestimmte Berechtigung explizit verweigern zu können, ist eine neue Funktion in Windows 2000. Diese Funktion sollte, wenn überhaupt, nur nach reiflicher Überlegung angewendet werden. Wenn Sie explizit eine Berechtigung verweigern (indem Sie das Kontrollkästchen in der Spalte VERWEIGERN aktivieren), legen Sie fest, dass die Berechtigung völlig unabhängig davon verweigert wird, welche Berechtigungen über die Mitgliedschaft des Benutzers oder der Gruppe in anderen Gruppen darüber hinaus noch bestehen. Dies kann gefährliche Konsequenzen haben. Es kann nämlich schwierig werden zu entscheiden, auf welcher Ebene ein Problem bei der Anwendung einer GPO tatsächlich besteht. Anstatt einer expliziten Verweigerung einer Berechtigung ist es empfehlenswerter, einfach das Kontrollkästchen ZULASSEN der Berechtigung, die Sie dem Benutzer oder der Gruppe nicht geben möchten, zu deaktivieren. Die Berechtigung wird damit dem Benutzer bzw. der Gruppe entzogen und überlässt es den bestehenden Gruppenmitgliedschaften, die tatsächlichen Berechtigungen festzulegen.
383
384
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
HINWEIS Administratoren und Gruppenrichtlinien Mitglieder der Gruppen Domänen-Admins und Organisations-Admins verfügen unter Umständen auch dann noch über auf sie angewandte GPO-Einstellungen, obwohl ihnen die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN explizit gar nicht gewährt worden ist. Der Grund liegt darin, dass alle Benutzer, die sich an einer Domäne anmelden, Mitglieder der Systemgruppe Authentifizierte Benutzer sind. Diese Gruppe verfügt jedoch immer über die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN. Falls Sie sicherstellen möchten, dass die Berechtigungen in einer bestimmten GPO nicht auf Domänen-Admins oder Organisations-Admins angewendet werden, müssen Sie bei diesen Gruppen das Kontrollkästchen VERWEIGERN für GRUPPENRICHTLINIE ÜBERNEHMEN deaktivieren.
Jedes GPO, das Sie erstellen, verfügt über einen standardmäßigen Satz von Berechtigungen, die auf die verschiedenen in Active Directory vorhandenen Gruppen angewendet werden. Bei diesen Gruppen handelt es sich um die folgenden: Gruppe
standardmäßige Berechtigungen
Authentifizierte Benutzer
Lesen und Übernehmen. Die GPO wird auf jeden Benutzer, dessen Benutzerkonto vom Container betroffen ist (Standort, Domäne oder Organisationseinheit), angewendet. Die Lesen-Berechtigung macht dies möglich. Um das GPO anwenden zu können, müssen Sie es lesen können.
Ersteller-Besitzer
Alle Kontrollkästchen sind deaktiviert. Dies bedeutet, dass keinerlei Berechtigungen explizit gewährt oder verweigert werden. Die Berechtigungen werden im Gegenteil über anderenorts zugelassene Berechtigungen vererbt.
Domänen-Admins
Lesen, Schreiben, Alle untergeordneten Objekte erstellen und Alle untergeordneten Objekte löschen. Mitgliedern von Domänen-Admins sind alle notwendigen Änderungen an GPOs wie auch das Lesen der Inhalte erlaubt. Die GPOs werden jedoch auf sie bei der Anmeldung nicht angewendet.
Organisations-Admins
Wie bei den Domänen-Admins. Die OrganisationsAdmins stellen eine globale Gruppe in Domänen des gemischten Modus und eine universelle Gruppe in Domänen mit einheitlichem Modus dar.
6.4 Gruppenrichtliniensicherheit
Gruppe
standardmäßige Berechtigungen
System
Wie bei den Domänen-Admins. System ist das Betriebssystemkonto. System ist ein eingebautes Betriebssystemkonto und gehört nicht zur Gruppe Authentifizierte Benutzer; aus diesem Grunde wird die Standard-Domänen-GPO nicht auf dieses Konto angewendet.
6. Zum Hinzufügen einer Berechtigung für einen Benutzer oder eine Sicherheitsgruppe klicken Sie auf die Schaltfläche HINZUFÜGEN. Es wird dann ein Dialogfeld (siehe Abbildung 6.20) angezeigt, in dem alle Benutzer, Gruppen und Computer der Containerebene, auf der Sie sich aktuell befinden (Domäne), aufgelistet sind. Durch Anklicken des Pfeils im Listenfeld SUCHEN wird die Active DirectoryDomänenstruktur angezeigt. Sie haben dann die Möglichkeit, die Benutzer, Gruppen und Computer auszuwählen, auf welche Sie die Richtlinie anwenden möchten. Außerdem können Sie den gesamten Inhalt des Verzeichnisses durchsuchen (siehe Abbildung 6.21). Auf diese Weise können Sie den Bereich der Objekte, auf die Sie die GPO-Berechtigungen anwenden möchten, und deren Zahl unter Umständen in die Hunderte oder Tausende geht, einengen. Abbildung 6.20 Das Dialogfeld BENUTZER, COMPUTER ODER GRUPPEN AUSWÄHLEN für die Gruppenrichtlinienberechtigungen
385
386
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.21 Bereich für die Zuweisung von Berechtigungen festlegen
Durch Abwärtsblättern im Container erhalten Sie eine Liste der Gruppen, Computer und Benutzer, auf die Berechtigungen angewendet werden können.
HINWEIS Gruppen sind besser Wenn Sie vor der Frage stehen, ob Sie Berechtigungen für GPOs auf Benutzer oder Gruppen anwenden sollen, denken Sie daran, dass die Anwendung von Berechtigungen auf Gruppen empfehlenswerter ist. Der Grund liegt darin, dass es sehr einfach ist, Benutzer und Computer in Gruppen aufzunehmen und wieder von dort zu entfernen. In Windows 2000 können auch Computer Mitglieder von Gruppen sein. Die Berechtigungen, die der Gruppe gewährt worden sind, können automatisch auf alle Mitglieder der Gruppe angewendet werden. Die individuelle Zuweisung von Berechtigungen an Benutzer oder Computer in der GPO erfordert mehr Aufwand und ist fehleranfälliger.
7. Zum Hinzufügen eines Benutzers suchen Sie nur seinen Namen in der Liste und klicken dann auf die Schaltfläche HINZUFÜGEN. Zum Hinzufügen weiterer Benutzer markieren Sie einen weiteren Namen und klicken wieder auf HINZUFÜGEN. Mehrere Benutzer fügen Sie hinzu, indem Sie (Strg) gedrückt halten und die Benutzer, Gruppen oder Computer markieren, denen Sie Berechtigungen zuweisen möchten. Anschließend klicken Sie wieder auf HINZUFÜGEN. Wie die Abbildung 6.22 zeigt, enthält dabei der untere Bereich des Dialogfensters die von Ihnen ausgewählten Objekte. Sie haben auch die
6.4 Gruppenrichtliniensicherheit
Möglichkeit zu verifizieren, ob die Benutzer, Computer und Gruppen innerhalb von Active Directory noch gültig sind, indem Sie auf die Schaltfläche NAMEN ÜBERPRÜFEN klicken. Ihre Auswahlliste speichern Sie mit OK. Abbildung 6.22 Auswählen von Benutzern, Gruppen und Computern, um ihnen Berechtigungen zuzuweisen
8. Nachdem Sie die Liste der Active Directory-Objekte, denen Sie Berechtigungen zuweisen möchten, gespeichert haben, kehren Sie zur Registerkarte SICHERHEITSEINSTELLUNGEN für GPO-Eigenschaften zurück. Die jedem Objekt zugewiesene Standardberechtigung lautet LESEN (siehe Abbildung 6.23), was bedeutet, dass diese Benutzer, Gruppen und Computer das GPO lesen können. Die Berechtigung kann ihnen außerdem aufgrund ihrer Mitgliedschaft in der Gruppe Authentifizierte Mitglieder, die über die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN verfügt, über vererbte Berechtigungen zukommen. Berechtigungen zum Verwalten der Richtlinie zuweisen In großen Unternehmensumgebungen kann die Administration einer Windows2000-Active-Directory-Struktur stark zentralisiert sein. Es kann dann auf derselben Ebene in der Active Directory-Hierarchie viele verschiedene Administratoren geben, die alle mit der Ausführung bestimmter Funktionen beauftragt sind. Gruppenrichtlinien betreffen zahlreiche Aspekte der Computerkonfiguration und Benutzerumgebung – aus diesem Grunde kann es daher hilfreich sein, mehrere verantwortliche Personen für die Anpassung der GPO-Einstellungen zu haben.
387
388
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.23 Die standardmäßige Berechtigung für neue Objekte ist LESEN
Als Administrator können Sie das Recht zum Ändern und Aktualisieren von GPOEinstellungen, die erstellt worden sind, an andere Benutzer vergeben, die nicht über direkte administrative Privilegien für den Container verfügen, mit dem das GPO verknüpft ist. Damit bekommen Sie einen Benutzer, der Änderungen am GPO vornehmen kann, aber nicht den sonstigen Inhalt des Containers verändern kann. Der Benutzer kann also weder untergeordnete Objekte in dem Container erstellen noch entfernen. Auf diese Weise kann eine Organisation individuelle Verantwortliche für die Konfiguration von GPOs einsetzen, die nicht zwangsläufig auch Einfluss auf die Active Directory-Struktur haben. Ein Benutzer, dem administrative Kontrolle über ein GPO gewährt worden ist, kann Änderungen an den GPO-Einstellungen vornehmen, aber keine neuen GPOs im selben Container erstellen. Falls ein Benutzer Administratorprivilegien für einen Container hat, mit dem das GPO verknüpft ist, hat dieser Benutzer gleichzeitig die Administratorprivilegien für das GPO. Das Zulassen von Administratorprivilegien für ein GPO ist insbesondere dann nützlich, wenn ein Benutzer für den Test von GPO-Einstellungen verantwortlich ist, bevor diese im ganzen Unternehmen eingesetzt werden, oder wenn er für die Veröffentlichung und Pflege von über GPOs verteilte Softwareanwendungen verantwortlich ist, oder wenn das Personal des Helpdesk Änderungen an GPO-Einstellungen vornehmen muss, um Probleme zu lösen.
6.4 Gruppenrichtliniensicherheit
HINWEIS Berechtigungen für eine Gruppenrichtlinie Berechtigungen für eine Gruppenrichtlinie werden beginnend mit der niedrigsten möglichen Ebene ausgewertet. Berechtigungen, die auf der Gruppenebene zugewiesen worden sind (beispielsweise Vertrieb), können daher durch eine explizit für ein Mitglied der Gruppe zugewiesene Berechtigung (beispielsweise JSmith) überschrieben werden. Nehmen Sie einmal an, dass Sie die Berechtigungen Lesen und Gruppenrichtlinie übernehmen der Gruppe Vertrieb zuweisen, und dann nur die Berechtigung Lesen für den Benutzer JSmith festlegen. Auf alle Benutzer in Vertrieb außer JSmith wird nun das GPO angewendet, weil eine Berechtigungszuweisung auf Benutzerebene Vorrang vor der Einstellung für die Gruppe hat, in der der Benutzer Mitglied ist. Damit haben Sie die Anwendung des GPO auf alle Mitglieder von Vertrieb mit der Ausnahme von JSmith beschränkt (dies heißt gleichzeitig, dass Sie damit die Gruppe Authentifizierte Benutzer aus der Liste der Gruppen mit Berechtigungen für das GPO entfernt haben).
Damit Benutzer Änderungen an GPO-Einstellungen vornehmen können, brauchen sie zwei Berechtigungen: Lesen, um die aktuellen Einstellungen lesen zu können, und Schreiben, um diese ändern zu können. Allerdings ist die Delegierung der administrativen Kontrolle über eine GPO auf Domänen-Admins und OrganisationsAdmins beschränkt, was bedeutet, dass nur Benutzer, die Mitglieder der Sicherheitsgruppen Domänen-Admins und Organisations-Admins sind, anderen Benutzern die Schreiben-Berechtigung gewähren können, was unabhängig davon gilt, wem das GPO gehört. Führen Sie die folgenden Schritte aus, um einem Benutzer die Berechtigung zum Verwalten einer Gruppenrichtlinie zuzuweisen.
SCHRITT FÜR SCHRITT 6.4
Berechtigung zum Verwalten eines GPO zuweisen
1. Klicken Sie auf START/PROGRAMME/VERWALTEN/ACTIVE DIRECORYBENUTZER UND -COMPUTER. 2. Klicken Sie mit der rechten Maustaste auf Ihrem Domänennamen (oder der Organisationseinheit, in der das GPO erstellt wurde), und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Wählen Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE aus. 4. Klicken Sie auf Default Domain Policy, und klicken Sie dann auf die Schaltfläche EIGENSCHAFTEN.
389
390
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
5. Klicken Sie zum Anzeigen der vorhandenen Berechtigungen auf die Registerkarte SICHERHEITSEINSTELLUNGEN. 6. Klicken Sie zum Anzeigen einer Liste mit Benutzern, Gruppen und Computern, unter denen Sie eine Auswahl treffen können, auf die Schaltfläche HINZUFÜGEN. 7. Klicken Sie den Benutzer oder die Gruppe an, der das GPO verwalten soll, und klicken Sie dann auf HINZUFÜGEN. 8. Klicken Sie auf OK, wenn Sie alle Benutzer und Gruppen festgelegt haben, die die Richtlinie verwalten sollen. Sie kehren daraufhin zur Registerkarte SICHERHEITSEINSTELLUNGEN im Dialogfeld mit den Eigenschaften der Gruppenrichtlinie zurück. 9. Klicken Sie den Namen des Benutzers bzw. der Gruppe an, den Sie zur Liste der Berechtigungen für dieses GPO hinzufügen möchten, und aktivieren Sie die Kontrollkästchen LESEN und SCHREIBEN in der Spalte ZULASSEN. 10. Klicken Sie, wenn Sie fertig sind, zum Speichern Ihrer Änderungen auf ÜBERNEHMEN und OK. Das Dialogfeld mit den Eigenschaften der Gruppenrichtlinie wird geschlossen. In den meisten Fällen werden Sie hinsichtlich der Zuweisung von Berechtigungen für Anwendung und Bearbeitung des GPO Gebrauch von den zuvor erwähnten kombinierten Berechtigungen machen. Mit diesen können Sie nicht nur einstellen, auf welche Benutzer, Computer oder Gruppen die Richtlinie angewendet werden soll, sondern auch, wer die Kontrolle über die Bearbeitung der Richtlinie hat. Falls Sie detailliertere Berechtigungen benötigen, greifen Sie auf die erweiterten Berechtigungen zurück. Erweiterte Gruppenrichtlinienberechtigungen Windows 2000 Active Directory stellt eine außerordentliche Vielfalt an Berechtigungen zur Verfügung, die Sie einem Benutzer, einer Gruppe oder Computer gewähren oder verweigern können. Um den Vorgang der Zuweisung zu vereinfachen, werden sie normalerweise zwar nicht angezeigt, können jedoch jederzeit sichtbar gemacht werden. Wenn Sie im Dialogfeld der Eigenschaften zur Gruppenrichtlinie auf die Schaltfläche ERWEITERT klicken, erhalten Sie das Dialogfeld in der Abbildung 6.24. In diesem können Sie die aktuellen Berechtigungen anzeigen und bearbeiten, die Überwachung anzeigen und bearbeiten, sowie den Besitzer des GPO, mit dem Sie gerade zu tun haben, anzeigen und ändern.
6.4 Gruppenrichtliniensicherheit
Abbildung 6.24 Das Dialogfeld ZUGRIFFSEINSTELLUNGEN für die Gruppenrichtlinie wird durch Anklicken der Schaltfläche ERWEITERT in der Registerkarte SICHERHEITSEINSTELLUNGEN ZUR GRUPPENRICHTLINIE angezeigt
Abbildung 6.25 Diese detaillierte Übersicht über die Berechtigungen im Dialogfeld Berechtigungseintrag erscheint, wenn Sie ANZEIGEN/BEARBEITEN im Dialogfeld ZUGRIFFSEINSTELLUNGEN anklicken
391
392
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
In der Registerkarte BERECHTIGUNGEN des Dialogfeldes BERECHTIGUNGSEINTRAG sehen Sie jetzt den Typ der Berechtigung (ZULASSEN oder VERWEIGERN). Sie sehen weiterhin die Namen der Benutzer, Gruppen oder Computer, für welche die Berechtigung gilt (NAME). Weiterhin wird der Name der jeweiligen Berechtigung angezeigt. In der Liste der Berechtigungen finden Sie manchmal die Bezeichnung SPEZIELL, was bedeutet, dass Sie durch Anklicken der Schaltfläche ANZEIGEN/ BEARBEITEN weitere Details zur Berechtigung anzeigen können, oder auch die Bezeichnung GRUPPENRICHTLINIE ÜBERNEHMEN. Außerdem können Sie feststellen, auf was diese Einstellungen angewendet werden: auf das Objekt und alle untergeordneten Objekte, nur auf dieses Objekt oder nur auf untergeordnete Objekte. In der Registerkarte BERECHTIGUNGEN können Sie die jeweiligen Berechtigungen, die zugewiesen wurden, auch hinzufügen, entfernen oder anzeigen bzw. bearbeiten. Wenn Sie einen Benutzer oder eine Gruppe, der Berechtigungen zugewiesen worden sind, auswählen und die Schaltfläche ANZEIGEN/BEARBEITEN anklicken, erhalten Sie das Dialogfeld der Abbildung 6.25. Darin werden die spezifischen einschließlich derjenigen Berechtigungen angezeigt, die schon in der vereinfachten Darstellung der Registerkarte SICHERHEITSEINSTELLUNGEN im Dialogfeld EIGENSCHAFTEN zum GPO aufgelistet wurden. Wie Sie sehen, werden die Berechtigungen LESEN, SCHREIBEN, ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN und ALLE UNTERGEORDNETEN OBJEKTE LÖSCHEN für die Domänen-Admins auf der Registerkarte SICHERHEITSEINSTELLUNGEN in eine größere Gruppe mit noch spezifischeren Berechtigungen aufgeteilt. Zu diesen gehören Berechtigungen wie ALLE EIGENSCHAFTEN LESEN, INHALT AUFLISTEN, LESEN- und SCHREIBEN-Berechtigungen, um nur einige wenige zu nennen. Diese und viele weitere Berechtigungen stehen auf der Registerkarte OBJEKT im Dialogfeld BERECHTIGUNGSEINTRAG zur Verfügung. Berechtigungen können nur auf die Eigenschaften des GPO angewendet werden, die auch in der Registerkarte EIGENSCHAFTEN aufgeführt sind (siehe Abbildung 6.26). Auf jeder Registerkarte werden Sie außerdem noch einige andere Einträge bemerken. Als Erstes gehört dazu das Feld NAME, welches Ihnen den Benutzer, die Gruppe oder den Computer angibt, auf den diese Berechtigungen angewendet werden. Dadurch stellen Sie fest, für wen oder was die aktuellen Einstellungen gelten. Über die Schaltfläche ÄNDERN neben dem Feld NAME können Sie angeben, für wen diese Berechtigungen gültig sein sollen. Mit anderen Worten: Damit weisen Sie diesen Satz von Berechtigungen einem anderen Benutzer, einer anderen Gruppe oder einem anderen Computer zu. Im Listenfeld ÜBERNEHMEN FÜR legen Sie fest, auf welcher Ebene diese Berechtigungen angewendet werden sollen: nur dieses Objekt, dieses und alle untergeordneten Objekte, nur untergeordnete Objekte, nur Computer, nur Gruppen, Standorte oder Benutzer. Einen Teil dieser Liste zeigt die Abbildung 6.27, die Ihnen die große Flexibilität der Berechtigungszuweisung in Windows 2000 demonstriert.
6.4 Gruppenrichtliniensicherheit
Abbildung 6.26 Berechtigungen, die auf die Eigenschaften des GPO angewendet werden können, werden in der Registerkarte EIGENSCHAFTEN des Dialogfeldes BERECHTIGUNGSEINTRAG angezeigt
Durch die selektive Zuweisung von GPO-Berechtigungen auf bestimmte Active Directory-Objekte können Sie den Bereich der Richtlinie weiter einengen und auf diese Weise eine außerordentlich wirksame Kontrolle über GPOs im gesamten Unternehmen realisieren. Hauptsächlich zeigt dieses Dialogfeld die Berechtigungen, die Sie zuweisen können, sowie deren Typ (ob für das jeweilige Objekt zugelassen oder verweigert). Durch Aktivieren und Deaktivieren legen Sie die gewünschte Kombination von Berechtigungen fest. Unten im Dialogfeld stehen noch einige weitere Optionen zur Verfügung: Mit der Schaltfläche ALLES LÖSCHEN entfernen Sie die angezeigten Berechtigungen alle auf einmal, anstatt sie einzeln löschen zu müssen. So haben Sie die Gelegenheit, ganz neu aufzusetzen und nur die Berechtigungen in die Liste zu übernehmen, die Sie wirklich brauchen. Am besten notieren Sie sich vor dem Löschen die zuvor zugewiesenen Berechtigungen, falls Sie den früheren Zustand später einmal wiederherstellen müssen.
393
394
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.27 Berechtigungen können auf zahlreichen Ebenen und auf viele Typen von Objekten angewendet werden
HINWEIS Erweiterte Berechtigungen zuweisen Berechtigungen sollten auf dieser Ebene besser nicht zugewiesen werden, weil es im Fehlerfall sehr schwierig werden kann, die konkrete Anwendungsweise eines GPO zu debuggen. Die auf der Registerkarte SICHERHEITSEINSTELLUNGEN des Dialogfeldes zu den Eigenschaften des GPO zur Verfügung stehenden Berechtigungen sollten in den meisten Fällen ausreichen, um die korrekte Ausführung der Gruppenrichtlinie zu gewährleisten. Erweiterte Berechtigungen können bei der Anwendung einer Gruppenrichtlinie zu fehlerhaften Funktionen führen und sollten daher nur nach sehr sorgfältiger Planung vergeben werden.
Das Kontrollkästchen BERECHTIGUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER IN DIESEM CONTAINER ÜBERNEHMEN unten im Dialogfeld beschränkt die Weiterverteilung der Berechtigungen auf diese Ebene und verhindert eine Anwendung auch auf die unteren Ebenen. Allerdings betrifft diese Einstellmöglichkeit nicht so sehr GPOs, sondern gewährleistet beispielsweise bei der Berechtigungszuweisung im NTFS-Dateisystem, dass einmal vergebene Berechtigungen nicht ein oder zwei Ebenen tiefer wieder überschrieben werden. Die Berechtigungen können nur auf der Ebene überschrieben werden, auf der sie vergeben wurden.
6.4 Gruppenrichtliniensicherheit
Durch die Verwendung von Berechtigungen kann der Administrator nicht nur kontrollieren, auf wen die Richtlinie angewendet wird, sondern auch, wer das Recht zum Erstellen oder Bearbeiten der Richtlinieneinstellungen besitzt. Auf diese Weise können Sie sicherstellen, dass nur bestimmte Richtlinien auf eine bestimmte Gruppe von Benutzern oder Computer angewendet werden, andere dagegen nicht. Richtlinien einer höheren Ebene (Standort oder Domäne) können dafür konfiguriert werden, die niedrigstufigeren Richtlinien auf der OU-Ebene zu überschreiben. Auch ein Administrator einer niedrigeren Ebene (einer Organisationseinheit beispielsweise) verfügt über die Möglichkeit, die Richtlinienvererbung zu deaktivieren und zu verhindern, dass Einstellungen von GPOs, die auf der Standort- oder Domänenebene erstellt worden sind, auf ihn oder seine Benutzer angewendet werden (es sei denn, dass diese GPOs mit der Einstellung KEIN VORRRANG konfiguriert wurden). Diese Optionen werden im nächsten Abschnitt erörtert.
6.4.2
Gruppenrichtlinienvererbung
In manchen Fällen reicht die einfache Vergabe von Berechtigungen für ein GPO unter Umständen nicht aus. Sie wünschen sich in solchen Fällen vielleicht, dass die Anwendung eines GPO auf einen Teil von Active Directory blockiert wird, oder dass Unternehmensstandards durchgesetzt werden, deren Anwendung auf alle Bestandteile der Organisation sichergestellt ist. Vielleicht möchten Sie aber auch ein GPO haben, welches ausschließlich nur auf bestimmte Benutzer oder Computer angewendet werden soll. Diese drei Fälle betreffen die Deaktivierung, den Vorrang und die Filterung der Gruppenrichtlinie, und werden in den nächsten Abschnitten erörtert. Die Gruppenrichtlinienvererbung stellt ein äußerst wichtiges Element in der Frage dar, wie die Gruppenrichtlinie implementiert wird, obschon dies nicht speziell mit der Sicherheit zu hat. Indem Sie die Verfahren der Deaktivierung, des Vorrangs und des Filterns einsetzen, stehen Ihnen sehr effiziente Mittel zum Feintuning der GPOAnwendung in der gesamten Organisation zur Verfügung. Mit diesen Verfahren setzen Sie für alle Benutzer bestimmte Einstellungen durch (Vorrang), verhindern die Anwendung von Richtlinien einer höheren Ebene auf niedrigere Ebenen (Deaktivierung, etwa bei einer OU) oder vergeben Berechtigungen auf eine Weise, die sicherstellt, dass Sie nur auf bestimmte Benutzer angewendet wird (Filtern). Die folgenden Abschnitte stellen diese Verfahren vor. Gruppenrichtlinienvererbung deaktivieren Gruppenrichtlinien können auf der Ebene des Standorts, der Domäne und der OU vergeben werden. Ein Administrator auf der Ebene der OU oder Domäne möchte jedoch unter Umständen gar nicht, dass GPOs höherer Ebenen auf seine jeweilige OU angewendet werden. Oder ein Administrator einer niedrigeren Ebene in Paris wünscht aus verständlichen Gründen nicht, dass die Landeseinstellungen eines in
395
396
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
New York konfigurierten GPO die landesspezifischen Einstellungen berühren, die er für Frankreich vorgesehen hat (denken Sie daran, dass Active Directory eine Baumstruktur aller im Unternehmen vorhandenen Domänen erlaubt). Eine Deaktivierung ist daher sinnvoll, wenn Sie einen ganz spezifischen Satz von GPO-Einstellungen benötigen und die Vererbung von Einstellungen aus höheren Ebenen wegen regionsspezifischer Konfigurationen von GPOs problematisch ist. Die Deaktivierung ist besonders dann sinnvoll, wenn ein Administrator für einen Container wie etwa einer OU die volle Kontrolle über sämtliche Eigenschaften dieses Containers einschließlich der GPOs besitzen muss. Wenn Sie sich die Frage stellen, ob Sie die Deaktivierung anwenden sollen, sollten Sie an zwei Regeln denken: Wenn Sie sich für die Deaktivierung der Richtlinienvererbung entscheiden, tun Sie dies für sämtliche GPOs, die höher in der Vererbungshierarchie liegen. Sie haben keinesfalls die Möglichkeit, selektiv festzulegen, welche GPOs deaktiviert werden – die Entscheidung lautet immer: Alles oder gar nichts! Sie deaktivieren entweder alle auf einer höheren Ebene konfigurierten GPOEinstellungen, und konfigurieren dann die Einstellungen, die Sie deaktiviert haben, selbst für Ihre eigenen GPOs, oder aber keine der GPOs auf höherer Ebene werden deaktiviert. Dazwischen gibt es nichts – entweder alle GPOs oder keine! Die zweite Regel in der Frage, wann Sie Deaktivierungen einsetzen sollten, lautet, dass Administratoren der höheren Ebene unter Umständen gar nicht möchten, dass gewisse GPOs blockiert werden. In diesem Fall werden diese Administratoren die Durchsetzung der GPO auch dann erzwingen, wenn Sie die Vererbung deaktiviert haben. GPOs eines übergeordneten Containers wie eines Standorts oder einer Domäne, deren Vorrang festgelegt worden ist, können im untergeordneten Objekt nicht deaktiviert werden. Damit wird sichergestellt, dass unternehmenswichtige Einstellungen niemals umgangen werden können. Ein Beispiel hierfür wäre ein GPO, welches die automatische Installation und Aktualisierung einer Antivirussoftware auf der Standortebene vorsieht. Wenn Sie jetzt festlegen, dass die Vererbung auf Ebene der OU oder Domäne deaktiviert wird, wird die Software trotzdem, wie im Standort-GPO vorgegeben, installiert und ausgeführt, sofern der Vorrang des GPO entsprechend konfiguriert worden ist. Führen Sie zum Deaktivieren der Gruppenrichtlinienvererbung die folgenden Schritte aus:
SCHRITT FÜR SCHRITT 6.5
Gruppenrichtlinienvererbung deaktivieren
1. Starten Sie entweder ACTIVE DIRECTORY-BENUTZER ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
UND
-COMPUTER oder
6.4 Gruppenrichtliniensicherheit
2. Klicken Sie mit der rechten Maustaste auf den Container, für den Sie die Gruppenrichtlinienvererbung deaktivieren möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie in dem Dialogfeld auf die Registerkarte GRUPPENRICHTLINIE. 4. Aktivieren Sie das Kontrollkästchen RICHTLINIENVERERBUNG DEAKTIVIEREN (siehe Abbildung 6.28), damit GPO-Einstellungen aus höheren Ebenen auf diesen Active Directory-Container nicht mehr angewendet werden. 5. Klicken Sie auf ÜBERNEHMEN und OK, um Ihre Einstellung zu speichern.
Abbildung 6.28 Deaktivieren der GRUPPENRICHTLINIENVERERBUNG durch Aktivieren des Kontrollkästchens Richtlinienvererbung deaktivieren
Die Deaktivierung der Gruppenrichtlinienvererbung im GPO ist simpel, aber Sie müssen auch an die Folgen denken. Nach der Deaktivierung der GPO-Einstellungen eines bestimmten Active Directory-Containers (normalerweise ein OU) werden keine Einstellungen einer höheren Ebene mehr auf den Container angewendet. Dies bedeutet, dass Sie selbst ein GPO erstellen müssen, falls Sie die Wirkungen der Einstellungen, die Sie deaktiviert haben, wieder herbeiführen möchten. Ein Administrator einer höheren Ebene (beispielsweise einer Domäne) kann entscheiden, die Deaktivierung gewisser GPOs zu verhindern. Diese Option, mit der die Durchsetzung des GPO auf alle unteren Ebenen der Active Directory-Container durchgesetzt wird, steht Ihnen zur Verfügung und wird als nächstes Thema erörtert.
397
398
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Gruppenrichtlinieneinstellungen durchsetzen Auf der Domänen- oder Standortebene sind Sie als Administrator für eine große Anzahl von Benutzern und Computern in der gesamten Organisation verantwortlich. Sie wollen nun an Administratoren der niedrigeren Ebenen administrative Rechte für deren Unterdomäne oder OU delegieren, wollen aber gleichzeitig sicher sein, dass verschiedene wichtige Einstellungen, die von der Geschäftspolitik erzwungen werden, von diesem Administratoren nicht abgeändert werden. Solche Geschäftsregeln können beispielsweise vorsehen, dass als Desktop-Hintergrundbild für alle Benutzer immer das Firmenlogo angezeigt wird, oder dass auf jedem Computer eine Antivirussoftware installiert sein muss. Als Erstes erstellen Sie die GPOs, die diese unternehmenswichtigen Richtlinien enthalten, und sorgen nun als Nächstes dafür, dass diese auch im gesamten Unternehmen angewendet werden. Die Funktionen der Gruppenrichtlinie ermöglichen es Ihnen, die GPOs und ihre Einstellungen auf allen niedrigeren Ebenen durchzusetzen, und zwar unabhängig davon, ob die Gruppenrichtlinienvererbung deaktiviert wurde oder nicht. Stellen Sie im Zusammenhang mit der Frage, ob Sie eine GPO auf niedrigeren Ebenen durchsetzen sollten, immer sicher, dass dies tatsächlich der gangbare Weg zur Realisierung Ihrer Ziele ist. Wenn Sie beispielsweise auf der Domänenebene die Einstellungen eines GPO für einen Active Directory-Container durchsetzen möchten, die nur für die Vertriebsabteilung gültig sein sollen, macht die Durchsetzung des GPO keinen Sinn, weil nun auch die Einstellungen für alle anderen Abteilungen geändert werden. Das Verfahren führt also nicht zum gewünschten Ergebnis. Beim Durchsetzen eines GPO überschreiben dessen Einstellungen sämtliche Einstellungen auf niedrigeren Ebenen unabhängig davon, ob diese auf der Ebene des unteren Containers geändert worden sind oder nicht. Legen Sie sich, wenn Sie GPO-Einstellungen auf niedrigeren Ebenen in der Hierarchie durchsetzen möchten, zwei Fragen vor: »MÜSSEN alle Container in den unteren Ebenen diese Einstellungen haben?« Und weiter: »Sollten Administratoren der unteren Ebenen diese Einstellungen ändern können?« Wenn die Antwort auf die erste Frage Ja lautet, dann käme ein Durchsetzen des GPO in Frage. Lautet die Antwort auf die zweite Frage auch Ja, dann müssen Sie die Sache noch einmal überdenken. Ist die Antwort auf die erste Frage Ja, und auf die zweite Frage Nein, dann sieht es so aus, als wäre das Durchsetzen des GPO der beste Weg. Führen Sie die folgenden Schritte aus, um die GPO-Einstellungen auf alle niedrigeren Ebenen durchzusetzen.
6.4 Gruppenrichtliniensicherheit
SCHRITT FÜR SCHRITT 6.6
Gruppenrichtlinienvererbung durchsetzen
1. Starten Sie entweder ACTIVE DIRECTORY-BENUTZER ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
UND
-COMPUTER oder
2. Klicken Sie mit der rechten Maustaste auf den Container, für den Sie die Gruppenrichtlinienvererbung deaktivieren möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie in dem Dialogfeld auf die Registerkarte GRUPPENRICHTLINIE. 4. Klicken Sie zum Anzeigen des Dialogfeldes OPTIONEN auf die Schaltfläche OPTIONEN (siehe Abbildung 6.29). 5. Aktivieren Sie das Kontrollkästchen KEIN VORRANG, damit diese GPO-Einstellung auf allen niedrigeren Ebenen durchgesetzt wird. 6. Klicken Sie zum Speichern der Option auf OK. 7. Klicken Sie zum Speichern Ihrer Änderungen im Hauptdialogfeld auf ÜBERNEHMEN und OK.
Abbildung 6.29 Aktivieren Sie das Kontrollkästchen KEIN VORRANG, damit alle Gruppenrichtlinieneinstellungen auf alle Container der unteren Ebenen durchgesetzt werden
Denken Sie noch einmal daran, wie wichtig es ist, sich darüber im Klaren zu sein, dass mit dieser Aktion die Einstellungen auf dieser Ebene auf sämtliche Active Directory-Container unterer Ebenen durchgesetzt werden, und zwar unabhängig davon, ob dieselben Einstellungen auf der unteren Ebene geändert worden sind oder nicht! Eine gleiche Einstellung auf der Unterdomänen- oder Organisationseinheitenebene, die ein Administrator dort konfiguriert haben mag, wird in Zukunft nicht mehr angewendet. Die Deaktivierung und Durchsetzung der GPO-Einstellungen bietet Ihnen zwar bedeutend mehr Möglichkeiten, als mit der Systemrichtlinie unter Windows NT 4.0 zur Verfügung stand, gibt Ihnen aber nicht die Kontrolle darüber, auf welche Benut-
399
400
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
zer die Richtlinie angewendet wird. Dies ist mit dem Filtern bzw. der selektiven Zuweisung von Berechtigungen an ein GPO möglich. Gruppenrichtlinie filtern Sie haben bis hierhin erfahren, wie die Anwendung von GPOs auf Container der niedrigeren Ebenen deaktiviert und GPO-Einstellungen auf alle diese Container durchgesetzt werden. Vielleicht haben Sie aber auch gewisse GPOs, die Sie nur auf ganz bestimmte Benutzer, Gruppen oder Computer anwenden möchten. Der Prozess der selektiven Festlegung, welche GPO-Einstellungen im Einzelnen verwendet werden, heißt Filtern. Mit dem Filtern von Gruppenrichtlinien ist gemeint, Berechtigungen des GPO so anzuwenden, dass bestimmte Benutzer, Sicherheitsgruppen oder Computer ausgeschlossen werden. Das Filtern stellt daher eine besonders sorgfältig geplante Verwaltung von Berechtigungen für Fälle dar, in denen das GPO nur auf bestimmte Objekte angewendet werden soll. GPOs, die mit Active Directory-Containern verknüpft sind, wurden bereits weiter oben erörtert. Wenn ein GPO mit einem Active Directory-Container verknüpft wird, wird damit standardmäßig der Sicherheitsgruppe Authentifizierte Benutzer, die alle Benutzer und Computer enthält, die Gruppenrichtlinienberechtigung Lesen und Schreiben gewährt. GPO-Einstellungen werden daher standardmäßig auf jedermann und alles so lange angewendet, wie keine anderslautenden Berechtigungen einschließlich Administratorenprivilegien etwas anderes vorschreiben. Führen Sie zum Filtern der Gruppenrichtlinie die folgenden Schritte aus.
SCHRITT FÜR SCHRITT 6.7
Gruppenrichtlinie filtern
1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE zum Öffnen des Containers, dessen GPO-Einstellungen Sie filtern möchten. 2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO-Einstellungen Sie filtern möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie in dem Dialogfeld auf die Registerkarte GRUPPENRICHTLINIE. 4. Klicken Sie zum Öffnen des Dialogfeldes EIGENSCHAFTEN für das GPO auf die Schaltfläche EIGENSCHAFTEN.
6.4 Gruppenrichtliniensicherheit
5. Klicken Sie zum Anzeigen einer Liste der Benutzer, Gruppen und Computer, denen Berechtigungen der GPO zugewiesen wurden, auf die Registerkarte SICHERHEITSEINSTELLUNGEN. 6. Falls der Benutzer, die Gruppe oder der Computer, für den Sie die Richtlinie filtern möchten, nicht in der Liste aufgeführt ist, klicken Sie auf die Schaltfläche HINZUFÜGEN. Sie erhalten daraufhin eine Liste mit Benutzern, Gruppen und Computern angezeigt. Wählen Sie die Objekte aus, für die Sie eine Filterung der Gruppenrichtlinieneinstellungen vornehmen möchten, und klicken Sie auf HINZUFÜGEN und OK. Abbildung 6.30 Durch Deaktivieren der Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN bei einem Benutzer, einer Sicherheitsgruppe oder einem Computer filtern Sie das GPO und stellen sicher, dass es nicht mehr auf dieses Objekt angewendet wird
7. Wie in Abbildung 6.30 gezeigt, filtern Sie die Anwendung der GPO-Einstellungen, indem Sie die Kontrollkästchen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN in der Spalte ZULASSEN auf der Registerkarte SICHERHEITSEINSTELLUNGEN deaktivieren. Dadurch wird sichergestellt, dass die GPO-Einstellungen nicht mehr auf diesen Benutzer, Computer oder diese Sicherheitsgruppe angewendet werden. Deaktivieren Sie das Kontrollkästchen GRUPPENRICHTLINIE ÜBERNEHMEN auch für die Gruppe Authentifizierte Benutzer bzw. entfernen Sie die Gruppe Authentifizierte Benutzer. Eine alternative Möglichkeit zum Filtern der Richtlinie besteht darin, für den Benutzer, die Gruppe oder den Computer, auf welche die Richtlinie nicht angewendet werden soll, das Kontrollkästchen VERWEIGERN bei GRUPPENRICHTLINIE ÜBERNEHMEN zu aktivieren. Eine Verweigerung hat immer den
401
402
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Vorrang vor Zulassen und ist dann nützlich, wenn Sie die GPO-Einstellungen auf die meisten Benutzer mit wenigen Ausnahmen wie etwa Administratoren anwenden möchten. 8. Klicken Sie zum Speichern Ihrer Sicherheitseinstellungen auf ÜBERNEHMEN und OK. 9. Klicken Sie im Hauptdialogfeld zum Speichern Ihrer Einstellungen auf ÜBERNEHMEN und OK. Wie Sie nun erfahren haben, können Sie Gruppenrichtlinien deaktivieren, durchsetzen und filtern. Die Deaktivierung der Richtlinienvererbung bedeutet, dass die GPO-Einstellungen aus Active Directory-Containern höherer Ebenen (typischerweise Standorte und Domänen) nicht mehr auf Active Directory-Container niedrigerer Ebenen (OUs) angewendet werden. Das Durchsetzen von GPO-Einstellungen stellt das Gegenteil der Deaktivierung dar – Sie gewährleisten damit, dass GPOEinstellungen, die auf höherer Ebene in einem Active Directory-Container erstellt wurden, in allen Active Directory-Containern niedrigerer Ebenen ungeachtet der Deaktivierung oder Aktivierung der GPO-Vererbung durchgesetzt werden. Das Filtern stellt eine weitere Feinabstimmung von Berechtigungen zu dem Zweck dar, GPO-Einstellungen nur auf bestimmte Benutzer oder Computer anzuwenden, denen die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN gewährt wurde. Schön und gut – aber was können Sie mit der Gruppenrichtlinie nun eigentlich alles kontrollieren? Der nächste Abschnitt erörtert die Frage, wie Sie Gruppenrichtlinien einsetzen, und wie Benutzer- und Computerumgebungen durch die Kombination von GPOs mit administrativen Vorlagen kontrolliert werden. In den Kapiteln 7 (»Softwarebereitstellung mittels Gruppenrichtlinien«) und 8 (»Sicherheitsmanagement mittels Gruppenrichtlinien«) werden weitere Details zu anderen Aspekten der Gruppenrichtlinie diskutiert.
6.5
Benutzerumgebungen mit Gruppenrichtlinien verwalten
Verwalten und Fehlerbehebung von Benutzerumgebungen mit Gruppenrichtlinien 씰
Benutzerumgebungen mit administrativen Vorlagen kontrollieren
씰
Skriptrichtlinien auf Benutzer und Computer anwenden
Eine der Herausforderungen für Administratoren eines Windows-2000-Netzwerks und jedes anderen Netzwerks besteht in der Frage, wie Sie sicherstellen, dass die Benutzer den Zugriff auf die Ressourcen erhalten, die sie für ihre tägliche Arbeit
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
benötigen. Da die Ressourcen, die von den Benutzern gebraucht werden, sich im Laufe der Zeit auch ändern, muss den Administratoren ein Verfahren zur Verfügung stehen, welches ihnen die rasche und effiziente Weiterverteilung dieser Änderungen an die betroffenen Benutzer ermöglicht. Im Idealfall sollte diese Fragestellung eine Lösung haben, die die Belastung der Administratoren verringern hilft und richtig konfigurierte Arbeitsumgebungen für die Benutzer ergibt. Mit Windows-2000-Gruppenrichtlinien verfügt der Administrator über die Möglichkeit, über den Einsatz administrativer Vorlagen und Skripte Benutzer- und Computerumgebungen einmal zu definieren, und diese Einstellungen dann automatisch auf alle Benutzer und Computer anzuwenden, die diese Einstellungen benötigen. Mit administrativen Vorlagen werden Änderungen an der Registrierung vorgenommen, während Skripte Batchdateien, Programme oder Dateien des Windows Scripting Host (wie etwa VBScript oder JavaScript) sind. Änderungen an GPOs innerhalb eines Containers (beispielsweise einer OU) werden automatisch auf alle Benutzer und Computer innerhalb des Containers angewendet; vorausgesetzt, dass die Berechtigungen entsprechend konfiguriert worden sind. Auf diese Weise werden die definierten Einstellungen ohne weiteren Konfigurationsaufwand seitens des Administrators automatisch auf jeden neuen Benutzer oder Computer, der demselben Container (beispielsweise einer OU) hinzugefügt wird, angewendet. GPOs können hinsichtlich der Verwaltung von Benutzerumgebungen durch den Einsatz administrativer Vorlagen und Skripte so konfiguriert werden, dass die folgenden Möglichkeiten realisierbar werden: 씰
Sicherstellen, dass alle Benutzer denselben Standarddesktop des Unternehmens verwenden. Mit Gruppenrichtlinien können Sie durchsetzen, dass unternehmensweite Standards eingehalten werden. Zu diesen Standards können das Hintergrundbild des Desktops, der jeweilige zu verwendende Bildschirmschoner, die Eigenschaften der Benutzerkennwörter, die Häufigkeit der Kennwortwechsel oder die Anmeldenachrichten gehören. Der Grundgedanke besteht darin, möglichst viel von dem, was die Benutzer für die Konfiguration ihres Desktops benötigen, für sie zu erledigen. Auf diese Weise brauchen die Benutzer zur Ausführung ihrer Alltagsarbeiten selbst keine Änderungen mehr vorzunehmen; es sei denn, sie haben unübliche Wünsche. Aber auch »normwidriges Verhalten« kann von Ihnen nach Bedarf verhindert werden.
씰
Benutzer von der Verwendung bestimmter Programme oder Teile des Betriebssystems ausschließen. Obwohl es vielleicht einen falschen Eindruck erwecken kann, ist es doch empfehlenswert, manche Benutzer am Zugriff auf bestimmte Bereiche von Windows 2000 zu hindern, weil sie sich anderenfalls mehr Schaden zufügen könnten, als ihnen selbst bewusst ist. Beispielsweise können Sie einen Benutzer daran hindern, die Systemsteuerung zum Ändern der Systemeinstellungen zu öffnen. In Umgebungen, in denen eine Abweichung von bestimmten Standards der Desktopkonfiguration verhindert wer-
403
404
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
den soll, kann es sinnvoll sein, die Benutzer davon abzuhalten. Ähnlich dazu möchten Sie vielleicht auch sicherstellen, dass die Benutzer keinen Zugang zur Eingabeaufforderung oder AUSFÜHREN-Option im Startmenü haben, um das Laden von Programmen zu verhindern, die potenziell Viren enthalten. Bestünden solche Restriktionen nicht, wäre die Konsequenz eine vermehrte Belastung des Helpdesk und der Benutzerunterstützung, was wiederum die Wartungskosten in der gesamten Organisation in die Höhe treiben würde. Die Benutzerbeschränkung verfolgt im Allgemeinen zwei Ziele: Zum einen soll gewährleistet werden, dass Benutzer keine Schäden an den Systemen verursachen, und dass die potenziellen Auswirkungen ihrer Aktionen so gering wie möglich gehalten werden, damit die Supportkosten im Unternehmen niedrig bleiben. Zum anderen sollen alle Benutzer mit den nötigen Werkzeugen ausgestattet werden, um ihre Alltagsarbeiten so effizient wie möglich verrichten zu können. 씰
Sicherstellen, dass die Benutzer immer die Desktopeinstellungen, Netzwerkund Druckerverbindungen und Programme zur Verfügung haben, die sie für ihren Job benötigen, und zwar unabhängig vom Computer, der zum Verbinden mit dem Netzwerk eingesetzt wird. Die Gruppenrichtlinie in Windows 2000 gibt Ihnen die Möglichkeit, den Speicherungsort von Benutzerprofilen und Basisordnern auf Netzlaufwerke umzuleiten, was dem Benutzer wiederum die Möglichkeit verschafft, an wechselnden Arbeitsplätzen im Unternehmen zu arbeiten, da seine Desktopeinstellungen und Netzwerkfreigaben auf allen Arbeitsplätzen gleich bleiben. Sie können außerdem festlegen, wie umfangreich Benutzerprofile werden dürfen, und ob die Benutzer an ihnen Änderungen vornehmen können. Freigegebene Drucker und Netzlaufwerke, die für einen Benutzer eingerichtet worden sind, können bei jeder Anmeldung am Netzwerk unabhängig vom verwendeten Arbeitsplatz und auch bei Remoteverbindungen wiederhergestellt werden.
씰
Die Verwendung bestimmter Windows-2000-Komponenten wie Internet Explorer, Windows Explorer und Microsoft Management Console konfigurieren und einschränken. Als Administrator haben Sie die Gelegenheit, die Benutzer über Gruppenrichtlinien an der Ausführung gewisser Windows-Programme zu hindern.
씰
Computer- und Desktopumgebung auf Grundeinstellungen zurücksetzen. Eine der schönen Funktionen der Gruppenrichtlinien besteht darin, dass man mit ihnen die Einstellungen eines Benutzers vom Desktop entfernen kann, sobald ein anderer Benutzer sich anmeldet. Beim Abmelden oder Neustarten des Computers können spezielle administrative Vorlagen dafür sorgen, dass alle für einen bestimmten Benutzer konfigurierten Desktopeinstellungen vom Computer entfernt und ein aufgeräumter Desktop und eine neutrale Konfigu-
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
ration für den nächsten Benutzer bereitgestellt werden. So wird verhindert, dass die Einstellungen eines bestimmten Benutzers unerwünschte Auswirkungen auf den nächsten Benutzer haben, was Irritation und damit wieder Supportkosten vermeidet. In den folgenden Abschnitten werden Sie die Einstellungen administrativer Vorlagen für Benutzer und Computer kennen lernen. Weiterhin werden Sie erfahren, wie Sie administrative Vorlagen verändern. Manchmal müssen Sie gewisse Aspekte der Benutzerumgebung konfigurieren, wie beispielsweise die Zuordnung von Laufwerkbuchstaben zu Freigaben im LAN. Die folgenden Abschnitte erläutern, wie Sie Skripte in Gruppenrichtlinien konfigurieren und andere konfigurierbare Einstellungen in Gruppenrichtlinien verwenden.
6.5.1
Einstellungen für administrative Vorlagen
Verwalten und Fehlerbehebung von Benutzerumgebungen unter Verwendung von Gruppenrichtlinien 씰
Benutzerumgebungen durch Verwendung administrativer Vorlagen kontrollieren
Wenn Sie ein GPO konfigurieren oder die Einstellungen darin bearbeiten, machen Sie das über die Microsoft Management Console mit dem Snap-In GRUPPENRICHTLINIE (siehe Abbildung 6.31). Wie Sie in der Abbildung sehen können, werden administrative Vorlagen sowohl auf die Computer- als auch Benutzerkonfiguration der Gruppenrichtlinie angewendet. Viele Einstellungen sind für beide Konfigurationen gleich; es gibt aber auch einige wenige, die spezifisch für die jeweilige Konfiguration sind. Der folgenden Tabellen entnehmen Sie, welche Einstellungsarten administrativer Vorlagen es gibt, was diese im Einzelnen kontrollieren, und auf was sie angewendet werden. Einstellungsart
zum Kontrollieren von
angewendet auf
WindowsKomponenten
Teile von Windows 2000 und der darin enthaltenen Werkzeuge. An dieser Stelle können Sie die Funktion bestimmter Komponenten von Windows 2000 einschließlich Internet Explorer, Microsoft NetMeeting, Windows Explorer, Windows Installer, Taskplaner und Microsoft Management Console festlegen. Konfigurieren können Sie, ob das Programm gestartet werden darf, welcher Teil des Programms verwendet werden darf, und wie die Funktion des Programms nach dem Start ist.
Computer Benutzer
405
406
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Einstellungsart
zum Kontrollieren von
angewendet auf
System
Wie Teile von Windows 2000 arbeiten. Hierzu gehört, was bei der An- und Abmeldung passieren soll, wie die DNS-Client-Suffix-Konfiguration stattfindet, ob Datenträgerkontingente erzwungen werden, und wie Eigenschaften der Gruppenrichtlinien wie etwa das Aktualisierungsintervall und die Windows-Dateiwiederherstellung (der Fähigkeit von Windows 2000, automatisch kritische Systemdateien wieder zu ersetzen, die von anderen Programmen überschrieben worden sind) konfiguriert werden.
Computer Benutzer
Netzwerk
Attribute von Netzwerkverbindungen, wie etwa, ob die RAS-Unterstützung für eingehende oder ausgehende Einwählverbindungen gegeben ist, ob Änderungen an den Netzwerkeigenschaften erlaubt sind, und wie Offline-Dateien konfiguriert werden (ob die Benutzer Offline-Dateien verwenden dürfen, und wie und wann die Synchronisierung stattfindet).
Computer Benutzer
Drucker
Konfiguration von Druckern, wie etwa, ob diese in Active Directory veröffentlicht werden, ob Drucker automatisch veröffentlicht werden, ob weborientiertes Drucken eingesetzt wird, sowie weitere Einstellungen wie der Computerstandort, die Abfragehäufigkeit für Drucker usw.
Computer
Startmenü und Taskleiste
Der verfügbare Teil des Startmenüs und der Taskleiste. Hierzu gehört, ob dem Benutzer die Befehle Suchen, Ausführen, die Hilfe und die Favoriten im Startmenü zur Verfügung stehen. Außerdem können Sie an dieser Stelle konfigurieren, ob dem Benutzer gemeinsame Programmgruppen sichtbar sind, ob Windows Update verfügbar sein soll u.a.m. Der Grundgedanke dieser Einstellmöglichkeiten besteht darin, dem Benutzer Optionen zur Verfügung zu stellen, die er für die Alltagsarbeit braucht, und andere auszublenden, die in seiner Arbeitsumgebung Schaden anrichten könnten.
Benutzer
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Einstellungsart
zum Kontrollieren von
angewendet auf
Desktop
Einstellungen des Active Desktop. Dazu gehört, ob Active Desktop aktiv ist (standardmäßig immer aktiv), ob der Benutzer Änderungen an den Desktopeinstellungen vornehmen kann, ein Hintergrundbild festlegen kann, ob das Symbol Netzwerkumgebung auf dem Desktop des Benutzers ausgeblendet wird, ob Einstellungen beim Beenden gespeichert werden sollen u.v.a. Außerdem konfigurieren Sie an dieser Stelle, ob ein Benutzer eine Suche in Active Directory nach Computern und Druckern durchführen kann, und welchen Umfang der Bereich für diese Suche hat.
Benutzer
Systemsteuerung
Die Funktionen verschiedener Aspekte der Systemsteuerung, wie etwa, ob diese aktiv ist, welche Applets in der Systemsteuerung dem Benutzer zur Verfügung stehen, ob der Benutzer in der Lage sein soll, das Symbol Software zum Installieren oder Deinstallieren von Software zu verwenden, von wo aus die Software installiert werden darf (CD, Internet, Netzwerk), ob er Anzeigeeigenschaften kontrollieren darf, wie etwa das Hinzufügen eines Bildschirmschoners, ob er Einstellungen ändern kann, Änderungen des Hintergrundbildes ein- oder abschalten kann u.a.m., ob der Benutzer Drucker hinzufügen, löschen und ändern kann, und ob für alle Benutzer, auf die die Gruppenrichtlinie angewendet wird, eine bestimmte Sprache verwendet wird.
Benutzer
Die nächsten Abschnitte befassen sich mit den Einstellungen administrativer Vorlagen, die den Benutzer betreffen. Einstellungen administrativer Vorlagen, die den Benutzer betreffen Wie zuvor schon erwähnt, können die Einstellungen administrativer Vorlagen, die den Benutzer betreffen, in sechs Kategorien aufgeteilt werden: Windows-Komponenten, Startmenü und Taskleiste, Desktop, Systemsteuerung, Netzwerk und System. In jeder Kategorie hat der Administrator die Möglichkeit, bestimmte Funktionsaspekte vor dem Benutzer zu verbergen. Die einzelnen Kategorien werden in den folgenden Abschnitten näher erläutert.
407
408
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.31 Einige administrative Vorlagen werden entweder auf die Computer- oder die Benutzerkonfiguration der Gruppenrichtlinie angewendet
Einstellungen benutzerseitiger administrativer Vorlagen zu WindowsKomponenten Die administrative Vorlage zu Windows-Komponenten gibt Ihnen die Möglichkeit, die Funktionen von sechs Komponenten des Windows-2000-Betriebssystems (siehe Abbildung 6.32) zu konfigurieren: Microsoft NetMeeting, Internet Explorer, Windows Explorer, Microsoft Management Console, Taskplaner und Windows Installer. Abbildung 6.32 Änderbare Einstellungen administrativer Vorlagen zu Windows-Komponenten für Benutzer
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Microsoft NetMeeting In der Vorlage für Microsoft NetMeeting können Sie einige allgemeine Einstellungen (siehe Abbildung 6.33) festlegen, wie etwa, ob das Whiteboard aktiviert wird, oder der Benutzer die Erlaubnis zum Verwenden des Chatmodus erhält. Außerdem gibt es noch drei weitere Ordner mit weiteren Einstellungen, die die Konfiguration betreffen: Anwendungsfreigabe, Audio & Video und die Optionsseite von NetMeeting. Über die Anwendungsfreigabe können Sie festlegen, ob der Benutzer während einer NetMeeting-Sitzung eine Anwendung freigeben und damit anderen Benutzern die Möglichkeit verschaffen kann, die Kontrolle über die Anwendung zu übernehmen bzw. den Desktop gemeinsam zu nutzen. Bei der Konfigurierung von Audio & Video legen Sie die erlaubte Bandbreite einer NetMeeting-Sitzung oder die Verwendung von Audio und Video und deren Eigenschaften fest. Die Einstellungen zur Optionsseite erlauben Ihnen eine Festlegung dessen, was für den Benutzer sichtbar und änderbar wird, sobald er Optionen von NetMeeting auswählt. Abbildung 6.33 Einstellungen benutzerseitiger administrativer Vorlagen von Microsoft NetMeeting
409
410
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Internet Explorer Über die Gruppenrichtlinien in Windows 2000 können Sie ziemlich präzise festlegen, wie Internet Explorer (IE) sich verhält, und wie der Benutzer das Programm konfigurieren kann. Die von Ihnen festgelegten Einstellungen beziehen sich auf die Systemsteuerung von Internet Explorer. Sie können eine Reihe allgemeiner IE-Einstellungen konfigurieren (siehe Abbildung 6.34), wie beispielsweise, ob der Benutzer digitale Zertifikate verwalten darf, wie die Spracheinstellung ist, wie die Farbeinstellung ist, ob der Benutzer die Suchen-Seite anpassen kann u.a.m. Darüber hinaus gibt es noch eine Anzahl weiterer Elemente des IE, die über die Gruppenrichtlinie eingestellt werden: 씰
Internetsystemsteuerung. Welche Seiten verfügbar sind, wenn der Benutzer EXTRAS/INTERNETOPTIONEN im IE auswählt.
씰
Offlineseiten. Die Konfiguration der Kanäle und Abonnements sowie die Häufigkeit von Aktualisierungen.
씰
Browser-Menüs. Die Eigenschaften der verfügbaren Menüs und der darin enthaltenen Optionen. Beispielsweise gehört hierzu das Abschalten der Option QUELLTEXT ANZEIGEN zum Sichtbarmachen des HTML-Quelltextes einer Seite.
씰
Symbolleisten. Die Konfiguration der Symbolleisten, und ob sie vom Benutzer geändert werden dürfen.
씰
Dauerhaftigkeitsverhalten. Begrenzt den verfügbaren Datenträgerplatz für das Caching verschiedener IE-Zonen.
씰
Vom Administrator überprüfte Steuerelemente. Legt fest, welche Steuerelemente und Komponenten der Benutzer verwenden kann (beispielsweise Media Player oder Shockwave).
Windows Explorer Als Administrator können Sie über die administrativen Vorlagen der Gruppenrichtlinie auch einstellen, welche Eigenschaften von Windows Explorer dem Benutzer zur Verfügung stehen sollen (siehe Abbildung 6.35). Dies gibt Ihnen die Möglichkeit festzulegen, ob der Benutzer andere Computer im Netzwerk sehen kann, indem Sie entsprechend dazu GESAMTES NETZWERK oder BENACHBARTE COMPUTER in Windows Explorer aktivieren bzw. deaktivieren. Außerdem legen Sie fest, ob der Benutzer in Windows Explorer Netzlaufwerke zuordnen darf.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.34 Einstellungen benutzerseitiger administrativer Vorlagen von Internet Explorer
Abbildung 6.35 Einstellungen benutzerseitiger administrativer Vorlagen von Windows Explorer
Weitere Einstellungen, die Sie vornehmen können, betreffen die Darstellung von Windows Explorer, ob neuere Dokumente angezeigt werden und dem Benutzer zur Verfügung stehen, und wie sich Verknüpfungen verhalten, wenn der Benutzer den Arbeitsplatz wechselt. Microsoft Management Console Eine der wirklich praktischen Funktionen von administrativen Vorlagen für Benutzer betrifft hinsichtlich der Verwaltung von Windows 2000 die Möglichkeit, die
411
412
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
administrativen Funktionen eines Domänen-Admins an andere Benutzer delegieren, aber gleichzeitig auch bestimmte Funktionen in der Microsoft Management Console für untergeordnete Administratoren sperren zu können. Über die MMC-Einstellungen der Gruppenrichtlinie (siehe Abbildung 6.36) kann ein Hauptadministrator festlegen, ob ein untergeordneter Administrator oder ein anderer Benutzer in der Lage ist, die MMC-Konsolen zu verändern. Sie können darüber hinaus festlegen, ob der untergeordnete Administrator über alle oder nur eine Untermenge der verfügbaren MMC-Snap-Ins verfügen darf, oder ob er Änderungen an bereits konfigurierten Aspekten der Gruppenrichtlinie vornehmen kann. Diese Kontrollmöglichkeit steht zur Verfügung, weil MMC mit seinen diversen Snap-Ins immerhin ein Hauptverwaltungsinstrument in Windows 2000 ist und nur von autorisierten Personen bedient werden sollte. Abbildung 6.36 Einstellungen benutzerseitiger administrativer Vorlagen von Microsoft Management Console
Taskplaner Windows 2000 enthält auch einen Taskplaner, der gegenüber dem AT-Scheduler unter Windows NT stark verbessert worden ist. Wie die Abbildung 6.37 zeigt, können Sie im Zusammenhang mit Gruppenrichtlinien die Funktionen des Taskplaner dahingehend konfigurieren, ob der Benutzer Tasks löschen oder erstellen, ja sogar, ob er sie ablaufen lassen kann. Auf diese Weise erlauben Sie den Start unerwünschter Programme nur zu bestimmten Zeiten oder verhindern generell, dass diese überhaupt gestartet werden.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.37 Einstellungen benutzerseitiger administrativer Vorlagen von Taskplaner
Windows Installer Die Vorlageneinstellungen für Windows Installer sind sehr nützlich insofern, als sie Benutzer daran hindern können, Software zu installieren, die sich eigentlich nicht auf ihren Computern befinden sollte. Mit den Einstellungen zum Windows Installer für den Benutzer (siehe Abbildung 6.38) können Sie beispielsweise die Suchreihenfolge der Medienquellen für Installationsdateien konfigurieren (d.h. Diskette, CD oder Netzwerk). Sie haben außerdem die Gelegenheit, die Installation von Software über Wechseldatenträger zu unterbinden (Diskette oder CD), oder festzulegen, ob das Installationsprogramm mit Administratorprivilegien ausgeführt werden soll. Wie Sie also gesehen haben, können Sie mit den administrativen Vorlagen zu Windows-Komponenten des Benutzers die Funktionen einer ganzen Anzahl wichtiger Programme in Windows 2000 konfigurieren: Microsoft NetMeeting, Internet Explorer, Windows Explorer, Microsoft Management Console, Taskplaner und Windows Installer. Andere Bestandteile von Windows 2000 wie etwa das Startmenü und die Taskleiste (werden als Nächstes erläutert) können über Gruppenrichtlinien ebenfalls konfiguriert werden. Einstellungen benutzerseitiger administrativer Vorlagen für Startmenü und Taskleiste Die Startmenü- und Taskleisteneinstellungen, die Sie für den Benutzer mit Hilfe der administrativen Vorlagen konfigurieren können, legen fest, wie das Windows-Startmenü erscheint und welche Funktionen es besitzt. Sie legen fest (siehe Abbildung 6.39), ob dem Benutzer der Befehl AUSFÜHREN in seinem Startmenü zum Starten von Programmen zur Verfügung steht.
413
414
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.38 Einstellungen benutzerseitiger administrativer Vorlagen von Windows Installer
Das Abschalten von AUSFÜHREN hindert den Benutzer am Ausführen von Programmen mit Ausnahme derjenigen, für welche bereits Verknüpfungen existieren. Außerdem kann er Programme immer noch durch Doppelklick im Windows Explorer oder über die Eingabeaufforderung starten. Sie können weiterhin konfigurieren, ob im Startmenü des Benutzers die Menüs SUCHEN, HILFE, FAVORITEN und DOKUMENTE zur Verfügung stehen. Sie haben auch die Gelegenheit, die gemeinsamen und/oder benutzerbezogenen Programmgruppen aus der Liste der Programme auszuschließen, was die Anzahl der Programme, auf die der Benutzer Zugriff hat, weiter beschränkt. Abbildung 6.39 Einstellungen benutzerseitiger administrativer Vorlagen für Startmenü und Taskleiste
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Wie Sie sehen können, legen die über administrative Vorlagen einstellbaren Startmenü- und Taskleisteneigenschaften fest, wie das Windows-Startmenü und seine Funktionalität dem Benutzer angezeigt werden. Einstellungen benutzerseitiger administrativer Vorlagen für den Desktop Zu den für Benutzer konfigurierbaren Desktopeinstellungen gehören u.a. sowohl Einstellungen zu Active Directory und Active Desktop als auch einige allgemeine Desktopeinstellungen (siehe Abbildung 6.40). Unter die allgemeinen Einstellungen fällt die Option, ob EIGENE DATEIEN auf dem Desktop und/oder im Startmenü angezeigt werden. Sie legen außerdem fest, ob Änderungen des Desktops bei der Abmeldung des Benutzers gespeichert werden. Diese Vorlage dient Ihnen auch für die Vorgabe, ob Internet Explorer, Netzwerkumgebung oder andere Symbole auf dem Desktop angezeigt werden, und ob der Benutzer die Lage der Taskleiste verändern kann. Abbildung 6.40 Einstellungen benutzerseitiger administrativer Vorlagen für den Desktop
Hinsichtlich von Active Desktop (siehe Abbildung 6.41) legen Sie über die Gruppenrichtlinie fest, ob Active Desktop verwendet wird, welches Hintergrundbild angezeigt wird, und ob dieses Hintergrundbild eine Bitmapdatei (BMP) oder ein anderer Grafikdateityp wie JPEG oder GIF ist. Außerdem können Sie konfigurieren, ob dem Benutzer Änderungen am Desktop einschließlich Hinzufügen, Löschen, Ändern oder sogar Schließen von Objekten erlaubt sind. Über eine umfangreiche Liste von nicht zugelassenen Aktionen können Sie außerdem eine Reihe nicht erlaubter Aktionen definieren.
415
416
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.41 Einstellungen benutzerseitiger administrativer Vorlagen für Active Desktop
Abbildung 6.42 Einstellungen benutzerseitiger administrativer Vorlagen für Active Directory
Hinsichtlich von Active Directory gibt es nur einige wenige Einstellungen, die über benutzerseitige administrative Vorlagen konfiguriert werden können (siehe Abbildung 6.42). Die verfügbaren Einstellungen haben mit der Größe der Suchvorgänge in Active Directory zu tun (die Anzahl der Objekte, die von einer einzelnen Suche zurückgeliefert werden), und erlauben Ihnen eine Konfiguration dahingehend, ob der Benutzer diese Suche filtern kann. Diese Einstellungen sind für den Einsatz in großen Organisationen mit Tausenden von Benutzern und Computern gedacht, und
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
sollen primär sicherstellen, dass eine Suche in Active Directory zeitsparend verläuft und möglichst wenig Netzwerkbandbreite bzw. Domänencontrollerressourcen verbraucht. Mit den benutzerseitigen administrativen Vorlagen für Desktopeinstellungen kann der Administrator bestimmte Elemente des Desktops, wie etwa das angezeigte Hintergrundbild, die Umleitung von Basisordnern zu einem Netzlaufwerk u.a.m., vordefinieren. Einstellungen dieser Art dienen dem Zweck, die Desktops an Unternehmensstandards anzupassen. Einstellungen benutzerseitiger administrativer Vorlagen für die Systemsteuerung Eine große potenzielle Besorgnis eines Administrators hat mit den Änderungen zu tun, die Benutzer an ihrer Konfiguration vornehmen, ohne sich über die Folgen im Klaren zu sein. Sicher haben Sie auch schon oft von der Geschichte gehört (oder sie sogar selbst erlebt), dass ein Benutzer sich durch Basteln an seiner Netzwerkkonfiguration vom Zugang zum Netzwerk ausgeschlossen hat. Anschließend musste dann der Support kommen, um das Problem wieder zu beseitigen. In manchen Fällen kann ein »sanfter Dirigismus« sehr sinnvoll sein, um Benutzer daran zu hindern, sich selbst ins Knie zu schießen (und es gibt Benutzer, die es unbedingt immer wieder wissen wollen)! In benutzerseitigen administrativen Vorlagen, die sich auf die Systemsteuerung (siehe Abbildung 6.43) beziehen, können Sie die folgenden vier wichtigen Dinge konfigurieren: Software, Anzeige, Drucker und Ländereinstellungen (sowie noch einige generelle Einstellungen). Eine sehr nützliche Einstellung betrifft die Möglichkeit, die Systemsteuerung zu deaktivieren, was für die große Masse der Benutzer sinnvoll ist, die keine Änderungen an ihren Systemen vorzunehmen brauchen, oder die nur den im Unternehmen üblichen Standarddesktop verwenden. Wollen Sie den Benutzern hingegen die Verwendung von Symbolen in der Systemsteuerung erlauben, dann können Sie festlegen, welche davon angezeigt oder versteckt werden. Der potenzielle Schaden, der durch Benutzerfehler entstehen kann, wird dadurch minimiert. Wie zuvor schon erwähnt, gibt es in den benutzerseitigen administrativen Vorlagen für die Systemsteuerung vier Objekte, die Sie konfigurieren können (Software, Anzeige, Drucker und Ländereinstellungen), und die in den folgenden Abschnitten erörtert werden.
417
418
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.43 Einstellungen benutzerseitiger administrativer Vorlagen für die Systemsteuerung
Software Im Ordner SOFTWARE der benutzerseitigen administrativen Vorlage für die Systemsteuerung (siehe Abbildung 6.44) legen Sie fest, ob der Benutzer Gebrauch von diesem Applet machen kann. Wenn ja, entscheiden Sie weiterhin darüber, ob der Benutzer Programme hinzufügen, ändern oder entfernen kann. Sie legen weiterhin fest, ob der Benutzer Programme von einem CD-Laufwerk, einer Diskette, vom Netzwerk oder über Microsoft (Windows Update) installieren darf. Sie erlauben oder verweigern dem Benutzer an dieser Stelle auch die Installation von WindowsKomponenten wie etwa Spielen oder anderen Teilen des Betriebssystems, die optional zur Installation von Windows 2000 gehören. Anzeige Eine wichtige Voraussetzung zur Kontrolle des Benutzerdesktops besteht darin, sein Erscheinungsbild festzulegen. Dies geschieht über ANZEIGE in der Systemsteuerung und kann ebenfalls über die administrativen Vorlagen der Gruppenrichtlinie beeinflusst werden (siehe Abbildung 6.45). Sie als Administrator legen an dieser Stelle fest, ob ein Benutzer Änderungen an seinen Anzeigeeinstellungen vornehmen kann, und falls ja, welche Änderungen zugelassen sind. Hierzu gehören normalerweise Dinge wie das Hintergrundbild oder der Bildschirmschoner, wobei Sie ebenfalls einen Kennwortschutz für den aktiven Bildschirmschoner definieren können. Ein Kennwortschutz ist sinnvoll, weil er in Situationen, in denen der Benutzer seinen Arbeitsplatz verlässt, zumindest die Minimalanforderung an die Sicherheit bietet. Außerdem können Sie steuern, ob der Benutzer die Bildschirmauflösung und die Anzahl der Farben ändern kann.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.44 Einstellungen benutzerseitiger administrativer Vorlagen für Software in der Systemsteuerung
Abbildung 6.45 Einstellungen benutzerseitiger administrativer Vorlagen für Anzeige in der Systemsteuerung
Drucker Zur Kontrolle von Druckern stellen Sie über die administrativen Vorlagen (siehe Abbildung 6.46) ein, ob ein Benutzer über das Applet DRUCKER in der Systemsteuerung oder über START/EINSTELLUNGEN/DRUCKER Drucker hinzufügen oder entfernen kann. Weiterhin stellen Sie ein, ob der Benutzer nach Druckern suchen kann, um diese ggf. hinzuzufügen (über eine Website, Active Directory oder das Netzwerk).
419
420
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.46 Einstellungen benutzerseitiger administrativer Vorlagen für Drucker in der Systemsteuerung
Ländereinstellungen Unter LÄNDEREINSTELLUNGEN steht Ihnen in der benutzerseitigen administrativen Vorlage für die Systemsteuerung (siehe Abbildung 6.47) nur eine Option zur Verfügung, nämlich ob länderspezifische Einstellungen erlaubt sind oder nicht. Hier legen Sie fest, ob der Benutzer die Sprache und andere landesbezogene Eigenschaften des PC einstellen darf, wozu u.a. das Datums- und Uhrzeitformat, die Währungssymbole und numerische Formate (z.B. Dezimal- und Trennzeichen) gehören. Falls Sie sicherstellen möchten, dass alle Benutzer dieselben Einstellungen verwenden, die nicht geändert werden dürfen, deaktivieren Sie diese Option. In der Systemsteuerung kann der Administrator mit der Gruppenrichtlinie im Voraus definieren, welche Optionen den Benutzern zum Ändern ihrer PC-Einstellungen zur Verfügung stehen. Hierdurch wird verhindert, dass die Benutzer durch eigene Aktionen Störungen ihrer PCs verursachen und damit unnötig Supportpersonal beanspruchen. Einstellungen benutzerseitiger administrativer Vorlagen für das Netzwerk Mit den Netzwerkeinstellungen der benutzerseitigen administrativen Vorlagen für Gruppenrichtlinien definieren Sie die Funktionen von Offline-Dateien und Netzwerk- bzw. DFÜ-Verbindungen (siehe Abbildung 6.48).
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.47 Einstellungen benutzerseitiger administrativer Vorlagen für Ländereinstellungen in der Systemsteuerung
Abbildung 6.48 Einstellungen benutzerseitiger administrativer Vorlagen für das Netzwerk
Netzwerkeinstellungen für Offline-Dateien Eine schöne Funktion von Windows 2000 insbesondere für Leute, die viel reisen und sich über ein Notebook mit dem Büro verbinden, besteht in der Offline-Verfügbarkeit von Netzwerkordnern. Für den Administrator kann dies wiederum zu einem Problem führen, weil er unter Umständen gar nicht wünscht, dass bestimmte Dateien offline zur Verfügung stehen (beispielsweise der Quellcode einer neu entwickelten und kommerziell vertriebenen Software). Mit administrativen Vorlagen
421
422
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
bestimmen Sie, wie Offline-Dateien Benutzern zur Verfügung stehen (siehe Abbildung 6.49). Diese Funktion können Sie ggf. auch gänzlich abschalten. Sie können weiterhin kontrollieren, auf welche Ordner Benutzer offline zugreifen und welche sie selber konfigurieren dürfen. Außerdem legen Sie die Häufigkeit von Erinnerungen an die Synchronisation und die Verfügbarkeit der Offline-Dateien fest. Über die administrative Vorlage bestimmen Sie, was passieren soll, wenn ein Server verfügbar wird (d.h., ob zwischengespeicherte Kopien der Dateien verwendet oder die Dateien nicht verfügbar werden sollen). Sie bestimmen auch, ob die Menüauswahl OFFLINE VERFÜGBAR MACHEN auch für Netzwerkressourcen angezeigt wird. Abbildung 6.49 Einstellungen benutzerseitiger administrativer Vorlagen für OfflineDateien im Netzwerk
DFÜ-Verbindungen Der andere Teil benutzerseitig konfigurierbarer Netzwerkeinstellungen betrifft die DFÜ-Verbindungen und Netzwerkkonfiguration. Über diese Richtlinieneinstellungen (siehe Abbildung 6.50) definieren Sie, ob ein Benutzer für sich selbst oder andere Benutzer RAS-Verbindungen (d.h., DFÜ-Verbindungen) hinzufügen oder entfernen kann. Sie legen fest, ob sich Benutzer über RAS oder das Netzwerk verbinden können, ob sie RAS-Verbindungen umbenennen dürfen, und ob sie die TCP/ IP-Einstellungen ändern können. Auf diese Weise sperren Sie Netzwerkeinstellungen, die der Benutzer unter Umständen zu seinem eigenen Schaden ändern könnte. Dieselben Einstellungen wiederum können Sie für Benutzer aktivieren, die technisch etwas informierter sind und die Konsequenzen von Änderungen an RAS-Verbindungen oder TCP/IP-Einstellungen besser verstehen.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.50 Einstellungen benutzerseitiger administrativer Vorlagen für Netzwerk- und DFÜ-Verbindungen
Hinsichtlich der Konfiguration von Netzwerkeinstellungen über Gruppenrichtlinien können Sie steuern, ob Offline-Dateien standardmäßig verfügbar sind oder nicht, und wie ihre Eigenschaften sein sollen. Außerdem können Sie die Funktionen von Netzwerk- und DFÜ-Verbindungen kontrollieren. Einstellungen benutzerseitiger administrativer Vorlagen für das System Der letzte Satz von Konfigurationseinstellungen in benutzerseitigen administrativen Vorlagen betrifft die Systemfunktionen. Hierzu gehören sowohl einige generelle Einstellungen (siehe Abbildung 6.51) als auch zwei spezielle Kategorien von Systemeinstellungen: ANMELDUNG/ABMELDUNG und GRUPPENRICHTLINIEN.
HINWEIS Programme zum Bearbeiten der Registrierung deaktivieren Es ist dringend zu empfehlen, dass Sie dem größten Teil der Benutzer den Einsatz von Programmen zur Bearbeitung der Registrierung verweigern. In der Registrierung sind systemwichtige Einstellungen und Anwendungsdaten enthalten, die von Windows 2000 und den meisten Windows-2000-Anwendungen benötigt werden. Eine Änderung der Registrierung durch einen Benutzer kann nicht mehr rückgängig gemacht werden; es sei denn, dass der Benutzer sich noch an den Ausgangszustand erinnern kann. Ein Benutzer, der Änderungen an der Registrierung vornimmt und die Folgen nicht richtig einschätzt, kann ernste Probleme auf seinem PC verursachen.
423
424
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Wenn Sie verhindern, dass ein Benutzer die Registrierung ändert, heißt dies nicht, dass Sie selbst keine Änderungen mehr vornehmen können. Sie haben nach wie vor die Möglichkeit, die Registrierung entweder lokal auf dem PC, auf dem die Änderung erforderlich ist, oder remote durchzuführen. Administratoren können standardmäßig immer Bearbeitungen der Systemregistrierung durchführen. Abbildung 6.51 Einstellungen benutzerseitiger administrativer Vorlagen für das System
Allgemeine Einstellungen Im allgemeinen Teil der Systemeinstellungen legen Sie fest, ob bei der Anmeldung ein Begrüßungsbildschirm angezeigt wird, oder ob der Benutzer Programme zum Bearbeiten der Registrierung verwenden darf. Sie können weiterhin bestimmte Anwendungen sperren (z.B. indem Sie festlegen, dass nur Programmdateien, die in der Einstellung aufgeführt sind, gestartet werden können), die automatische Wiedergabe von CDs im CD-ROM-Laufwerk deaktivieren und die Eingabeaufforderung abschalten. Alle diese Einstellungen sind für den Benutzer recht restriktiv und haben unmittelbare Auswirkungen auf seine Möglichkeiten im Umgang mit dem System. Einstellungen zu An- und Abmeldungen Bei den Einstellungen zu den An- und Abmeldungen eines Benutzers (siehe Abbildung 6.52) steuern Sie die Ausführung von Skripten während der An- und Abmeldung. Beispielsweise legen Sie fest, ob diese Skripte sichtbar sind, oder ob sie asynchron ausgeführt werden sollen. Sie bestimmen außerdem, ob ein Benutzer sein Kennwort ändern kann, und ob er sich überhaupt abmelden darf. Sie haben die
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Möglichkeit, die Größe des Benutzerprofils zu begrenzen, bestimmte Ordner aus dem Profil zu entfernen und die Programme zu definieren, die bei der Anmeldung laufen sollen. Abbildung 6.52 Einstellungen benutzerseitiger administrativer Vorlagen für An- und Abmeldung im System
Gruppenrichtlinien Bezüglich der Gruppenrichtlinien (siehe Abbildung 6.53) in der benutzerseitigen administrativen Vorlage legen Sie fest, welche Domänencontroller zum Download der Gruppenrichtlinienvorlagen von einem Domänencontroller verwendet werden. Sie können bestimmen, wie oft der PC Aktualisierungen der Gruppenrichtlinien von einem Domänencontroller anfordert, und ob administrative Vorlagendateien (ADM) automatisch aktualisiert werden sollen. Die Systemeinstellungen in der benutzerseitigen administrativen Vorlage sind ziemlich tiefgreifend. Als Administrator legen Sie mit ihnen fest, wie die Gruppenrichtlinie auf einzelne Benutzer angewendet wird, ob sich der Benutzer anmelden muss, und wenn ja, ob eine unternehmensspezifische Meldung angezeigt wird. DomänenAdmins können sogar eine noch weitgehendere Kontrolle über den Desktop eines Benutzers ausüben. Die Vorteile benutzerseitiger administrativer Vorlagen Da Sie nun einige der Dinge kennen gelernt haben, die Sie unter Verwendung benutzerseitiger administrativer Vorlagen einstellen können, sehen Sie, welche Art von Kontrollmöglichkeiten dem Administrator damit zur Verfügung stehen.
425
426
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.53 Einstellungen benutzerseitiger administrativer Vorlagen für Gruppenrichtlinien im System
Mit benutzerseitigen administrativen Vorlagen kann der Administrator folgende Kontrollmöglichkeiten ausüben: 씰
Desktop des Benutzers kontrollieren. Durch eine sinnvolle Konfiguration von Windows-Komponenten, Desktop und Einstellungen zum Startmenü und zur Taskleiste steuern Sie die Darstellung und die Funktionen des Desktops, auf die der Benutzer Zugriff hat.
씰
Benutzerzugang zu Ressourcen kontrollieren. Durch die Einstellmöglichkeiten der Windows-Komponenten, des Desktops und des Startmenüs sowie der Taskleiste sorgen Sie dafür, dass dem Benutzer ein definierter Satz von Netzwerkordnern, Druckern und lokalen Ressourcen zur Verfügung steht. Dies stellt keinen Ersatz, sondern eine Ergänzung der NTFS- und Freigabeberechtigungen für diese Ressourcen dar.
씰
Benutzerzugang zu administrativen Werkzeugen und Programmen kontrollieren. Durch die Festlegung der Windows-Komponenten, des Desktops, des Startmenüs und der Taskleiste sowie der Systemeinstellungen hindern Sie Benutzer daran, administrative Werkzeuge wie die Systemsteuerung, MMC, Bearbeitungsprogramme für die Registrierung und andere Programme einzusetzen, die die Systemkonfiguration beschädigen können.
Über Gruppenrichtlinien kann ein Administrator zahlreiche Aspekte der Benutzerumgebung eines Windows-2000-Computers festlegen. Hierzu gehört, um nur einige wenige zu nennen, die Spezifizierung, welche Programme gestartet werden können, wie der Desktop angezeigt wird, welche Netzwerkfunktionalität zur Verfügung
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
steht, und ob sich der Benutzer anzumelden hat. Durch administrative Vorlagen können aber nicht nur die Desktopeinstellungen des Benutzers beeinflusst werden – auch die Computereinstellungen unterliegen der Gruppenrichtlinie. Mit ihnen wird dafür gesorgt, dass ein Computer unabhängig vom angemeldeten Benutzer immer mit vordefinierten Einstellungen arbeitet.
HINWEIS Administrative Vorlagen – Benutzer- versus Computereinstellungen Kommt ein und dieselbe Einstellung einer administrativen Vorlage sowohl in der Benutzer- als auch in der Computerkonfiguration einer Gruppenrichtlinie vor, wird immer die Computereinstellung angewendet. Anders gesagt, wenn Sie in der Computerkonfiguration der administrativen Vorlage eines GPO definieren, dass Autoplay für CD-ROM-Laufwerke deaktiviert wird, während die Benutzerkonfiguration Autoplay aktiviert, behält die Computereinstellung die Oberhand – Autoplay bleibt deaktiviert. Der Grund liegt darin, dass ein Benutzer sich gleichzeitig an mehreren PCs anmelden kann, und daher auch dieselbe GPO-Einstellung unabhängig davon angewendet wird, an welchem Arbeitsplatz er sich gerade befindet. Da ein Computer aber nur einmal existieren kann, müssen auch seine Konfigurationseinstellungen auf Kosten der Benutzereinstellungen geschützt werden.
Einstellungen administrativer Vorlagen, die den Computer betreffen Wie schon zuvor erwähnt, sind administrative Vorlagen sowohl auf den Benutzer als auch den Computer anwendbar. Die Anzahl der Bereiche, in denen Einstellungen aus computerseitigen administrativen Vorlagen überhaupt anwendbar sind, ist jedoch weitaus geringer als bei den Benutzern (siehe Abbildung 6.54). Es stehen hier nur vier anstelle von sechs Bereichen zur Verfügung, und die Anzahl der verfügbaren Einstellungen ist ebenfalls kleiner. Der Grund ist hauptsächlich darin zu sehen, dass alle für den Computer konfigurierten Einstellungen auf sämtliche Benutzer dieses Computers angewendet werden; d. h., jeder Benutzer, der sich am Computer anmeldet, für den über administrative Vorlagen Computereinstellungen konfiguriert worden sind, ist auch automatisch diesen Einstellungen unterworfen. Die computerseitig konfigurierbaren Einstellungen betreffen WINDOWS-KOMPONENTEN, SYSTEM, NETZWERK und DRUCKER. Generell gilt, dass die Anzahl der Objekte, die für computerseitige administrative Vorlagen konfiguriert werden können, weitaus geringer als diejenige für den korrespondierenden Benutzerteil administrativer Vorlagen ist. Obwohl beispielsweise der Ordner WINDOWS-KOMPONENTEN im Computer- und Benutzerteil erscheint, ist die Anzahl der für den Benutzer konfigurierbaren Einstellungen weitaus höher und detaillierter. Der Grund liegt darin, dass viele der Einstellungen Änderungen betreffen, die sich nicht auf den Computerteil (HKEY_LOCAL_MACHINE), sondern auf den Benutzerteil der Registrierung (HKEY_CURRENT_USER) beziehen.
427
428
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.54 Einstellungen administrativer Vorlagen für den Computer
Außerdem ist es einleuchtend, dass der Benutzerteil detaillierter ist, da der Computerteil mit den Systemeigenschaften zu tun hat, die sich auf alle Benutzer beziehen, während der Benutzerteil individuelle Präferenzen betrifft, von denen es naturgemäß viele geben kann. Einstellungen computerseitiger administrativer Vorlagen zu Windowskomponenten Im Teil WINDOWS-KOMPONENTEN der computerseitigen administrativen Vorlage (siehe Abbildung 6.55) finden Sie vier Bereiche in Windows 2000, deren Einstellungen Sie konfigurieren können: NetMeeting, Internet Explorer, Taskplaner und Windows Installer. Sie finden diese auch im Benutzerteil des GPO, wobei zusätzlich noch MMC und Windows Explorer enthalten sind. NetMeeting Im Ordner NetMeeting gibt es nur eine einzige für den Computer konfigurierbare Einstellung (siehe Abbildung 6.56), die die Aktivierung der Remotedesktop-Freigabe betrifft, was sich beträchtlich von den für Benutzer zur Verfügung stehenden Optionen unterscheidet. Mit der Remotedesktop-Freigabe ist die Fähigkeit gemeint, den Desktop remote über NetMeeting zu steuern. Indem Sie diese Option abschalten, verhindern Sie, dass jemand den Computer übernimmt und damit ein potenzielles Sicherheitsrisiko darstellt.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.55 Einstellungen computerseitiger administrativer Vorlagen für Windows-Komponenten
Abbildung 6.56 Einstellungen computerseitiger administrativer Vorlagen für Windows-Komponenten/NetMeeting
Internet Explorer Mit den Einstellungen, die Internet Explorer (siehe Abbildung 6.57) betreffen, kontrollieren Sie sowohl die Proxy-Parameter wie die Sicherheitsrichtlinien für alle Benutzer des Computers. Sie verfügen über die Option, die Anzeige des Begrüßungsbildschirms beim Start von Internet Explorer zu deaktivieren, die Suche des IE nach eigenen Softwareaktualisierungen freizugeben, oder die automatische Installation von fehlenden Komponenten zu deaktivieren, die stattfinden kann,
429
430
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
sobald der Benutzer eine Site mit Softwarekomponenten aufruft, über die IE noch nicht verfügt. Mit diesen Einstellungen legen Sie mit anderen Worten das Erscheinungsbild, die Bedienung und die Funktionen von IE für alle Benutzer des Computers fest. Abbildung 6.57 Einstellungen computerseitiger administrativer Vorlagen für Windows-Komponenten/Internet Explorer
Taskplaner Die computerseitigen Einstellungen zum Taskplaner (siehe Abbildung 6.58) sind nahezu identisch mit denjenigen für den Benutzer. Wie schon weiter oben erwähnt, werden Computereinstellungen bei Konflikten gegenüber Benutzereinstellungen immer bevorzugt, sodass Einstellungen hier garantiert immer auf alle Benutzer angewendet werden. Hierzu gehört, ob der Benutzer auf dem Computer einen Task erstellen oder löschen kann, und ob die Eigenschaften des Tasks angezeigt werden können. Windows Installer In den computerseitigen Einstellungen des Windows Installer (siehe Abbildung 6.59) können Sie steuern, ob Windows Installer zum Installieren von Anwendungen auf einem Windows-2000-Computer verwendet werden soll, und wenn ja, wie sich diese Installationsvorgänge im interaktiven Betrieb dem Benutzer präsentieren. Zu den möglichen Einstellungen gehört etwa die Option, ob der Benutzer die Installation kontrollieren kann (d.h., ob er Änderungen an den Installationsoptionen vornehmen kann, die normalerweise nur für Administratoren zur Verfügung stehen; z.B. wohin bestimmte Dateien geschrieben werden, und welche Art von Programmgruppe – gemeinsam oder Benutzer – eine Anwendung erstellen darf), oder ob ein Benutzer gewisse zusätzliche Funktionen wie etwa das Durchsuchen des Mediums oder einen Patch der Anwendung ausführen darf.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.58 Einstellungen computerseitiger administrativer Vorlagen für Windows-Komponenten/Taskplaner
Im letzteren Fall werden im Rahmen der Anwendungsinstallation die Berechtigungen des Benutzers entsprechend erhöht. Sie können außerdem festlegen, ob diese Erhöhung von Benutzerberechtigungen während der Installation überhaupt stattfinden darf, und ob die Installation protokolliert werden kann. Abbildung 6.59 Einstellungen computerseitiger administrativer Vorlagen für Windows-Komponenten/Windows Installer
431
432
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Eine Konfiguration der Programmfunktionen von Windows Installer, Internet Explorer, NetMeeting und Taskplaner stellt sicher, dass diese Richtlinien auf alle Benutzer dieses Computers angewendet werden. Darüber hinaus können Sie über die Systemeinstellungen noch weitere Systemfunktionen wie etwa die Datenträgerkontingente konfigurieren. Einstellungen computerseitiger administrativer Vorlagen zum System Systemseitig betreffen die Einstellmöglichkeiten administrativer Vorlagen für die Computerebene (siehe Abbildung 6.60) fünf Bereiche: Anmeldung, Datenträgerkontingente, DNS-Client, Gruppenrichtlinie und Windows-Dateischutz. Einige allgemeine konfigurierbare Einstellungen betreffen darüber hinaus den Computer als Ganzes und wirken sich auf bestimmte Optionen aus, die im Startmenü angezeigt werden, sobald sich ein Benutzer unter Verwendung der Terminaldienste in Windows 2000 anmeldet. Mit dieser Vorlage wird das Erscheinungsbild der Statusmeldungen konfiguriert, die beim Startvorgang, bei der Anmeldung, Abmeldung oder beim Herunterfahren des Systems erscheinen. Schließlich können Sie noch festlegen, welche Programme beim Start ausgeführt werden sollen. Abbildung 6.60 Einstellungen computerseitiger administrativer Vorlagen für SYSTEM
Anmeldung Während der Anmeldung durchläuft Windows 2000 eine Reihe besonderer Startphasen, von denen einige eine Benutzeraktion erfordern. Mit dem Anmeldungsteil der administrativen Vorlage eines GPO für das System (siehe Abbildung 6.61) können Sie festlegen, was geschehen soll, wenn solche Systemzustände auftreten. Hier definieren Sie beispielsweise, wie Startskripte für den Computer ausgeführt werden
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
sollen (dies unterscheidet sich von den Anmeldeskripts für Benutzer, die im Benutzerbereich für dieses GPO eingestellt werden). Beispielsweise können Sie veranlassen, dass servergespeicherte Profile nach der Abmeldung eines Benutzers gelöscht werden, oder dass ein Benutzerprofil auch dann downgeloaded wird, wenn die Anmeldung über eine langsame Netzwerkverbindung wie etwa Modem-DFÜ stattfindet. Außerdem legen Sie Zeitlimits für Dialogfelder und Profildownloads fest. Abbildung 6.61 Einstellungen computerseitiger administrativer Vorlagen für SYSTEM/ANMELDUNG
Datenträgerkontingente Über den Ordner DATENTRÄGERKONTINGENTE im Systemteil computerseitiger administrativer Vorlagen (siehe Abbildung 6.62) aktivieren bzw. deaktivieren Sie die Datenträgerkontingente eines Computers. Mit Datenträgerkontingenten wird der verfügbare Datenträgerplatz begrenzt, der einem Benutzer auf diesem Computer zur Verfügung steht. Eine Aktivierung der Kontingente in der Vorlage ermöglicht die Spezifizierung von Kontingenten auf der Dateisystemebene, während die Deaktivierung in der Richtlinie die Kontingentierung abschaltet, und zwar unabhängig von bestehenden Konfigurationen auf der Ebene des Dateisystems. Darüber können Sie festlegen, was geschehen soll, wenn ein Benutzer sein Kontingent überschreitet, und wo die Datenträgerkontingentgrenze liegt. Schließlich definieren Sie in dieser Vorlage noch, ob bei Erreichen einer Warn- oder Maximalgrenze des Kontingents eine Protokollierung im Ereignisprotokoll von Windows NT stattfinden soll.
433
434
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.62 Einstellungen computerseitiger administrativer Vorlagen für SYSTEM/DATENTRÄGERKONTINGENTE
DNS-Client Im Bereich DNS-Client der administrativen Vorlage steht Ihnen für den Computer nur eine einzige Einstellung zur Verfügung (siehe Abbildung 6.63), nämlich das primäre DNS-Suffix. Die Einstellung gibt einen Anhang für den Computernamen zur Erzeugung eines FQDN-Namens (FQDN, Fully Qualified Domain Name) für den Host an, der für Active Directory und die Hostnamensauflösung benötigt wird. Die hier vorgenommene Einstellung kann von Benutzern einschließlich Administratoren im Dialogfeld TCP/IP-Eigenschaften der Netzwerkkonfiguration des Computers nicht mehr geändert werden. Gruppenrichtlinien Ähnlich dem Gruppenrichtlinienteil der benutzerseitigen administrativen Vorlage (siehe Abbildung 6.64) legen die Gruppenrichtlinieneinstellungen in der computerseitigen administrativen Vorlage fest, was während der Verarbeitung des GPO für den Computer geschehen soll. Sie legen an dieser Stelle die Aktualisierungen für Domänencontroller und andere Typen von Windows-2000-Computern fest, und entscheiden darüber, welche Teile des GPO für den Computer einschließlich Skripte, Softwareinstallationsrichtlinien, EFS-Richtlinien und Datenträgerkontingenterichtlinien verarbeitet werden.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.63 Einstellungen computerseitiger administrativer Vorlagen für SYSTEM/DNSCLIENT
Abbildung 6.64 Einstellungen computerseitiger administrativer Vorlagen für SYSTEM/GRUPPENRICHTLINIEN
Windows-Dateischutz Windows-Dateischutz (WFP, Windows File Protection) ist die Fähigkeit von Windows-2000-Computern, kritische Systemdateien, die von anderen Anwendungen wie beispielsweise einem Installer-Programm überschrieben worden sind, automatisch wiederherzustellen. Mit WINDOWS-DATEISCHUTZ in der computerseitigen administrativen Vorlage (siehe Abbildung 6.65) können Sie die Häufigkeit der Suchvorgänge von WFP einstellen. Die Suchvorgänge ermitteln, ob es Dateien gibt,
435
436
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
die auf ihren ursprünglichen Status zurückgesetzt werden müssen. Wenn Sie möchten, können Sie auch den Cache von WFP an einen anderen als den standardmäßig eingestellten Speicherungsort verschieben. Weiterhin können Sie die Größe des Dateischutzcache festlegen. Der Cache wird zum Zwischenspeichern von Kopien der Windows-2000-Dateien verwendet, die von anderen Programmen überschrieben werden könnten. Die Dateien werden über diesen Cache wiederhergestellt, ohne dass Sie eine CD mit den Originaldateien einlegen müssen. Außerdem legen Sie noch fest, ob das Statusfenster während des Suchvorganges ausgeblendet wird. Abbildung 6.65 Einstellungen computerseitiger administrativer Vorlagen für SYSTEM/W INDOWS-DATEISCHUTZ
Über die Systemeinstellungen der computerseitigen administrativen Vorlagen konfigurieren Sie für alle Benutzer des Computers die Anmeldung, Datenträgerkontingente, Namenssuffixe des DNS-Clients, Gruppenrichtlinien und den WindowsDateischutz. Hierdurch wird die Einheitlichkeit vorhandener Unternehmensstandards gewährleistet. Mit den jetzt folgenden Netzwerkeinstellungen legen Sie die Funktionen des Computers im Netzwerk fest. Einstellungen computerseitiger administrativer Vorlagen zum Netzwerk 씰
Verwalten der Netzwerkkonfiguration über Gruppenrichtlinien
Wie der Benutzerteil der administrativen Vorlage ermöglicht Ihnen auch der computerseitige Teil (siehe Abbildung 6.66) die Konfiguration von Offline-Dateien und Netzwerk- bzw. DFÜ-Verbindungen.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.66 Einstellungen computerseitiger administrativer Vorlagen für das Netzwerk
Offline-Dateien Die Einstellungen zu Offline-Dateien der administrativen Vorlage (siehe Abbildung 6.67) sind nahezu identisch mit denjenigen der benutzerseitigen Einstellungen. An dieser Stelle verfügen Sie über die Gelegenheit, die Offline-Verfügbarkeit von Dateiordnern zu deaktivieren und Einstellungen zu Erinnerungssymbolen vorzunehmen. Es existieren auch noch weitere computerseitige Einstellungen, wie etwa ob auf diesem Computer Offline-Dateien unterstützt werden sollen, oder ob lokale Kopien von Offline-Dateien nach der Abmeldung eines Benutzers auf der Festplatte gelöscht werden sollen. Weiterhin können Sie die Ereignisprotokollierungsstufe für Offline-Dateiereignisse und die standardmäßige Cachegröße festlegen. Einstellungen, die Auswirkungen auf viele Benutzer haben und den verfügbaren Datenträgerplatz reduzieren können, stehen also nur im computerseitigen Teil der administrativen Vorlage zur Verfügung. Netzwerk- und DFÜ-Verbindungen Die einzige Einstellung, die in der computerseitigen administrativen Vorlage im Ordner Netzwerk- und DFÜ-Verbindungen definiert werden kann, besteht in der Festlegung, ob die Konfiguration von Verbindungsfreigaben zugelassen ist oder nicht (siehe Abbildung 6.68). Die Verbindungsfreigabe ist eine Funktion von Windows 2000, die Benutzern die Freigabe ihres Systems als Gateway für das Internet für ein kleines Netzwerk mit 2 bis 10 Benutzern erlaubt.
437
438
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.67 Einstellungen computerseitiger administrativer Vorlagen für NETZWERK/OFFLINE-DATEIEN
Abbildung 6.68 Einstellungen computerseitiger administrativer Vorlagen für Netzwerk- und DFÜ-Verbindungen
Mit den Netzwerkeinstellungen für den Computer kann der Administrator die Funktionen von Offline-Dateien und die Freigabe einer Internet-Verbindung auf dem Computer konfigurieren. Einstellungen computerseitiger administrativer Vorlagen zum Drucker Der Druckerteil der computerseitigen administrativen Vorlage (siehe Abbildung 6.69) erlaubt Ihnen die Festlegung, ob auf dem Computer definierte Drucker in Active Directory veröffentlicht werden können.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Außerdem legen Sie fest, ob webbasiertes Drucken, eine neue Windows-2000Funktion, zugelassen ist. In diesem Teil der Vorlage stellen Sie ein, ob Drucker des Computers bei Suchvorgängen im Netzwerk angezeigt werden. Sie legen weiterhin fest, ob Drucker gelöscht werden sollen, und wie die Löscheigenschaften sind. Das Löschen ist eine Funktion von Windows-2000-Domänencontrollern, die automatisch Drucker aus Active Directory entfernt, die nicht mehr verfügbar sind, und sie neu veröffentlicht, sobald sie wieder anwesend sind. Abbildung 6.69 Einstellungen computerseitiger administrativer Vorlagen für Drucker
Über die Einstellungen computerseitiger administrativer Vorlagen können Sie verschiedene Aspekte der Computerfunktionen konfigurieren, die Windows-2000Komponenten wie IE oder Windows Installer, Systemfunktionen wie Datenträgerkontingente, Windows-Dateischutz und Netzwerk- sowie Druckereinstellungen umfassen. Alle diese Elemente konfigurieren Sie ähnlich wie auf der Benutzerseite. In Fällen, in denen Benutzer- und Computereinstellungen im Konflikt stehen, werden immer die Computereinstellungen angewendet. Da Sie nun die verfügbaren Optionen der administrativen Gruppenrichtlinienvorlagen für die Konfiguration von Benutzern und Computern kennen gelernt haben, besteht der nächste logische Schritt darin, sie in einem GPO zu implementieren
6.5.2
Administrative Vorlagen bearbeiten
Bis hierhin haben Sie sich hauptsächlich damit befasst, welche Einstellungen in administrativen Vorlagen für Benutzer und Computer zur Verfügung stehen; die Implementierung einer administrativen Vorlage wurde dagegen noch nicht erörtert. Die folgende Schritt-für-Schritt-Anleitung stellt Ihnen daher das notwendige Wissen zum Bearbeiten einer administrativen Vorlage zur Verfügung.
439
440
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
SCHRITT FÜR SCHRITT 6.8
Einstellungen einer administrativen Vorlage für eine Gruppenrichtlinie konfigurieren
1. Starten Sie zur Bearbeitung des Containers mit dem GPO, dessen administrative Vorlage Sie konfigurieren möchten, entweder ACTIVE DIRECTORYBENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, dessen Einstellungen Sie bearbeiten möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE an. 4. Klicken Sie in der Liste der angezeigten Gruppenrichtlinien diejenige an, deren Einstellungen Sie bearbeiten möchten, und klicken Sie auf BEARBEITEN, oder klicken Sie einfach nur zweimal auf dem entsprechenden GPO. Jetzt wird eine MMC-Konsole zum Bearbeiten der Gruppenrichtlinie gestartet. 5. Blenden Sie in Abhängigkeit davon, ob Sie eine Computer- oder Benutzereinstellung bearbeiten möchten, den Ordner ADMINISTRATIVE VORLAGEN (klicken Sie das Pluszeichen (+) daneben an) im Bereich COMPUTER- oder BENUTZERKONFIGURATION des GPO ein. Falls Sie beispielsweise Datenträgerkontingente für alle Benutzer des Computers aktivieren möchten, blenden Sie dazu den Bereich ADMINISTRATIVE VORLAGEN von COMPUTERKONFIGURATION ein. 6. Blenden Sie nach und nach auch die Ordner der unteren Ebenen von ADMINISTRATIVE VORLAGEN ein, bis Sie den Ordner mit der Einstellung erreicht haben, die Sie bearbeiten möchten. Um beispielsweise Datenträgerkontingente zu aktivieren, blenden Sie SYSTEM und DATENTRÄGERKONTINGENTE ein, bis Sie die MMC-Konsole in der Abbildung 6.70 erhalten. 7. Zum Aktivieren bzw. Deaktivieren einer Einstellung klicken Sie zweimal auf der Einstellung, die Sie bearbeiten möchten, und klicken dann das entsprechende Optionsfeld an: AKTIVIERT, DEAKTIVIERT oder NICHT KONFIGURIERT (siehe Abbildung 6.71). AKTIVIERT bedeutet, dass die Richtlinieneinstellung zwar auf dieser Ebene durchgesetzt wird, aber auf einer niedrigeren Ebene wie einer OU überschrieben werden kann. DEAKTIVIERT bedeutet, dass die Einstellung auf dieser Ebene nicht durchgesetzt wird. NICHT KONFIGURIERT ist eine Einstellung, die im Moment nicht gesetzt ist, jedoch von einem übergeordneten Container wie einer Domäne oder einem Standort ererbt werden kann. NICHT KONFIGURIERT ist beim Erstellen eines neuen GPO der Standardwert aller Einstellungen.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.70 Zum Aktivieren von Datenträgerkontingenten blenden Sie die Ordner ADMINISTRATIVE VORLAGEN, SYSTEM, DATENTRÄGERKONTINGENTE im Bereich COMPUTERKONFIGURATION des GPO ein
Abbildung 6.71 Zum Aktivieren der Datenträgerkontingentierung klicken Sie das Optionsfeld AKTIVIERT im Dialogfeld EIGENSCHAFTEN VON DATENTRÄGERKONTINGENTE
ermöglichen an
8. Wie die Abbildung 6.72 zeigt, können Sie auch zusätzliche Informationen zu der jeweiligen Einstellung bekommen, die Sie über den Windows-2000Gruppenrichtlinieneditor bearbeiten. Durch Anklicken der Registerkarte ERKLÄRUNG erhalten Sie eine kurze Erläuterung zur Funktion der Einstellung und dem Ergebnis ihrer Aktivierung oder Deaktivierung.
441
442
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.72 Die Registerkarte ERKLÄRUNG erläutert die Auswirkung einer aktiven Einstellung
9. Zum Speichern Ihrer Änderungen an der Einstellung klicken Sie auf ÜBERNEHMEN und anschließend auf OK, um das Dialogfeld EIGENSCHAFTEN zu schließen. Nach Abschluss aller Ihrer Änderungen am GPO schließen Sie zum Speichern des GPO die Konsole GRUPPENRICHTLINIE. 10. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN für den Container, dessen GPO Sie gerade bearbeitet haben, auf OK. 11. Beenden Sie die Konsole ACTIVE DIRECTORY-BENUTZER bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
UND
-COMPUTER
Die Festlegung von Gruppenrichtlinien unter Verwendung administrativer Vorlagen ist, wie Sie gesehen haben, recht einfach. Sie suchen sich einfach nur die Einstellung heraus, die Sie aktivieren bzw. deaktivieren möchten, klicken auf die entsprechende Schaltfläche, und haben damit die Gruppenrichtlinie bereits definiert. Der schwierigste Teil der Sache besteht in der Entscheidung, welche Einstellung aktiviert oder deaktiviert werden soll – unter Umständen bedarf es hier einer eingehenden Diskussion zur Festlegung einer konsistenten Verfahrensweise. In manchen Fällen jedoch bieten administrative Vorlagen nicht genug Funktionalität für die gewünschte Konfiguration einer Benutzer- oder Computerumgebung an. Für solche Fälle stellt Microsoft Windows 2000 Ihnen das Erstellen von Skripten und deren Durchsetzung über Gruppenrichtlinien zur Verfügung.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Skripte in Gruppenrichtlinien konfigurieren und verwenden In diesem Abschnitt werden Sie Skripte und deren Verarbeitung auf Windows2000-Computern kennen lernen. Sie werden erfahren, wie Sie ein Skript mit dem computerseitigen (Skripte für Starten und Herunterfahren) oder benutzerseitigen (Skripte für An- und Abmeldungen) Bereich eines GPO verknüpfen. Die in Verbindung mit administrativen Vorlagen verfügbaren Optionen reichen unter Umständen nicht aus, um die Umgebung bereitzustellen, die ein Benutzer zur Durchführung seiner Aufgaben benötigt. Beispiele für einen erweiterten Bedarf wären die automatische Erstellung bestimmter Verknüpfungen auf dem Desktop oder die Einrichtung von Drucker- und Netzwerkordnerverbindungen während der Benutzeranmeldung. Um solche Änderungen automatisch beim Start eines Computers oder Anmelden eines Benutzers durchführen zu lassen, können Sie Gruppenrichtlinienskripte einsetzen. Mit Gruppenrichtlinien können Sie Skripte konfigurieren, die beim Starten oder Herunterfahren eines Computers ablaufen. Weiterhin können Sie Skripte erstellen, die bei der An- oder Abmeldung eines Benutzers ausgeführt werden, und Änderungen an seiner oder der Umgebung aller Benutzer vornehmen. Sie haben auch die Möglichkeit, Skripte zu konfigurieren, die noch vor der Anmeldung des nächsten Benutzers oder dem Start des Computers sämtliche Änderungen beseitigen, die von anderen Benutzern herbeigeführt worden sind. Als Skripte können Batchdateien (BAT oder CMD), ausführbare Programmdateien (EXE) oder Skripte des Windows Script Host (VBScript oder JScript) eingesetzt werden. Im Allgemeinen machen Sie dann Gebrauch von Skripten, wenn Sie eine Gruppenrichtlinie implementieren möchten, deren Anforderungen über eine administrative Vorlage nicht realisiert werden können. Zu diesem Zweck erstellen Sie dann ein Skript, welches die entsprechende Aufgabe ausführt und das gewünschte Ergebnis erbringt. Mit Skripten, die über VBScript und Windows Script Host (WSH) unterstützt werden, können Sie nahezu jede beliebige Aufgabe realisieren. Ausführungsreihenfolge von Skripten in Gruppenrichtlinien Die Ausführungsreihenfolge von Skripten in Gruppenrichtlinien ist wie die Anwendung von Gruppenrichtlinieneinstellungen genau festgelegt. Dem entspricht, dass bei einem Konflikt zwischen verschiedenen Skripten immer die im letzten verarbeiteten Skript vorgefundene Einstellung den Vorrang besitzt, was sich etwas von der Anwendung der Einstellungen in administrativen Vorlagen unterscheidet. Wenn Sie dieselbe Einstellung in einer administrativen Vorlage für den Benutzer und den Computer definieren, erhält die Computereinstellung immer den Vorrang. Nehmen Sie als Beispiel einmal an, dass im Ordner SYSTEM der administrativen Vorlage für den Computer Autoplay deaktiviert worden ist, während Sie dieselbe
443
444
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Einstellung für den Benutzer aktiviert haben. Autoplay bleibt in diesem Fall deaktiviert, weil die Computereinstellung den Vorrang besitzt. Der Grund hierfür liegt darin, dass die für den Computer und den Benutzer spezifizierten Konfigurationen bei der Anwendung der GPO-Einstellungen kombiniert und Konflikte noch vor der Anwendung der Vorlageneinstellungen aufgelöst werden. Auf diese Weise ist sich der Administrator immer des Endergebnisses von Änderungen in der Vorlageneinstellung sicher. Skripte können beim Starten und Herunterfahren des Computers sowie beim Anund Abmelden des Benutzers ausgeführt werden. Jedes dieser Ereignisse ist recht spezifisch (An- und Abmeldungen von Benutzern können vor dem Herunterfahren des Computers viele Male erfolgen), wobei die Skripte beim Auftreten der jeweiligen Ereignisse ausgeführt werden. Da Skripte einfach nur Batch-, Programm- oder WSH-Skriptdateien darstellen, stehen in ihnen keine Techniken zur Verfügung, mit denen ein vorheriger Zustand erkannt und entschieden werden kann, dass die im Skript festgelegten Einstellungen besser nicht angewendet werden sollten. Skripte setzen voraus, dass sämtliche Einstellungen immer, komme was wolle, auch angewendet werden. Durch dieses spezifische Verhalten kann es geschehen, dass eine im Skript für die Benutzeranmeldung vorgesehene Einstellung eine gleichartige im Skript für den Computerstart überschreibt. Da dies nichts anderes als die normale vorgesehene Arbeitsweise von Skripten ist, müssen Sie sich als Administrator der Folgen bewusst sein. Die tatsächliche Verarbeitungsreihenfolge von Skripten verläuft folgendermaßen: 1. Sobald ein Benutzer einen Computer startet und sich anmeldet, laufen zwei Typen von Skripten: Start- und Anmeldeskripte. Startskripte laufen sequentiell ab (synchron). Jedes Skript muss erst komplett ablaufen oder per Zeitüberschreitung abbrechen, bevor das nächste Skript starten kann. Die Skripte werden im Hintergrund ausgeführt und sind für den Benutzer nicht sichtbar. Mit anderen Worten: Der Benutzer kann die Skripte nicht »ausspionieren« und feststellen, welche Änderungen am System als Ergebnis des Startskripts vorgenommen werden. Die Ausführungsreihenfolge der Startskripte wird im Dialogfeld EIGENSCHAFTEN VON STARTEN (siehe Abbildung 6.73) festgelegt, welches sich in WINDOWS-EINSTELLUNGEN, SKRIPTS, STARTEN im Gruppenrichtlinieneditor befindet. Anmeldeskripte laufen nach Startskripten und werden asynchron ausgeführt, womit die Möglichkeit besteht, dass mehrere Skripte gleichzeitig ausgeführt werden. Falls zwischen den Einstellungen in diesen Skripten Konflikte bestehen sollten, wird die letzte ausgeführte Einstellung angewendet. Falls daher eine Einstellung in verschiedenen Skripten identisch ist, lässt sich nicht mehr
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
mit Sicherheit sagen, was das Endergebnis in der Ausführung der Skripte sein wird. Als Faustregel sollten Sie daran denken, gleiche Einstellungen in mehreren Skripten zu vermeiden.
HINWEIS Standardmäßige Zeitüberschreitungswerte Der standardmäßige Zeitüberschreitungswert für Skripte beträgt 10 Minuten. Wenn ein Skript daher vor Ablauf von 10 Minuten noch nicht fertig geworden ist, wird eine Zeitüberschreitung angenommen und das nächste Skript ausgeführt. Falls Ihr Skript umfangreich ist und mehr als 10 Minuten zur Ausführung benötigt, können Sie den standardmäßigen Zeitüberschreitungswert unter COMPUTERKONFIGURATION, ADMINISTRATIVE VORLAGEN, SYSTEM, ANMELDUNG, MAXIMALE WARTEZEIT FÜR GRUPPENRICHTLINIENSKRIPTS ändern. Die Einstellung wird auf alle Skripte angewendet: Starten, Herunterfahren, Anmelden und Abmelden. Allerdings kann dadurch der Prozess der An- oder Abmeldung bzw. des Computerstarts recht langwierig werden. Wenn Sie den Wert zu niedrig einstellen, könnten Skripte frühzeitig abbrechen und damit zu unvollständigen Konfigurationen führen. Generell ist zu empfehlen, dass standardmäßige Einstellungen immer beibehalten werden sollten, solange es keine guten Gründe für eine Änderung gibt. Abbildung 6.73 Die Verarbeitungsreihenfolge von Startskripten kann im Dialogfeld EIGENSCHAFTEN VON STARTEN unter W INDOWS-EINSTELLUNGEN, SKRIPTS, STARTEN IM GRUPPENRICHTLINIENEDITOR eingestellt werden
445
446
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
2. Nach der Abmeldung eines Benutzers werden die Abmeldeskripte gestartet. 3. Wenn der Benutzer den Computer herunterfährt oder als Teil des Abmeldevorgangs neu startet, laufen die Skripte für das Herunterfahren. Vergessen Sie nicht, wie wichtig die Feststellung ist, dass Startskripte zum Zeitpunkt des Computerstarts ausgeführt werden, während Anmeldeskripte zum Zeitpunkt der Benutzeranmeldung starten. Dementsprechend starten Abmeldeskripte bei der Abmeldung eines Benutzers und Skripte für das Herunterfahren beim Herunterfahren des Computers. Wie zuvor schon erwähnt, laufen Startskripte in der Reihenfolge ab, in der Sie in der Gruppenrichtlinie spezifiziert sind, während Anmeldeskripte keine besondere Ausführungsreihenfolge kennen. Falls ein und dieselbe Einstellung in mehr als einem Anmeldeskript vorkommt, gibt es keine Möglichkeit dafür, das exakte Endergebnis der Skripte vorherzusagen. Skripte über Gruppenrichtlinien implementieren Vielleicht der schwierigste Teil einer Implementierung von Skripten in Windows 2000 besteht darin, sie überhaupt zu erstellen. Bevor Sie das Skript mit der Computer- oder Benutzerkonfiguration in der Gruppenrichtlinie verknüpfen, schreiben Sie es mit dem Editor von Windows 2000 oder einem anderen Texteditor. Wie weiter oben schon erwähnt, können Skripte aus BAT-, CMD-, Programm- oder WSHDateien bestehen.
HINWEIS BAT- und CMD-Dateien In Windows 2000 können Sie zwar sowohl BAT- als auch CMD-Dateien ausführen, jedoch werden beide Typen ganz unterschiedlich ausgeführt. Batchdateien werden innerhalb einer virtuellen Maschine von NT (NTVDM) ausgeführt und sind mit DOS und MS Windows 3.x/9x kompatibel. Sie laufen im 16-Bit-Modus und können daher bei einem Absturz auch die virtuelle Maschine zum Absturz bringen (sofern diese von anderen Anwendungen mitbenutzt wird). CMD-Dateien laufen im 32-Bit-Modus und werden unter Verwendung des Befehlsinterpreters CMD.EXE im eigenen Speicherbereich ausgeführt. Probleme mit einer CMD-Datei betreffen, da der Prozess isoliert verläuft, daher niemals die Ausführung anderer Programme. Dieser Unterschied kann manchmal verwirrend sein, da die Befehle, die Sie in BAT- oder CMD-Dateien schreiben können, im Großen und Ganzen dieselben sind.
Nachdem Sie ein Skript erstellt haben, welches zu dem Zweck eingesetzt werden soll, entweder den Computer zum Zeitpunkt des Startens oder Herunterfahrens oder eine Benutzerumgebung zum Zeitpunkt der An- oder Abmeldung zu konfigurieren, müssen Sie zwei Dinge tun: Als Erstes kopieren Sie die Datei in einen gemeinsam genutzten Speicherungsort, damit sie von dort downgeloaded und ausgeführt werden kann; typischerweise ein Ordner innerhalb der GPO-Struktur im Ordner SYS-
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
VOL auf einem Domänencontroller. Als Nächstes müssen Sie das Skript mit einem GPO verknüpfen. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch den Vorgang des Kopierens und Verknüpfens von Skripts hindurch.
SCHRITT FÜR SCHRITT 6.9
Skripte zur Verwendung in Gruppenrichtlinie implementieren
1. Starten Sie zur Bearbeitung des Containers, dessen Gruppenrichtlinie Sie ein Skript hinzufügen möchten, entweder ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. 2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, dem Sie ein Skript hinzufügen möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE an. 4. Klicken Sie in der Liste der angezeigten GPOs auf das GPO, dem Sie ein Skript hinzufügen möchten, und klicken Sie dann auf BEARBEITEN, oder klicken Sie das GPO einfach nur zweimal an. Nun startet eine MMC-Konsole, mit der Sie die Gruppenrichtlinie bearbeiten können. 5. Zum Bearbeiten eines Start- oder Herunterfahren-Skripts blenden Sie COMPUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN und SKRIPTS ein (siehe Abbildung 6.74). Sie werden in dieser Anleitung jedoch ein Anmeldeskript konfigurieren. Blenden Sie zum Start dieses Vorgangs BENUTZERKONFIGURATION im Gruppenrichtlinieneditor ein. Abbildung 6.74 Klicken Sie zum Erstellen eines Start-oder Herunterfahren-Skripts zweimal auf die Optionen STARTEN BZW. HERUNTERFAHREN im Bereich COMPUTERKONFIGURATION DES GRUPPENRICHTLINIENEDITORS
447
448
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.75 Die An- und Abmeldeskripte befinden sich im Ordner W INDOWS-EINSTELLUNGEN des Bereichs BENUTZERKONFIGURATION
6. Blenden Sie WINDOWS-EINSTELLUNGEN ein (siehe Abbildung 6.75). 7. Klicken Sie SKRIPTS an, und klicken Sie dann in Abhängigkeit von dem Skript, welches Sie erstellen möchten, zweimal auf ANMELDEN oder ABMELDEN. Da Sie in dieser Anleitung ein Anmeldeskript erstellen sollen, zeigt die Abbildung 6.76 das Dialogfeld EIGENSCHAFTEN VON ANMELDEN. Abbildung 6.76 Im Dialogfeld EIGENSCHAFTEN VON ANMELDEN können Sie Skripte hinzufügen und die Liste der Skripte anzeigen
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
8. An dieser Stelle können Sie Skripte hinzufügen. Falls mehrere Skripte aufgelistet sein sollten, können Sie außerdem deren Eigenschaften bearbeiten oder ein Skript entfernen. Darüber hinaus können Sie noch die Dateien anzeigen, die hinter den hier genannten Skripten stehen und physisch auf der Festplatte liegen. Zum Kopieren eines Skripts an die für Anmeldeskripte vorgesehene Stelle klicken Sie zum Anzeigen eines Windows-Explorer-Fensters (siehe Abbildung 6.77) auf DATEIEN ANZEIGEN und zeigen auf den Ordner, in dem Sie das Anmeldeskript erstellt haben. Anschließend klicken Sie das Skript an und ziehen es in das mit der Schaltfläche DATEIEN ANZEIGEN geöffnete Windows Explorer-Fenster. Abbildung 6.77 Das WindowsExplorer-Fenster zeigt eine Liste der physischen Dateien im GPT-Ordner Logon an
HINWEIS Die Gruppenrichtlinienvorlage Damit eine Skriptdatei an Domänencontroller repliziert und als ein Gruppenrichtlinienskript ausgeführt werden kann, muss es sich physisch im Vorlagenpfad für Gruppenrichtlinien auf einem Domänencontroller befinden. Der standardmäßige Speicherungsort eines Anmeldeskripts befindet sich in der Freigabe SYSVOL des Domänencontrollers in der Ordnerhierarchie \Policies\\User\Scripts\Logon. Ein Abmeldeskript liegt in demselben Pfad mit der Ausnahme, dass der Name des letzten Ordners Logoff anstelle von Logon lautet. Start- und Anmeldeskripte befinden sich in der Ordnerhierarchie \Policies\\Machine\Scripts\Startup bzw. Shutdown in der Freigabe SYSVOL. Skripte können nur dann ausgeführt werden, wenn Sie zuvor an diese Speicherungsorte kopiert werden.
449
450
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.78 Zum Kopieren eines Skripts auf der Festplatte zum passenden Ordner innerhalb der GPT ziehen Sie es einfach nur mit der Maus vom Ursprungsort zum Windows Explorer, den Sie mit der Schaltfläche DATEIEN ANZEIGEN geöffnet haben.
Abbildung 6.79 Der Ordner Logon in einem WindowsExplorer-Fenster nach dem Kopieren von Dateien
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
HINWEIS Dateien dem Ordner für Skripte hinzufügen Da die Berechtigungen automatisch von Windows 2000 bei der Einrichtung eines Domänencontrollers konfiguriert werden, können nur Mitglieder der Gruppen Administratoren, Domänen-Admins oder Organisations-Admins Dateien in die für Skripte vorgesehenen Ordner kopieren. Der Grund liegt darin, dass die GPT-Ordnerstruktur alle Benutzer betrifft und daher auch besonders geschützt werden muss. Falls Sie eine Datei in einen Skriptordner der GPT zu kopieren versuchen und die Meldung erhalten, dass Sie nicht über die erforderlichen Berechtigungen verfügen, wenden Sie sich bitte an Ihren Administrator.
Die Abbildung 6.78 zeigt einen Ordner namens SKRIPTE auf einem Laufwerk E:, der Skripte für ein GPO enthält (diese Skripte sind Beispieldateien und existieren nicht auf Ihrem Computer – Sie müssen selbst zwei solche Dateien erstellen, um die folgende Erläuterung nachstellen zu können). Wenn Sie nun zwei Dateien mit dem Namen PRINTERS.BAT und SHARES.CMD in das richtige Verzeichnis für Anmeldeskripte kopieren möchten, müssen Sie die Dateien nur markieren und dann mit der Maus in das Windows-ExplorerFenster Logon ziehen. Das Ergebnis zeigt Abbildung 6.79. Schließen Sie das Windows-Exporer-Fenster wieder, wenn Sie mit dem Kopieren der Dateien in den GPT-Ordner fertig sind. 9. Zum Hinzufügen eines Anmeldeskripts nach dem Kopieren in den passenden Ordner klicken Sie im Dialogfeld EIGENSCHAFTEN VON ANMELDEN auf HINZUFÜGEN. In einem Dialogfeld (siehe Abbildung 6.80) können Sie den Namen des Skripts angeben, welches Sie hinzufügen, und Skriptparameter eingeben oder über den schon bekannten Windows Explorer nach der Skriptdatei suchen. Abbildung 6.80 Das Dialogfeld HINZUFÜGEN EINES
SKRIPTS ermöglicht Ihnen die Suche nach der Skriptdatei und die Angabe von Skriptparametern, die dem Skript zur Laufzeit übergeben werden
Zum Suchen der bereits früher erstellten Dateien klicken Sie auf DURCHSUCHEN und kopieren die gefundene Datei in den entsprechenden Ordner. Beachten Sie, dass Sie sich automatisch im GPT-Ordner für den Skripttyp
451
452
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
befinden, den Sie hinzufügen möchten. Zum Verknüpfen mit diesem GPO klicken Sie eine der Dateien an. Klicken Sie zum Abschluss auf OK. Wiederholen Sie diese Schritte für alle Skripte, die Sie hinzufügen möchten. 10. Nachdem Sie die Skripte hinzugefügt haben, gehen Sie wieder zum Dialogfeld EIGENSCHAFTEN von ANMELDEN mit den darin enthaltenen Namen der Skripte zurück (siehe Abbildung 6.81). Wenn Sie einen der Skriptnamen anklicken, werden die Schaltflächen BEARBEITEN und ENTFERNEN aktiviert. Zum Ändern der Parameter für Skriptausführung oder Speicherungsort des Skripts klicken Sie die Schaltfläche BEARBEITEN an (BEARBEITEN bedeutet hier nicht, das Skript direkt zu bearbeiten, sondern nur Änderungen an den Ausführungsparametern vorzunehmen). Um ein Skript von der Ausführung auszuschließen, klicken Sie auf die Schaltfläche ENTFERNEN. Mit ENTFERNEN wird das Skript nicht auf der Festplatte gelöscht, sondern nur die Verknüpfung zwischen dem GPO und dem Skript entfernt. Die eigentliche Skriptdatei müssen Sie manuell löschen. 11. Wenn Sie alle Skripte konfiguriert haben, klicken Sie auf ÜBERNEHMEN und OK. Damit kehren Sie zum Gruppenrichtlinieneditor zurück. 12. Schließen Sie die MMC-Konsole des Gruppenrichtlinieneditors. 13. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Active Directory-Container mit dem GPO zu schließen. 14. Zum Abschluss können Sie noch, wenn Sie wollen, die MMC-Konsole ACTIVE DIRECTORY-BENUTZER UND -COMPUTER bzw. ACTIVE DIRECTORYSTANDORTE UND -DIENSTE schließen. Hinsichtlich der Konfiguration und dem Einsatz von Skripten ist für Sie besonders die Frage wichtig, welche Skripttypen zur Verfügung stehen (Anmelden, Abmelden, Starten und Herunterfahren), und wofür diese Skripte benötigt werden. Skripte sind in Windows 2000 nicht enthalten und müssen von Ihnen selbst manuell erstellen werden. Skripte können mit GPOs verknüpft und Benutzern und Computern zugewiesen werden. Skripte für Starten und Herunterfahren werden selbstverständlich nur Computern zugewiesen. Ihre Ausführungsreihenfolge verläuft sequenziell, und bei Konflikten in gleichen Einstellungen wird die letzte verarbeitete Einstellung angewendet. An- und Abmeldeskripte werden nur auf Benutzer angewendet und in keiner bestimmten Reihenfolge ausgeführt (asynchron), sodass unvorhersehbare Konflikte auftreten können.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.81 Das Dialogfeld EIGENSCHAFTEN VON ANMELDEN nach dem Hinzufügen von Skripten
Skripte werden immer im Ordner SYSVOL auf einem Domänencontroller unterhalb der GUID des GPO gespeichert, in dem sie verwendet werden (als Bestandteil der Gruppenrichtlinienvorlage). Der Administrator muss sie manuell an diese Stelle kopieren. Zusätzlich zu Skripten und administrativen Vorlagen können unter Verwendung von Gruppenrichtlinien noch weitere Einstellungen konfiguriert werden, mit denen sich der nächste Abschnitt beschäftigt. Einstellungen, die die Software und Sicherheit betreffen, werden in anderen Kapiteln erörtert. Weitere über Gruppenrichtlinien konfigurierbare Einstellungen In Gruppenrichtlinien können unter Verwendung von administrativen Vorlagen und Skripten noch zahlreiche weitere Einstellungen konfiguriert werden, von denen einige wie die Software-Installation, Sicherheitseinstellungen und Remoteinstallationsdienste in anderen Kapiteln behandelt werden. In der Abbildung 6.82 sehen Sie Einstellungen zur Internet Explorer-Wartung und Ordnerumleitung, die in diesem Abschnitt näher erläutert werden, während die den Computer betreffenden Einstellungen Thema der noch folgenden Kapitel sind.
453
454
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.82 Weitere WindowsEinstellungen für die Computer- und Benutzerkonfiguration, die über GRUPPENRICHTLINIEN definiert werden können
Benutzerseitige Einstellungen für Internet Explorer-Wartung Mit Windows-2000-Gruppenrichtlinien kann ein Administrator außerhalb der administrativen Vorlagen für das GPO noch verschiedene Einstellungen für Internet Explorer konfigurieren (siehe Abbildung 6.83). Hierzu gehören die Browseroberfläche, die Verbindungseinstellungen, verschiedene vorkonfigurierte URLs, IE-Sicherheitseinstellungen und automatisch von IE aufgerufene Programme. Abbildung 6.83 Benutzerseitig über GRUPPENRICHTLINIEN konfigurierbare Einstellungen für Internet Explorer
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Benutzeroberfläche des Browsers Zu denen Ihnen zur Verfügung stehenden benutzerseitigen Einstellungen zur Benutzeroberfläche des Browsers (siehe Abbildung 6.84) gehören der Titel, der auf der Symbolleiste erscheint, und das Hintergrundbitmap für die Symbolleiste. Mit Einstellungen für animierte Bitmaps legen Sie das animierte Bitmap fest, welches in der oberen rechten Ecke beim Warten auf Datenübertragungen von Websites angezeigt wird. Darüber hinaus können Sie ein eigenes Logo definieren, welches in der oberen rechten Ecke des Browserfensters erscheint, nachdem eine Webseite vollständig übertragen worden ist. Schließlich haben Sie noch die Gelegenheit, einige zusätzliche Symbolleistenschaltflächen des Browsers für den Benutzer zu konfigurieren bzw. die aktuellen zu entfernen und durch einen neuen, von Ihnen erstellten Satz von Schaltflächen zu ersetzen. Mit all diesen Einstellungen legen Sie das Erscheinungsbild und die Funktionen der Benutzeroberfläche des Browsers fest. Abbildung 6.84 Benutzerseitig konfigurierbare Einstellungen zur Benutzeroberfläche des Browsers
Verbindung Mit der Gruppenrichtlinie können Sie dafür sorgen, dass die Verbindungseinstellungen transparent für den Benutzer im Hintergrund abgewickelt werden, ohne dass die Benutzer krude Fehlermeldungen des Inhalts erhalten, dass aus dem einen oder anderen Grunde keine Verbindung mit der Site möglich war. Zu den konfigurierbaren Optionen (siehe Abbildung 6.85) gehört die Möglichkeit, die Verbindungseinstellungen eines Benutzers durch einen vordefinierten Satz von Optionen zu ersetzen. Sie können festlegen, ob die Einstellungen zu einem Proxyserver automatisch erkannt werden sollen, oder Sie können eine Konfiguration eines Proxyservers auch
455
456
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
manuell erstellen und dem Benutzer zuweisen. Schließlich können Sie noch den Benutzeragententext definieren, einen Identifikationstext, den der Browser bei der Verbindung mit einer Website sendet. Vorkonfigurierte URL-Einstellungen Mit den URL-Einstellungen zu Internet Explorer-Wartung (siehe Abbildung 6.86) stellen Sie sicher, dass bestimmte Sites in der Liste der Favoriten und Links des Benutzers angezeigt werden. Außerdem können Sie vorhandene Favoriten entfernen, die der Benutzer hinzugefügt hat, oder diejenigen ersetzen, die vom Administrator erstellt worden sind. Diese Option gibt Ihnen die Möglichkeit, einen älteren Satz von Favoriten und Links durch eine aktuelle Version zu ersetzen. Auch wichtige URLs können definiert werden, zu denen beispielsweise die Homepage des Benutzers, die standardmäßige Suchseite und eine URL für den Online-Support gehören. Schließlich können Sie noch Channels vordefinieren, die der Benutzer abonniert. Abbildung 6.85 Mit GRUPPENRICHTLINIEN können auch Verbindungseinstellungen des Internet Explorer definiert werden
IE-Sicherheitszonen Als Administrator möchten Sie sicherlich kontrollieren, wie die Sicherheitszonen des Internet Explorer konfiguriert werden, und wie Authenticode-Einstellungen im Internet Explorer gehandhabt werden. Beide Kontrollmöglichkeiten stehen Ihnen über die Option SICHERHEIT in INTERNET EXPLORER-WARTUNG zur Verfügung (siehe Abbildung 6.87).
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
Abbildung 6.86 Mit den URL-Einstellungen des Internet Explorer stellt der Administrator sicher, dass bestimmte Sites immer in den Favoriten (oder Channels) des Benutzers angezeigt werden, und dass URLs, die in der Liste enthalten sein sollen, dem Benutzer auch tatsächlich zur Verfügung stehen Abbildung 6.87 INTERNET EXPLORERWARTUNG erlaubt dem Administrator auch die Anpassung der Sicherheitseinstellungen
Schließlich kann der Administrator auch noch die Programme festlegen, die gestartet werden sollen (siehe Abbildung 6.88), wenn der Benutzer Usenet-Nachrichten lesen, Internet-E-Mails abrufen oder senden, einen Anruf über das Internet empfangen, Termine eingeben und abrufen, eine Webseite bearbeiten und nach Kontakten suchen möchte. Eine Konfiguration all dieser Optionen ist zum Herbeiführen eines unternehmensweiten Standards für alle oder bestimmte Benutzergruppen möglich.
457
458
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Mit den Konfigurationsmöglichkeiten zum Internet Explorer kann der Administrator sicherstellen, dass alle Benutzer dieselbe Konfiguration für IE verwenden, was Anrufe beim Helpdesk und damit Supportkosten minimieren hilft. Neue Verknüpfungen für den IE können ebenso wie andere Konfigurationsoptionen zentral vom Administrator verwaltet werden. Die letzten benutzerseitig konfigurierbaren Einstellungen (die in späteren Kapiteln nicht mehr behandelt werden) betreffen die Ordnerumleitung. Abbildung 6.88 Programmeinstellungen in INTERNET EXPLORER-WARTUNG, die dem Administrator die Festlegung der Programme erlauben, die für die E-Mail verwendet werden sollen
Benutzerseitige Einstellungen für die Ordnerumleitung definieren Die über die Gruppenrichtlinie konfigurierbare Ordnerumleitung (siehe Abbildung 6.89) betrifft die selektive Platzierung von gemeinsam nutzbaren Ordnern auf verschiedenen Volumes lokaler Computer oder in freigegebenen Volumes des Netzwerks, die gesichert werden können. Anders als Windows NT 4.0, welches dieses Verfahren über servergespeicherte Profile realisierte, ermöglichen die Windows2000-Gruppenrichtlinien dem Administrator die selektive Platzierung von Ordnern an verschiedenen Orten, wobei beispielsweise ein Ordner, der Bestandteil des standardmäßigen Benutzerprofils ist, lokal abgelegt wird, während sich ein anderer Ordner an anderer Stelle befindet. Darüber hinaus werden Ordner, die umgeleitet werden, nicht auf den lokalen Computer kopiert, was Speicherplatz auf dem Datenträger spart. Ein Beispiel hierfür wäre der Ordner Eigene Dateien, der oft dazu benutzt wird, die Textverarbeitung, das Tabellenkalkulationsprogramms oder andere Dateien des Benutzers aufzunehmen. Damit diese Dateien in die Sicherung einbezogen werden, können Sie sie in eine Netzwerkfreigabe auf einem Laufwerk umleiten, welches
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten
jede Nacht gesichert wird. Andere Ordner wie etwa die Desktopverknüpfungen, die Startmenükonfiguration oder die Ordner mit den Anwendungsdaten können auf dem lokalen Laufwerk bleiben. Abbildung 6.89 Die benutzerseitigen Einstellungen zur Ordnerumleitung, die über GRUPPENRICHTLINIEN konfiguriert werden können
Abbildung 6.90 Mit den Eigenschaften zur Ordnerumleitung können Sie die Ordner für alle Benutzer oder selektiv über deren Gruppenmitgliedschaft umleiten
459
460
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.91 Die grundlegenden Konfigurationseinstellungen in dem Fall, dass alle Benutzerordner an denselben Ort umgeleitet worden sind
Zum Umleiten eines Ordners an einen anderen als den standardmäßigen Ort wählen Sie zuerst den Ordner aus, klicken mit der rechten Maustaste auf dem Namen, und wählen dann im Kontextmenü EIGENSCHAFTEN aus. Ein Dialogfeld (siehe Abbildung 6.90) ermöglicht Ihnen die Festlegung der Art und Weise, wie Sie den Ordner umleiten. Sie können ihn zu einem gemeinsamen Pfad für alle Benutzer (Standard) oder zu einem anderen Pfad auf der Grundlage der Gruppenmitgliedschaft des Benutzers (Erweitert) umleiten, oder aber die aktuellen Einstellungen unverändert lassen. Wenn Sie alle Benutzerordner auf denselben Pfad umleiten, haben Sie die Möglichkeit, weitere Konfigurationen des Ordners vorzunehmen, was beispielsweise beinhaltet, ob Sie den aktuellen Inhalt des Ordners zum neuen Pfad verschieben möchten. Weiterhin legen Sie fest, ob Sie dem entsprechenden Benutzer exklusive Zugriffsrechte für den umgeleiteten Ordner gewähren. Benutzer, die auf diesen Ordner keinen Zugriff haben sollen, werden dadurch an der Anzeige seines Inhalts gehindert. Sie legen außerdem fest, was in dem Fall passiert, wenn die Ordnerumleitungsrichtlinie entfernt wird. In Abhängigkeit von dem Ordner, den Sie umleiten, stehen Ihnen noch andere Einstellungen zur Verfügung. Microsoft hat im Zusammenhang mit den Entwurfszielen von Windows 2000 darauf hingewiesen, dass eines dieser Ziele darin bestanden hat, die Wartungskosten von Windows-2000-Computern zu senken. Durch die Kombination von Active
6.6 Fehlerbehebung bei Gruppenrichtlinien
Directory und Gruppenrichtlinien wurde dieses Ziel weitgehend erreicht. Mit Gruppenrichtlinien kann der Administrator Benutzer- und Computereinstellungen auf der Ebene des Standorts, der Domäne oder OU definieren und diese selektiv auf Benutzer und Computer anwenden. Bei der Konfiguration von Benutzer- und Computerumgebungen greift der Administrator auf administrative Vorlagen zurück, die die benötigten Einstellungen enthalten. Durch administrative Vorlagen werden auf dem Zielcomputer entweder die Registrierungseinträge für den Benutzer oder Computer modifiziert. Falls administrative Vorlagen in einer spezifischen Situation einmal nicht ausreichen, können Sie über Skripte weitere Elemente der Benutzer- und Computerumgebung konfigurieren. Selbstverständlich ist eine umsichtige Planung erforderlich, damit gewährleistet ist, dass das gewünschte Endergebnis erwartungsgemäß eintrifft. Allerdings gibt es Situationen, in denen auch die beste Planung nicht immer zufriedenstellend arbeitet. In solchen Fällen ist die Fehlerbehebung gefragt.
6.6
Fehlerbehebung bei Gruppenrichtlinien
Es gibt Fälle, in denen die von Ihnen spezifizierten Konfigurationseinstellungen nicht die erwarteten Auswirkungen auf die Computer der Benutzer haben und Sie daher feststellen müssen, was in der Gruppenrichtlinie passiert. In Windows 2000 können Sie die Verarbeitung von Gruppenrichtlinien überwachen. Mit der Überwachung stellen Sie Fehler fest und kommen so der Problemlösung näher.
6.6.1
Überlegungen zur Implementierung der Gruppenrichtlinie
Die korrekte Funktion von Gruppenrichtlinien gewährleisten Sie unter anderem dadurch am besten, dass Sie die Empfehlungen von Microsoft betreffend deren korrekte Implementierung beachten. Diese Empfehlungen, die in der folgenden Übersicht zusammengefasst sind, sollen Ihnen als Orientierungshilfe bei der Implementierung von Gruppenrichtlinien in Ihrer eigenen IT-Umgebung dienen: 씰
Erstellen Sie nicht zu viele GPOs. Es ist zwar möglich, GPOs auf der Ebene des Standorts, der Domäne und OU zu erstellen, jedoch sollten Sie darauf achten, nicht zuviel des Guten zu tun. Ideal ist die geringstmögliche Menge von GPOs, die zur Unterstützung der Anforderungen innerhalb der Organisation oder des Unternehmens notwendig ist. Wenn Sie keine GPOs auf Standortebene brauchen, sollten Sie auch keine solchen erstellen. Wahrscheinlich werden Sie mindestens ein GPO auf Domänenebene erstellen, sollten sich aber genau überlegen, ob ein zweites oder drittes noch einen Nutzen bringen kann. Erstellen Sie GPOs auf OU-Ebene nur dann, wenn die OU sehr spezifische Eigenschaften besitzt, die nicht von allen Benutzern und Computern in
461
462
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
der Domäne genutzt werden. Strenge Planung hat zur Folge, dass weniger GPOs erstellt werden, und weniger GPOs wiederum verursachen ein geringeres Fehlerpotenzial. Außerdem würden viele GPOs den Anmeldevorgang für die Benutzer entsprechend verlängern. 씰
Verwenden Sie zur Kontrolle des Desktops benutzerseitige und nicht computerseitige Einstellungen. Computerseitige GPO-Einstellungen werden nur auf den Computer angewendet und betreffen die Benutzer, die sich an dem jeweiligen Computer anmelden. Benutzerseitige Einstellungen werden auf den Benutzer angewendet, und zwar unabhängig davon, an welchem Computer im Netzwerk er sich anmeldet. Da der Bereich benutzerseitiger Einstellungen potenziell größer ist, bieten diese eine bessere Kontrolle über die Benutzerumgebung.
씰
Verwenden Sie zum Filtern der Gruppenrichtlinienanwendung die Mitgliedschaft in Sicherheitsgruppen. GPOs werden standardmäßig für Mitglieder der Gruppe Authentifizierte Benutzer ausgeführt, in welche Administratoren, Domänen-Admins und Organisations-Admins eingeschlossen sind. Falls gewisse GPOs nicht für andere Benutzer ausgeführt werden sollen, platzieren Sie diese Benutzer in einer eigenen Sicherheitsgruppe (vorzugsweise auf derselben Ebene wie das GPO, auf welches sich Ihre Filterung bezieht) und aktivieren das Kontrollkästchen VERWEIGERN bei GRUPPENRICHTLINIE ÜBERNEHMEN, um sicherzustellen, dass das GPO keine Anwendung findet. Benutzer, die keinen ACE besitzen, der angibt, dass bestimmte GPOs angewendet werden sollen, können sich wegen der Umgehung der GPO-Verarbeitung schneller anmelden.
씰
Deaktivieren Sie Teile der Gruppenrichtlinie, die ohnehin nicht durchgesetzt werden. Falls Sie lediglich den Benutzerteil eines GPO konfigurieren, nicht jedoch den Computerteil, sollten Sie die Gruppenrichtlinie so einstellen, dass die Einstellungen der Computerkonfiguration gar nicht erst downgeloaded und verarbeitet werden. Dadurch wird die Verarbeitungsgeschwindigkeit des GPO erhöht und viel Zeit beim Anmeldevorgang gespart.
씰
Melden Sie sich nach Änderungen eines GPO als betroffener Benutzer an und testen Sie, ob die Änderungen wie gewünscht umgesetzt werden. Das Schlechteste, was ein Administrator von einer Gruppenrichtlinie denken kann, ist, dass sie sofort funktionieren wird – Glauben ist nicht Wissen! Sämtliche Einstellungen und Skripte sollten vor der Implementierung der Richtlinie immer ausgiebig getestet werden. Durch Filtern gewährleisten Sie, dass bis zur Freigabe der Richtlinie in der gesamten Organisation nur Testbenutzer von der Richtlinie betroffen sind.
6.6 Fehlerbehebung bei Gruppenrichtlinien
씰
Das A und O: Absoluten Vorrang hat die sorgfältige Planung der Gruppenrichtlinie. Sie sollten sich immer wieder die Frage stellen, welches Ziel Sie erreichen möchten, und welches der beste Weg ist, dieses Ziel zu erreichen. Die Gruppenrichtlinie kann die richtige Antwort sein – wenn ja, planen Sie deren Einführung und Konfiguration sorgfältig. Vergessen Sie auch nicht, wie zuvor erwähnt, den sorgfältigen Test. Es gibt nichts Schlimmeres für Ihren Ruf als eine schlecht vorbereitete und unreife Implementierung einer Funktion, die die weitreichendsten Auswirkungen haben kann!
씰
Begrenzen Sie das Deaktivieren, Durchsetzen und (gilt in geringerem Ausmaß) Filtern von GPOs. Der Ausgangspunkt eines Problems wird hierdurch versteckt; außerdem können unvorhersagbare Resultate die Folge sein (sofern nicht sorgfältig geplant).
씰
Delegieren Sie die Kontrolle über GPOs nicht an andere Personen, sofern dies nicht notwendig ist. Zu viele Köche verderben den Brei – als Administrator sollten Sie eigentlich immer gern die Kontrolle in Ihren eigenen Händen behalten wollen, und diese nicht leichtfertig weggeben! In manchen Situationen wie beispielsweise in der Organisation eines multinationalen Unternehmens sind Sie natürlich gezwungen, die Kontrolle teilweise aufzugeben und in die Hände anderer Leute zu legen.
Wie zuvor schon angedeutet, lautet das Kardinalprinzip beim Planen und Implementieren der Gruppenrichtlinie KIS – Keep It Simple! Packen Sie nicht zuviel in eine einzige Gruppenrichtlinie hinein. Vermeiden Sie aber auch viele Gruppenrichtlinien, weil Sie dann längere Anmeldezeiten hinnehmen müssen. Verlegen Sie allgemeine Einstellungen in die Domänen- und spezifische in die OU-Ebene. Erstellen Sie nicht auf jeder OU-Ebene eine Gruppenrichtlinie (nur eine dort, wo sie auch benötigt wird), und sorgen Sie dafür, dass die Richtlinien über Vererbung weitergereicht werden. Falls diese Ratschläge noch nicht geholfen haben sollten, haben Sie unter Umständen ein ganz simples Problem, dem man leicht beikommen kann.
6.6.2
Häufige Probleme bei Gruppenrichtlinien
Trotz bester Planung und Befolgung aller in der Liste oben aufgeführten Empfehlungen kann es immer noch Dinge geben, die schief laufen. Besonders häufig auftretende Probleme und ihre Lösungen finden Sie in der nachstehenden Tabelle.
463
464
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Problem
Ursache
Lösung
Gruppenrichtlinie wird nicht auf die Benutzer und Computer eines Standorts, einer Domäne oder OU angewendet
Die wahrscheinliche Ursache besteht darin, dass die GPO-Vererbung deaktiviert wurde. Eine zweite Ursache dieser Situation kann darin liegen, dass das GPO so gefiltert worden ist, dass Benutzer und Computer ausgeschlossen wurden.
Aktivieren Sie KEIN VORRANG für dieses GPO, um Administratoren niedrigerer Ebenen daran zu hindern, GPO-Einstellungen zu deaktivieren.
Bei Anwendung mehrerer GPOs (Standort-, Domäneund OU-Ebene) ist es möglich, dass Einstellungen einer höheren Ebene (wie einer Domäne) durch GPOEinstellungen einer niedrigeren Ebene (wie einer OU) überschrieben worden sind.
Überprüfen Sie die GPOSicherheitseinstellungen dahingehend, ob ggf. zu viele Filter vorhanden sind.
Die Gruppenrichtlinie wird nicht für eine Sicherheitsgruppe in einer OU durchgesetzt, mit der sie verknüpft ist.
Gruppenrichtlinien können mit Standorten, Domänen oder OUs verknüpft werden. Dass ein GPO mit einer OU verknüpft werden kann, bedeutet noch nicht, dass es auch auf die Sicherheitsgruppen in dieser OU angewendet wird. Auf welche Sicherheitsgruppen das GPO angewendet wird, hängt von den Berechtigungen ab, die für das GPO konfiguriert wurden.
Gewähren Sie der Sicherheitsgruppe die Berechtigungen Lesen und Gruppenrichtlinien übernehmen.
Ein Administrator kann das GPO nicht zum Bearbeiten öffnen.
Jeder Benutzer, der ein GPO bearbeiten möchte, braucht den uneingeschränkten Zugriff für das GPO. Wenn ein Administrator nicht in der Lage ist, das GPO anzuzeigen und/oder zu bearbeiten, dann hat er sehr wahrscheinlich nicht die erforderlichen Berechtigungen.
Gewähren Sie dem Benutzer bzw. der Sicherheitsgruppe den uneingeschränkten Zugriff für das GPO.
6.6 Fehlerbehebung bei Gruppenrichtlinien
Problem
Ursache
Lösung
Der Versuch, ein GPO zu bearbeiten, führte zu der Fehlermeldung, dass das GPO nicht geöffnet werden konnte.
Dieses Problem tritt gelegentlich dann auf, wenn Netzwerkprobleme vorliegen. Dies können physische Probleme mit dem Netzwerk, nicht verfügbare Server oder (sehr wahrscheinlich) DNS-Konfigurationsprobleme sein.
Vergewissern Sie sich, dass ein Domänencontroller verfügbar ist. Vergewissern Sie sich, dass keine Netzwerkprobleme existieren. Überprüfen Sie die DNSKonfiguration und Verfügbarkeit von DNS.
Die häufigsten Fehler, die im Zusammenhang mit der Verarbeitung einer Gruppenrichtlinie auftreten, können leicht beseitigt werden, wenn Sie mit logischer Überlegung an das Problem herangehen. Überprüfen Sie als Erstes die zur Verfügung stehenden Domänencontroller und stellen Sie fest, ob sie die betreffenden Gruppenrichtlinienvorlagen enthalten. Überlegen Sie als Nächstes Schritt für Schritt, was eigentlich hätte passieren sollen, und wie die der Gruppenrichtlinie zugewiesenen Berechtigungen lauten. Die meisten Probleme haben mit Berechtigungen oder damit zu tun, dass sich das GPO nicht auf der richtigen Ebene befindet. Falls dies nicht ausreicht und eine ausgedehnte Überprüfung der Verarbeitung des GPO erforderlich wird, können Sie die Überwachung einschalten.
6.6.3
Gruppenrichtlinie überwachen
Falls Sie in Situationen mit Problemen geraten, die sich nicht ohne weiteres feststellen und einordnen lassen, während Sie jedoch sicher sind, alle Empfehlungen hinsichtlich der Implementierung von Gruppenrichtlinien befolgt zu haben, bietet Ihnen Microsoft Windows 2000 die Möglichkeit an, die Ausführung und Änderung von Gruppenrichtlinien zu überwachen. Die Überwachung eines GPO konfigurieren Sie mit der folgenden Schritt-fürSchritt-Anleitung.
SCHRITT FÜR SCHRITT 6.10 Überwachung für Gruppenrichtlinie konfigurieren 1. Starten Sie zur Bearbeitung des Containers, für den Sie eine Überwachung einer Gruppenrichtlinie konfigurieren möchten, entweder ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
465
466
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, für welches Sie die Überwachung konfigurieren möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE an. 4. Wählen Sie das GPO aus, für welches Sie die Überwachung konfigurieren möchten, und klicken Sie auf die Schaltfläche EIGENSCHAFTEN. 5. Klicken Sie im Dialogfeld EIGENSCHAFTEN die Registerkarte SICHERHEITSEINSTELLUNGEN an. 6. Klicken Sie zur Anzeige der erweiterten Berechtigungseinstellungen auf die Schaltfläche ERWEITERT (siehe Abbildung 6.92). 7. Klicken Sie zur Anzeige der aktuellen Überwachungseinstellungen der Gruppenrichtlinie auf die Registerkarte ÜBERWACHUNG. Im angezeigten Dialogfeld (siehe Abbildung 6.93) finden Sie unten ggf. einen Hinweis, dass die Überwachungseinstellungen von einem übergeordneten Objekt vererbt worden sind. Falls dies der Fall sein sollte, müssen Sie zum übergeordneten Container gehen, um die angezeigte Überwachungskonfiguration zu entfernen. 8. Zum Hinzufügen einer Überwachungskonfiguration für die ausgewählte Gruppenrichtlinie klicken Sie auf die Schaltfläche HINZUFÜGEN. Sie erhalten nun eine Liste der Benutzer, Computer und Gruppen angezeigt, die in der Domäne zur Verfügung stehen. Wählen Sie den Benutzer, Computer bzw. die Gruppe aus, den/die Sie überwachen möchten, und klicken Sie auf OK. 9. Nach der Auswahl der Benutzer, Computer bzw. Gruppen, deren Überwachung Sie konfigurieren möchten, erhalten Sie ein Dialogfeld angezeigt, in dem Sie die Überwachung einer Reihe von Ereignissen für dieses GPO konfigurieren können (siehe Abbildung 6.94). Über dieses Dialogfeld überwachen Sie die erfolgreiche und fehlgeschlagene Verwendung einer GPO-Berechtigung. Die Liste der zur Verfügung stehenden Optionen entspricht exakt der Liste der verfügbaren Berechtigungen für das GPO. Sie haben weiterhin die Gelegenheit, durch Anklicken der Registerkarte EIGENSCHAFTEN die Manipulation von Eigenschaften des GPO zu überwachen. Wie Sie bemerken werden, können Sie festlegen, ob die Überwachung sich nur auf den ausgewählten GPO-Container und alle untergeordneten Objekte, nur auf den ausgewählten Container, nur die untergeordneten Objekte oder nur die Computerobjekte usw. beziehen soll.
6.6 Fehlerbehebung bei Gruppenrichtlinien
Abbildung 6.92 Das Dialogfeld mit den erweiterten Zugriffseinstellungen für eine Gruppenrichtlinie ermöglicht Ihnen die Konfigurierung der Überwachung
Abbildung 6.93 Die Registerkarte ÜBERWACHUNG des Dialogfeldes mit den erweiterten Zugriffseinstellungen für eine Gruppenrichtlinie
467
468
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.94 Das Dialogfeld ÜBERWACHUNGSEINTRAG für die Gruppenrichtlinie
Falls Sie die Überwachung auf die untergeordneten Objekte des aktuellen Containers ausweiten möchten, können Sie den Ausdehnungsbereich auf die aktuelle Ebene begrenzen, indem Sie das Kontrollkästchen ÜBERWACHUNGSEINTRÄGE NUR FÜR OBJEKTE UND/ODER CONTAINER DIESES CONTAINERS ÜBERNEHMEN aktivieren. Mit der Schaltfläche ALLES LÖSCHEN löschen Sie alle vorgenommenen Einstellungen auf einmal. Falls Sie einen Fehler gemacht haben und ganz von vorne anfangen möchten, oder falls in der Überwachung ein Fehler steckt und Sie die Einstellungen neu initialisieren möchten, wird Ihnen diese Schaltfläche von Nutzen sein. 10. Wenn Sie die Festlegung der Berechtigungen und Eigenschaften des GPO, die überwacht werden sollen, abgeschlossen haben, speichern Sie Ihre Einstellungen mit OK. Sie sollten wenigstens die Überwachung der fehlgeschlagenen (bzw. erfolgreicher und fehlgeschlagener) Zugriffe LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN aktiviert haben, um die Anwendung des GPO verfolgen zu können. 11. Klicken Sie auf ÜBERNEHMEN, und anschließend zum Schließen des Dialogfeldes ZUGRIFFSEINSTELLUNGEN auf OK.
6.6 Fehlerbehebung bei Gruppenrichtlinien
12. Klicken Sie zum Schließen des Dialogfeldes mit den Eigenschaften des GPO und Speichern Ihrer Einstellungen auf OK. 13. Klicken Sie zum Schließen des Dialogfeldes für den Active Directory-Container auf OK. 14. Schließen Sie auch die MMC-Konsole. Nachdem Sie die Überwachung konfiguriert haben, können Sie die Ergebnisse der Überwachung durch Anzeige der Ereignisanzeige und darin des Sicherheitsprotokolls überprüfen (siehe Abbildung 6.95), was Ihnen genügend Informationen über die Verarbeitung des GPO liefern sollte. Außerdem können Sie daraus ersehen, bei welchen Benutzern und Computern die GPO-Verarbeitung auf Schwierigkeiten stößt. Abbildung 6.95 Überwachungseinträge für Gruppenrichtlinien werden im Sicherheitsprotokoll der Ereignisanzeige angezeigt
Bei der Fehlerbehebung für Gruppenrichtlinien müssen Sie als Erstes festlegen, was falsch läuft, und wer davon betroffen ist. Überprüfen Sie daher die Verarbeitung des GPO im Hinblick sowohl auf die Berechtigungen für das GPO als auch auf Vererbung und Deaktivierung. Falls ein Problem schwierig zu verfolgen ist, können Sie die Überwachung einschalten, um Erfolg oder Fehlschlag von GPO-Ereignissen zu protokollieren, was Ihnen die Möglichkeit gibt, die einzelnen Verarbeitungsschritte nachzuvollziehen und damit der Problemlösung näher zu kommen.
469
470
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Fallstudie: Gruppenrichtlinien zum Konfigurieren der Benutzer- und Computereinstellungen bei der Sonnenschein-Brauerei Das Wichtigste im Überblick Sie haben die folgenden Anforderungen mitgeteilt bekommen: 씰
Ihr Manager hat entschieden, dass alle Benutzer als gemeinsames Desktop-Hintergrundbild das Unternehmenslogo bekommen sollen, damit Besuchern aller Filialen der Sonnenschein-Brauerei die Corporate Identity präsentiert werden kann. Im Moment verwenden alle Benutzer eigene Hintergrundbilder.
씰
Die Vertriebsleiter in allen Büros möchten, dass auf den Desktops ihrer Mitarbeiter ständig die aktuellen Top-Verkaufszahlen der besten Vertriebsbeauftragten im Team angezeigt werden.
씰
Die Benutzer in der Zentrale des Unternehmens haben sich darüber beklagt, dass sie immer dann, wenn sie Dokumente auf freigegebenen Ordnern im Netzwerk mit nach Hause nehmen wollen, daran denken müssen, aktuelle Kopien von ihnen auf das Notebook zu übertragen. Wenn sie das einmal vergessen, müssten sie immer extra ins Büro fahren, um die Kopie nachzuholen. Sie möchten gern die Dateien, an denen sie arbeiten, gern automatisch auf die Festplatte ihres Notebooks, und von dort bei der Anmeldung auch wieder zurück ins Netzwerk kopieren lassen.
씰
Das Personal des Helpdesk in der Zentrale hat eine Website entwickelt, die Antworten auf viele Benutzerfragen enthält. Das Personal möchte, dass diese Site automatisch in allen im Unternehmen eingesetzten Instanzen von Internet Explorer in der Favoritenliste erscheint. Da IE5 der Unternehmensstandard ist, wäre dadurch jeder Benutzer im Unternehmen in der Lage, vor der Kontaktierung des Helpdesk zuerst die Informationen auf dieser Site zu überprüfen. Hierdurch würde das Helpdesk Zeit und Ressourcen sparen.
씰
Die Benutzer beklagen sich darüber, dass sie bei der Suche nach dem nächsten Drucker und der Verwendung der Windows-2000-Suchfunktion immer erst eine lange Liste durchblättern müssen. Sie möchten gern standardmäßig eine Liste mit Druckern angezeigt bekommen, die sich in der Nähe ihres Standorts befinden.
Fallstudie: Gruppenrichtlinien
씰
Die Chefs der Administratoren in den einzelnen Büros sind übereingekommen, dass ihr Personal derzeit während der Arbeitszeit zuviel Zeit mit Computerspielen und anderen Programmen verschwendet. Sie möchten ein Verfahren, mit dem diese Benutzer auf die Verwendung des Buchhaltungsprogramms, der E-Mail, der Office-Anwendungen und Internet Explorer beschränkt werden.
씰
Alle Benutzer mit Ausnahme von IT und FuE sollen in der Lage sein, die Applets SOFTWARE und ANZEIGE in der Systemsteuerung benutzen zu können.
씰
Die Administratoren in jeder Abteilung sollen in der Lage sein, abteilungsspezifische Einstellungen zu konfigurieren, die später noch zu definieren wären.
Sie wurden gebeten, einen Plan zu entwickeln, der diese Anforderungen in kürzester Zeit realisiert. Außerdem sollen Sie sicherstellen, dass alle Änderungen an diesen Einstellungen unkompliziert verlaufen und ohne manuelle Eingriffe auf die Benutzer oder Computer übertragen werden können. Ihre Vorgesetzten möchten, dass alle diese Anforderungen implementiert werden, es sei denn, sie werden vom Betriebssystem nicht unterstützt.
Situationsbeschreibung In diesem Kapitel haben Sie erfahren, was Gruppenrichtlinien sind und wie sie zur Verwaltung der Benutzer- und Computerumgebung verwendet werden können. Da die Sonnenschein-Brauerei ein international tätiges Unternehmen ist, bieten sich Gruppenrichtlinien zur Unterstützung der Konfiguration von Benutzer- und Computereinstellungen im gesamten Unternehmen an. Die Implementierung von Active Directory-Standorten, OUs und Domänen in der Sonnenschein-Brauerei ist, wie auch die Migration der Desktop- und Notebook-Computer der Benutzer auf Windows 2000, erfolgreich verlaufen. Alle wichtigen Benutzercomputer laufen jetzt auf der Windows-2000-Plattform. Sie als Hauptadministrator der Sonnenschein-Brauerei erhalten nun sowohl von den Junior-Administratoren der verschiedenen Büros als auch vom Management verschiedene Anfragen nach der Implementierung spezifischer Anpassungen.
471
472
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Situationsanalyse Wie Sie sehen, reichen die Anfragen und Anforderungen von unternehmensweiten Themen bis hin zu abteilungsspezifischen Elementen, von denen nur ein Teil der Organisation betroffen ist. Ihre Lösung muss alle diese Elemente umfassen und trotzdem hinsichtlich der Verwaltbarkeit unproblematisch sein. Die beste Lösung für alle diese Anforderungen besteht im Einsatz der Gruppenrichtlinien von Windows 2000, wobei Sie sich insbesondere der administrativen Vorlagen und der Konfigurationsoptionen zu Windows-Einstellungen im GPO bedienen werden. Die erste Anforderung (unternehmensweites Hintergrundbild mit dem Unternehmenslogo) erfüllen Sie, indem Sie eine Gruppenrichtlinie auf Domänenebene erstellen, die das zu verwendende Hintergrundbild spezifiziert. Sie geben einen Speicherungsort für das Bild in einer Netzwerkfreigabe an, die über einen fehlertoleranten DFS-Link an andere Server repliziert wird. Diese Anforderung können Sie über das von Windows 2000 Active Directory installierte GPO Default Domain Policy implementieren. Die Anforderung der Vertriebsbenutzer nach einem Hintergrundbild mit den aktuellen Verkaufszahlen erfüllen Sie, indem Sie ein GPO auf Standortebene erstellen, welches ein solches Hintergrundbild spezifiziert. Da dieses Bild auf Ebene der Domänenrichtlinie nicht modifiziert werden soll, stellen Sie KEIN VORRANG in der Standortrichtlinie ein, um sicherzustellen, dass die Einstellung nicht geändert wird. Damit dieses GPO außerdem nur auf die Vertriebsbenutzer am Standort angewendet wird, filtern Sie das GPO, damit seine Inhalte nur auf die Mitglieder der Sicherheitsgruppe Vertrieb angewendet werden. Damit Benutzer, die nicht mit dem Netzwerk verbunden sind oder deren Server nicht verfügbar ist, den Zugriff auf ihre Dateien bekommen, konfigurieren Sie über ein GPO in der Unternehmenszentrale in Ottawa die Unterstützung für Offline-Dateien, in welchem Sie die freigegebenen Ordner festlegen, für welche die Offline-Unterstützung besteht. Auf diese Weise können die Benutzer mit ihren Dateien auch außerhalb des Büros arbeiten und Dateien, an denen sie gerade arbeiten, auf ihren Computer kopieren lassen. Zur Unterstützung des Helpdesk-Personals, welches eine Favoriten-Verknüpfung im IE haben möchte, die auf die Website des Helpdesk verweist, erstellen Sie ein GPO auf Domänenebene mit der Option KEIN VORRANG. Das GPO fügt den URL der Website der Favoritenliste der Benutzer hinzu. So steht diese Verknüpfung allen Benutzern permanent zur Verfügung.
Zusammenfassung
Suchvorgänge in Active Directory finden standardmäßig im gesamten Verzeichnis statt. Zum Ändern des standardmäßigen Suchbereichs von Druckern erstellen Sie auf der Domänenebene ein GPO, welches durch Aktivieren der Einstellung ADMINISTRATIVE VORLAGEN, DESKTOP, ACTIVE DIRECTORY ein Filtern der Active Directory-Suchvorgänge vorsieht. Auf diese Weise finden Suchvorgänge für Druckerobjekte standardmäßig nur für Drucker statt, die sich physisch in der Nähe des Benutzerstandorts befinden. Damit die Admin-Benutzer nur spezielle Anwendungen betreiben können, erstellen Sie ein GPO in der Admin-OU und legen fest, welche Anwendungen von den Benutzern betrieben werden können. Alle anderen in dieser Liste nicht enthaltenen Anwendungen stehen den Benutzern nicht zur Verfügung. Um die Benutzer auf die Applets Software und Anzeige in der Systemsteuerung zu beschränken, reduzieren Sie die Liste der ausführbaren Applets auf diese zwei. Damit das Personal aus IT und FuE von dieser Richtlinie nicht betroffen wird, filtern Sie die Gruppenrichtlinie entsprechend, indem Sie dafür sorgen, dass bei diesen Sicherheitsgruppen das Kontrollkästchen GRUPPENRICHTLINIE ÜBERNEHMEN deaktiviert ist. Um schließlich den Administratoren auf OU- oder Standortebene zur Möglichkeit zu verhelfen, neue Richtlinien zu erstellen, delegieren Sie die administrative Kontrolle an diese Container und gewähren erforderliche Berechtigungen, wie etwa diejenige zum Erstellen eines Gruppenrichtlinien-Containerobjekts. Wie Sie sehen, können Gruppenrichtlinien eine Antwort auf viele komplexe Anforderungen darstellen, auch auf solche, die zunächst widersprüchlich erscheinen.
Zusammenfassung Sie haben in diesem Kapitel die Gruppenrichtlinie kennen gelernt und erfahren, wie Sie sie zum Durchsetzen einer konsistenten Konfiguration auf der Ebene des Standorts, der Domäne und/oder der OU verwenden können. Die Gruppenrichtlinie ist eine sehr leistungsfähige Funktion von Windows 2000 und stellt gegenüber der Systemrichtlinie, die unter Windows 9x und Windows NT zur Verfügung stand, eine bedeutende Verbesserung dar. Über die Konfigurierung der Gruppenrichtlinie können Sie festlegen, wie ein Computer konfiguriert wird, und ob die Benutzer Änderungen an bestimmten Computerkonfigurationen vornehmen dürfen. Sie haben weiterhin die Gelegenheit, Desktopeinstellungen und andere Eigenschaften der Benutzer unabhängig davon, wo und
473
474
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
wie sich diese im Netzwerk oder in der Domäne anmelden (über den ArbeitsplatzPC, eine DFÜ-Verbindung, einen anderen Netzwerknoten in demselben Standort oder über einen Computer irgendwo sonst auf der Welt), zu sperren. Die Gruppenrichtlinie besteht aus zwei Teilen: einem Gruppenrichtlinien-Container (GPC) und einer Gruppenrichtlinienvorlage (GPT). GPCs sind Active DirectoryObjekte, die mit einem Standort, einer Domäne oder OU verknüpft sind. GPTs sind physische Dateien einschließlich von administrativen Vorlagen und Skripten, die innerhalb des Containers POLICIES der SYSVOL-Freigabe auf Domänencontrollern gespeichert sind. Jede GPT wird in einem Ordner mit demselben Namen wie die GUID für das GPO, für welches sie die Vorlage ist, gespeichert. Gruppenrichtlinien, die auf einer höheren Ebene wie etwa einer Domäne oder einem Standort definiert werden, werden automatisch an alle Active Directory-Objekte niedrigerer Ebenen wie etwa OUs vererbt. Ein lokaler Administrator, der für eine Unterdomäne oder OU verantwortlich ist, kann die Richtlinienvererbung aus höheren Ebenen wie einem Standort deaktivieren und damit sicherstellen, dass nur seine GPOs verarbeitet werden. Der Administrator der höheren Ebene wiederum verfügt über die Option, die Deaktivierung der GPO-Anwendung auf untere Ebenen zu überschreiben und GPO-Einstellungen auch dann durchzusetzen, wenn diese auf der unteren Ebene deaktiviert sind. Die Verarbeitungsreihenfolge von Gruppenrichtlinien geschieht immer in der Reihenfolge Standort – Domäne – OU. So wie OUs in OUs enthalten sein können, ist auch die Verarbeitung vieler GPOs bei der Anmeldung eines Benutzers oder dem Start eines Computers möglich. Es wird empfohlen, eher wenige GPOs zu erstellen, um die Anmeldezeiten in einem akzeptablen Rahmen zu halten. Gruppenrichtlinien können auch gefiltert werden, wodurch sichergestellt wird, dass sie nur für bestimmte Benutzer verarbeitet werden. Auf diese Weise ist eine selektive Implementierung von Gruppenrichtlinien für eine Sicherheitsgruppe, einen Computer oder Benutzer möglich. Um die korrekte Anwendung einer Gruppenrichtlinie zu überprüfen, kann der Administrator die Überwachung der GPO-Verarbeitung aktivieren und die Ergebnisse in der Ereignisanzeige anzeigen lassen. Gleichzeitig stellt dieses Verfahren eine Unterstützung bei der Fehlersuche dar. GPO-Einstellungen können über administrative Vorlagen oder Skripte implementiert werden. Administrative Vorlagen und Skripte können wiederum auf Computer und Benutzer angewendet werden. Falls in der Anwendung einer Einstellung in einer administrativen Vorlage ein Konflikt zwischen Computer und Benutzer auftritt, überschreibt die Computereinstellung immer die Benutzereinstellung. Bei Skripten werden immer die Einstellungen des zuletzt ausgeführten Skripts ange-
Lernzielkontrolle
wendet, ungeachtet dessen, ob es sich um ein Anmeldeskript eines Benutzers oder ein Startskript des Computers handelt. In Situationen, in denen ein GPO mit einem Active Directory-Container verknüpft wurde, und das GPO nur Computereinstellungen enthält, kann der Administrator über eine GPO-Option die Verarbeitungsgeschwindigkeit erhöhen, indem er nur die Verarbeitung der Computereinstellungen zulässt und den Download der Benutzereinstellungen vermeidet. Auch der umgekehrte Fall ist möglich. Auf diese Weise kann die Ausführungsgeschwindigkeit in Situationen verbessert werden, in denen viele Skripte verarbeitet werden müssen. Schlüsselbegriffe 쎲
Administrative Vorlagen
쎲
Gruppenrichtlinienvorlage
쎲
Anmelde/Abmeldeskripte
쎲
Gruppenrichtlinienvorrang
쎲
GPO-Bereich
쎲
GUID
쎲
GPO-Vererbung
쎲
Kein Vorrang
쎲
Gruppenrichtlinie durchsetzen
쎲
Ordnerumleitung
쎲
Gruppenrichtlinien-Container
쎲
Registrierung
쎲
Gruppenrichtlinienfilter
쎲
Richtlinienvererbung deaktivieren
쎲
Gruppenrichtlinienobjekt
쎲
Starten/HerunterfahrenSkripte
Lernzielkontrolle Übungen Die Übungen dieses Kapitels setzen voraus, dass Sie auf einem Computer Windows 2000 Server (bzw. Advanced Server) installiert haben. Damit die Übungen korrekt verlaufen können, muss Ihr Windows 2000 Server gleichzeitig der Domänencontroller einer Domäne sein. Weiterhin müssen Sie sich als Administrator am System anmelden können. Ihr Benutzerkonto muss Mitglied entweder der Gruppe Organisations-Admins oder Domänen-Admins sein. Es reicht, wenn Sie das Kennwort für den Benutzer Administrator kennen.
475
476
Kapitel 6
6.1
Benutzerverwaltung mit Gruppenrichtlinien
Organisationseinheiten, Benutzer und Gruppen erstellen und den Domänencontroller verschieben
In dieser Übung werden Sie zwei Organisationseinheiten erstellen, die verwendet werden. Außerdem werden Sie eine Sicherheitsgruppe und einige Benutzer erstellen. Zum Schluss werden Sie Ihren Domänencontroller in eine der gerade erstellten OUs verschieben und damit sicherstellen, dass die in späteren Übungen erstellten GPO-Einstellungen auf Ihren Computer angewendet werden. Geschätzte Zeit: 10 Minuten Führen Sie zum Erstellen der OUs, Gruppen und Benutzer die folgenden Schritte aus: 1. Melden Sie sich am Domänencontroller unter Windows 2000 Server als Administrator für Ihre Domäne an. 2. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-BENUTZER UND -COMPUTER, um die MMC-Konsole zum Verwalten der Benutzer und Computer Ihrer Domäne zu starten. 3. Klicken Sie mit der rechten Maustaste auf Ihrer Domäne und wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus. Geben Sie im angezeigten Dialogfeld Forschung ein. 4. Wiederholen Sie den Schritt 3 zum Hinzufügen der Organisationseinheit Vertrieb. 5. Klicken Sie mit der rechten Maustaste auf der OU Forschung und wählen Sie im Kontextmenü NEU/GRUPPE aus. Geben Sie als Gruppennamen Entwickler, als Gruppenbereich LOKALE DOMÄNE und als Gruppentyp SICHERHEIT ein. 6. Wiederholen Sie den Schritt 5 zum Erstellen einer domänenlokalen Sicherheitsgruppe namens Telemarketing in der OU Vertrieb. 7. Nehmen Sie in die OU Vertrieb drei neue Benutzer mit den Anmeldenamen HowardH (Howard Ham), PhilC (Philip Chambers) und NatashaW (Natasha Wilson) auf. Machen Sie PhilC und NatashaW (nicht jedoch HowardH) zu Mitgliedern der Gruppe Telemarketing. Geben Sie nach Aufforderung für jeden Benutzer das Kennwort kennwort ein. Lassen Sie bei allen anderen Einstellungen die Standardwerte stehen. 8. Fügen Sie der OU Forschung zwei neue Benutzer mit den Anmeldenamen RalphD (RalpDowning) und TimC (Tim Clark) hinzu. Machen Sie TimC zum Mitglied der Gruppe Entwickler. Geben Sie nach Aufforderung für jeden Benutzer das Kennwort kennwort ein. Lassen Sie bei allen anderen Einstellungen die Standardwerte stehen.
Lernzielkontrolle
Führen Sie zum Verschieben Ihres Domänencontrollers in die OU Forschung die folgenden Schritte aus: 1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie Ihre Domäne ein. 2. Klicken Sie auf DOMAIN CONTROLLERS. 3. Klicken Sie im Detailfenster mit der rechten Maustaste auf Ihrem Computer (der gleichzeitig der Domänencontroller ist) und wählen Sie im Kontextmenü VERSCHIEBEN aus. 4. Blenden Sie im Dialogfeld VERSCHIEBEN Ihre Domäne ein, klicken Sie die OU Forschung an, und klicken Sie anschließend auf OK. 5. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 6.2
Gruppenrichtlinienobjekt für Computer erstellen
In dieser Übung erstellen Sie eine Gruppenrichtlinie, mit deren Hilfe Sie Datenträgerkontingente für die Computer der OU Forschung sowohl einführen als auch durchsetzen. Dabei werden Sie ein standardmäßiges Kontingent konfigurieren. Geschätzte Zeit: 20 Minuten Führen Sie die folgenden Schritte zum Erstellen der Computerrichtlinien für die OU Forschung durch: 1. Starten Sie, während Sie als Administrator angemeldet sind, ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Blenden Sie Ihre Domäne ein, und klicken Sie mit der rechten Maustaste auf der OU Forschung. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie auf der Registerkarte GRUPPENRICHTLINIE auf NEU, geben Sie den Namen Forschung-Gruppenrichtlinie ein und drücken Sie (Enter). Führen Sie zum Bearbeiten der Computereinstellungen der administrativen Vorlage für Forschung folgende Schritte aus: 1. Wählen Sie die gerade erstellte Forschung-Gruppenrichtlinie aus, und klicken Sie auf BEARBEITEN. Der Gruppenrichtlinieneditor wird gestartet. 2. Blenden Sie in der Baumstruktur der Gruppenrichtlinie COMPUTERKONFIGURATION und ADMINISTRATIVE VORLAGEN ein. 3. Blenden Sie in der Baumstruktur der Konsole SYSTEM ein, klicken Sie auf DATENTRÄGERKONTINGENTE, und klicken Sie im Detailfenster zweimal auf DATENTRÄGERKONTINGENTE ERMÖGLICHEN.
477
478
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
4. Wählen Sie im Dialogfeld EIGENSCHAFTEN AKTIVIERT aus, und klicken Sie auf OK. 5. Klicken Sie im Detailfenster zweimal auf STANDARDDATENTRÄGERKONTINGENT UND WARNSCHWELLE. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf AKTIVIERT und lassen Sie den Standardwert von 100 MB stehen. Klicken Sie zum Schließen des Dialogfeldes und Speichern Ihrer Änderungen auf OK. 6. Klicken Sie im Detailfenster zweimal auf DATENTRÄGERKONTINGENTSGRENZE ERZWINGEN, klicken Sie auf AKTIVIERT zum Aktivieren dieser Einstellung, und speichern Sie Ihre Änderungen mit OK. 7. Schließen Sie den Gruppenrichtlinieneditor. 8. Schließen Sie das Dialogfeld mit den Eigenschaften der OU Forschung und beenden Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 9. Starten Sie Ihren Computer neu, damit die Änderungen angewendet werden. Um den Neustart Ihres Computers zu vermeiden, können Sie auch auf START/ PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Im Fenster der Eingabeaufforderung geben Sie dann Folgendes ein: secedit/refreshpolicy user policy and secedit/refreshpolicy machine policy.
Damit aktualisieren Sie die Benutzer- und Computerrichtlinien auf dem Domänencontroller, was unter Umständen einige Minuten dauern kann. 6.3
Gruppenrichtlinienobjekt für Benutzer erstellen
In dieser Übung erstellen Sie eine Gruppenrichtlinie, die für alle TelemarketingBenutzer den Befehl AUSFÜHREN aus dem Startmenü entfernt und die Verwendung der Systemsteuerung unterbindet. Geschätzte Zeit: 20 Minuten Führen Sie die folgenden Schritte zum Erstellen der Richtlinie TelemarketingBenutzer aus: 1. Starten Sie unter der Kennung des Domänen-Administrators ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Blenden Sie Ihre Domäne ein, klicken Sie mit der rechten Maustaste auf der OU Vertrieb, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie auf der Registerkarte GRUPPENRICHTLINIE auf NEU, geben Sie als Namen Telemarketing-Gruppenrichtlinie ein, und drücken Sie (Enter).
Lernzielkontrolle
Führen Sie zum Bearbeiten der Einstellungen der administrativen Vorlage für die Telemarketing-Benutzer folgende Schritte aus: 1. Wählen Sie die Telemarketing-Gruppenrichtlinie aus, die Sie gerade erstellt haben, klicken Sie auf EIGENSCHAFTEN und SICHERHEITSEINSTELLUNGEN. 2. Wählen Sie die Gruppe Authentifizierte Benutzer aus, und klicken Sie auf ENTFERNEN. 3. Klicken Sie auf HINZUFÜGEN und wählen Sie in der Liste der Benutzer und Gruppen Ihrer Domäne die Gruppe Telemarketing aus. Klicken Sie auf HINZUFÜGEN und OK. 4. Stellen Sie sicher, dass die Gruppe Telemarketing markiert und die Kontrollkästchen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN unter ZULASSEN aktiviert sind. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN auf OK. 5. Wählen Sie TELEMARKETING-GRUPPENRICHTLINIE aus und klicken Sie auf BEARBEITEN. Der Gruppenrichtlinieneditor wird gestartet. 6. Blenden Sie in der Baumstruktur der Gruppenrichtlinie BENUTZERKONFIGURATION und ADMINISTRATIVE VORLAGEN ein. 7. Klicken Sie in der Konsole auf STARTMENÜ UND TASKLEISTE und klicken Sie im Detailfenster zweimal auf MENÜEINTRAG »AUSFÜHREN« AUS DEM STARTMENÜ ENTFERNEN. 8. Wählen Sie im Dialogfeld EIGENSCHAFTEN AKTIVIERT aus, und klicken Sie auf OK. 9. Klicken Sie in der MMC-Konsole des Gruppenrichtlinieneditors auf SYSTEMSTEUERUNG (zwei Ordner unterhalb von STARTMENÜ UND TASKLEISTE). 10. Klicken Sie zur Anzeige des Dialogfeldes EIGENSCHAFTEN zweimal auf SYSTEMSTEUERUNG DEAKTIVIEREN im Detailfenster. 11. Klicken Sie auf AKTIVIERT und OK, um das Dialogfeld EIGENSCHAFTEN VON SYSTEMSTEUERUNG zu schließen. 12. Schließen Sie die MMC-Konsole des Gruppenrichtlinieneditors. 13. Schließen Sie das Dialogfeld mit den Eigenschaften der OU Vertrieb und beenden Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 14. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden. Um den Neustart Ihres Computers zu vermeiden, können Sie auch auf START/ PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Im Fenster der Eingabeaufforderung geben Sie dann Folgendes ein:
479
480
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
secedit/refreshpolicy user policy and secedit/refreshpolicy machine policy.
Damit aktualisieren Sie die Benutzer- und Computerrichtlinien auf dem Domänencontroller, was unter Umständen einige Minuten dauern kann. 6.4
Gruppenrichtlinien der administrativen Vorlage verifizieren
In dieser Übung werden Sie sich als HowardH anmelden und verifizieren, dass sowohl die Computer- als auch die Benutzereinstellungen, die Sie gerade konfiguriert haben, ordnungsgemäß übernommen werden. Geschätzte Zeit: 20 Minuten 1. Falls Sie gerade am Computer angemeldet sind, melden Sie sich ab und erneut als HowardH mit dem Kennwort kennwort wieder an. 2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/WINDOWS EXPLORER. 3. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie viel freier Speicherplatz wird im Windows Explorer für dieses Laufwerk angezeigt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------4. Klicken Sie eine andere verfügbare NTFS-Partition an, und überprüfen Sie den für HowardH verfügbaren freien Speicherplatz. Wie viel davon steht zur Verfügung? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------5. Warum steht dem Benutzer auf jeder NTFS-Partition dieser Speicherplatz zur Verfügung? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------6. Klicken Sie auf START/EINSTELLUNGEN. Steht die Systemsteuerung dort zur Verfügung? Wenn ja, warum, bzw. wenn nein, warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------7. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Verfügung? Wenn ja, warum, bzw. wenn nein, warum nicht? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Lernzielkontrolle
8. Werden die Einstellungen zur Computerrichtlinie für die OU Forschung auf Ihrem Computer durchgesetzt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------9. Werden die Einstellungen zur Benutzerrichtlinie für die OU Vertrieb auf Ihrem Computer durchgesetzt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------10. Melden Sie sich in Windows 2000 ab. 6.5
Richtlinien über An- und Abmeldeskripte implementieren
In dieser Übung werden Sie ein einfaches Anmeldeskript erstellen, welches Benutzer bei der Anmeldung mit einer Netzwerkfreigabe verbinden wird. Sie werden ein GPO erstellen, mit dem Sie sicherstellen, dass dieses Skript auf alle Benutzer in der OU Forschung angewendet wird. Geschätzte Zeit: 20 Minuten Zum Erstellen einer Freigabe und eines Anmeldeskripts führen Sie nun die folgenden Schritte aus: 1. Melden Sie sich am Computer als Administrator Ihrer Domäne an. 2. Starten Sie Windows Explorer und erstellen Sie im Hauptverzeichnis von C: einen neuen Order namens CORPDATA. 3. Geben Sie diesen Ordner über den Freigabenamen CORPDATA frei. Nehmen Sie keine Änderungen an den standardmäßigen Berechtigungen und allen anderen Einstellungen vor. 4. Erstellen Sie einen neuen Ordner im Hauptverzeichnis von C:, den Sie Skripte nennen. 5. Wechseln Sie in den Skripte-Ordner und klicken Sie mit der rechten Maustaste. Erstellen Sie ein neues Textdokument. Lassen Sie den standardmäßigen Dateinamen stehen und klicken Sie zweimal zum Start von Notepad auf dem Dateinamen. 6. Wählen Sie im Menü DATEI von Notepad SPEICHERN UNTER und nennen Sie die Datei "CORPDATA.CMD" (mit Anführungszeichen). Speichern Sie sie unter dem Dateityp ALLE DATEIEN, was nötig ist, weil Notepad die Datei sonst mit der Endung .txt speichert, was sie als Skriptdatei unbrauchbar macht.
481
482
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
7. Geben Sie noch in Notepad den folgenden Text in die Datei ein: net use k: \\\corpdata
wobei der Name Ihres Computers ist. Speichern Sie die Datei und beenden Sie Notepad. 8. Schließen Sie Windows Explorer. Führen Sie die folgenden Schritte zum Erstellen einer Gruppenrichtlinie für ein Anmeldeskript aus: 1. Melden Sie sich am Computer als Administrator Ihrer Domäne an. 2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie die OU Forschung ein. 3. Klicken Sie mit der rechten Maustaste auf der OU Forschung und wählen Sie EIGENSCHAFTEN aus. 4. Wählen Sie im Dialogfeld EIGENSCHAFTEN die Registerkarte GRUPPENRICHTLINIE aus und klicken Sie zum Hinzufügen einer neuen Gruppenrichtlinie namens Forschung-Anmeldeskriptrichtlinie auf NEU. 5. Wählen Sie FORSCHUNG-ANMELDESKRIPTRICHTLINIE aus, und klicken Sie zum Start des Gruppenrichtlinieneditor auf BEARBEITEN. 6. Blenden Sie BENUTZERKONFIGURATION und WINDOWS-EINSTELLUNGEN ein, und klicken Sie auf SKRIPTS. Klicken Sie zweimal zum Start des Dialogfeldes EIGENSCHAFTEN VON ANMELDEN auf ANMELDEN. 7. Versuchen Sie eine Liste der Dateien im GPT-Ordner mit der Schaltfläche DATEIEN ANZEIGEN anzuzeigen. Das Fenster Logon dürfte keinerlei Dateien enthalten. 8. Klicken Sie auf das Startmenü und wählen Sie AUSFÜHREN aus. Geben Sie im AUSFÜHREN-Eingabefeld C:\Skripte ein und drücken Sie (Enter). Ein Fenster mit dem Inhalt des Ordners C:\Skripte (CORPDATA.CMD; die Datei, die Sie weiter oben erstellt haben) wird angezeigt. 9. Klicken Sie die Datei CORPDATA.CMD an und ziehen Sie sie in das Fenster Logon. Hierdurch wird die Datei in den richtigen GPT-Ordner kopiert und steht der Gruppenrichtlinie zur Verfügung. Schließen Sie die Fenster mit den Ordnern Skripte und Logon. 10. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON ANMELDEN auf HINZUFÜGEN und anschließend auf DURCHSUCHEN. Wählen Sie aus der Liste der Dateien CORPDATA.CMD aus. Damit die Datei ganz sicher als ein Skript behandelt wird, legen Sie im DURCHSUCHEN-Fenster als anzuzeigenden Da-
Lernzielkontrolle
teityp SKRIPTDATEIEN fest. Klicken Sie zum Schließen des Dialogfeldes HINZUFÜGEN EINES SKRIPTS auf OK. 11. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN DEN auf OK.
VON
ANMEL-
12. Schließen Sie die Konsole des Gruppenrichtlinieneditors. 13. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON FORSCHUNG auf OK, und beenden Sie anschließend ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 14. Melden Sie sich in Windows 2000 ab. 6.6
Anmeldeskript der Gruppenrichtlinie verifizieren
In dieser Übung werden Sie sich als RalpD und HowardH anmelden und verifizieren, dass die Richtlinie des Anmeldeskripts korrekt durchgesetzt wird. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich, falls Sie gegenwärtig am Computer angemeldet sind, ab und erneut als RalphD mit dem Kennwort kennwort wieder an. 2. Klicken Sie zum Start von WINDOWS EXPLORER ZUBEHÖR/WINDOWS EXPLORER.
AUF
START/PROGRAMME/
3. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freigabe CORPDATA auf Ihrem Computer? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------4. Melden Sie sich ab, und erneut als HowardH mit dem Kennwort kennwort an. 5. Klicken Sie zum Start von WINDOWS EXPLORER ZUBEHÖR/WINDOWS EXPLORER.
AUF
START/PROGRAMME/
6. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freigabe CORPDATA auf Ihrem Computer? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------7. Melden Sie sich in Windows 2000 ab. 6.7
Vorhandenes GPO mit einer OU verknüpfen
In dieser Übung werden Sie die Forschung-Anmeldeskriptrichtlinie mit der OU Vertrieb verknüpfen. Der Grund ist, dass der Vertrieb Zugriff auf Terminpläne haben muss, die von den Benutzern aus der OU Forschung in der Freigabe CORPDATA abgelegt werden.
483
484
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Geschätzte Zeit: 20 Minuten 1. Melden Sie sich am Domänencontroller unter Windows 2000 Server als Administrator für Ihre Domäne an. 2. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-BENUTZER UND -COMPUTER, um die MMC-Konsole zum Verwalten der Benutzer und Computer in Ihrer Domäne zu öffnen. 3. Blenden Sie Ihre Domäne ein, klicken Sie mit der rechten Maustaste auf der OU Vertrieb, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 4. Klicken Sie auf die Registerkarte ALLE, wählen Sie FORSCHUNG-ANMELDESKRIPTRICHTLINIE aus, und klicken Sie auf OK. 5. Im Dialogfeld mit den Eigenschaften zu Vertrieb müsste jetzt in der Liste auch FORSCHUNG-ANMELDESKRIPTRICHTLINIE angezeigt werden. 6. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON VERTRIEB AUF OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 7. Melden Sie sich in Windows 2000 ab. 6.8
Gruppenrichtlinienverknüpfung und Anmeldeskripteinstellungen verifizieren
In dieser Übung werden Sie sich als RalpD und HowardH anmelden und verifizieren, dass die Anmeldeskriptrichtlinie korrekt durchgesetzt wird. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich am Computer ab, und erneut als RalpD mit dem Kennwort kennwort wieder an. 2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZUBEHÖR/WINDOWS EXPLORER. 3. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freigabe CORPDATA auf Ihrem Computer? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------4. Melden Sie sich ab, und erneut als HowardH mit dem Kennwort kennwort an. 5. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZUBEHÖR/WINDOWS EXPLORER. 6. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freigabe CORPDATA auf Ihrem Computer? Warum bzw. warum nicht?
Lernzielkontrolle
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------7. Melden Sie sich in Windows 2000 ab 6.9
Administrative Kontrolle der Gruppenrichtlinie delegieren
In dieser Übung werden Sie die Verwaltung der Richtlinie von Telemarketing an HowardH delegieren, der Manager der Vertriebsabteilung ist. Da die Organisation recht klein ist, sind auch seine Ressourcen knapp. Howard hat schon einige Windows-2000-Kurse besucht und kennt sich etwas mit Active Directory und Gruppenrichtlinien aus. Sie glauben, dass er in der Lage ist, die Richtlinie für den Teil des Unternehmens, für den er verantwortlich ist, zu verwalten. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich in Windows 2000 als Administrator für Ihre Domäne an. 2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie Ihre Domäne ein. Klicken Sie mit der rechten Maustaste auf der OU Vertrieb und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an, wählen Sie TELEMARKETING-GRUPPENRICHTLINIE aus, und klicken Sie auf EIGENSCHAFTEN. 4. Klicken Sie die Registerkarte SICHERHEITSEINSTELLUNGEN an. Über welche Berechtigungen verfügt HowardH gegenwärtig betreffend dieser Gruppenrichtlinie? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------5. Klicken Sie zum Anzeigen einer Liste von Benutzern und Gruppen in Ihrer Domäne auf HINZUFÜGEN. 6. Blättern Sie in der Liste, bis Sie HowardH gefunden haben, markieren Sie seinen Namen und klicken Sie dann auf HINZUFÜGEN. Klicken Sie auf OK. 7. Über welche Berechtigungen verfügt HowardH jetzt betreffend der Gruppenrichtlinie? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------8. Welche Berechtigungen würde HowardH zum Verwalten des GPO benötigen? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
485
486
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
9. Gewähren Sie HowardH die erforderlichen zusätzlichen Berechtigungen zum Verwalten der Gruppenrichtlinie. Stellen Sie sicher, dass die Richtlinie immer noch auf ihn selbst angewendet wird. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN VON TELEMARKETING zu schließen. 10. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 11. Melden Sie sich in Windows 2000 ab. 6.10 Delegation der administrativen Kontrolle über die Gruppenrichtlinie testen In dieser Übung werden Sie überprüfen, ob HowardH die Telemarketing-Gruppenrichtlinie tatsächlich bearbeiten kann. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich in Windows 2000 als HowardH mit dem Kennwort kennwort an. 2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie Ihre Domäne ein. Klicken Sie mit der rechten Maustaste auf der OU Vertrieb und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an und wählen Sie TELEMARKETING-GRUPPENRICHTLINIE aus. Welche der sechs Schaltflächen unten im Dialogfeld stehen HowardH zur Verfügung? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------4. Klicken Sie FORSCHUNG-ANMELDESKRIPTRICHTLINIE an. Gibt es in den HowardH zur Verfügung stehenden Schaltflächen einen Unterschied zwischen Telemarketing-Gruppenrichtlinie und Forschung-Anmeldeskriptrichtlinie? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------5. Klicken Sie auf TELEMARKETING-GRUPPENRICHTLINIE und dann auf EIGENSCHAFTEN. Kann HowardH die Berechtigungen für dieses GPO ändern? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------6. Schließen Sie das Dialogfeld EIGENSCHAFTEN VON TELEMARKETING-GRUPPENRICHTLINIE und klicken Sie auf BEARBEITEN. Wird jetzt der MMC-Gruppenrichtlinieneditor angezeigt? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Lernzielkontrolle
7. Sie werden jetzt als HowardH das GPO ändern und dem Startmenü die Option ABMELDEN hinzufügen. Blenden Sie dazu BENUTZERKONFIGURATION, ADMINISTRATIVE VORLAGEN, STARTMENÜ UND TASKLEISTE ein. Klicken Sie im Detailfenster zweimal auf OPTION »ABMELDEN« DEM STARTMENÜ HINZUFÜGEN. Klicken Sie auf AKTIVIERT. Konnte HowardH die GPO-Einstellung ändern? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------8. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON OPTION »ABMELDEN« DEM STARTMENÜ HINZUFÜGEN auf OK, und schließen Sie auch den MMC-Gruppenrichtlinieneditor. 9. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON VERTRIEB auf OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 6.11 Filtern und Gruppenrichtlinienvererbung deaktivieren Nach ausgiebigen Diskussionen wurde entschieden, dass der Vertrieb einen Bereich des Unternehmens darstellt, der seine eigenen Richtlinien für verschiedene Benutzer einrichten sollte. Außerdem soll die Telemarketing-Gruppenrichtlinie nur auf Benutzer in der Sicherheitsgruppe Telemarketing angewendet werden. In dieser Übung werden Sie die Richtlinienvererbung für die OU Vertrieb deaktivieren und gleichzeitig filtern, um sicherzustellen, dass die Telemarketing-Richtlinie nur auf Benutzer in der Sicherheitsgruppe Telemarketing durchgesetzt wird. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich an Ihrem Computer als Domänen-Administrator an. 2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER, blenden Sie Ihre Domäne ein, und klicken Sie mit der rechten Maustaste auf der OU Vertrieb. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an. Wie stellen Sie nun sicher, dass Richtlinien aus höheren Ebenen in dieser OU nicht mehr durchgesetzt werden? Konfigurieren Sie die Einstellung, die verhindert, das GPOs höherer Ebenen in dieser OU durchgesetzt werden. --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------4. Klicken Sie auf TELEMARKETING-GRUPPENRICHTLINIE und dann auf die Registerkarte SICHERHEITSEINSTELLUNGEN. Welche Änderungen müssen Sie vornehmen, um sicherzustellen, dass diese Richtlinie nur auf die Sicherheitsgruppe Telemarketing angewendet wird? Führen Sie jetzt die entsprechenden
487
488
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
Schritte aus: --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------5. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON TELEMARKETING-GRUPPENRICHTLINIE auf OK. 6. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON VERTRIEB auf OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 7. Melden Sie sich in Windows 2000 ab. 6.12 Filtern der Gruppenrichtlinie testen In dieser Übung werden Sie sich an Ihrem Computer als Mitglied der Sicherheitsgruppe Telemarketing anmelden, um den GPO-Filter zu testen. Sie werden sich als HowardH anmelden und auf entsprechende Umstimmigkeiten achten. Geschätzte Zeit: 20 Minuten 1. Melden Sie sich am Computer als NatashaW (eines der Mitglieder der Sicherheitsgruppe Telemarketing) mit dem Kennwort kennwort an. 2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZUBEHÖR/WINDOWS EXPLORER. 3. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie viel freier Speicherplatz auf dem Datenträger wird angezeigt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------4. Klicken Sie auf eine andere NTFS-Partition, falls verfügbar, und überprüfen Sie, wie viel freier Speicherplatz NatashaW zur Verfügung steht. Wie viel davon hat Sie? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------5. Warum steht dem Benutzer auf den einzelnen NTFS-Partitionen diese Menge an Speicherplatz zur Verfügung? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------6. Klicken Sie auf START/EINSTELLUNGEN. Wird unter EINSTELLUNGEN die SYSTEMSTEUERUNG angezeigt? Warum bzw. warum nicht? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Lernzielkontrolle
7. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Verfügung? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------8. Werden die Computereinstellungen der Richtlinie für die Organisationseinheit Forschung auf Ihrem Computer durchgesetzt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------9. Werden die Benutzereinstellungen der Richtlinie für die Organisationseinheit Vertrieb auf Ihrem Computer durchgesetzt? 10. Melden Sie sich in Windows 2000 ab. 11. Melden Sie sich am Computer als HowardH mit dem Kennwort kennwort an. 12. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZUBEHÖR/WINDOWS EXPLORER. 13. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie viel freier Speicherplatz auf dem Datenträger wird angezeigt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------14. Klicken Sie auf eine andere NTFS-Partition, falls verfügbar, und überprüfen Sie, wie viel freier Speicherplatz HowardH zur Verfügung steht. Wie viel davon hat er? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------15. Warum steht dem Benutzer auf den einzelnen NTFS-Partitionen diese Menge an Speicherplatz zur Verfügung? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------16. Klicken Sie auf START/EINSTELLUNGEN. Wird unter EINSTELLUNGEN die SYSTEMSTEUERUNG angezeigt? Warum bzw. warum nicht? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------17. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Verfügung? Warum bzw. warum nicht? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
489
490
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
18. Werden die Computereinstellungen der Richtlinie für die Organisationseinheit Forschung auf Ihrem Computer durchgesetzt? --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------19. Werden die Benutzereinstellungen der Richtlinie für die Organisationseinheit Vertrieb auf Ihrem Computer durchgesetzt? 20. Melden Sie sich in Windows 2000 ab. Wiederholungsfragen 1. Was ist der Unterschied zwischen einem Gruppenrichtlinien-Container und einer Gruppenrichtlinienvorlage? 2. Was müssen Sie tun, wenn Sie sicherstellen wollen, dass ein GPO eines Standorts auf alle Benutzer und Computer in dem Standort angewendet wird? 3. Auf welche Benutzer und Computer werden GPO-Einstellungen standardmäßig angewendet? 4. Was ist der Unterschied zwischen administrativen Vorlagen und Skripten? 5. Welche Arten von Skripten werden von der Windows-2000-Gruppenrichtlinie unterstützt? 6. Welche Vorteile hat die Gruppenrichtlinie für den Administrator? 7. Sie möchten sicherstellen, dass alle Benutzer in der Domäne dasselbe Hintergrundbild auf ihren Desktops anzeigen (das Unternehmenslogo). Der Leiter der Abteilung Vertrieb möchte darüber hinaus vierteljährlich die Verkaufszahlen als Hintergrund für die Mitarbeiter im Vertrieb, die Mitglieder der Sicherheitsgruppe Vertrieb sind, anzeigen lassen. Wie erreichen Sie beide Ziele? 8. Wenn in einer Computereinstellung AutoPlay deaktiviert und in einer Benutzereinstellung desselben GPO AutoPlay aktiviert ist, hat welche Einstellung den Vorrang? 9. Was ist mit Durchsetzen der Gruppenrichtlinie gemeint? 10. Welche Berechtigungen werden benötigt, wenn Sie einem Benutzer die administrative Kontrolle über ein GPO geben möchten? An welcher Stelle müssen Berechtigungen gesetzt werden, um Benutzer in die Lage zu versetzen, zusätzliche GPO im selben Container erstellen zu können? 11. Falls alle von Ihnen konfigurierten Gruppenrichtlinien nur die Benutzerkonfiguration des GPO betreffen, können Sie die Geschwindigkeit der GPO-Verarbeitung verbessern. Wie?
Lernzielkontrolle
Prüfungsfragen 1. Sie sind Administrator von LearnWin2K.com, einem Online-Trainingsinstitut, welches Windows-2000-Kurse anbietet. Sie müssen sämtliche Computer des Kundenservice so konfigurieren, dass der Internetzugang für alle außer den Supervisoren des Kundenservice abgeschaltet ist. Alle Benutzer des Kundenservice sind Teil der Sicherheitsgruppe KundenService, während die Supervisoren obendrein noch Mitglieder der Sicherheitsgruppe KSSupervisoren sind. Welche der folgenden Antworten beschreibt, was Sie unternehmen müssen, um dieses Ziel zu erreichen (wählen Sie die beste Antwort aus)? A. Erstellen Sie zwei GPOs, von denen das eine den Internetzugang deaktiviert und das andere ihn aktiviert. Gewähren Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für das erste GPO. Gewähren Sie der Sicherheitsgruppe KSSupervisoren die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für das zweite GPO. B. Erstellen Sie zwei GPOs, von denen das eine den Internetzugang deaktiviert und das andere ihn aktiviert. Gewähren Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für das erste GPO. Gewähren Sie der Sicherheitsgruppe KSSupervisoren die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für das zweite GPO. Gewähren Sie weiterhin der Sicherheitsgruppe KSSupervisoren die Berechtigung LESEN für das erste GPO. C. Erstellen Sie ein GPO zum Deaktivieren des Internetzugangs. Gewähren Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN. D. Erstellen Sie ein GPO zum Deaktivieren des Internetzugangs. Gewähren Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN, und gewähren Sie der Sicherheitsgruppe KSSupervisoren lediglich die LESEN-Berechtigung für das GPO. 2. Sie haben ein GPO mit der Domäne verknüpft, in welchem der Befehl AUSFÜHREN aus dem Startmenü für alle Domänenbenutzer entfernt wird. Während der Installation eines neuen Servers in der Buchhaltungsabteilung bemerken Sie, dass einige der Computer mit Windows 2000 Professional immer noch über diesen Befehl verfügen. Warum (wählen Sie zwei zutreffende Antworten aus)? A. Die Buchhalter sind keine Domänenbenutzer. B. Sie haben die GPO-Einstellung nicht durchgesetzt.
491
492
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
C. Die Gruppenrichtlinie wird auf Computern mit Windows 2000 Professional nicht erzwungen. D. Die Richtlinienvererbung war auf der Ebene der OU Buchhaltung deaktiviert. E. Die Benutzer haben keinen Arbeitsplatz-PC mit Windows 98. Damit der Befehl AUSFÜHREN abgeschaltet werden kann, müssen die Benutzer mit Windows 98 arbeiten. 3. Sie stellen fest, dass die Verwaltung der Gruppenrichtlinien mit dem Wachstum Ihres Unternehmens immer zeitaufwendiger wird. Die einzelnen Abteilungen fordern bereits mehr Kontrolle über ihre eigenen OUs an. Jede Abteilung verfügt über einen Junior-Administrator, der die Abteilung verwaltet. Was müssen Sie tun, um die Kontrolle über die GPOs der einzelnen Abteilungen an diese Junior-Administratoren zu delegieren (wählen Sie die beste Antwort aus)? A. Weisen Sie den Junior-Administratoren die Kontrolle der GPOs in den OUs über den Assistent zum Zuweisen der Objektverwaltung zu. B. Gewähren Sie den Junior-Administratoren die Berechtigung UNEINGESCHRÄNKTER ZUGRIFF für die GPOs, die mit ihren OUs verknüpft sind. C. Machen Sie die Junior-Administratoren zu Mitgliedern der Sicherheitsgruppe OU-Admins. D. Gewähren Sie den Junior-Administratoren für die mit ihren OUs verknüpften GPOs die Berechtigungen LESEN und SCHREIBEN. E. Machen Sie die Junior-Administratoren zu Mitgliedern der Sicherheitsgruppe Domänen-Admins. F. Gewähren Sie den Junior-Administratoren für ihre OUs die Berechtigungen LESEN und SCHREIBEN. 4. Sie stellen fest, dass die Verwaltung der Gruppenrichtlinien mit dem Wachstum Ihres Unternehmens immer zeitaufwendiger wird. Die einzelnen Abteilungen fordern bereits mehr Kontrolle über ihre eigenen OUs an. Jede Abteilung verfügt über einen Junior-Administrator, der die Abteilung verwaltet. Was müssen Sie tun, um diesen Junior-Administratoren die Verwaltung der vorhandenen GPOs in ihren OUs zu ermöglichen? Was tun Sie, um ihnen zu erlauben, nach Bedarf GPOs erstellen und löschen zu können (wählen Sie die besten zutreffenden Antworten aus)? A. Verwenden Sie den Assistent zum Zuweisen der Objektverwaltung dazu, ihnen die Kontrolle über die GPOs ihrer OUs zu übertragen.
Lernzielkontrolle
B. Gewähren Sie ihnen den uneingeschränkten Zugriff auf die mit ihren OUs verknüpften GPOs. C. Machen Sie sie zu Mitgliedern der Sicherheitsgruppe OU-Admins. D. Gewähren Sie den Junior-Administratoren für die mit ihren OUs verknüpften GPOs die Berechtigungen LESEN und SCHREIBEN. E. Machen Sie die Junior-Administratoren zu Mitgliedern der Sicherheitsgruppe Domänen-Admins. F. Gewähren Sie ihnen für ihre OUs die Berechtigungen LESEN und SCHREIBEN. 5. Wie verläuft die Anwendungsreihenfolge der Gruppenrichtlinie (wählen Sie die beste Antwort aus)? A. Computer, Benutzer, Skript B. Standort, Domäne, OU C. Domäne, Standort, OU D. OU, Standort, Domäne E. Benutzer, Skript, Computer 6. Sie haben die Gruppenrichtlinie folgendermaßen konfiguriert: Auf der Domänenebene haben Sie das GPO1, welches die Systemsteuerung aus dem Menü EINSTELLUNGEN ausblendet. Auf der Standortebene haben Sie das GPO2, welches eine Kennwortlänge für die Benutzer von 6 Zeichen erzwingt. Das GPO wurde mit der Option KEIN VORRANG definiert. Auf der Ebene der OU haben Sie das GPO3, welches den Befehl AUSFÜHREN aus dem Startmenü ausblendet. Auf Ebene der OU haben Sie die Richtlinienvererbung deaktiviert. Welches Ergebnis haben Sie in dem Fall, wenn sich ein Benutzer an einem Computer mit Windows 2000 Professional anmeldet, der sich in dem OUContainer befindet (wählen Sie alle zutreffenden Antworten aus)? A. Die Systemsteuerung steht nicht zur Verfügung. B. Die Systemsteuerung steht zur Verfügung. C. Die Benutzerkennwörter müssen 6 Zeichen lang sein.
493
494
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
D. Der Befehl AUSFÜHREN steht im Startmenü zur Verfügung. E. Der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung. 7. Auf Computern mit welchen Betriebssystemen werden Gruppenrichtlinien durchgesetzt (wählen Sie alle zutreffenden Antworten aus)? A. Microsoft Windows for Workgroups 3.11 B. Microsoft Windows 2000 Advanced Server C. Microsoft Windows 95 D. Microsoft Windows NT 4.0 mit Servicepack 6 oder höher E. Microsoft Windows 2000 Professional F. Red Hat Linux 6.1 mit Samba 8. Was müssen Sie hinsichtlich der Gruppenrichtlinie tun, wenn auf der OUEbene nur die Computereinstellungen eines GPO angewendet und diese Einstellungen nicht durch die GPO-Konfiguration auf Domänenebene verändert werden sollen (wählen Sie die beste Antwort aus)? A. Aktivieren Sie die Einstellungen der Computerkonfiguration und die Option KEIN VORRANG. B. Aktivieren Sie die Einstellungen der Computerkonfiguration und deaktivieren Sie die Richtlinienvererbung. C. Deaktivieren Sie die Einstellungen der Benutzerkonfiguration und deaktivieren Sie die Richtlinienvererbung. D. Deaktivieren Sie die Einstellungen der Benutzerkonfiguration und die Option KEIN VORRANG. E. Aktivieren Sie die Einstellungen der Benutzerkonfiguration und die Richtlinienvererbung. 9. Sie entwerfen eine Gruppenrichtlinienstruktur mit zwei GPOs, eine auf der Domänenebene und eine andere auf der Ebene der OU Marketing. Nach dem Speichern Ihrer Änderungen und einer Aktualisierung des GPO auf allen betroffenen Domänencontrollern meldet sich ein Benutzer der OU Marketing am Netzwerk an. Wie werden sich Ihre GPO-Einstellungen auf den Desktop des Benutzers auswirken (wählen Sie alle zutreffenden Antworten aus)?
Lernzielkontrolle
A. Dem Benutzer steht die Systemsteuerung zur Verfügung. B. In der Systemsteuerung stehen nur SOFTWARE und ANZEIGE zur Verfügung. C. Der Benutzer verfügt über ein domänenbezogenes Hintergrundbild. D. Der Benutzer verfügt über das Hintergrundbild, welches im GPO der OU Marketing definiert wurde. 10. Wie ist das standardmäßige Aktualisierungsintervall für Gruppenrichtlinien auf Computern in der Domäne (wählen Sie zwei zutreffende Antworten aus)? A. Die Gruppenrichtlinie wird auf Domänencontrollern alle 15 Minuten aktualisiert. B. Die Gruppenrichtlinie wird auf Mitgliedsservern und Arbeitsplatz-PCs alle 15 Minuten aktualisiert. C. Die Gruppenrichtlinie wird auf Mitgliedsservern und Arbeitsplatz-PCs alle 90 Minuten aktualisiert. D. Die Gruppenrichtlinie wird auf Domänencontrollern alle 90 Minuten aktualisiert. E. Die Gruppenrichtlinie wird auf Mitgliedsservern und Arbeitsplatz-PCs alle 15 Minuten aktualisiert. F. Die Gruppenrichtlinie wird auf Domänencontrollern alle 5 Minuten aktualisiert. 11. Sie sind der Administrator der Domäne factron.com und haben die folgenden Active Directory-Container erstellt: 씰
Eine OU Vertrieb
씰
Eine OU Entwicklung
씰
Eine OU Finanzen
In welchen Active Directory-Containern können Sie eine Gruppenrichtlinie erstellen (wählen Sie alle zutreffenden Antworten aus)? A. Benutzer B. OU Vertrieb C. OU Finanzen D. Computer
495
496
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
E. OU Entwicklung F. Domäne factron.com G. Domänencontroller 12. Sie ändern für die Benutzer eines vorhandenen GPO, welches der Sicherheitsgruppe VertriebsPersonal zugewiesen ist, die Einstellungen zu OfflineOrdnern. NatashaW, ein Mitglied der Sicherheitsgruppe VertriebsPersonal, ist bereits an einem Computer mit Windows 98 in der Domäne angemeldet. Wann werden die geänderten Einstellungen für die Offline-Ordner auf ihrem Computer wirksam werden (wählen Sie die beste Antwort aus)? A. Bei ihrer nächsten Anmeldung in der Domäne. B. Innerhalb von 5 Minuten. C. Innerhalb von 90 Minuten. D. Innerhalb von 15 Minuten. E. Beim nächsten Neustart des Computers. F. Die neue Einstellung wird nicht wirksam. 13. Wo werden die Einstellungen der Gruppenrichtlinienvorlagen gespeichert (wählen Sie die beste Antwort aus)? A. Im Ordner %SystemRoot%\GPO eines Windows-2000-Computers. B. Im Ordner %SystemRoot%\GPO eines Domänencontrollers. C. In der Freigabe SYSVOL eines Domänencontrollers in einem Ordner, der denselben Namen wie das GPO hat. D. In der Freigabe SYSVOL eines Domänencontrollers in einem Ordner, der denselben Namen wie die GUID des GPO hat. E. In der Freigabe SYSVOL eines Windows-2000-Computers in einem Ordner, der denselben Namen wie das GPO hat. F. In der Freigabe SYSVOL eines Windows-2000-Computers in einem Ordner, der denselben Namen wie die GUID des GPO hat. 14. Sie erstellen ein Anmeldeskript, welches LPT1 einem Drucker namens HP5 auf dem Dateiserver DEVWORK zuweist. Sie erstellen ein Starten-Skript, welches LPT1 einem Drucker namens LEXMARK auf dem Server DEVWORK zuweist. Sie erstellen ein weiteres Anmeldeskript, welches alle Zuordnungen zu LPT1 löscht.
Lernzielkontrolle
Sie erstellen ein GPO in der OU Vertrieb. Sie fügen das Starten-Skript der Computerkonfiguration des GPO hinzu. Außerdem fügen Sie beide Anmeldeskripte der Benutzerkonfiguration des GPO hinzu. Sie weisen der Sicherheitsgruppe Vertrieb die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN für das GPO zu und entfernen die Gruppe Authentifizierte Benutzer aus der Liste der Gruppen mit Berechtigungen für das GPO. HaraldH, ein Mitglied der Sicherheitsgruppe Vertrieb, dessen Computerkonto in der OU Vertrieb definiert ist, meldet sich am Netzwerk an. Wie wird LPT1 auf seinem Computer zugeordnet werden (wählen Sie die beste Antwort aus)? A. \\DEVWORK\HP5 B. \\DEVWORK\LEXMARK C. Die Zuordnung wird gelöscht. D. \\DEVWORK\HP5 und \\DEVWORK\LEXMARK E. Die Zuordnung kann nicht vorhergesagt werden. 15. Sie versuchen ein GPO zu bearbeiten, erhalten aber die Meldung, dass das Gruppenrichtlinienobjekt nicht geöffnet werden kann. Sie verbinden sich mit einer Freigabe auf einem einzelnen Domänencontroller Ihres Standorts und überprüfen, ob der Domänencontroller verfügbar ist und das Netzwerk fehlerfrei arbeitet. Was ist die wahrscheinliche Ursache des Problems (wählen Sie die beste Antwort aus)? A. Sie verfügen nicht über die erforderlichen Berechtigungen zum Bearbeiten des GPO. B. Es steht kein DHCP-Server zur Verfügung. C. Das GPO ist in Active Directory nicht autorisiert. D. Der DNS-Server steht nicht zur Verfügung. E. Der WINS-Server steht nicht zur Verfügung. F. Das GPO existiert nicht. Antworten zu den Übungen Gruppenrichtlinien der administrativen Vorlage verifizieren 1. Der freie Speicherplatz auf dem Datenträger solle knapp unterhalb von 100 MB liegen. Das über die Richtlinie eingerichtete Datenträgerkontingent ist standardmäßig 100 MB für alle Benutzer. Da Windows 2000 auf dem Laufwerk C: installiert und dieses der Standardspeicherungsort der Benutzerprofi-
497
498
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
le ist, werden Sie an freien Speicherplatz knapp unterhalb von 100 MB haben. 2. Der Benutzer wird etwa 100 MB freien Speicherplatz haben. Dies entspricht dem für alle Benutzer über die Gruppenrichtlinie eingerichteten Standarddatenträgerkontingent. 3. Sie haben eine Computerrichtlinie konfiguriert, die ein Datenträgerkontingent durchsetzt und definiert. Das jedem Benutzer zugewiesene Standarddatenträgerkontingent beträgt laut der Richtlinie 100 MB auf allen NTFSPartitionen. Da Sie diesen Standardwert für das Benutzerkonto von HowardH nicht verändert haben, erhält er über die GPO-Einstellungen 100 MB Speicherplatz. 4. Nein, die Systemsteuerung steht unter EINSTELLUNGEN nicht zur Verfügung. Die für die OU Vertrieb konfigurierte Gruppenrichtlinie deaktiviert die Systemsteuerung – die Option wird bei durchgesetzter Richtlinie daher nicht angezeigt. 5. Nein, der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung. Dieser Befehl wurde für die Benutzer in der OU Vertrieb über die Benutzereinstellungen der Gruppenrichtlinie entfernt. 6. Ja, die Computereinstellungen der Richtlinie werden durchgesetzt. Es wurden Datenträgerkontingente für alle Benutzer von Computern in der OU Forschung eingerichtet und durchgesetzt. Jedem Benutzer wurde ein Standarddatenträgerkontingent von 100 MB auf jeder Partition zugewiesen. 7. Ja, die Benutzereinstellungen der Richtlinie für die OU Vertrieb werden auf dem Computer durchgesetzt. Wie in der Gruppenrichtlinie vorgesehen, steht der Befehl AUSFÜHREN vom Startmenü nicht zur Verfügung; auch die Systemsteuerung nicht. Anmeldeskript der Gruppenrichtlinie verifizieren 1. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint. Der Grund liegt darin, dass RalphD ein Benutzer in der OU Forschung ist, in der das GPO definiert wurde, und den in der Richtlinie definierten Skripts unterliegt. 2. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint nicht in der Liste des Windows Explorer. HowardH ist Benutzer der OU Vertrieb undnicht den Bedingungen und Einstellungen der für die OU Forschung definierten Richtlinie unterworfen, in der sich das Anmeldeskript befindet.
Lernzielkontrolle
Gruppenrichtlinienverknüpfung und Anmeldeskripteinstellungen verifizieren 1. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint. Der Grund liegt darin, dass RalphD ein Benutzer in der OU Forschung ist, in der das GPO ursprünglich definiert wurde, und den in der Richtlinie definierten Skripts unterliegt. Die Verknüpfung der Richtlinie mit der OU Vertrieb ändert nicht die ursprüngliche Beziehung zwischen der Richtlinie und der OU Forschung. 2. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint in der Liste in Windows Explorer. HowardH ist ein Benutzer der OU Vertrieb und den Bedingungen und Einstellungen der für Forschung definierten Anmeldeskriptrichtlinie unterworfen, die mit der OU Vertrieb verknüpft wurde. Administrative Kontrolle der Gruppenrichtlinie delegieren 1. HowardH sind gegenwärtig keine Berechtigungen direkt zugewiesen. HowardH ist ein Mitglied der Gruppe integrierter Domänen-Benutzer und verfügt daher über die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN. 2. HowardH verfügt nun über die Berechtigungen LESEN für das GPO. Das Kontrollkästchen GRUPPENRICHTLINIE ÜBERNEHMEN ist deaktiviert, sodass er nicht länger über diese Berechtigung des GPO verfügt. 3. Er braucht zum Verwalten des GPO die Berechtigungen LESEN und SCHREIBEN. Falls Sie die Richtlinie auch auf ihn angewendet wissen wollen, müssen Sie ihm außerdem die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN gewähren. Delegation der administrativen Kontrolle über die Gruppenrichtlinie testen 1. HowardH stehen die Schaltflächen EIGENSCHAFTEN und BEARBEITEN zur Verfügung. Die Schaltflächen NEU, HINZUFÜGEN, LÖSCHEN und OPTIONEN sind inaktiv. HowardH kann daher die GPO-Inhalte bearbeiten und die Eigenschaften anzeigen. Er kann dagegen nicht hinzufügen, löschen, die Reihenfolge der Anwendung ändern, die Richtlinienvererbung deaktivieren, Richtlinien niedriger Ebenen überschreiben oder die Gruppenrichtlinie deaktivieren. 2. HowardH verfügt hinsichtlich von FORSCHUNG-ANMELDESKRIPTRICHTLINIE lediglich über die Schaltfläche EIGENSCHAFTEN, was ihm die Anzeige der Eigenschaften des GPO, aber nicht ihre Veränderung erlaubt. Er kann die Gruppenrichtlinie nicht bearbeiten. Er kann aber die Gruppenrichtlinie TELEMARKETING-BENUTZER bearbeiten.
499
500
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
3. HowardH erhält ein Dialogfeld mit der Meldung, dass er die Berechtigungen für das GPO nicht ändern kann. Er braucht die Berechtigungen UNEINGESCHRÄNKTER ZUGRIFF oder ÄNDERN, um die Sicherheitseinstellungen des GPO ändern zu können. 4. Ja, die MMC wird angezeigt, da HowardH die Berechtigungen LESEN und SCHREIBEN für das GPO besitzt. 5. Ja, HowardH kann Änderungen an den GPO-Einstellungen vornehmen, weil ihm die Berechtigung SCHREIBEN für das GPO gegeben worden ist. Filtern und Gruppenrichtlinienvererbung deaktivieren 1. Sie müssen die Richtlinienvererbung auf der Ebene der OU Vertrieb deaktivieren. Dazu aktivieren Sie das Kontrollkästchen RICHTLINIENVERERBUNG DEAKTIVIEREN unten links im Dialogfeld. 2. Entfernen Sie Authentifizierte Benutzer aus der Liste der Gruppen, denen Berechtigungen zugewiesen wurden. Deaktivieren Sie außerdem das Kontrollkästchen bei GRUPPENRICHTLINIE ÜBERNEHMEN für den Benutzer HowardH, da dieser kein Mitglied der Sicherheitsgruppe Telemarketing ist. Fügen Sie schließlich die Sicherheitsgruppe Telemarketing der Liste der Gruppen mit Berechtigungen hinzu und weisen Sie ihnen die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN zu. Filtern der Gruppenrichtlinie testen 1. Der freie Speicherplatz auf dem Datenträger soll knapp unterhalb von 100 MB liegen. Das über die Computerrichtlinie eingerichtete Datenträgerkontingent ist standardmäßig 100 MB für alle Benutzer. Da Windows 2000 auf dem Laufwerk C: installiert und dieses der Standardspeicherungsort der Benutzerprofile ist, werden Sie an freiem Speicherplatz knapp unterhalb 100 MB haben. Dies liegt nicht an der Richtlinie für die Benutzer von Telemarketing, sondern an der dem Computer zugewiesenen Computerrichtlinie, die sich in der OU Forschung befindet. 2. Der Benutzer wird etwa 100 MB freien Speicherplatz haben. Dies entspricht dem für alle Benutzer über die Computerrichtlinie eingerichteten Standarddatenträgerkontingent. 3. Sie haben eine Computerrichtlinie konfiguriert, die ein Datenträgerkontingent durchsetzt und definiert. Das jedem Benutzer zugewiesene Standarddatenträgerkontingent beträgt laut der Richtlinie 100 MB auf allen NTFSPartitionen. Da Sie diesen Standardwert für das Benutzerkonto von HowardH nicht verändert haben, erhält er über die GPO-Einstellungen 100 MB Speicherplatz.
Lernzielkontrolle
4. Nein, die Systemsteuerung steht unter EINSTELLUNGEN nicht zur Verfügung. Die für die OU Telemarketing konfigurierte Gruppenrichtlinie deaktiviert die Systemsteuerung – die Option wird bei durchgesetzter Richtlinie daher nicht angezeigt. 5. Nein, der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung. Dieser Befehl wurde für die Benutzer in der OU Telemarketing über die Benutzereinstellungen der Gruppenrichtlinie entfernt. NatashaW ist ein Mitglied der Sicherheitsgruppe Telemarketing. 6. Ja, die Computereinstellungen der Richtlinie werden durchgesetzt. Es wurden Datenträgerkontingente für alle Benutzer von Computern in der OU Forschung eingerichtet und durchgesetzt. Jedem Benutzer wurde ein Standarddatenträgerkontingent von 100 Mbyte auf jeder Partition zugewiesen. 7. Ja, die Benutzereinstellungen der Richtlinie für die OU Vertrieb werden auf dem Computer durchgesetzt. Der Benutzer ist ein Mitglied der Sicherheitsgruppe Telemarketing, auf welche die Richtlinie angewendet wird. Wie in der Gruppenrichtlinie vorgesehen, stehen die Befehle AUSFÜHREN und EINSTELLUNGEN im Startmenü nicht zur Verfügung. 8. Der freie Speicherplatz auf dem Datenträger sollte knapp unterhalb von 100 MB liegen. Das über die Computerrichtlinie eingerichtete Datenträgerkontingent ist standardmäßig 100 Mbyte für alle Benutzer. Da Windows 2000 auf dem Laufwerk C: installiert und dieses der Standardspeicherungsort der Benutzerprofile ist, werden Sie an freiem Speicherplatz knapp unterhalb 100 MB haben. Dies liegt nicht an der Richtlinie für die Benutzer von Telemarketing, sondern an der dem Computer zugewiesenen Computerrichtlinie, die sich in der OU Forschung befindet. HowardH ist dieser Richtlinie unterworfen. 9. Der Benutzer wird 100 Mbyte freien Speicherplatz haben, was der allen Benutzern über das Standarddatenträgerkontingent in der Computerrichtlinie zugewiesene Betrag ist. 10. Sie haben eine Computerrichtlinie konfiguriert, die ein Datenträgerkontingent durchsetzt und definiert. Das jedem Benutzer zugewiesene Standarddatenträgerkontingent beträgt laut der Richtlinie 100 Mbyte auf allen NTFSPartitionen. Das Sie diesen Standardwert für das Benutzerkonto von HowardH nicht verändert haben, erhält er über die GPO-Einstellungen 100 Mbyte Speicherplatz. 11. Ja, die Systemsteuerung steht unter EINSTELLUNGEN zur Verfügung. Die für die Sicherheitsgruppe Telemarketing in der OU Vertrieb konfigurierte Gruppenrichtlinie wird wegen des Filters nicht auf HowardH angewendet.
501
502
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
12. Ja, der Befehl AUSFÜHREN steht im Startmenü zur Verfügung. In den Benutzereinstellungen der Gruppenrichtlinie wurde dieser Befehl für die Sicherheitsgruppe Telemarketing in der OU Vertrieb entfernt. HowardH ist jedoch kein Mitglied der Sicherheitsgruppe Telemarketing, sodass diese Richtlinieneinstellung auf ihn nicht angewendet wird. 13. Ja, die Computerrichtlinieneinstellungen werden durchgesetzt. Es wurden Datenträgerkontingente für alle Benutzer von Computern in der OU Forschung eingerichtet, und jedem Benutzer für jede Partition ein Standarddatenträgerkontingent von 100 Mbyte zugewiesen. 14. Nein, die Einstellungen der Benutzerrichtlinie der OU Vertrieb werden für diesen Benutzer auf dem Computer nicht durchgesetzt. HowardH ist kein Mitglied der Sicherheitsgruppe Telemarketing, auf welche die Richtlinie angewendet wird. Der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung, während die Systemsteuerung zur Verfügung steht. Antworten zu den Wiederholungsfragen 1. Ein GPO besteht aus zwei Teilen: einem Gruppenrichtlinien-Container und einer Gruppenrichtlinienvorlage. Der GPC ist ein Active Directory-Objekt, welches die GPO-Attribute und Versionsinformationen enthält. Die Domänencontroller verwenden den GPC zur Entscheidung darüber, ob sie über die neueste Version des GPO verfügen. Die GPT stellt eine Ordnerhierarchie im freigegebenen Ordner SYSVOL auf Domänencontrollern dar. Die GPT enthält sämtliche GPO-Einstellungen betreffend administrative Vorlagen, Skripte, die Softwareinstallation, Ordnerumleitung und Sicherheit. Siehe dazu »Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienkomponenten«. 2. Um sicherzustellen, dass ein GPO eines Standorts auf alle Benutzer und Computer im Standort angewendet wird, aktivieren Sie KEIN VORRANG FÜR DAS GPO. Hierdurch werden die GPO-Einstellungen auf alle nachfolgenden Ebenen der Hierarchie einschließlich Domänen und OUs durchgesetzt, da GPOs für einen Standort als Erste verarbeitet werden. Siehe dazu »Gruppenrichtliniensicherheit«, »Gruppenrichtlinienvererbung« und »Gruppenrichtlinieneinstellungen durchsetzen«. 3. GPO-Einstellungen werden standardmäßig nur auf die Mitglieder der Gruppe Authentifizierte Benutzer angewendet. Auf dieser Ebene werden die GPOEinstellungen auf alle in der Domäne angemeldeten Benutzer und alle nach dem Start in der Domäne angemeldeten Computer angewendet. Siehe dazu »Gruppenrichtliniensicherheit« und Gruppenrichtliniensicherheit konfigurieren«.
Lernzielkontrolle
4. Einstellungen administrativer Vorlagen in GPOs nehmen entweder an den Schlüsseln HKEY_LOCAL_MACHINE (sofern Sie die Computerkonfiguration der administrativen Vorlage bearbeiten) oder HKEY_CURRENT_USER (sofern Sie die Benutzerkonfiguration der administrativen Vorlage bearbeiten) in der Registrierung Veränderungen vor. Skripte können für vielfältige Aufgaben und Einstellungsänderungen einschließlich von Registrierungseinstellungen verwendet werden, da es sich bei ihnen entweder um BAT-, CMD-, EXE(Programm)-Dateien oder von Windows Script Host verarbeitete Skripte handelt. Siehe dazu »Benutzerumgebungen mit Gruppenrichtlinien verwalten«. 5. Windows-2000-Gruppenrichtlinien unterstützen vier Skripttypen: Hinsichtlich des Computers stehen Starten- und Herunterfahren-Skripte zur Verfügung, während für Benutzer Anmelde- und Abmeldeskripte konfiguriert werden können. Siehe dazu »Benutzerumgebungen mit Gruppenrichtlinien verwalten« und »Skripte in Gruppenrichtlinien konfigurieren und verwenden«. 6. Mit Gruppenrichtlinien kann der Administrator zentrale bzw. dezentrale Richtlinien einrichten, die eine Kontrolle über die Computer- und Benutzerumgebung ermöglichen. Über GPOs stellt der Administrator sicher, dass die Benutzer über die erforderlichen Anwendungs- und Umgebungseinstellungen zur Ausführung ihrer alltäglichen Arbeiten verfügen. Mit Gruppenrichtlinien übt der Administrator eine Kontrolle über Benutzer und Computer unabhängig davon aus, ob sich diese im nächsten Raum oder irgendwo sonst auf dem Globus befinden. Da die GPO-Verwaltung an andere Personen delegiert werden kann, erhält ein Unternehmensadministrator die Möglichkeit, jede gewünschte lokale Anpassung von Desktops in unternehmensweite Standards integrieren zu können. Schließlich stellt der Administrator mit GPOs sicher, dass Unternehmensstandards und Geschäftsregeln im gesamten Unternehmen durchgesetzt werden. Siehe dazu »Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienbereich«. 7. Um sicherzustellen, dass alle Benutzer in der Domäne ein Unternehmenslogo als Hintergrundbild verwenden, erstellen Sie ein GPO auf Domänenebene und konfigurieren die Hintergrundbildeinstellung in der Benutzerkonfiguration der administrativen Vorlage des GPO. Außerdem sorgen Sie dafür, dass die Sicherheitsgruppe Domänenbenutzer die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für das GPO erhält. Um sicherzustellen, dass die Mitglieder der Vertriebsabteilung die vierteljährlichen Verkaufszahlen als Hintergrundbild auf dem Desktop angezeigt bekommen, erstellen Sie auf Domänenebene ein GPO und konfigurieren die Hintergrundbildeinstellungen in der Benutzerkonfiguration der administrativen Vorlage des GPO. Außerdem sorgen Sie dafür, dass die Sicherheitsgruppe Vertrieb die Berechtigungen LESEN und GRUPPENRICHTLINIE
503
504
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
für das GPO erhält. Damit dieses GPO nicht auf andere Benutzer der Domäne angewendet wird, entfernen Sie die Sicherheitsgruppe Domänenbenutzer aus der Liste der Benutzer und Gruppen mit Berechtigungen für das GPO. ÜBERNEHMEN
Um sicherzustellen, dass die Vertriebsbenutzer nicht das Hintergrundbild erhalten, welches alle anderen Benutzer bekommen, filtern Sie die Gruppenrichtlinie der Domänenbenutzer, fügen die Sicherheitsgruppe Vertrieb zur Liste der Gruppen mit Berechtigungen für das GPO der Domänenbenutzer hinzu, und deaktivieren die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN, damit die Richtlinie für die Sicherheitsgruppe Vertrieb nicht durchgesetzt wird. Damit diese Einstellungen von Administratoren niedrigerer Ebenen nicht mehr verändert werden, aktivieren Sie für beide GPOs die Option KEIN VORRANG. Siehe dazu »Benutzerumgebungen mit Gruppenrichtlinien verwalten« und »Gruppenrichtlinienbereich«. 8. AutoPlay bleibt deaktiviert. Computereinstellungen haben immer den Vorrang vor Benutzereinstellungen – die Computereinstellung zur Deaktivierung von AutoPlay setzt sich also durch. Siehe dazu »Gruppenrichtlinienbereich« und »Gruppenrichtlinienverarbeitung«. 9. Das Durchsetzen der Gruppenrichtlinie bedeutet, dass Sie die Option KEIN VORRANG für das GPO konfiguriert haben. Das Endergebnis besteht darin, dass die Einstellungen des GPO mit der aktiven Option KEIN VORRANG durch GPOs niedriger Ebenen auch dann nicht verändert werden können, wenn die Administratoren dieser Ebenen (Domäne oder OU) die Richtlinienvererbung deaktiviert haben. Siehe dazu »Gruppenrichtliniensicherheit«. 10. Damit der Benutzer in der Lage ist, ein vorhandenes GPO ändern zu können, braucht er die Berechtigungen zum Lesen und Schreiben des GPO. Wenn Sie möchten, dass die Benutzer zusätzliche GPO-Objekte in demselben Container erstellen, brauchen sie die entsprechenden Berechtigungen für den Container, in dem das GPO definiert wird, nämlich »GROUPPOLICYCONTAINEROBJEKTE« ERSTELLEN und »GROUPPOLICYCONTAINER-OBJEKTE« LÖSCHEN. Die Berechtigungen LESEN und SCHREIBEN wären ebenfalls möglich, würde aber mehr Rechte verleihen, als Sie den Benutzern vielleicht zugestehen möchten. Siehe dazu »Gruppenrichtliniensicherheit konfigurieren« und »Berechtigungen zum Verwenden der Richtlinie zuweisen«. 11. Zum Verbessern der Leistung der Richtlinienverarbeitung, sofern nur die Benutzerkonfiguration des GPO in Ihrer Richtlinie verarbeitet wird, aktivieren Sie auf der Registerkarte ALLGEMEIN des Dialogfeldes EIGENSCHAFTEN des GPO das Kontrollkästchen KONFIGURATIONSEINSTELLUNGEN DES COMPUTERS DEAKTIVIEREN. Dadurch werden in Zukunft alle Computer, auf die die
Lernzielkontrolle
Richtlinie zutrifft, angewiesen, nur die Benutzerkonfiguration downzuloaden, ohne Zeit mit dem Download der Computerkonfiguration zu verschwenden, die nicht gebraucht wird. Siehe dazu »Fehlerbehebung bei Gruppenrichtlinien«. Antworten zu den Prüfungsfragen 1. D. Bei der Installation von Windows 2000 ist der Internetzugang standardmäßig aktiviert. Falls Sie ihn deaktivieren möchten, müssen Sie ein GPO erstellen, welches den Internetzugang abschaltet. Die Supervisoren des Kundenservice sind Mitglieder sowohl der Sicherheitsgruppe KundenService als auch KSSupervisoren. Falls Sie der Gruppe KundenService nur die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN zuweisen, haben die Supervisoren keinen Internet-Zugang. Um dies zu korrigieren, gewähren Sie KSSupervisoren nur die Berechtigung LESEN für das GPO, womit Sie für diese Gruppe einen Filter für die Gruppenrichtlinie setzen. Auch die Antwort B stellt eine Lösung dar, setzt aber das Erstellen zweier Richtlinien voraus, was mehr Administrationsaufwand als nötig bedeutet. Da nach der besten Antwort gefragt wurde, ist D die einzige logische Möglichkeit. Siehe dazu »Gruppenrichtlinienbereich« und »Gruppenrichtliniensicherheit«. 2. B, D. Dass einigen Benutzern immer noch den Befehl AUSFÜHREN zur Verfügung steht, weist darauf hin, dass die GPO-Vererbung auf der Ebene der OU Buchhaltung deaktiviert ist. Es gibt GPOs, die manchen Benutzern die Verwendung von AUSFÜHREN im Startmenü erlauben, und andere, die dies verbieten. Wenn Sie die GPO-Einstellungen mit der Option KEIN VORRANG durchgesetzt hätten, wäre es nicht zu diesem Ergebnis gekommen – der Befehl AUSFÜHREN stünde keinem Benutzer zur Verfügung. Ursache des Problems ist also einerseits die Tatsache, dass das GPO nicht durchgesetzt worden ist, und andererseits, dass die OU-Administratoren noch die Richtlinienvererbung deaktivieren können. Siehe dazu »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienvererbung«. 3. D. Um den Junior-Administratoren die Bearbeitung von GPOs in ihren OUs zu erlauben, müssen Sie ihnen die Berechtigungen LESEN und SCHREIBEN für die GPOs in ihrer OU zuweisen. Auch die Zuweisung des uneingeschränkten Zugriffs wäre möglich, würde aber mehr Rechte verleihen, als benötigt werden (beispielsweise das Recht zum Ändern der Berechtigungen eines GPO oder die Aktivierung von KEIN VORRANG). Das Gewähren der Berechtigungen LESEN und SCHREIBEN für die OU ermöglicht ihnen, andere Objekte innerhalb der OU ändern zu können, und verschafft ihnen wiederum höhere Rechte, als benötigt werden. Den Assistent zum Zuweisen der Objektverwaltung können Sie zum Delegieren der Kontrolle über GPOs nicht verwenden; dieser kann nur zum Delegieren der administrativen Autorität an übergeordne-
505
506
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
te Container des GPO wie einer OU eingesetzt werden. Benutzer zu Mitgliedern der Gruppe Domänen-Admins zu machen, ist nie eine gute Idee. Siehe dazu »Gruppenrichtliniensicherheit«, »Gruppenrichtliniensicherheit konfigurieren« und »Berechtigungen zum Verwalten der Richtlinie zuweisen«. 4. D, F. Die Antwort auf diese Frage ist ähnlich wie die vorherige mit der Ausnahme, dass die Benutzer hier in der Lage sein müssen, den Inhalt des übergeordneten OU-Containers ändern zu können. Zu diesem Zweck benötigen Sie auch die Berechtigungen LESEN und SCHREIBEN für die OU, die sie kontrollieren sollen. Eigentlich brauchen die Junior-Administratoren nur die Berechtigungen »GROUPPOLICYCONTAINER-OBJEKTE« ERSTELLEN und »GROUPPOLICYCONTAINER-OBJEKTE« LÖSCHEN, die aber aus der Frage nicht hervorgehen. Siehe dazu »Gruppenrichtliniensicherheit« und »Gruppenrichtliniensicherheit konfigurieren«. 5. B. Die Anwendung von Richtlinien beginnt immer auf der Ebene des Standorts, geht dann zur Domäne und schließlich zur OU über. Der Grund liegt darin, dass standortbezogene GPOs zur Konfiguration von Computer- und Benutzereinstellungen verwendet werden können, die eventuell geografische und lokale Bedingungen berücksichtigen müssen. Domänenbezogene GPOs legen Einstellungen fest, die für alle Benutzer und Computer einer Domäne gelten. Alle diese Einstellungen können auf der OU-Ebene, auf der die kleinste Anzahl von Computern und Benutzern als Active Directory-Objekte betroffen ist, überschrieben und/oder geändert werden. Auf jeder Ebene haben Sie mit entsprechend weniger Active Directory-Objekten zu tun, die von einem GPO betroffen sind. Siehe »Gruppenrichtlinienbereich«. 6. B, C, F. Die Richtlinienvererbung war auf der OU-Ebene deaktiviert, was bedeutet, dass alle GPOs höherer Ebenen nicht auf die OU angewendet werden, in der der Befehl AUSFÜHREN (GPO3) aus dem Startmenü entfernt worden ist (Antwort F). Das standortbezogene GPO (GPO2) wurde mit KEIN VORRANG konfiguriert, sodass die deaktivierte Richtlinienvererbung auf der OU-Ebene keine Wirkung hat. Die Richtlinie gilt immer noch und bestimmt, dass die Kennwortlänge 6 Zeichen betragen muss (Antwort C). Auf der Domänenebene war die Systemsteuerung deaktiviert (GPO1), aber da dieses GPO nicht mit der Option KEIN VORRANG konfiguriert worden ist, wurde es auf der OUEbene deaktiviert und nicht verarbeitet. Die Systemsteuerung steht daher den Benutzern auf der OU-Ebene immer noch zur Verfügung (Antwort B). Siehe dazu »Gruppenrichtliniensicherheit« und Gruppenrichtlinienvererbung«. 7. B, E. Die Gruppenrichtlinie wird nur auf Computern mit einer Variante von Windows 2000 durchgesetzt, was Windows 2000 Professional, Windows 2000 Advanced Server sowie Windows 2000 Server und Windows 2000 Data Center einschließt. Siehe dazu »Gruppenrichtlinien – eine Einführung«.
Lernzielkontrolle
8. C. Durch die Deaktivierung der Benutzerkonfigurationseinstellungen werden alle Computer, die die Richtlinie downloaden, angewiesen, nicht die Benutzerkonfiguration des GPO, sondern nur die Computerkonfiguration downzuloaden. Durch die Deaktivierung der Richtlinienvererbung werden GPOEinstellungen höherer Ebenen nicht mehr auf der OU-Ebene angewendet, sofern sie nicht mit der Option KEIN VORRANG konfiguriert worden sind. Siehe dazu »Gruppenrichtlinienbereich«, »Gruppenrichtlinien kombinieren«, »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienvererbung«. 9. B, C. Da Sie das GPO auf Domänenebene mit KEIN VORRANG konfiguriert haben, existieren keine Konflikte zwischen ihnen. Das GPO Marketing stellt sicher, dass die Einstellungen auf Domänenebene angewendet werden. In diesem Fall erhalten die Benutzer den Hintergrund der Domänenebene und die Einstellungen zur Systemsteuerung. Siehe »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienvererbung«. 10. C, F. Das standardmäßige Aktualisierungsintervall der Gruppenrichtlinie beträgt 5 Minuten auf Domänencontrollern und 90 Minuten auf Mitgliedsservern und Arbeitsplatz-PCs plus/minus einem 30-minütigen Verzögerungsintervall. Siehe dazu »Gruppenrichtlinien – eine Einführung«, »Gruppenrichtlinienbereich« und »Gruppenrichtlinienverarbeitung«. 11. B, C, E, F, G. Sie können sowohl GPOs in den OUs Vertrieb, Finanzen und Entwicklung als auch die Container auf Ebene des Domänencontrollers und der Domänenebene erstellen. Sie können kein GPO auf Ebene der Benutzerund Computer-Container erstellen. Siehe dazu »Gruppenrichtlinien erstellen und verwalten« und »Gruppenrichtlinie – eine Einführung«. 12. F. Da NatashaW Windows 98 verwendet, wird die Gruppenrichtlinie nicht durchgesetzt. GPO-Einstellungen werden nur auf Windows 2000 Professional, Server, Advanced Server und Data Center Server angewendet. Systemrichtlinien beziehen sich auf Computer mit Windows 9x und Windows NT 4.0. Siehe dazu »Gruppenrichtlinien – eine Einführung«. 13. D. Gruppenrichtlinienvorlagen werden auf jedem Domänencontroller in der Freigabe SYSVOL in einem Ordner mit demselben Namen wie die GUID für das Gruppenrichtlinienobjekt gespeichert. Siehe dazu »Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienkomponenten«. 14. E. In diesem Fall kann die Zuordnung nicht vorhergesagt werden, da die Anmeldeskripte asynchron laufen. Beide Anmeldeskripte laufen gleichzeitig – dasjenige, welches als Letztes die LPT1-Zuordnung definiert, wird daher gewinnen. Das Ergebnis kann entweder die Zuordnung \\DEVWORK\LEXMARK oder die Löschung der Zuordnung sein. Siehe dazu »Skripte in Gruppenrichtlinien konfigurieren und verwenden« und »Ausführungsreihenfolge von Skripten in Gruppenrichtlinien«.
507
508
Kapitel 6
Benutzerverwaltung mit Gruppenrichtlinien
15. D. Die wahrscheinliche Ursache dieses Problems ist die DNS-Konfiguration. Falls kein DNS-Server mit den zum Lokalisieren des GPO erforderlichen SRV-Einträgen verfügbar ist, können Sie das GPO auch dann nicht zur Bearbeitung öffnen, wenn Sie mit dem Domänencontroller hinsichtlich der Dateiund Druckerfreigabe Verbindung haben. Der Grund liegt darin, dass der Hostname des Domänencontrollers nicht von einem anderen DNS- oder WINS-Server aufgelöst werden kann. Die Anwesenheit eines DHCP- oder WINS-Servers spielt dabei keine Rolle. Zum Bearbeiten eines GPO müssen Sie in Active Directory nicht autorisiert sein, sondern benötigen lediglich die entsprechenden Berechtigungen. Autorisierungen finden für DHCP- und RIS-Server statt. Falls das GPO nicht existiert, werden Sie es auch nicht bearbeiten könne. Die einzige mögliche Antwort ist D. Siehe dazu »Fehlerbehebung bei Gruppenrichtlinien«. Weiterführende Literaturhinweise und Quellen Microsoft Windows 2000 Resource Kit, Deployment Planning Guide. Microsoft Press, 2000 Tim Hill, Windows 2000 Windows Script Host, Macmillan Technical Publishing, 1999 Using Group Policy Scenarios über Microsofts Website unter http:// www.microsoft.com/windows2000/library/howitworks/management/grouppolicy.asp. Introduction to Windows 2000 Group Policy über Microsofts Website unter http://www.microsoft.com/windows2000/library/howitworks/management/ grouppolicyintro.asp. Windows 2000 Simplifies Top 15 Administrative Tasks über Microsofts Website unter http://www.microsoft.com/windows2000/library/howitworks/ management/adminsave.asp. Windows Script Host: A Universal Scripting Host for Scripting Languages über Microsofts Website unter http://www.microsoft.com/windows2000/ library/howitworks/management/winscrwp.asp. Windows 2000 Desktop Management Overview über Microsofts Website unter http://www.microsoft.com/windows2000/library/howitworks/management/ ccmintro.asp. Step-by-Step Guide to Understanding the Group Policy Feature Set über Microsofts Website unter http://www.microsoft.com/windows2000/library/planning/management/groupsteps.asp.
Lernzielkontrolle
Weiterführende Literaturhinweise und Quellen Step-by-Step Guide to User Data and User Settings über Microsofts Website unter http://www.microsoft.com/windows2000/library/planning/management/ userdata.asp. Manage Change with the Windows 2000 Platform über Microsofts Website unter http://www.microsoft.com/windows2000/guide/server/solutions/managechange.asp. Group Policy Simplifies Administration über Microsofts Website unter http:// www.microsoft.com/windows2000/guide/server/solutions/gpsimpli .es.asp.
509
7
Softwarebereitstellung mittels Gruppenrichtlinien Lernziele
In diesem Kapitel wird ein Ziel aus dem Prüfungsabschnitt »Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbehebung beim Änderungs- und Konfigurationsmanagement« behandelt. Andere Ziele und Teilziele dieser Einheit werden in anderen Kapiteln behandelt. In diesem Kapitel wird auf das folgende Prüfungsziel eingegangen: Wartung und Fehlerbehebung von Software mittels Gruppenrichtlinien 씰
Bereitstellung von Software mittels Gruppenrichtlinien
씰
Wartung von Software mittels Gruppenrichtlinien
씰
Konfiguration von Bereitstellungsoptionen
씰
Fehlersuche bei verbreiteten Problemen während der Softwarebereitstellung
Die Bereitstellung von Software kann in jeder Organisation eine gewaltige Aufgabe sein. Windows 2000 Active Directory bietet eine Methode, die den Job erleichtern kann: Gruppenrichtlinien. Sie werden auf Ihr Verständnis der Softwarebereitstellung im Zusammenhang mit Gruppenrichtlinien hin geprüft. Zur Bereitstellung von Software können unterschiedliche Methoden eingesetzt werden. Zu solchen Methoden gehören die Zuweisung und die Veröffentlichung. Software kann für Benutzer oder für Computer bereitgestellt werden. Software kann Computern und Benutzern zugewiesen, aber nur für Benutzer veröffentlicht werden. Für die Prüfung müssen Sie beide Bereitstellungskonzepte vollkommen verstehen. Die Aktualisierung und Entfernung von Software ist ebenfalls ein Prüfungsthema, einschließlich der unterschiedlichen Methoden zur Erledigung dieser beiden Aufgaben. In der Prüfung werden Ihre Kenntnisse über die Bereitstellungsoptionen und Möglichkeiten zur Änderung der Softwarebereitstellung in Anpassung an spezifische Anforderungen innerhalb der Organisation getestet.
512
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Tipps für das Selbststudium 씰
Wir empfehlen dringend, bei der Vorbereitung auf die Microsoft-Prüfung alle Schritt-für-Schritt-Abschnitte und Übungen in diesem Kapitel durchzuarbeiten.
씰
Ein Verständnis der verschiedenen Optionen bei der Bereitstellung von Software sowie von Windows Installer, Gruppenrichtlinien und ZAP-Dateien ist unabdingbar. Testen Sie sich selbst anhand der Wiederholungsfragen und der Beispiele für Prüfungsfragen in diesem Kapitel.
씰
Machen Sie sich mit den Features und Regeln rund um Gruppenrichtlinien vertraut, insbesondere mit Vererbung, Filterung und Vorrang.
씰
»Übung macht den Meister.« Wie das alte Sprichwort sagt, durch Übung des Umgangs mit Gruppenrichtlinien sowie mit der Erstellung, Bereitstellung und Entfernung von Softwarepaketen bringen Sie sich in Bestform für die Bewältigung der Probleme, die in der Prüfung auf Sie zukommen.
7.1
Einführung
Im letzten Kapitel wurden die Gruppenrichtlinien von Windows 2000 und ihre Verwendung für die Konfigurierung von Computer- und Benutzerumgebungen vorgestellt. Darüber hinaus bieten Gruppenrichtlinien eine Reihe von Möglichkeiten, die sie für den Windows-2000-Netzwerkadministrator unentbehrlich machen. Eine davon ist die Möglichkeit, Softwareanwendungen an Benutzer zu verteilen, um deren Bedarf zu decken oder einen Unternehmensstandard durchzusetzen. Mit diesem Feature können Sie außerdem Software aktualisieren, wenn eine neue Version erschienen ist, oder Software zwangsweise vom Computer eines Benutzers entfernen, wenn die Organisation deren Einsatz nicht mehr wünscht. Dieses Kapitel definiert zunächst den Softwarebereitstellungs-Lebenszyklus einschließlich der vier Phasen jeder manuellen oder automatisierten Softwarebereitstellung. Danach wird jede der vier Phasen unter dem Gesichtspunkt betrachtet, wie Gruppenrichtlinien dazu beitragen können, die Softwarebereitstellung genauer, zeitgerechter und einfacher zu gestalten. Das Kapitel schließt mit einer Fallstudie und einem Abschnitt mit Übungen und Beispielen für Prüfungsfragen ab. Mit den Übungen und Prüfungsfragen können Sie die in diesem Kapitel vermittelten Fähigkeiten anwenden. Dies sollte Ihnen helfen, besser zu verstehen, wie Gruppenrichtlinien beim Management der Softwarebereitstellung verwendet werden.
7.2 Der Softwarebereitstellungs-Lebenszyklus
7.2
Der SoftwarebereitstellungsLebenszyklus
Beim Einsatz von Software in einem Unternehmen oder einem zentralen Standort, wie er mittels Gruppenrichtlinien möglich ist, werden normalerweise vier Phasen durchlaufen: Vorbereitung, Einsatz, Wartung und Entfernung. Jede dieser Phasen zeichnet sich durch eine charakteristische Folge von Schritten aus, die vor Beginn der nächsten Phase durchlaufen werden müssen. Wie Sie bereits im vorangegangenen Kapitel gesehen haben, sind Gruppenrichtlinien ein mächtiges Werkzeug für den Administrator; die Tatsache, dass sie außerdem den Softwareeinsatz unterstützen, macht sie nur umso wertvoller. Die Phasen des Softwarebereitstellungs-Lebenszyklus sind folgende: 씰
Vorbereitung. Die Vorbereitungsphase betrifft alle Elemente, die Voraussetzung dafür sind, dass überhaupt ein Softwareeinsatz stattfinden kann. Zu diesen Elementen gehören u.a. die Erstellung eines Windows-Installer-Pakets, die Erstellung eines Netzwerkfreigabeordners für die zu installierende Software sowie das Kopieren der Dateien für die einzusetzende Softwareanwendung in den Netzwerkfreigabeordner. In manchen Fällen wird die Software vielleicht nicht in einem Format geliefert, das von der Windows-2000-Komponente Windows Installer verwendbar ist. Möglicherweise müssen Sie das Werkzeug eines Drittherstellers einsetzen, um das Paket zu erstellen, oder alternativ eine ZAP-Datei für die Installation der Softwareanwendung erstellen. Alle diese Elemente werden im Abschnitt »Vorbereitung der Software für den Einsatz mittels Gruppenrichtlinien« in diesem Kapitel behandelt.
씰
Bereitstellung. In der Bereitstellungsphase wird die Software tatsächlich an den Benutzer und/oder Computer weitergegeben. In dieser Phase erstellen Sie ein Gruppenrichtlinienobjekt (GPO), das die Installation der Software automatisiert und diese mit dem passenden Active Directory-Container (Standort, Domäne oder OU) verknüpft. Außerdem legen Sie fest, ob die Software veröffentlicht oder zugewiesen wird. Es muss entschieden werden, ob Software an den Computer oder an den Benutzer weitergegeben werden soll. Darüber hinaus müssen Sie festlegen, wie viel Interaktion dem Benutzer während des Installationsvorgangs geboten werden soll. Dies ist in vielerlei Hinsicht der einfachste Teil des Softwareeinsatzes. Die schwere Arbeit wurde in der Vorbereitungsphase geleistet. Wenn die Software ordnungsgemäß konfiguriert wurde, läuft dieser Vorgang reibungslos. Die verschiedenen Arten der Softwarebereitstellung und die Erstellung eines GPO werden im Abschnitt »Softwarebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel behandelt.
513
514
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
씰
Wartung. Wie Ihnen bereits bestens bekannt sein dürfte, bleibt in dieser Branche nichts statisch. Software ist keine Ausnahme. Würden Sie dieses Buch lesen, wenn Microsoft nicht NT 4 auf Windows 2000 aktualisiert hätte? Im Laufe der Zeit müssen Sie möglicherweise eine Aktualisierung für Software auf Benutzercomputern konfigurieren und verteilen. In anderen Fällen ist es evtl. nötig, bereits verteilte Software erneut zu verteilen; vielleicht müssen Patches oder ein Service Pack eingesetzt werden, um die Software auf den neuesten Stand zu bringen und/oder ggf. vorhandene Mängel (Fehler oder Anomalien – undokumentierte Features) zu reparieren. Im Abschnitt »Wartung von Softwarepaketen mittels Gruppenrichtlinien« wird diskutiert, wie Software im Feld aktualisiert werden kann und welche Aktualisierungsoptionen verfügbar sind.
씰
Entfernung. Es kommt vor, dass Software nicht mehr nützlich ist und entfernt werden muss. Wie viele Ihrer Benutzer benötigen immer noch Microsoft Word 2.0 auf ihrem Computer? Im Abschnitt »Entfernen eines Pakets« werden die Fragen rund um die zwangsweise oder freiwillige Entfernung von Software vom Desktop des Benutzers behandelt.
Mit Microsoft Windows-2000-Gruppenrichtlinien kann der Administrator die Bereitstellung, Entfernung und Wartung von Softwarepaketen auf Benutzerdesktops automatisieren. Beginnen wir bei der Vorbereitung der Software für die Bereitstellung.
7.3
Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Bevor Sie die Features der Gruppenrichtlinien nutzen können, welche die Softwarebereitstellung so einfach machen, müssen Vorbereitungsarbeiten geleistet werden, damit gewährleistet ist, dass die zu verteilende Software in einem Format vorliegt, das von Windows-2000-Gruppenrichtlinien genutzt werden kann. Anschließend muss auf einem Server, von dem aus die Software installiert werden soll, eine Softwareverteilungsfreigabe erstellt werden, und die notwendigen Dateien müssen an diesen Speicherort kopiert werden. Nun kann das GPO für die Softwarebereitstellung erstellt werden. In diesem Abschnitt werden die Technologien behandelt, die bei der Bereitstellung von Software mittels Gruppenrichtlinien eine Rolle spielen: Windows-Installer-Pakete (MSI-Dateien) und ZAP-Dateien. Anschließend wird die Erstellung eines Windows-Installer-Pakets für herkömmliche Anwendungen oder solche Softwarepakete, die in einem von Windows Installer nicht nutzbaren Format vorliegen, kurz diskutiert.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
HINWEIS Windows-2000-zertifizierte Anwendungen Microsoft besitzt ein Verfahren zur Zertifizierung von Anwendungen, die unter Windows 2000 und Windows 98 korrekt ausgeführt werden können. Weitere Informationen über Voraussetzungen zur Zertifizierung einer Anwendung für Windows 2000 finden Sie auf der Website von Microsoft unter http://msdn.microsoft.com/ certification/default.asp. Dazu gehören Informationen zum Ablauf des Verfahrens, die verschiedenen Stufen Zertifiziert oder Kompatibel, sowie einige der Tools, die für den Test eines Pakets zur Verfügung stehen. Eine Liste der Pakete, die für Windows 2000 zertifiziert sind (die höchste Stufe) bzw. vom Hersteller für kompatibel gehalten werden, finden Sie unter http://www.microsoft.com/windows2000/ upgrade/compat/search/software.asp auf der Website von Microsoft. Beide bieten gute Unterstützung bei der Feststellung, ob die zu verteilende Software unter Windows 2000 ordnungsgemäß ausgeführt wird.
7.3.1
Packung von Software für die Bereitstellung
Wie zuvor angesprochen, ist der erste Schritt bei der Softwarebereitstellung mittels Gruppenrichtlinien die Packung der Software in einem Format, das Windows Installer zur Automatisierung des Bereitstellungsvorgangs verwenden kann. Wenn es sich bei der zu verteilenden Software um eine neuere Anwendung handelt, die für den Betrieb unter Windows 2000 zertifiziert ist (z.B. Microsoft Office 2000), haben Sie vielleicht nicht allzu viel zu tun. Neuere Anwendungen werden höchstwahrscheinlich in einem Format ausgeliefert, das vom Windows Installer genutzt werden kann. Wenn Ihre Anwendung allerdings älteren Datums ist (z.B. Microsoft Office 97), müssen Sie möglicherweise zusätzliche Arbeiten erledigen, um sicherzustellen, dass die automatische Installation planmäßig verläuft. Möglicherweise müssen Sie die Anwendung in ein Format umpacken, das mit Windows Installer kompatibel ist, oder eine Textdatei (d.h. eine ZAP-Datei) erstellen, um Windows Installer mitzuteilen, wie die Anwendung zu installieren ist.
HINWEIS Windows Installer unter NT 4. 0 Windows Installer wird auch unter NT 4.0 installiert, wenn Sie Microsoft Office 2000 oder eine andere Anwendung installieren, die davon Gebrauch macht. Er kann von einem Entwickler in das Setup-Programm einer Anwendung aufgenommen werden und wird beim Start des Setup-Programms installiert, wenn es nicht gefunden wurde. Die bloße Installation des Windows-Installer-Dienstes unter Windows NT 4.0 bedeutet nicht, dass Sie Software auf Windows-NT-4.0-Desktops verteilen können. Dies ist nicht möglich. Windows NT 4.0 unterstützt nicht die Gruppenrichtlinien von Windows 2000 und kann folglich die Softwarebereitstellungsfeatures der Gruppenrichtlinien nicht verwenden. Auf dem Zieldesktop ist sowohl die Unterstützung der Gruppenrichtlinien als auch die Unterstützung des Windows-Installer-Dienstes erforderlich, damit Gruppenrichtlinien zur automatischen Softwarebereitstellung eingesetzt werden können.
515
516
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Windows-Installer-Technologie Windows Installer wurde mit Microsoft Office 2000 zum ersten Mal in großem Maßstab eingeführt und stellt die Technologie dar, die es ermöglicht, Software mittels Gruppenrichtlinien zu installieren und zu managen. Er besteht aus zwei Hauptkomponenten: 씰
Windows-Installer-Dienst
씰
Windows-Installer-Paket
Der Windows-Installer-Dienst ist ein Dienst, der auf allen Windows-2000-Computern installiert und ausgeführt wird. Dieser Dienst erleichtert die automatische Installation und Bereitstellung von Software. Außerdem bietet er die Möglichkeit, vorhandene Anwendungen automatisch zu reparieren oder zu ändern, wenn Dateien überschrieben oder gelöscht werden. Auf diese Weise wird sichergestellt, dass die Software ordnungsgemäß installiert wird und funktionsfähig bleibt. Sie können den Windows-Installer-Dienst verwenden, um eine Anwendung direkt von einer CDROM bzw. einem anderen Verteilungsmedium oder über Gruppenrichtlinien zu installieren. Das Windows-Installer-Paket enthält alle Informationen, die der Windows-InstallerDienst benötigt, um eine Anwendung zu installieren oder zu entfernen. Dazu gehören die von der Software benötigten Dateien ebenso wie notwendige Änderungen an der Registrierung und der INI-Datei. Außerdem enthält das Paket alle zusätzlich benötigten Unterstützungsdateien, zusammenfassende Informationen über das Paket und die Anwendung, die dem Benutzer angezeigt werden können, sowie einen Verweis auf den Speicherort der Produktdateien (d.h., von woher die Software zu installieren ist). Der Großteil dieser Informationen ist in einer einzigen Datei mit der Erweiterung .MSI enthalten, der Paketdatei selbst. Wie zuvor erwähnt, kann das vollständig zu installierende Paket auch weitere Unterstützungsdateien enthalten (beispielsweise enthält MS Office 2000 eine MSI-Datei, aber auch viele Dateien in Ordnern, die von Windows Installer auf die Festplatte kopiert werden). Windows Installer bietet dem Administrator wie dem Endbenutzer die folgenden drei wesentlichen Vorteile gegenüber bisherigen Verfahren: 씰
Widerstandsfähige Software. Falls eine für eine Anwendung unerlässliche Datei versehentlich gelöscht oder auf irgendeine Weise (z.B. durch einen Virus im System) verändert wird, stellt der Windows-Installer-Dienst eine Verbindung mit der Softwareverteilungsfreigabe her und ersetzt die Datei durch eine einwandfreie Kopie. Damit wird sichergestellt, dass Softwareanwendungen dem Endbenutzer immer zur Verfügung stehen und tatsächlich selbstreparierend sind.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
씰
Sauberes Entfernen. Eines der vielen Probleme mit Windows-Software älteren Datums ist es, dass beim Löschen eines Teils der Software u.U. eine Datei entfernt wird, die ein anderer Teil noch benötigt. Wahrscheinlich haben Sie beim Deinstallieren eines Pakets schon die Abfrage gesehen, ob bestimmte gemeinsame Dateien entfernt werden sollen. Sie können nicht wissen, ob Sie Ja oder Nein sagen sollen. Fällt ein anderes Programm aus, wenn Sie Ja sagen? Bleibt eine Reihe von verwaisten Dateien auf Ihrer Festplatte zurück, wenn Sie Nein sagen? Windows Installer führt auf jedem Windows-2000Computer einen Dienst aus und führt Buch darüber, welche Dateien von welchen Anwendungen benötigt werden. Damit wird sichergestellt, dass keine notwendige gemeinsame Datei entfernt und alle nicht mehr benötigten Dateien gelöscht werden. Dies betrifft alle Anwendungen, die mit Windows Installer installiert wurden.
씰
Erhöhte Sicherheit. Häufig setzen Softwareanwendungen voraus, dass der Benutzer, der die Installation durchführt, auf dem Computer, auf dem die Anwendung installiert werden soll, administrative Berechtigungen besitzt. Als Administrator möchten Sie Ihren Benutzern keine administrativen Rechte auf deren Computer einräumen und sie zur Ausführung von Operationen ermächtigen, die den Computer u.U. lahm legen. Vor Windows Installer war die automatische Installation solcher Pakete eine Herausforderung. Da Windows Installer einen Dienst standardmäßig unter dem Konto LocalSystem ausführt, besitzt er bereits höhere Privilegien auf dem System. Anwendungen, die Änderungen an der Computerkomponente von Windows 2000 erfordern, können dies während des Installationsvorgangs tun, ohne dass dem Benutzer administrative Privilegien gewährt werden müssen. Auf diese Weise können Anwendungen verteilt werden, die Änderungen an wichtigen Betriebssystemeinstellungen vornehmen (z.B. Registrierung von DLLs und COM-Objekten oder Änderung der Registrierungsstruktur HKEY_LOCAL_MACHINE), ohne dem Endbenutzer die gleichen Privilegien einzuräumen.
Windows Installer ist eine Komponente, die dem Administrator viele Vorteile bei der Automatisierung der Softwarebereitstellung verschaffen kann. Der WindowsInstaller-Dienst ist für die automatische Installation, Aktualisierung und Entfernung von Software mittels Gruppenrichtlinien erforderlich. Windows-Installer-Paketdateien sind die bevorzugte Methode zur Vorbereitung von Software für die automatische Bereitstellung. Was geschieht aber, wenn für die zu verteilende Software kein Paket verfügbar ist? In Windows 2000 können Sie auch dann Software für die Bereitstellung konfigurieren, wenn keine fertige Windows-Installer-Paketdatei vorhanden ist. Dazu gibt es zwei Möglichkeiten: Sie können eine ZAP-Datei erzeugen, um dem Windows Installer mitzuteilen, wie die Anwendung installiert werden soll, oder Sie können mit Hilfe
517
518
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
eines Werkzeugs von einem Dritthersteller ein Windows-Installer-Paket erstellen. Wir wollen beide Methoden untersuchen und fangen mit der ZAP-Datei an. Erstellung einer ZAP-Datei zur Bereitstellung von Software mittels Gruppenrichtlinien In manchen Fällen ist es notwendig, Software an Windows-2000-Computer zu verteilen, die schon etwas betagt sind. Solche Computer wurden u.U. hausintern entwickelt oder halten schlicht die Windows-Installer-Konventionen nicht ein, die Microsoft festgelegt hat. Da die Anzahl aller Anwendungen bei weitem die Anzahl derjenigen übersteigt, die tatsächlich das Windows-Installer-Paketformat verwenden, hat Microsoft eine Möglichkeit geschaffen, auch solche Softwarepakete zu verteilen: das ZAP-Dateiformat. Die ZAP-Datei ist eine normale Textdatei, die mit jedem Texteditor erstellt werden kann (der Editor reicht aus) und eine Reihe von Angaben über die zu installierende Software enthält. Die ZAP-Datei kann den Anwendungsnamen, den Namen des Setup-Programms, beliebige Parameter für Setup sowie ggf. Dateierweiterungen, die der Anwendung zugeordnet sind, und die Website-Adresse für technischen Support enthalten. Nicht alle diese Informationen müssen in der ZAP-Datei enthalten sein, nur der Anwendungsname (FriendlyName) und der Dateiname der ausführbaren Setup-Datei (SetupCommand). Die Beispiel-ZAP-Datei im folgenden Codeblock zeigt einen einfachen Satz von Tags, die benutzt werden können. [Application] FriendlyName = Microsoft Office 97 SetupCommand = setup.exe /unattend DisplayVersion = 8.0 Publisher = Microsoft Corporation URL = http://www.microsoft.com/office [Ext] DOC= DOT= XLS= RPT= RTF=
ZAP-Dateiabschnitte Die ZAP-Datei besteht aus zwei Abschnitten, wie im vorangegangenen Codeblock gezeigt: dem Abschnitt Application und dem Abschnitt Ext (Extensions). Der Abschnitt Application enthält Informationen über das Softwarepaket und dessen Installation. Der Abschnitt Ext legt fest, welche Dateierweiterungen in Active Directory mit der Anwendung verknüpft werden sollen.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Im Abschnitt Application kann eine Reihe von Tags verwendet werden. Diese sind in Tabelle 7.1 beschrieben. Tag
Beschreibung
FriendlyName
Erforderlich Dies ist der Name, der dem Endbenutzer und dem Administrator nach Installation der Anwendung angezeigt wird. Er wird auch in Software in der Systemsteuerung angezeigt, wenn die Anwendung veröffentlicht wird oder wenn der Benutzer sie entfernen möchte. Dies ist ein Name, der die Anwendung beschreibt. Er sollte nicht der Name einer ausführbaren Datei sein. Anders ausgedrückt, verwenden Sie als FriendlyName so etwas wie Microsoft Word97 statt WINWORD.EXE. Der Name sollte benutzerfreundlich sein.
SetupCommand
Dies ist der Name des ausführbaren Programms für die Installation der Anwendung. Dies kann eine EXE-, BAT- oder CMD-Datei sein, solange sie die zur Installation der Anwendung nötigen Schritte ausführt. Der Dateiname sollte relativ zum physischen Speicherort der ZAP-Datei angegeben werden, die ihn enthält. Anders ausgedrückt, wenn sich die ZAP-Datei und SetupCommand im selben Ordner befinden, darf dem Dateinamen nicht der Ordnername vorangestellt werden. Falls sich das Programm in einem anderen Ordner befindet als die ZAPDatei, können Sie einen relativen Pfadnamen vom Speicherort der ZAP-Datei aus als SetupCommand verwenden. Angenommen, die ZAPDatei und SETUP.EXE befinden sich beide in einem Ordner namens Office97 auf der Netzwerkverteilungs-Freigabe. Sie müssen lediglich das Tag angeben als SetupCommand=setup.exe / unattend, ohne vorangestellten Pfadnamen. Wenn andererseits die ZAP-Datei im Softwareverteilungs-Freigabeordner liegt und das SetupProgramm in einem Unterordner namens Office97, dann sollte das Tag den Pfadnamen enthalten wie in SetupCommand=Office97\setup.exe /unattend.
Tabelle 7.1: Tags im Abschnitt Application
Obligatorisch/ Optional
Erforderlich
519
520
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Tag
Beschreibung
Obligatorisch/ Optional
DisplayVersion
Dies ist die Versionsnummer der Anwendung. Diese Nummer wird in Software und im Bereich Softwareinstallation der Gruppenrichtlinien angezeigt. Sie dient zur Identifikation der verschiedenen Versionen einer Anwendung, die ggf. ähnliche Namen aufweisen. Beispielsweise hat Office97 die Version 8.0; Office2000 hat die Version 9.0.
Optional
Publisher
Dies ist der Name der Firma oder der Person, die die Softwareanwendung publiziert. Der Herausgeber der Anwendung wird auch in Software und im Bereich Softwareinstallation der Gruppenrichtlinien angezeigt.
Optional
URL
Dies ist der URL mit zusätzlichen Informationen über die Anwendung und/oder Details zum technischen Support. Der URL wird auch in Software und im Bereich Softwareinstallation der Gruppenrichtlinien angezeigt.
Optional
Tabelle 7.1: Tags im Abschnitt Application
Eine ZAP-Datei muss lediglich den Abschnitt Application und die Tags FriendlyName und SetupCommand enthalten. Alle anderen Bestandteile einschließlich des Abschnitts Ext können jedoch sehr nützlich sein. Der Abschnitt Ext (für Extensions) der ZAP-Datei wird verwendet, um die Anwendung mit einer Dateierweiterung in Windows 2000 Active Directory zu verknüpfen. Windows 2000 verwendet den Abschnitt Ext, um festzustellen, welche Anwendung installiert werden soll, wenn ein Benutzer eine Betriebssystemdatei öffnet bzw. darauf doppelklickt. Falls die Erweiterung der Datei nicht in einer Liste von Anwendungen auf dem Computer vorkommt, mit denen diese Datei geöffnet werden kann, dann wird das Setup-Programm für die Anwendung gestartet, die mit der betreffenden Erweiterung verknüpft ist, und die Anwendung wird installiert, sodass der Benutzer die Datei ansehen kann. Angenommen, Sie verwenden Windows Explorer, um eine CD-ROM von Microsoft nach Dateien zu durchsuchen. In einem Ordner auf der CD-ROM finden Sie die Datei »ZAP Dateibeschreibung.RTF« und möchten deren Inhalt anzeigen. Sie doppelklicken auf die Datei, und das Setup-Programm von Word97 wird gestartet. Nach Abschluss der Installation von Word 97 wird das RTF-Dokument angezeigt. Die Tatsache, dass die Erweiterung .RTF im Abschnitt Ext der ZAP-Datei enthalten
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
war, ermöglichte die Veröffentlichung in Active Directory und den automatischen Start des Setup-Programms von Word 97, was wiederum die Anzeige des Dateiinhalts ermöglichte. Um einen Abschnitt Ext in die ZAP-Datei einzufügen, geben Sie einfach auf einer eigenen Zeile die Überschrift Ext ein. Geben Sie auf den nachfolgenden Zeilen die Erweiterungen an, die mit der Anwendung verknüpft werden sollen, ohne führenden Punkt. Ein Beispiel finden Sie im folgenden Codeblock. [Application] FriendlyName = Microsoft Office 97 SetupCommand = setup.exe /unattend DisplayVersion = 8.0 Publisher = Microsoft Corporation URL = http://www.microsoft.com/office [Ext] DOC= DOT= XLS= RPT= RTF=
Grenzen der ZAP-Datei ZAP-Dateien weisen Beschränkungen auf und sind nicht gleichwertig mit Windows-Installer-Paketen. Es sollte hervorgehoben werden, dass die bevorzugte Methode zur Installation von Software die Erstellung eines Windows-InstallerPakets mit dem Werkzeug eines Drittanbieters ist. Bei Paketen sind sämtliche Optionen verfügbar. Anwendungen, die mit ZAP-Dateien verteilt werden, unterliegen folgenden Einschränkungen: 씰
ZAP-Dateien können nur veröffentlicht, aber Benutzern nicht zugewiesen werden. Wie Sie weiter hinten in diesem Kapitel sehen werden, gibt es zwei Möglichkeiten zur Bereitstellung von Anwendungen mittels Gruppenrichtlinien: Zuweisung an einen Benutzer bzw. Computer oder Veröffentlichung. Die Zuweisung ist eine obligatorische Installation eines Softwarepakets, wogegen die Veröffentlichung freiwillig ist (d.h. der Benutzer kann letztlich auf die Installation der Anwendung verzichten). Dadurch, dass Anwendungen mit einer ZAP-Datei nur veröffentlicht werden können, kann der Administrator nicht völlig sicherstellen, dass alle Benutzer die benötigte Software auf ihrem Computer haben.
521
522
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
씰
ZAP-Dateien sind nicht selbst reparierend. Bei Anwendungen, die mittels Windows-Installer-Paket installiert werden, wird eine wichtige Anwendungsdatei automatisch durch eine bekanntermaßen korrekte Kopie ersetzt, wenn sie gelöscht oder beschädigt wurde. Diese Möglichkeit ist bei ZAP-Dateien nicht gegeben; Windows Installer kennt eine Datei der Anwendung: das Setup-Programm. Windows Installer verfolgt nicht, was vom Setup-Programm der Anwendung installiert wurde, und kann folglich nicht feststellen, ob die Anwendung beschädigt ist.
씰
ZAP-Dateien benötigen normalerweise Benutzereingriffe zur Installation. Die ZAP-Datei startet einfach das Installationsprogramm für die Anwendung. Der Benutzer muss Informationen eingeben, um die Installation abzuschließen, es sei denn, das Softwarepaket unterstützt einen völlig unbeaufsichtigten Modus und dieser wurde ordnungsgemäß konfiguriert. Dies mag in Umgebungen ausreichen, in denen Benutzer über gewisse technische Kenntnisse verfügen, aber es kann bei Benutzern mit begrenzten Computerkenntnissen schwierig sein und zusätzliche Supportlasten nach sich ziehen.
씰
ZAP-Dateien können nicht mit erhöhten Privilegien installiert werden. Wie bereits erwähnt, ermöglicht Windows Installer die Bereitstellung von Anwendungen auch für solche Benutzer, die nicht unbedingt alle Privilegien zur Installation von Software auf ihrem Computer besitzen. Dies ist möglich, weil der Prozess während der Installation von Windows-Installer-Paketen innerhalb des Kontexts von Windows Installer ausgeführt wird. Windows Installer führt die Installation aus, nicht der Benutzer. Da Windows Installer ein Dienst ist, der normalerweise administrative Privilegien auf dem Computer besitzt, kann jede beliebige Software installiert werden, darunter auch solche, die während der Installation administrative Rechte benötigt. Bei ZAP-Dateien wird das Programm zur Installation einer bestimmten Software vom Benutzer gestartet und im Sicherheitskontext des Benutzers ausgeführt. Falls der Benutzer nicht über genügend Rechte zur Installation des Programms verfügt, schlägt die Installation fehl, und die Anwendung wird nicht installiert. Dies kann u.U. mehr Supportfälle verursachen und ist möglicherweise nicht das gewünschte Ergebnis.
Nach alledem werden Sie sich wahrscheinlich fragen, wann Sie eine ZAP-Datei einsetzen würden. Die Antwort ist höchstwahrscheinlich: »Kaum jemals.« ZAPDateien bieten eine völlig annehmbare Möglichkeit zur Veröffentlichung von Software, die auf einem Computer nicht unbedingt installiert sein muss. Sie stellen eine Methode zur Bereitstellung optionaler Software wie etwa Dienstprogramme in einem Unternehmen dar. Zu den Beispielen für Anwendungen, die sicher mittels ZAP-Dateien verteilt werden können, gehören u.a. WinZip32, Dateidekomprimierer oder Adobe Acrobat Reader. Solche Anwendungen sind nützlich, aber auf dem
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Computer eines Benutzers nicht unbedingt erforderlich; der Benutzer hat die Wahl, ob er das Produkt installieren möchte. ZAP-Dateien sollten nicht verwendet werden, um eine wichtige Gruppe von Geschäftsanwendungen oder Software zu verteilen, die alle Benutzer benötigen und die bei allen Benutzern zu jeder Zeit auf einem konsistenten Stand gehalten werden muss. Wenn eine Anwendung, die verteilt werden soll, in eine dieser Kategorien passt, aber kein Windows-Installer-Paket besitzt, können Sie mit Hilfe eines Drittanbieter-Werkzeugs ein Windows-Installer-Paket für die Anwendung erstellen. Erstellung eines Windows-Installer-Pakets mit Drittanbieter-Werkzeugen In manchen Fällen kann es erforderlich sein, eine Anwendung umzupacken, damit sie mit Windows Installer verteilt werden kann. Wie zuvor gezeigt ist es oft besser, ein Windows-Installer-Paket zur Bereitstellung einer Anwendung zu erstellen als für dieselbe Aufgabe eine ZAP-Datei einzusetzen. Pakete bieten ein gutes Stück mehr Flexibilität bei der Bereitstellung und sind außerdem selbst reparierend, ein Feature, das Sie noch für die fast beste Erfindung seit dem Schnittbrot halten werden. Das Umpacken einer Anwendung und die Erstellung eines Windows-InstallerPakets zur Bereitstellung eines Softwareprodukts erfordert sieben Schritte und, wenn möglich, zwei Computer. Es wird mit WinINSTALL LE durchgeführt, das mit Windows 2000 ausgeliefert wird, oder mit einem anderen Programm von einem Drittanbieter, das die Erstellung von Paketen unterstützt, u.a. etwa InstallShield. Für den Rest dieses Abschnitts setzen wir die Verwendung von WinINSTALL LE voraus.
HINWEIS Speicherort von WinINSTALL LE Microsoft stellt auf der Installations-CD-ROM für Windows 2000 eine Anwendung WinINSTALL LE von einem Drittanbieter namens Veritas zur Verfügung, mit der eine Anwendung umgepackt werden kann. Das Programm befindet sich bei jeder Windows-2000-Version (Professional, Server und Advanced Server) im Ordner VALUEADD\3RDPARTY\MGMT\WINSTLE und ist selbst eine Microsoft-Windows-Installer-Paketdatei.
Zu den Schritten des Umpackens einer Anwendung gehören die Vorbereitung eines Referenzcomputers, die Vorbereitung eines Netzwerkinstallations-Freigabeordners, die Installation von Veritas WinINSTALL LE sowie die Aufzeichnung eines Vorher-Bilds der Systemkonfiguration. Mehrere Schritt-für-Schritt-Tutorien führen Sie durch den Umpackprozess für eine Anwendung.
523
524
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Bereiten Sie einen Windows-2000-Computer als Referenzcomputer vor. Um eine Anwendung umzupacken, damit sie mittels Gruppenrichtlinien verteilt werden kann, müssen Sie diese im Rahmen des Umpackvorgangs auf einem Computer installieren. Normalerweise verwenden Sie dazu einen Computer mit Windows 2000 Professional, aber Windows 2000 Server oder irgendeine Variante davon sollte auch funktionieren. Verwenden Sie die Version des Betriebssystems, die von den Clients benutzt wird, die das verteilte Paket erhalten sollen. Der erste Schritt bei der Installation der umzupackenden Anwendung ist die Vorbereitung eines Computers, auf dem installiert werden soll. Auf dem Referenzcomputer sollte lediglich Windows 2000 und keine andere Software installiert sein. Andere Software auf dem Computer kann dazu führen, dass Teile der umzupackenden Anwendung nicht installiert werden (etwa, wenn die Dateien auf der Festplatte bereits vorhanden sind), was dazu führen kann, dass WinINSTALL LE während des Umpackvorgangs fehlerhafte Informationen erhält. Bereiten Sie einen Netzwerkinstallations-Freigabeordner vor, in dem die WindowsInstaller-Pakete und ihre Unterstützungsdateien gespeichert werden. Benutzer werden sich mit diesem gemeinsamen Ordner verbinden, um die Anwendung zu installieren. Der Name des gemeinsamen Ordners wird auch im Abschnitt Softwareinstallation der Gruppenrichtlinien angegeben, damit Windows Installer ihn findet, wenn Gruppenrichtlinien die Anwendung einem Benutzer bzw. Computer zuweisen oder sie veröffentlichen. Der nächste Schritt ist die Installation von Veritas WinINSTALL LE auf einem zweiten Windows-2000-Computer. Sie sollten WinINSTALL LE nicht auf dem Referenzcomputer installieren, weil dadurch die saubere Umgebung, die Sie konfiguriert haben, beeinträchtigt werden könnte. Installieren Sie WinINSTALL LE immer auf einem zweiten Computer. Folgen Sie zur Installation von WinINSTALL LE auf dem zweiten Computer der Schritt-für-Schritt-Anleitung 7.1. Abbildung 7.1 Der erste Bildschirm von WinINSTALL LE
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
SCHRITT FÜR SCHRITT 7.1
Installation und Konfiguration von WinINSTALL LE
1. Legen Sie die Windows-2000-CD-ROM in das Laufwerk ein und klicken Sie auf DIESE CD DURCHSUCHEN, wenn der Windows-2000-Eröffnungsbildschirm angezeigt wird. 2. Doppelklicken Sie auf die nacheinander angezeigten Ordner, angefangen bei VALUEADD, dann 3RDPARTY, MGMT und WINSTLE. 3. Klicken Sie im Ordner WINSTLE mit der rechten Maustaste auf die Datei SWIADMLE, und wählen Sie INSTALLIEREN, oder doppelklicken Sie auf die Datei. Damit wird die Installation von WinINSTALL LE gestartet und ein Bildschirm ähnlich Abbildung 7.1 angezeigt. 4. WinINSTALL LE installiert sich in zwei Ordner auf dem Datenträger, auf dem Windows 2000 installiert wurde. Diese Ordner WINSTALL und WINCONSOLE befinden sich im Stammverzeichnis unter PROGRAMME\VERITAS SOFTWARE. Sie müssen den Ordner WINSTALL freigeben, indem Sie in Windows Explorer mit der rechten Maustaste darauf klicken und FREIGEBEN wählen. Klicken Sie auf DIESEN ORDNER FREIGEBEN und legen Sie die konfigurierten Berechtigungen und den Freigabenamen nach den Erfordernissen Ihres Unternehmens fest. Im Beispiel wird die Freigabe WINSTALL genannt. 5. Sie haben WinINSTALL LE erfolgreich installiert und für das Umpacken einer Anwendung vorbereitet. Nach Installation von WinINSTALL LE und Freigabe des Ordners WINSTALL können Sie den ersten wichtigen Schritt beim Umpacken einer Anwendung angehen. Sie sind bereit, das Vorher-Bild des Referenzcomputers aufzunehmen. Dazu muss das Programm WinINSTALL Discover eingesetzt werden, um einen Schnappschuss der Systemkonfiguration Ihres Referenzcomputers aufzunehmen, bevor die Software installiert wird. Führen Sie hierzu die Schritte in Schritt für Schritt 7.2 aus.
SCHRITT FÜR SCHRITT 7.2
Aufnahme eines Vorher-Bildes vom Referenzcomputer
1. Stellen Sie eine Verbindung her vom Referenzcomputer zur Freigabe WINSTALL auf dem Computer, auf dem WinINSTALL LE installiert ist. Führen Sie DISCOZ.EXE aus, um WinINSTALL Discover zu starten. Es wird ein Dialogfeld ähnlich Abbildung 7.2 angezeigt.
525
526
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.2 Das Startdialogfeld von WinINSTALL Discover
Abbildung 7.3 Der Paketdefinitionsschirm von WinINSTALL Discover
2. Klicken Sie auf WEITER, um die Erstellung des Schnappschusses fortzusetzen. Es wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, den Namen des zu erstellenden Pakets, den Speicherort und Namen der zu erstellenden Datei sowie die Sprache einzugeben, in welcher die Meldungen für den Benutzer angezeigt werden sollen, wie in Abbildung 7.3 gezeigt. Geben Sie im Feld NAME den Namen der Anwendung ein, die umgepackt werden soll. Geben Sie im Feld PFAD- UND DATEINAME den Namen der zu erstellenden Datei ein. Die zu erstellende Windows-Installer-Datei (d.h. MSI) sollte auf einem Netzlaufwerk in dem zuvor erstellten gemeinsamen Installationsordner liegen. An dieser Stelle können Sie einen anderen Ordner angeben, in dem die MSI-Datei gespeichert werden soll, und diese später in den endgültigen Zielort verschieben.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Abbildung 7.4 Der WinINSTALLBildschirm zur Auswahl des temporären Laufwerks
Abbildung 7.5 Der Bildschirm zur Laufwerkauswahl in WinINSTALL Discover
Dies ist sinnvoll, damit Sie testen können, ob die MSI-Datei funktioniert, bevor sie anderen zugänglich gemacht wird. Klicken Sie auf WEITER, um fortzufahren. 3. Wählen Sie im folgenden Bildschirm (Abbildung 7.4) das Laufwerk, auf dem der Discover Wizard seine temporären Dateien speichern kann. Dies sollte ein anderes Laufwerk sein als das für die Installation der Software vorgesehene. Klicken Sie auf WEITER, um fortzufahren. 4. Abbildung 7.5 zeigt den nächsten Bildschirm. Wählen Sie die Laufwerke, die in das Vorher-Bild aufgenommen werden sollen. Die Liste der gewählten Laufwerke sollte das Laufwerk umfassen, auf dem Windows 2000 installiert ist, sowie das Laufwerk, auf dem die Software installiert werden soll.
527
528
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Es müssen beide Laufwerke aufgenommen werden, weil manche Anwendungen (außer auf dem für die Installation vorgesehenen Laufwerk) auch Dateien auf dem Windows-2000-Systemlaufwerk installieren. Klicken Sie danach auf WEITER. 5. Auf dem folgenden Bildschirm (Abbildung 7.6) können Sie wählen, welche Dateien vom Vorher-Bild ausgeschlossen werden sollen. Die voreingestellte Liste enthält die Windows-2000-Auslagerungsdatei, Indexserver-Katalogdateien und die meisten temporären Dateien. Wenn Sie andere Dateien kennen, die in die Liste aufgenommen werden sollen, geben Sie diese hier an und klicken Sie dann auf WEITER; wenn Sie im Zweifel sind, fügen Sie keine zusätzlichen Dateien hinzu. Abbildung 7.6 Der Bildschirm zum Ausschluss von Dateien in WinINSTALL Discover Wizard
Abbildung 7.7 Das Dialogfeld zur Anzeige des Suchfortschritts in WinINSTALL Discover Wizard
6. Der WinINSTALL LE Discover Wizard beginnt, die angegebenen Festplatten abzusuchen und erstellt das Vorher-Bild. Abbildung 7.7 zeigt das Dialogfeld, das während der Suche angezeigt wird.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Abbildung 7.8 Das Dialogfeld zum Abschluss des Vorher-Schnappschusses in WinINSTALL Discover Wizard
7. Nachdem der Vorher-Schnappschuss erstellt wurde, wie in Abbildung 7.8 gezeigt, fragt der Discover Wizard nach dem Namen und Speicherort des Setup-Programms für die zu installierende Anwendung und startet dieses. Nachdem Sie nun das Vorher-Bild des Referenzcomputers aufgenommen haben und das Setup-Programm für die umzupackende Anwendung gestartet wurde, gehen Sie einfach durch die normale Anwendungskonfiguration, als ob Sie auf einem beliebigen Computer installieren würden. Sie sollten Einstellungen wählen, die für alle Benutzer sinnvoll sind, bei denen dieses Paket installiert werden soll. Falls dazu zusätzliche Desktop-Symbole als Verknüpfungen erstellt werden müssen, tun Sie auch dies. Wenn das Installationsprogramm einen Neustart verlangt, führen Sie diesen durch. Mit anderen Worten, führen Sie denselben Vorgang aus wie bei der Einrichtung der Anwendung. Nachdem die Anwendung konfiguriert ist, müssen Sie ein Nachher-Bild des Referenzcomputers aufnehmen. Dieses wird auf Unterschiede durchsucht, und der Discover Wizard ermittelt den notwendigen Inhalt des Pakets. Verbinden Sie den Referenzcomputer mit der Freigabe WINSTALL und starten Sie den Discover Wizard erneut, um die Erstellung des Nachher-Bildes zu beginnen. Schritt für Schritt 7.3 führt Sie durch den Prozess. Abbildung 7.9 Das Dialogfeld zur Auswahl des Nachher-Bildes in WinINSTALL Discover Wizard
529
530
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.10 Das Dialogfeld zur Fortschrittsanzeige für das NachherBild in WinINSTALL Discover Wizard
Abbildung 7.11 Das Dialogfeld zur Anzeige von Warnund Fehlermeldungen für das Nachher-Bild in WinINSTALL Discover Wizard
Abbildung 7.12 Das Dialogfeld zum Abschluss des Nachher-Schnappschusses in WinINSTALL Discover Wizard
SCHRITT FÜR SCHRITT 7.3
Aufnahme eines Nachher-Bildes vom Referenzcomputer
1. Verbinden Sie den Referenzcomputer mit der Freigabe WINSTALL des Computers, auf dem WinINSTALL LE installiert wurde. Führen Sie Discoz.exe aus, um WinINSTALL zu starten. Es wird ein Dialogfeld ähnlich Abbildung 7.9 angezeigt. 2. An dieser Stelle müssen Sie entscheiden, ob das Nachher-Bild erstellt oder das alte Vorher-Bild für die umzupackende Anwendung gelöscht werden soll. Der Name der Anwendung, den Sie zuvor angegeben haben, wird auch zur Unterstützung angezeigt (z.B. Adobe Acrobat 4.0 für den Adobe Acrobat 4.0 Reader, der in der Abbildung umgepackt wird). Aktivieren Sie PERFORM THE ´AFTER` SNAPSHOT NOW, und klicken Sie auf WEITER, um fortzufahren.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
3. Der WinINSTALL LE Discover Wizard beginnt, die Festplatte und die Registrierung zu durchsuchen, um festzustellen, welche Änderungen während der Anwendungsinstallation stattgefunden haben. Während dieses Suchvorgangs wird ein Statusbildschirm angezeigt wie in Abbildung 7.10. Am Ende werden ggf. Fehler- und Warnmeldungen angezeigt, wie in Abbildung 7.11 zu sehen ist. Notieren Sie die Warn- und Fehlermeldungen und klicken Sie auf OK, um fortzufahren. 4. Der Nachher-Schnappschuss ist nun vollständig, wie das nächste Dialogfeld zeigt (Abbildung 7.12). Außerdem wird angezeigt, wo die Paketdatei erstellt wurde. Klicken Sie auf OK, um die Erstellung des Nachher-Bildes abzuschließen und den Discover Wizard zu beenden. Sie haben nun erfolgreich eine Anwendung umgepackt. An dieser Stelle sollten Sie die Paketdatei in die vorher erstellte Softwareverteilungsfreigabe kopieren, um sie für die Installation verfügbar zu machen. Beachten Sie beim Kopieren der Pakete in den Softwareverteilungspunkt Folgendes: 씰
Erstellen Sie für jedes Paket einen eigenen Ordner in der Softwareverteilungsfreigabe. Mit anderen Worten, legen Sie jedes Paket mit allen zugehörigen Dateien in einen eigenen Ordner in der Softwareverteilungsfreigabe. Dies erleichtert die Wartung der Pakete und verringert potenzielle Probleme bei der Zuordnung von Dateien zu Paketen.
씰
Verbergen Sie die Softwareverteilungsfreigabe, damit Benutzer sie nicht sehen, wenn sie das Netzwerk oder Active Directory durchsuchen. Damit wird gewährleistet, dass Software weiterhin verteilt werden kann, aber Benutzer sie nicht einfach deshalb installieren, weil sie diese im Netzwerk gefunden haben. Alle Dateien mit der Erweiterung .MSI können mit Windows Installer installiert werden, sodass Sie durch Verbergen der Freigabe vor Benutzern per Gruppenrichtlinien steuern können, welche Pakete von welchen Benutzern installiert werden.
씰
Verwenden Sie das verteilte Dateisystem DFS (Distributed File System), um für alle Anwendungen einen einzigen lokalen Freigabepunkt bereitzustellen, auch wenn die Dateien physisch auf einem anderen Computer liegen. Mit DFS können Sie außerdem Replikate von freigegebenen Ordnern auf mehreren Computern konfigurieren, wodurch sichergestellt wird, dass Software auch dann installiert werden kann, wenn ein einzelner Computer ausfällt.
531
532
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Wenn Sie weitere Änderungen am Paket vornehmen möchten, sollten Sie dies tun, bevor es in die Softwareverteilungsfreigabe kopiert wird. Damit ist gewährleistet, dass kein Benutzer die Anwendung installiert, bevor sie fertig ist. Wenn die Anwendung ausschließlich über Gruppenrichtlinien installiert wird, können Sie solche Änderungen auch später vornehmen. Änderung einer Windows-Installer-Paketdatei mit Tools von Drittanbietern Nach Erstellung eines Pakets für die Software, die Sie über Gruppenrichtlinien an Benutzer und Computer verteilen möchten, ist es u.U. erforderlich, den Paketinhalt zu ändern. Dazu kann ein Tool von einem Drittanbieter verwendet werden, wie etwa WinINSTALL LE, das sich auf der Windows-2000-CD-ROM befindet. Das Ändern eines Pakets kann u.a. bedeuten, dass Desktopverknüpfungen zum Start der Anwendung hinzugefügt, Website-Adressen und Namen für technischen Support bereitgestellt oder entfernt werden. Es sind sehr viele Optionen verfügbar. Um ein Paket zu ändern, starten Sie die Veritas Software Console für WinINSTALL LE, öffnen Sie das Paket und führen Sie die nötigen Änderungen durch, wie in Schritt für Schritt 7.4 beschrieben. Abbildung 7.13 Der Hauptbildschirm von Veritas Software Console
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Abbildung 7.14 Der Bildschirm von Veritas Software Console mit der Übersicht der Eigenschaften
SCHRITT FÜR SCHRITT 7.4
Ändern eines Anwendungspakets mit WinINSTALL LE Software Console
1. Klicken Sie auf dem Computer, auf dem Sie WinINSTALL LE installiert haben, auf START/PROGRAMME/VERITAS/SOFTWARE/VERITAS SOFTWARE CONSOLE. Damit wird die Software Console gestartet, wie in Abbildung 7.13 gezeigt. Beachten Sie, dass die Software Console auch als Untertitel im Windows-Installer-Paketeditor angezeigt wird. 2. Um das erstellte Paket zu öffnen, wählen Sie OPEN im Menü FILE und suchen Sie im Dialogfeld BROWSE nach der MSI-Datei, die von Discover Wizard erstellt wurde. Klicken Sie dann auf OPEN, um die MSI-Datei in den Editor zu laden. 3. Abbildung 7.14 zeigt die Registerkarte SUMMARY im Fensterbereich DETAILS nach dem Öffnen des Pakets. Offensichtlich werden beim Öffnen eines Pakets drei Fensterbereiche in der Software Console belegt: 씰
Der Fensterbereich DETAILS auf der rechten Bildschirmseite zeigt detaillierte Informationen je nach Auswahl der Elemente in den beiden Fensterbereichen auf der linken Bildschirmseite.
씰
Der Fensterbereich mit der Liste der Paketkomponenten links oben zeigt das Paket an. Wenn Sie das Paket selbst erweitern, werden alle Komponenten, aus denen es besteht, ebenfalls angezeigt, etwa die installierten Dateien und deren GUIDs.
533
534
Kapitel 7
씰
Softwarebereitstellung mittels Gruppenrichtlinien
Der Fensterbereich KOMPONENTENEIGENSCHAFTEN befindet sich in der linken unteren Bildschirmecke. Hier wird der Fokus des Fensterbereichs DETAILS festgelegt. Wenn Sie beispielsweise im Fensterbereich links oben auf die GUID einer Komponente des Pakets klicken und links unten REGISTRIERUNG wählen, werden im Fensterbereich DETAILS die für diese Komponente durchgeführten Registrierungsänderungen angezeigt.
4. Um zusätzliche Informationen über die im Paket enthaltene Software anzubieten, klicken Sie auf den Paketnamen im linken oberen Fensterbereich. Markieren Sie GENERAL im linken unteren Fensterbereich. Es wird ein Bildschirm wie in Abbildung 7.15 angezeigt. Wenn Sie eine Kontaktadresse für das Paket, den URL des Herstellers, Versionsinformationen, den Onlinesupport-URL oder andere Faktoren angeben möchten, können Sie das hier tun. Ändern Sie den Bildschirm, der Benutzer bei Problemen mit dem Softwarepaket unterstützt. Bestimmte Optionen auf diesem Bildschirm sind von spezieller Bedeutung. Mit dem Feld VERSION können Gruppenrichtlinien bei der Entscheidung helfen, ob eine Softwareanwendung aktualisiert werden soll. Sie können diese Option auch verwenden, um festzulegen, welche Anwendung über Gruppenrichtlinien durch eine neue Version ersetzt werden soll. Die drei Optionsfelder am unteren Rand des Fensterbereichs DETAILS legen fest, wie das Paket mittels Gruppenrichtlinien installiert werden kann. Die Option INSTALL ONLY PER USER erlaubt keine Zuweisung eines Pakets an einen Computer, sondern erfordert die Installation durch den Benutzer. Die Option INSTALL ONLY PER MACHINE hat die gegenteilige Bedeutung. Die Option ATTEMPT PER MACHINE, IF FAILS, PER USER versucht zunächst, eine Anwendung einem Computer zuzuweisen. Falls dies nicht gelingt, weil die Anwendung während der Installation die Konfigurierung bestimmter Benutzereinstellungen verlangt, muss die Anwendung durch den Benutzer installiert werden. Weitere Diskussionen dieser Optionen folgen im nächsten Abschnitt. 5. Wenn Sie eine Liste der in diesem Paket enthaltenen Dateien anzeigen möchten, markieren Sie den Paketnamen im linken oberen und die Dateien im linken unteren Fensterbereich. Nun wird im Detailbereich die gesamte Liste der Dateien für das Paket mit deren Installationsort angezeigt, wie in Abbildung 7.16 gezeigt. Beachten Sie die drei Register im Detailbereich. Die Registerkarte ADD zeigt an, welche Dateien vom Paket benötigt werden und hinzugefügt werden müssen. ENTFERNEN ermöglicht die Angabe von Dateien, die während der Installation entfernt werden sollen und in FONTS können Schriftarten festgelegt werden, die im System installiert werden sollen, falls noch nicht vorhanden.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien
Abbildung 7.15 Die allgemeine Paketinformation in VERITAS SOFTWARE CONSOLE
Abbildung 7.16 Die Paketdateiliste in VERITAS SOFTWARE CONSOLE
6. Um zu prüfen, welche Verknüpfungen hinzugefügt werden, oder um eine Verknüpfung hinzuzufügen, klicken Sie im linken unteren Fensterbereich auf SHORTCUTS. Der Detailbereich sieht aus wie in Abbildung 7.17. Detaillierte Informationen über eine Verknüpfung erhalten Sie, indem Sie auf die fragliche Verknüpfung doppelklicken. Dann wird ein Dialogfeld ähnlich wie in Abbildung 7.18 angezeigt. Um eine Verknüpfung hinzuzufügen, klicken Sie auf das Symbol in der linken oberen Ecke der Verknüpfungsliste im Fensterbereich DETAILS.
535
536
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.17 Die Paketverknüpfungsinformationen in VERITAS SOFTWARE CONSOLE
Abbildung 7.18 Das Dialogfeld zu Anwendungsverknüpfungsdetails in VERITAS SOFTWARE CONSOLE
7. Wenn Sie weitere Änderungen durchführen möchten, erkunden Sie die in Veritas Software Console für WinINSTALL LE verfügbaren Optionen. Hilfe erhalten Sie im Menü HELP, wo die verschiedenen Optionen erläutert werden.
7.4 Softwarebereitstellung mittels Gruppenrichtlinien
8. Wenn Ihre Änderungen abgeschlossen sind, speichern Sie diese durch Klicken auf das Festplattensymbol unterhalb des Menüs FILE. Sie können Ihre Änderungen auch speichern, indem Sie Veritas Software Console beenden und die Frage, ob Sie Ihre Änderungen speichern möchten, positiv beantworten. Die Vorbereitung von Software für die Bereitstellung ist eine wichtige Aufgabe, die unbedingt ausgeführt werden sollte, damit gewährleistet ist, dass Alles, was auf dem Computer eines Benutzers installiert wird, in Aussehen und Verhalten Ihren Erwartungen entspricht. Das Umpacken von Anwendungen in eine MSI-Datei mit zugehörigen Dateien für die Installation mit Windows Installer ist die beste Möglichkeit, zu gewährleisten, dass Software so funktioniert wie erforderlich. Durch Speichern der vollständigen Pakete auf einem Windows-2000-Computer, Freigabe des Ordners und Festlegung der erforderlichen Berechtigungen für den Ordner wird gewährleistet, dass die Software mittels Gruppenrichtlinien verteilt werden kann und Benutzern wie Computern zugänglich ist.
7.4
Softwarebereitstellung mittels Gruppenrichtlinien
Softwaremanagement und -fehlersuche mittels Gruppenrichtlinien 씰
Softwarebereitstellung mittels Gruppenrichtlinien
Sie haben nun die zu verteilende Software umgepackt, Softwareverteilungs-Freigabepunkte erstellt und diesen Berechtigungen zugeordnet und sind damit bereit, die Gruppenrichtlinien für die Bereitstellung der Software zu konfigurieren. Dabei haben Sie die Wahl zwischen der Zuweisung eines Pakets an einen Benutzer bzw. Computer und der Veröffentlichung des Pakets für einen Benutzer.
7.4.1
Veröffentlichung von Software
Durch Veröffentlichung wird die Software den Benutzern für die Installation zur Verfügung gestellt. Benutzer können die Installation des Softwarepakets auf zwei Arten einleiten: 씰
Verwendung von SOFTWARE in der Systemsteuerung. Wenn Sie SOFTWARE in der Systemsteuerung aktivieren, wird eine Liste der Software angezeigt, die Ihnen je nach Gruppenmitgliedschaft und den vom Administrator festgelegten und für Sie gültigen Gruppenrichtlinien zur Verfügung steht. Sie können nun die Software wählen, die Sie installieren möchten, und Windows Installer installiert die Anwendung für Sie.
537
538
Kapitel 7
씰
Softwarebereitstellung mittels Gruppenrichtlinien
Verwendung der Datei- oder Dokumentaktivierung. Dabei handelt es sich um die automatische Aktivierung der Installation eines Softwarepakets, wenn der Benutzer auf ein Dokument doppelklickt, dessen Dateierweiterung mit einer für eine Anwendung konfigurierten Dateierweiterung übereinstimmt. Wenn Sie auf die Datei doppelklicken, ohne dass die Softwareanwendung installiert ist, signalisieren Sie Windows Installer, dass Sie das Programm installieren möchten, das die Datei lesen und interpretieren kann. Nehmen wir beispielsweise an, Sie doppelklicken auf eine Datei namens Gruppenrichtlinien.PDF auf einer CD-ROM in Ihrem CD-ROM-Laufwerk. Wenn Adobe Acrobat Reader auf Ihrem Computer nicht installiert ist, prüft Windows 2000, ob eine veröffentlichte Anwendung für das Lesen von PDF-Dateien konfiguriert ist, und findet, dass dies für Adobe Acrobat Reader zutrifft. Windows 2000 startet nun den Windows Installer, um Adobe Acrobat Reader zu installieren, damit Sie die Datei lesen können. Die Installation des Programms (Adobe Acrobat Reader) wurde automatisch durch das Dokument (Gruppenrichtlinien.PDF) eingeleitet, auf das Sie doppelgeklickt haben. Dies geschah, weil kein Programm installiert war, das Dateien mit der Erweiterung .PDF lesen kann. Die Erweiterung wurde in Active Directory veröffentlicht und auf das Softwarepaket abgebildet.
Die Veröffentlichung von Software ist angebracht, wenn Sie dem Benutzer die Entscheidung überlassen möchten, welche Softwareprodukte er installiert. Sie ist ebenfalls nützlich, wenn Sie sicher stellenmöchten, dass Benutzer Dokumente öffnen können, aber nicht alle Dokumentarten für alle Benutzer unterstützt werden müssen. Durch Veröffentlichung der Software geben Sie dem Benutzer mehr Wahlfreiheit, aber sie ist nur für weniger wichtige Anwendungen wirklich sinnvoll. Software, die alle Benutzer installiert haben sollten oder die für bestimmte Benutzer zur Erledigung ihrer Aufgaben im Unternehmen unerlässlich ist, sollte nicht veröffentlicht, sondern zugewiesen werden.
7.4.2
Zuweisung von Software an Benutzer und Computer
Software kann Benutzern oder Computern zugewiesen werden. Durch Zuweisung von Software an Benutzer bzw. Computer wird gewährleistet, dass die Software immer verfügbar ist. Die Zuweisung von Software an Benutzer ermöglicht die Ankündigung der Software auf dem Desktop des Benutzers. Dies bedeutet, dass die Symbole für die Anwendung verfügbar sind, auch wenn diese noch gar nicht installiert ist. Durch Doppelklicken auf das Softwaresymbol oder eine per Erweiterung mit der Softwareanwendung verknüpfte Datei wird automatisch die Installation ausgeführt. Wenn der Benutzer niemals auf das Softwaresymbol oder eine per Erweiterung mit der
7.4 Softwarebereitstellung mittels Gruppenrichtlinien
Softwareanwendung verknüpfte Datei doppelklickt, wird die Software nicht installiert, sodass Speicherplatz, Netzwerkbandbreite und Administrationsarbeit eingespart werden. Durch Zuweisung von Software an Computer wird gewährleistet, dass die Software installiert wird, sobald der Computer eingeschaltet und mit dem Netzwerk verbunden wird. Wenn der Computer das nächste Mal seine Einstellungen der Gruppenrichtlinien verarbeitet, stellt er fest, dass ihm Software zugewiesen wurde, und die Software wird automatisch installiert. Jede einem Computer zugewiesene Software ist für alle Benutzer dieses Computers verfügbar. Software, die auf jeden Fall installiert werden muss, sollte einem Computer zugewiesen werden. Software, die von allen Benutzern benötigt wird, aber nicht unbedingt von Anfang an auf dem Computer installiert sein muss, kann dem Benutzer bzw. der Gruppe zugewiesen und bei Bedarf installiert werden. Beide Methoden gewährleisten, dass die Software bei Bedarf zur Verfügung steht.
7.4.3
Softwarebereitstellung mittels Gruppenrichtlinien
Zur Veröffentlichung oder Zuweisung von Software nutzen Sie Gruppenrichtlinien. Die Festlegung der Softwarebereitstellungsmethode erfolgt bei der Verknüpfung der Softwareanwendung mit dem GPO. Folgen Sie Schritt für Schritt 7.5 zur Bereitstellung von Software mittels Gruppenrichtlinien.
SCHRITT FÜR SCHRITT 7.5
Bereitstellung von Software mittels Gruppenrichtlinien
1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE (je nachdem, in welchem Container Sie das GPO für die Softwarebereitstellung konfigurieren möchten) und erweitern Sie die Ordnerliste, bis Sie den Container erreichen, für den Sie die Softwarebereitstellung konfigurieren möchten (die Abbildungen in diesem Abschnitt zeigen ACTIVE DIRECTORY-BENUTZER UND -COMPUTER). 2. Klicken Sie mit der rechten Maustaste auf den Container (Domäne, OU oder Standort), für den Sie das GPO konfigurieren möchten, und wählen Sie EIGENSCHAFTEN. 3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie ein vorhandenes GPO, das für die Softwarebereitstellung genutzt werden soll, oder klicken Sie auf NEU, um ein neues GPO zu erstellen, oder klicken Sie auf HINZUFÜGEN, um ein vorhandenes GPO mit diesem Container zu verknüpfen.
539
540
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
4. Klicken Sie auf das GPO, das zur Softwarebereitstellung verwendet werden soll, und dann auf BEARBEITEN, um den Gruppenrichtlinieneditor zu öffnen, wie in Abbildung 7.19 gezeigt. Abbildung 7.19 Der Hauptkonsolbildschirm des GPO Editor MMC
5. Um die Softwarebereitstellung für den Computer zu konfigurieren, erweitern Sie den Ordner SOFTWAREEINSTELLUNGEN unter dem Ordner COMPUTERKONFIGURATION in Gruppenrichtlinie. Um die Softwarebereitstellung für den Benutzer oder die Gruppe zu konfigurieren, erweitern Sie den Ordner SOFTWAREEINSTELLUNGEN unter BENUTZERKONFIGURATION, wie in Abbildung 7.20 gezeigt. 6. Um ein Paket für die Bereitstellung zu konfigurieren, klicken Sie mit der rechten Maustaste auf das Symbol SOFTWAREINSTALLATION und wählen Sie NEU, PAKET. Es wird ein Suchfeld angezeigt. Durchsuchen Sie das Netzwerk nach dem Softwareverteilungs-Freigabeordner, den Sie früher erstellt haben. Der Pfad zum Paket wird in den Gruppenrichtlinien als der Punkt gespeichert, von dem aus das Softwarepaket installiert werden soll, und er sollte ein Netzwerkfreigabepunkt sein. Wählen Sie kein lokales Laufwerk, weil Benutzer sich nicht mit einem lokalen Pfad auf Ihrem Computer verbinden können. Es würde ein Dialogfeld wie in Abbildung 7.21 angezeigt, das feststellt, dass Sie einen lokalen Pfad gewählt haben. Abbildung 7.22 zeigt eine Netzwerkfreigabe, die zur Ermittlung der Paketdatei verwendet wird. Wenn Sie das zu installierende Paket gefunden haben, klicken Sie darauf.
7.4 Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.20 SOFTWAREBEREITkann für den Bereich Computer oder Benutzer der Gruppenrichtlinien konfiguriert werden
STELLUNG
Abbildung 7.21 Sie erhalten eine Warnmeldung, wenn der angegebene Pfad zum Paket kein freigegebener Ordner ist Abbildung 7.22 Auswahl eines Pakets mittels Netzwerkfreigabepfad
7. Wenn Sie entschieden haben, das Softwarepaket mit dem Benutzerteil der Gruppenrichtlinien zu verknüpfen, wird ein Dialogfeld wie in Abbildung 7.23 angezeigt. Wenn das Paket mit dem Computerkonfigurationsteil des GPO-Objekts verknüpft werden soll, wird ein Dialogfeld wie in Abbildung
541
542
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
7.24 angezeigt. Wie bereits erwähnt, können Pakete nicht für Computer veröffentlicht werden. Die Option VERÖFFENTLICHT wird deshalb in der Computerkonfiguration grau dargestellt. Die dritte Option erlaubt Ihnen einfach die Konfiguration weiterer Optionen (d.h. die Änderung des Pakets), wenn Sie es zuweisen oder veröffentlichen. Diese Option wird im nächsten Abschnitt genauer behandelt. Entscheiden Sie, ob veröffentlicht oder zugewiesen werden soll, und klicken Sie dann auf OK. Abbildung 7.23 Paketoptionen bei Verknüpfung mit der Benutzerkonfiguration in GRUPPENRICHTLINIEN
Abbildung 7.24 Paketoptionen bei Verknüpfung mit der Computerkonfiguration in GRUPPENRICHTLINIEN
8. Sie haben nun Ihr Softwarepaket für Benutzer bzw. Computer veröffentlicht oder zugewiesen. Der Gruppenrichtlinieneditor sieht aus wie in Abbildung 7.25. In den Eigenschaften des Paketes können Sie weitere Informationen über das verteilte Paket sehen und bearbeiten. Klicken Sie dazu mit der rechten Maustaste auf das Paket und wählen Sie EIGENSCHAFTEN. Zu den für jedes Paket angezeigten Informationen gehört der Name des Pakets und seine Versionsnummer, wie in der Paketdatei festgelegt. Der Bereitstellungsstatus (veröffentlicht oder zugewiesen) und die Information, ob das Paket automatisch per Dokumentaktivierung (über die Dateierweiterung) installiert werden soll, werden hier zusammengefasst. Außerdem können Sie den Aktualisierungs- bzw. Installationstyp (optional oder obligatorisch) feststellen und
7.4 Softwarebereitstellung mittels Gruppenrichtlinien
ermitteln, ob es sich bei dem Paket um eine Aktualisierung für ein anderes vorhandenes Paket handelt. Sie können diese selbst konfigurieren und die Paketinformationen ändern. Abbildung 7.25 Beim Klicken auf SOFTWAREINSTALLATION werden allgemeine Informationen für Pakete angezeigt, die derzeit für die Bereitstellung mittels Gruppenrichtlinien konfiguriert sind
9. Schließen Sie das Dialogfeld , indem Sie auf OK klicken. Beenden Sie zum Abschluss der Konfiguration die verwendete MMC-Konsole.
7.4.4
Paketbereitstellungsoptionen
Softwaremanagement und -fehlersuche mittels Gruppenrichtlinien 씰
Konfiguration von Paketbereitstellungsoptionen
Nachdem Sie ein Paket verteilt haben, können Sie diverse Optionen für das Paket konfigurieren, die dessen Verhalten ändern und die Festlegung zusätzlicher Optionen ermöglichen. Dazu klicken Sie mit der rechten Maustaste auf das Objekt SOFTWAREINSTALLATION im Ordner SOFTWAREEINSTELLUNGEN der Gruppenrichtlinien, in dem Sie das Paket konfiguriert haben.
HINWEIS Erweitert veröffentlicht oder zugewiesen Diese Option wird beim Hinzufügen eines Pakets angezeigt und ist kein spezieller Optionstyp für dieses Paket. Wenn Sie diese Option verwenden, bedeutet dies lediglich, dass die Eigenschaften des Pakets für Sie angezeigt werden, damit Sie weitere Optionen für das Paket konfigurieren können. Dasselbe erreichen Sie, indem Sie nach Zuweisung oder Veröffentlichung mit der rechten Maustaste auf das Paket klicken und EIGENSCHAFTEN wählen.
543
544
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Das in Abbildung 7.26 gezeigte Dialogfeld EIGENSCHAFTEN VON SOFTWAREINSTALLATION ermöglicht die Konfiguration allgemeiner Einstellungen für alle Pakete im Gültigkeitsbereich des betreffenden Containers. Zu diesen Einstellungen gehören u.a. der Standardspeicherort für die Paketinstallation (d.h. die Netzwerkfreigabe, in der die Pakete zu finden sind, wenn der Paketspeicherort nicht verfügbar ist) und der Standardinstallationstyp für neue Pakete (VERÖFFENTLICHEN, ZUWEISEN, ERWEITERT VERÖFFENTLICHT ODER ZUGEWIESEN oder VORHERIGES DIALOGFENSTER ANZEIGEN). Sie können den Umfang der während der Paketinstallation möglichen Benutzerinteraktion festlegen (einfache Interaktion, was nicht viel ist, oder Maximum). Sie können festlegen, ob ein Paket deinstalliert werden soll, wenn es aus dem Gültigkeitsbereich des GPO herausfällt. Außerdem können Sie Einstellungen für Dateierweiterungen und Softwarekategorien konfigurieren, die weiter hinten diskutiert werden. Abbildung 7.26 Das Dialogfeld EIGENSCHAFTEN VON SOFTWAREINSTALLATION im Gruppenrichtlinieneditor
Wenn Sie mit der rechten Maustaste auf ein Paket klicken und Eigenschaften wählen, wird ein Dialogfeld angezeigt wie in Abbildung 7.27. Das Register ALLGEMEIN des Dialogfelds EIGENSCHAFTEN für das Paket zeigt allgemeine Informationen über das Paket an, u.a. Hersteller, Plattform, Support-URL und Kontaktinformationen.
7.4 Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.27 Das Dialogfeld EIGENSCHAFTEN des Pakets in Gruppenrichtlinie
In der Registerkarte BEREITSTELLUNG VON SOFTWARE (siehe Abbildung 7.28) können die Bereitstellungsinformationen zu diesem Paket geändert werden. Sie können die Bereitstellungsart von VERÖFFENTLICHT in ZUGEWIESEN ändern oder umgekehrt. Dadurch wird die Art der Bereitstellung an Benutzer bzw. Computer geändert (beispielsweise Zuweisung an Benutzer bzw. Computer oder Veröffentlichung für Benutzer). Im Bereich BEREITSTELLUNGSOPTIONEN dieser Registerkarte wird festgelegt, was bei der Bereitstellung geschieht, u.a. die Autoinstallation der Anwendung bei Dokumentaktivierung (d.h. über eine Dateierweiterung). Wenn Sie diese Option deaktivieren, werden die mit diesem Paket verknüpften Dateierweiterungen nicht veröffentlicht, und es findet keine Dokumentaktivierung statt. Außerdem können Sie die Anwendung deinstallieren, wenn das GPO für den Benutzer nicht mehr gültig ist (d.h. wenn er bzw. sie innerhalb der Active Directory-Hierarchie einer anderen OU zugeordnet wird). Daneben können Sie festlegen, dass das Paket nicht in der Systemsteuerung unter Software angekündigt wird, damit die Benutzer nichts davon erfahren.
545
546
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.28 Die Registerkarte BEREITSTELLUNG VON SOFTWARE im Dialogfeld EIGENSCHAFTEN von Gruppenrichtlinie
HINWEIS Widersprüchliche Optionen Es ist nicht ratsam, die Option AUTOMATISCH INSTALLIEREN, WENN DIE DATEIERWEITEund die Option DIESES PAKET IN DER SYSTEMSTEUERUNG UNTER »SOFTWARE« NICHT ANZEIGEN gleichzeitig zu deaktivieren. Dadurch wird die Installation der Software beim Öffnen eines passenden Dokuments verhindert; zugleich wird verhindert, dass das Paket in Software angekündigt wird. Das Paket ist zwar so konfiguriert, dass es dem Benutzer zur Verfügung steht, aber dieser erfährt nie davon und kann das Installationsprogramm nicht starten. Das Paket belegt Speicherplatz und verbraucht zusätzliche Kapazität für die GPO-Verarbeitung, wird aber niemals installiert. Dies ist nur unmittelbar vor einer Softwarefreigabe sinnvoll, wenn Sie das Paket bis zum Startschuss unter Verschluss halten möchten. RUNG AKTIVIERT WIRD
Mit den Optionen zur Installations-Benutzeroberfläche kann festgelegt werden, wie viel Benutzerinteraktion dem Benutzer während der Installation geboten werden soll. Die Standardeinstellung EINFACH lässt den Benutzer einfach zuschauen, wie die Anwendung mit Standard-Konfigurationseinstellungen installiert wird. Bei der Einstellung MAXIMUM wird der Benutzer während der Installation zur Eingabe von Parameterwerten aufgefordert.
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien
Die Registerkarten AKTUALISIERUNGEN, KATEGORIEN, ÄNDERUNGEN und SICHERHEITSEINSTELLUNGEN werden weiter hinten in diesem Kapitel diskutiert. Sie haben nun das Paket in eine Gruppenrichtlinie aufgenommen, sodass es an Benutzer oder Computer weitergegeben werden kann. Sie haben die Bereitstellungsoptionen des Pakets konfiguriert und festgelegt, wie es dem Benutzer präsentiert werden soll. Außerdem haben Sie festgelegt, ob das Paket auf allen Computern installiert oder Benutzern zugewiesen bzw. veröffentlicht werden soll. Im ersten Fall haben Sie das Paket im Bereich Computerkonfiguration der Gruppenrichtlinien konfiguriert. Im Laufe der Zeit werden Sie diese Optionen jedoch ändern oder sogar Pakete aktualisieren müssen. Das Problem der Wartung von Softwarepaketen wird als Nächstes behandelt.
7.5
Wartung von Softwarepaketen mittels Gruppenrichtlinien
Softwaremanagement und -fehlersuche mittels Gruppenrichtlinien 씰
Wartung von Software mittels Gruppenrichtlinien
Wie Sie mittlerweile wissen, ist Veränderung die einzige Konstante in dieser Branche. Zweifellos werden Sie eine gewisse Zeit nach der Bereitstellung Ihres Pakets mittels Gruppenrichtlinien eine Aktualisierung bereitstellen, um die Softwareanwendungen auf den Computern der Benutzer aktuell zu halten. In diesem Abschnitt wird gezeigt, wie eine Aktualisierung für ein Paket mittels Gruppenrichtlinien konfiguriert wird und wie obligatorische und optionale Aktualisierungen bereitgestellt werden. Schließlich lernen Sie, wie Software entfernt wird, die von der Organisation nicht mehr benötigt wird oder deren Lizenz abgelaufen ist.
7.5.1
Aktualisierung eines Pakets
Bei Microsoft Windows 2000 Gruppenrichtlinien können Aktualisierungen bestehender Pakete obligatorisch oder optional sein. Obligatorische Aktualisierungen müssen dort installiert werden, wo die vorangegangene Version der Software existiert. Nehmen wir an, Sie haben Microsoft Office 97 umgepackt und danach erfahren, dass die Version auf den Benutzerdesktops nicht die aktuellste ist. Sie beschließen, alle Benutzer auf die neueste Version von Microsoft Office 97 zu aktualisieren, um etwaige Mängel an der Software zu korrigieren. Dazu konfigurieren Sie die Aktualisierung als obligatorisch. Das Aktualisierungspaket wird automatisch auf den Benutzercomputern installiert, sobald ein Benutzer sich anmeldet (wenn das Paket dem Benutzer zugewiesen oder veröffentlicht wurde), oder wenn der Computer neu gestartet wird (wenn die Software dem
547
548
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Computer zugewiesen wurde). Obligatorische Aktualisierungen sind ideal, wenn sichergestellt werden muss, dass bei allen Benutzern die aktuellsten Versionen von wichtigen Geschäftsanwendungen installiert sind. Bei optionalen Aktualisierungen kann der Benutzer weiterhin die ältere Softwareversion einsetzen oder wahlweise auf die neueste Version aktualisieren. Bei optionalen Aktualisierungen werden die Benutzer darüber informiert, dass eine neuere Version verfügbar ist, und gefragt, ob sie sofort aktualisieren möchten. Falls ein Benutzer mit der Aktualisierung einverstanden ist, wird die neue Softwareversion installiert und die alte ersetzt. Andernfalls kann der Benutzer weiterhin mit der älteren Version der Software arbeiten. Er bzw. sie wird weiterhin aufgefordert, die neue Version der Software zu installieren. Sie können auch ein Datum festlegen, zu dem Benutzer die Aktualisierung durchgeführt haben müssen, andernfalls wird sie zwangsweise installiert (eine Art optionale Aktualisierung mit obligatorischem Ende). Folgen Sie Schritt für Schritt 7.6, um eine der beiden Aktualisierungsarten auszuführen.
SCHRITT FÜR SCHRITT 7.6
Aktualisierung von Software mittels Gruppenrichtlinien
1. Packen Sie die aktualisierte Version der Software um oder besorgen Sie sich ein Windows-Installer-Paket mit der aktualisierten Software. Wird ein vorhandenes Paket aktualisiert, so muss auch die neuere Version in Form eines Windows-Installer-Pakets (oder einer ZAP-Datei) vorliegen. Der erste Schritt der Aktualisierung ist das Umpacken der aktualisierten Version, wie zuvor gezeigt, oder die Anschaffung eines Windows-Installer-Pakets. 2. Legen Sie das Aktualisierungspaket in den Freigabeordner, mit dem sich die Benutzer verbinden, um die aktualisierte Anwendung zu installieren. 3. Erstellen oder bearbeiten Sie ein GPO, welches das neue Paket enthalten soll. Sie können das Paket in denselben Container in dem GPO aufnehmen, in dem die vorherige Version erstellt wurde. Dies wird in Abbildung 7.29 am Beispiel des Softwarepakets Adobe Acrobat gezeigt. 4. Legen Sie fest, dass das Paket zur Aktualisierung eines vorhandenen Pakets dient. Klicken Sie hierzu mit der rechten Maustaste auf das neue Paket und wählen Sie EIGENSCHAFTEN. Es wird das Dialogfeld EIGENSCHAFTEN für das Paket angezeigt, wie in Abbildung 7.30 gezeigt. 5. Klicken Sie auf das Register AKTUALISIERUNGEN, um eine Liste der anderen Pakete anzuzeigen, die von diesem Paket aktualisiert werden, wie in Abbildung 7.31 gezeigt.
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien
Abbildung 7.29 Ein Paket muss zum GPO hinzugefügt werden, damit es ein anderes Paket aktualisieren kann
Abbildung 7.30 Das Dialogfeld EIGENSCHAFTEN für das Paket
6. Klicken Sie auf HINZUFÜGEN, um ein Paket in die Liste derjenigen aufzunehmen, die vom vorliegenden Paket aktualisiert werden können. Es wird ein Bildschirm wie in Abbildung 7.32 angezeigt. Dieser bietet mehrere Wahlmöglichkeiten, u.a. wo das Aktualisierungspaket im aktuellen oder in einem anderen GPO zu finden ist. Sie können dann unter den anderen GPOs im Unternehmen nach einem Paket suchen, das zur Aktualisierung verwendet werden soll.
549
550
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.31 Die Registerkarte AKTUALISIERUNGEN im Dialogfeld EIGENSCHAFTEN des Pakets in Gruppenrichtlinien
Außerdem können Sie festlegen, ob bei der Aktualisierung das vorhandene Paket deinstalliert und die Aktualisierung installiert oder ob einfach das alte Softwarepaket beibehalten und die Aktualisierung darüber installiert werden soll. Bei der Festlegung geeigneter Optionen sollten Sie sorgfältig vorgehen, damit die Software nach der Aktualisierung korrekt funktioniert. Wenn Sie bei der Überlegung, ob die vorherige Version deinstalliert werden soll, eher in Richtung Überschreiben tendieren, sollten Sie dies testen. Im Allgemeinen ist es besser, die ältere Version zu deinstallieren. Klicken Sie auf OK, wenn Sie fertig sind, um zum Dialogfeld EIGENSCHAFTEN für das Paket zurückzukehren. 7. Nun können Sie entscheiden, ob die Aktualisierung für ein vorhandenes Paket obligatorisch oder optional sein soll. Um das Aktualisierungspaket obligatorisch zu machen, klicken Sie in das Kontrollkästchen BESTEHENDE PAKETE AKTUALISIEREN, wie in Abbildung 7.33 gezeigt. Damit wird das Paket automatisch installiert, wenn sich ein Benutzer anmeldet oder ein Computer gestartet wird, je nachdem, wie das ursprüngliche Paket verteilt wurde. Wenn Sie die Entscheidung getroffen haben, klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN zu schließen, und speichern Sie Ihre Änderungen.
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien
Abbildung 7.32 Festlegung eines Pakets, das zur Aktualisierung eines vorhandenen Pakets verwendet werden soll
Abbildung 7.33 Paketaustauschinformationen in der Registerkarte AKTUALISIERUNGEN des Dialogfelds EIGENSCHAFTEN zum Paket in Gruppenrichtlinien
8. Sie haben nun, wie in Abbildung 7.34 gezeigt, zwei Pakete im Softwarepaket-Detailbereich von Gruppenrichtlinien. Das jüngste installierte Paket ist als obligatorische Aktualisierung für das in unserem Beispiel vorhergehende
551
552
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Paket vorgesehen. Jeder neue Benutzer, der die Software installiert, erhält das neueste Paket; bei vorhandenen Benutzern wird die Software automatisch aktualisiert, weil die Aktualisierung als obligatorisch markiert ist. Schließen Sie den Gruppenrichtlinieneditor, um die GPO-Einstellungen in Kraft zu setzen. Abbildung 7.34 Der SoftwarepaketBildschirm in Gruppenrichtlinien
Die Konfigurierung von Paketaktualisierungen ist ganz einfach, wenn man davon absieht, dass sichergestellt werden muss, dass die Aktualisierung im richtigen Format (d.h. als MSI-Datei) vorliegt. Sie können die Aktualisierung als obligatorisch oder als optional konfigurieren. Bei obligatorischen Aktualisierungen wird der Benutzer zum Austausch des älteren Pakets gegen das neuere gezwungen. Neue Benutzer erhalten immer die aktuellste Version. Was geschieht jedoch, wenn Sie nur bestimmte Dateien in einem Paket austauschen, es aber nicht aktualisieren müssen?
7.5.2
Erneute Bereitstellung von Software
In manchen Situationen möchten Sie ein Paket einfach auf allen Benutzercomputern neu installieren, statt es zu aktualisieren. Diese Methode wird als Neubereitstellung bezeichnet, die Neuinstallation eines vorhandenen Pakets. Dies ist die bevorzugte Methode, wenn Sie ein Paket geändert haben, ohne seinen Namen zu ändern (z.B. wenn Sie Dateien zum Paket hinzugefügt oder aus ihm entfernt haben, was auch für einen Patch der Software zuträfe), wenn Sie Verknüpfungen hinzugefügt, Registrierungseinstellungen geändert oder andere Änderungen an einem vorhandenen Paket vorgenommen haben. Damit gewährleistet ist, dass alle Benutzer die aktualisierte Software haben, möchten Sie das Paket neu verteilen.
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien
Möglicherweise möchten Sie auch eine neue Paketdatei (MSI) mit genau demselben Namen wie beim vorhandenen Paket erstellen und am selben Speicherort ablegen wie das Originalpaket. Bei dieser Methode können Sie weit reichendere Änderungen an der Software vornehmen, als nur das vorhandene Paket zu ändern. So lange die Version und der Paketname identisch sind, wird davon ausgegangen, dass es sich um dieselbe Software handelt. Sie können das Paket dann nach Bedarf neu verteilen. Um ein Paket nach Abschluss der Änderungen neu zu verteilen, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 7.7
Neubereitstellung eines Pakets mittels Gruppenrichtlinien
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maustaste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAFTEN. 2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO, das Informationen zur Bereitstellung des Pakets enthält, und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet. 3. Erweitern Sie den Container innerhalb des Ordners SOFTWAREINSTALLATION, in dem das Originalpaket definiert wurde, und suchen Sie das neu zu verteilende Paket, wie in Abbildung 7.35 gezeigt. Abbildung 7.35 Die Paketliste im Ordner SOFTWAREINSTALLATION des Gruppenrichtlinieneditors
553
554
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
4. Um ein Paket neu zu verteilen, klicken Sie mit der rechten Maustaste auf das Paket, wählen Sie ALLE TASKS und klicken Sie dann auf ANWENDUNG ERNEUT BEREITSTELLEN. Abbildung 7.36 zeigt das Dialogfeld zur Bestätigung der Neubereitstellung. Klicken Sie auf JA, um das Paket neu zu verteilen. Abbildung 7.36 Das Dialogfeld zur Bestätigung der Neubereitstellung in Gruppenrichtlinien
5. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu speichern. 6. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu schließen und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Wie Sie gesehen haben, ist die Neubereitstellung ganz einfach in den Fällen, in denen bestimmte Dateien für eine Anwendung aktualisiert wurden, der Rest des Pakets aber unverändert bleibt. Sie sollten jedoch daran denken, dass ein Paket bei Neubereitstellung auf sämtlichen Clientcomputern installiert wird, was einen beträchtlichen Anteil der Netzwerkbandbreite beanspruchen kann.
7.5.3
Entfernen eines Pakets
Nachdem Sie Software über Gruppenrichtlinien verteilt haben, können Sie mit Hilfe von Gruppenrichtlinien auch das Entfernen der Software automatisieren. Auf diese Weise können nicht mehr benötigte Anwendungen oder veraltete Software von den Computern der Benutzer entfernt werden, ohne dass Sie in größerem Umfang manuell eingreifen müssten. Dies vereinfacht die Administration der Softwarebereitstellung und verringert den manuellen Aufwand. Die in Gruppenrichtlinien verfügbaren Entfernungsoptionen können auch bei optionalen Aktualisierungen verwendet werden. In diesem Fall haben Benutzer etwas Zeit bis zur Aktualisierung auf eine neue Version. Nach Ablauf einer gewissen Zeit können Sie beschließen, die alte Software von den Benutzercomputern zu entfernen. Für die Entfernung von Software gibt es zwei Optionen: 씰
Obligatorische bzw. erzwungene Entfernung, bei der die Software vom Computer des Benutzers entfernt wird, ohne Rücksicht darauf, ob sie noch benötigt wird oder nicht. Diese Option wird gewählt, indem Sie die Option SOFT-
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien
BENUTZERN UND COMPUTERN DEINSTALLIEREN bei der Konfigurierung der Paketentfernung für das GPO aktivieren. Falls das Paket einem Benutzer zugewiesen war, wird es, für den Benutzer transparent, entfernt, bevor das Benutzerdesktop angezeigt wird. Wenn es dem Computer zugewiesen war, wird es beim nächsten Neustart des Computers entfernt. Wenn eine Aktualisierung der Software vorliegt, kann der Benutzer die aktualisierte Version installieren und die Funktionalität der Software weiterhin nutzen; andernfalls ist die Software nicht mehr verfügbar. WARE SOFORT VON
씰
Optionale Entfernung ermöglicht es dem Benutzer, die Software weiterhin zu verwenden. Diese Option wird aktiviert, indem Sie bei der Konfigurierung der Entfernung die Option BENUTZER DÜRFEN DIE SOFTWARE WEITERHIN VERWENDEN, ABER NEUINSTALLATIONEN SIND NICHT ZUGELASSEN aktivieren. Die Software wird nicht in der Liste der Anwendungen unter Software in der Systemsteuerung angezeigt, bleibt aber installiert. Wenn der Benutzer die Software manuell in der Systemsteuerung unter SOFTWARE entfernt, kann er sie nicht mehr installieren. Dies gilt als freundliche Methode der Softwareentfernung, kann aber problematisch sein, wenn Sie unternehmensweit Standardanwendungen durchsetzen möchten.
Um die Entfernung eines Pakets zu konfigurieren, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 7.8
Entfernen eines Pakets mittels Gruppenrichtlinien
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maustaste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAFTEN. 2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO, das Informationen über das gewünschte Paket enthält, und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet. 3. Erweitern Sie den Container innerhalb des Ordners SOFTWAREINSTALLATION, in dem das Originalpaket definiert wurde, und suchen Sie das zu entfernende Paket. 4. Um ein Paket zu entfernen, klicken Sie mit der rechten Maustaste auf das Paket, wählen Sie ALLE TASKS und klicken Sie dann auf ENTFERNEN. Abbildung 7.37 zeigt das Dialogfeld, in dem Sie die Entfernungsmethode (zwangsweise oder wahlweise) festlegen können. Wählen Sie die Methode und klicken Sie auf OK, um Ihre Auswahl zu speichern. Sie kehren dann zum Gruppenrichtlinieneditor zurück. Beachten Sie, dass das Paket nicht mehr in der Liste angezeigt wird.
555
556
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.37 Dialogfeld zur Auswahl der Paketentfernungsoptionen in Gruppenrichtlinien
5. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu setzen. 6. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Das Entfernen von Software mittels Gruppenrichtlinien ist relativ einfach. Denken Sie daran, dass die Entscheidung zwischen optionaler und zwangsweiser Entfernung nicht rückgängig gemacht werden kann. Das Paket wird aus dem GPO und auch vom Computer des Benutzers entfernt, zwangsweise oder mit Einverständnis des Benutzers. Wenn der Benutzer beschließt, das Paket auf seinem Computer zu behalten, können Sie es später nicht mehr zwangsweise entfernen; das Paket ist nicht mehr im GPO enthalten.
7.6
Management der Softwarebereitstellung
In großen Organisationen kann es erforderlich sein, den Softwarebereitstellungsprozess durch Berücksichtigung geografischer und sprachlicher Unterschiede benutzerfreundlicher zu gestalten. Durch Einführung von Softwarekategorien für ähnliche Pakete kann die Bereitstellung so gestaltet werden, dass Benutzer bei der Auswahl der zu installierenden Software unterstützt werden. Außerdem kann die Installation automatisch eingeleitet werden, wenn der Benutzer eine bestimmte Datei öffnet. Der Bereitstellungsprozess selbst kann auf Probleme stoßen, und der Administrator muss wissen, wie bestimmte weit verbreitete Probleme bei der Softwarebereitstellung zu beheben sind. Das Umpacken von Anwendungen kann ebenfalls Probleme bei der Bereitstellung aufwerfen, und ein Administrator sollte auch mit solchen Fragen vertraut sein.
7.6.1
Konfiguration von Paketänderungen
Mit Windows-2000-Gruppenrichtlinien können Softwaremodifikations- bzw. Transformationsdateien verwendet werden, um mehrere Konfigurationen einer Anwendung zu verteilen. Transformationsdateien haben die Erweiterung .MST und sind einem vorhandenen Paket zugeordnet. In Verbindung mit mehreren GPOs wer-
7.6 Management der Softwarebereitstellung
den Transformationsdateien eingesetzt, um das Verhalten eines Pakets bei Bereitstellung in unterschiedlichen Regionen zu ändern.
HINWEIS Transformationsdateien (MST) Eine Transformationsdatei ändert die Zusammensetzung einer Installation auf einem Benutzercomputer abhängig von dem GPO, das zur Bereitstellung der Software benutzt wurde. Nachdem die Software installiert wurde, kann sie nicht mehr mit einer MST-Datei geändert werden. Die Transformationsdatei hat nur vor der Installation auf einem Computer eine Wirkung. Nehmen wir beispielsweise an, 20 Benutzer haben bereits Anwendung X installiert, und Sie beschließen eine Änderung mit Hilfe einer Transformationsdatei für Anwendung X. An Benutzer, die Anwendung X bereits installiert haben, kann die Änderung nicht verteilt werden. Nur Benutzer, die Anwendung X noch nicht installiert haben, erhalten die in der MSTDatei definierte Softwareänderung. Um eine MST-Datei bei allen Benutzern (alt oder neu) einzusetzen, müssen Sie das Paket neu verteilen.
Nehmen wir beispielsweise an, Ihre Organisation besitzt Niederlassungen in USA, Kanada, Frankreich und Deutschland und möchte weltweit Microsoft Office 2000 einsetzen. Sie möchten jedoch sicherstellen, dass Benutzer in Paris und Quebec bei der Installation von Office 2000 neben den englischen auch französische Wörterbücher erhalten. Um dieses Problem zu lösen, erstellen Sie eine Paketdatei für Office 2000. Zur Berücksichtigung der unterschiedlichen Wörterbücher erstellen Sie für jedes Wörterbuch eine Transformationsdatei (MST). Dann erstellen Sie ein eigenes GPO für den Standort Paris, welches das Office-2000-Paket und die MST-Datei für die französischen Wörterbücher enthält. Für Quebec könnten Sie dasselbe GPO oder ein anderes verwenden, um ebenfalls das französische Wörterbuch zu installieren. Für Kanada und USA könnten Sie ein oder mehrere GPOs erstellen, welche die Transformationsdatei für englische Wörterbücher enthalten. Um Änderungen an einem Softwarepaket vorzunehmen, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 7.9
Änderung eines Pakets mittels MST-Datei
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maustaste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAFTEN.
557
558
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO, das Informationen über das gewünschte Paket enthält, und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet. 3. Erweitern Sie den Container innerhalb des Ordners SOFTWAREINSTALLATION, in dem das Originalpaket definiert wurde, und suchen Sie das Paket, dem Sie eine Transformationsdatei hinzufügen möchten. 4. Um Änderungen hinzuzufügen, klicken Sie mit der rechten Maustaste auf das Paket, wählen Sie EIGENSCHAFTEN, und klicken Sie dann auf das Register ÄNDERUNGEN. Es wird ein Bildschirm wie in Abbildung 7.38 angezeigt. Abbildung 7.38 Änderungen an einem Paket können in diesem Dialogfeld hinzugefügt werden
5. Klicken Sie auf HINZUFÜGEN, um eine MST-Datei hinzuzufügen, wählen Sie im Dialogfeld ÖFFNEN den Pfad und Dateinamen der MST-Datei, die zur Änderung dieses Pakets verwendet werden soll, und klicken Sie auf OK. 6. Es ist möglich, durch Wiederholung des letzten Schritts mehrere MSTDateien für ein Paket auszuwählen. In diesem Fall werden die Dateien in der Reihenfolge verarbeitet, in der sie in der Registerkarte ÄNDERUNGEN zu diesem Paket angezeigt werden. Sie können die Verarbeitungsreihenfolge mit Hilfe der Schaltflächen NACH OBEN und NACH UNTEN ändern.
7.6 Management der Softwarebereitstellung
7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für das Paket zu schließen. 8. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu setzen. 9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Container zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Mit Softwareänderungen im Rahmen der Softwarebereitstellung in einem GPO können Sie die Einstellungen für ein zu verteilendes Anwendungspaket ändern. Dies ist eine gute Möglichkeit, ein Paket an verschiedene Benutzer oder Computer zu verteilen, ohne die Software für jede einzelne Konfiguration umpacken zu müssen. In Transformationsdateien können Sie genau die Änderungen speichern, die an einem Paket vorzunehmen sind, und Sie können diese mit einem bestimmten GPO verteilen.
7.6.2
Erstellung von Softwarekategorien
In großen Organisationen, aber auch in kleineren, in denen viele unterschiedliche Softwareanwendungen eingesetzt werden, kann es von Vorteil sein, wenn Softwarekategorien definiert werden, um den Benutzern die Installation des gewünschten Pakets zu erleichtern. Durch Softwarekategorien wird die Anzeige in der Systemsteuerung unter SOFTWARE geändert (siehe Abbildung 7.39), sodass der Benutzer die Software des gewünschten Typs finden kann. Abbildung 7.39 In SOFTWARE in der Systemsteuerung werden im Netzwerk verfügbare Pakete nach Kategorien aufgelistet
559
560
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Angenommen, Sie verwenden Gruppenrichtlinien und möchten viele unterschiedliche Pakete verteilen, darunter Anwendungen zur Buchhaltung, Textverarbeitung, Dienstprogramme, Tabellenkalkulation und Internet-Browser. Standardmäßig werden alle Pakete im Netzwerk unter einer einzigen Kategorie aufgeführt. Wenn viele Anwendungen zur Verfügung stehen, muss der Benutzer blättern, bis er bzw. sie das benötigte Paket findet, und dies kann den Vorgang erschweren. Mit Softwarekategorien kann der Benutzer die gewünschte Kategorie im gleichnamigen Drop-downListenfeld wählen. Die Anzeige kann auf Software dieser Kategorie beschränkt werden. Eine einzelne Anwendung kann in mehreren Kategorien angezeigt werden. Beispielsweise kann Microsoft Office 2000 in die Kategorien Büropakete, Textverarbeitung, Tabellenkalkulation und Präsentationssoftware aufgenommen werden, weil es alle diese Anwendungen abdeckt. Die Festlegung einer Kategorie für ein bestimmtes Paket erleichtert dem Benutzer lediglich das Auffinden der Anwendung. Sie verändert jedoch in keiner Weise das Verhalten der Gruppenrichtlinien, in denen das Paket für die Bereitstellung konfiguriert ist. Außerdem können Sie die Softwarekategorie, unter der ein Paket aufgeführt wird, jederzeit ändern, wenn neue Kategorien eingeführt werden. Dies erleichtert die u.U. nötige Neudefinition und Umstrukturierung von Kategorien. Ein sehr wichtiger Punkt, den es zu vermitteln gilt, ist die Tatsache, dass Kategorien, die in einem GPO einer Domäne konfiguriert sind, in der gesamten Domäne verfügbar sind. Dies bedeutet, dass Softwarekategorien domänenweit funktionieren. Sie können aus jedem GPO in jeder OU der Domäne auf die Registerkarte KATEGORIEN zugreifen. Alle Änderungen an den aufgeführten Kategorien sind in der gesamten Domäne wirksam. Beispielsweise können Sie nicht einen Satz von Kategorien in der OU Verkauf und einen anderen Satz in der OU Entwicklung definieren, wenn beide zur selben Domäne gehören. Alle Kategorien in allen OUs sind in der gesamten Domäne verfügbar. In unterschiedlichen Domänen können Sie jedoch verschiedene Gruppen von Kategorien definieren. Folgen Sie der Schrittanleitung zur Erstellung von Softwarekategorien.
SCHRITT FÜR SCHRITT 7.10 Erstellung von Softwarekategorien für die Domäne 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maustaste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAFTEN.
7.6 Management der Softwarebereitstellung
2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO, das Informationen über das gewünschte Paket enthält, und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet. 3. Erweitern Sie COMPUTERKONFIGURATION bzw. BENUTZERKONFIGURATION, und dann den Ordner SOFTWAREEINSTELLUNGEN. 4. Klicken Sie mit der rechten Maustaste auf SOFTWAREINSTALLATION und wählen Sie EIGENSCHAFTEN. 5. Klicken Sie auf das Register KATEGORIEN, um die Liste der aktuell konfigurierten Kategorien anzuzeigen, falls vorhanden, wie in Abbildung 7.40 gezeigt. Abbildung 7.40 Die Registerkarte K ATEGORIEN des Dialogfelds EIGENSCHAFTEN VON SOFTWAREINSTALLATION in Gruppenrichtlinien
6. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um eine Kategorie hinzuzufügen. Es wird ein Dialogfeld wie in Abbildung 7.41 angezeigt. Geben Sie den Namen der neuen Kategorie ein und klicken Sie auf OK, um die Kategorie zu speichern. 7. Sie sind nun wieder im Dialogfeld EIGENSCHAFTEN VON SOFTWAREINSTALLATION, wo die neue Kategorie aufgelistet wird (siehe Abbildung 7.42). Klicken Sie auf HINZUFÜGEN, um weitere Kategorien hinzuzufügen, auf ÄNDERN, um den Namen einer vorhandenen Kategorie zu ändern, oder auf ENTFERNEN, um eine Kategorie zu entfernen. Wenn Sie fertig sind, klicken Sie auf ÜBERNEHMEN, dann auf OK, um die Änderungen zu speichern.
561
562
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.41 Durch Klicken auf Hinzufügen wird das Dialogfeld GEBEN SIE EINE NEUE K ATEGORIE EIN geöffnet Abbildung 7.42 Die Registerkarte K ATEGORIEN des Dialogfelds EIGENSCHAFTEN VON SOFTWAREINSTALLATION in Gruppenrichtlinien nach Hinzufügen einer Softwarekategorie
8. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu setzen. 9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Nachdem Sie die Kategorien erstellt haben, können diese zur Gruppierung vorhandener oder neuer Pakete verwendet werden, die Sie für die Bereitstellung konfiguriert haben. Folgen Sie der Schrittanleitung, um einem Paket eine Softwarekategorie zuzuordnen.
7.6 Management der Softwarebereitstellung
SCHRITT FÜR SCHRITT 7.11 Zuordnung eines Softwarepakets zu einer Kategorie 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maustaste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAFTEN. 2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO, das Informationen über das gewünschte Paket enthält, und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet. 3. Erweitern Sie COMPUTERKONFIGURATION bzw. BENUTZERKONFIGURATION, und dann den Ordner SOFTWAREEINSTELLUNGEN. 4. Markieren Sie das Paket, dem Sie eine Kategorie aus der Liste zuordnen möchten, die angezeigt wird, wenn Sie auf SOFTWAREINSTALLATION klicken. Klicken Sie mit der rechten Maustaste auf das Paket und wählen Sie EIGENSCHAFTEN. 5. Klicken Sie auf das Register KATEGORIEN, um die Liste der verfügbaren und diesem Paket zugeordneten Kategorien anzuzeigen, wie in Abbildung 7.43 gezeigt. Abbildung 7.43 Die Registerkarte K ATEGORIEN des Pakets zeigt die Liste verfügbarer Kategorien sowie der Kategorien an, die diesem Paket zugeordnet sind
563
564
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
6. Klicken Sie unter VERFÜGBARE KATEGORIEN auf die Kategorie, der Sie dieses Paket zuordnen möchten, und klicken Sie dann auf AUSWÄHLEN, um das Paket dieser Kategorie zuzuordnen. Um dieses Paket aus einer Kategorie zu entfernen, markieren Sie die betreffende Kategorie unter AUSGEWÄHLTE KATEGORIEN und klicken Sie auf ENTFERNEN. Wenn Sie fertig sind, klicken Sie auf OK, um Ihre Änderungen zu speichern. 7. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu setzen. 8. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Sie haben nun Kategorien erstellt und ein Paket einer oder mehreren Kategorien zugeordnet. Wenn Sie in der Systemsteuerung SOFTWARE öffnen, wird die Liste der zur Installation verfügbaren Software angezeigt. Dort können Sie die Kategorie der zu installierenden Software wählen, und es werden nur die Pakete angezeigt, die in dieser Kategorie konfiguriert sind. Wie Sie gesehen haben, ist die Erstellung von Kategorien für Software ganz einfach. Dies ist von großem Vorteil für Organisationen, die viele Anwendungen mittels Gruppenrichtlinien veröffentlichen möchten. Es erleichtert Benutzern das Auffinden der Anwendungen, die sie installieren möchten. Administratoren kategorisieren die verfügbaren Anwendungen und Benutzer können die Kategorien verwenden, um nach verfügbaren Anwendungen zu suchen. Wie gesagt, ein Paket kann in mehreren Kategorien vorkommen. Aber was ist, wenn Benutzer keinen Zugriff auf Software in der Systemsteuerung haben?
7.6.3
Verknüpfung von Dateierweiterungen mit Anwendungen
Windows 2000 Active Directory bietet großartige neue Funktionalität bei der Bereitstellung von Softwareanwendungen mittels Gruppenrichtlinien. Wenn Sie eine Paketdatei (MSI) erhalten oder eine Anwendung mit einem Produkt eines Drittanbieters wie etwa Veritas WinINSTALL LE umpacken, werden Sie feststellen, dass das Paket Dateierweiterungen veröffentlicht, die von der Software unterstützt werden. So wurde im letzten Beispiel Adobe Acrobat 4.05 veröffentlicht und informierte Windows 2000 Active Directory, dass es zum Öffnen von Dateien mit der Erweiterung .ODF verwendet werden kann. Dies ist sehr nützlich. Damit kann die Softwareanwendung automatisch auf dem Computer eines Benutzers installiert werden,
7.6 Management der Softwarebereitstellung
wenn dieser auf eine PDF-Datei doppelklickt, um sie zu öffnen, und die Software noch nicht installiert ist. Auf diese Weise können Benutzer die Installation bestimmter Softwareanwendungen starten. Die Liste der Dateierweiterungen und der Anwendungen (Pakete), die diese Erweiterungen unterstützen, wird in Windows 2000 Active Directory veröffentlicht und fortgeschrieben. Die Zuordnung zwischen Erweiterung und Softwarepaket wird domänenweit geführt, aber die Festlegung, welches Softwarepaket installiert werden soll, wenn ein Benutzer versucht, eine Datei mit einer bestimmten Erweiterung zu öffnen, kann auf OU-Ebene oder einer anderen Ebene konfiguriert werden. Dies bedeutet, dass Benutzer in einem bestimmten Zweig von Active Directory (z.B. in der OU Verkauf) eine Anwendung installieren können, wenn sie ein Dokument durch Doppelklicken aktivieren, wogegen für Benutzer in einer anderen OU (der OU Entwicklung) eine andere Anwendung installiert wird. Beispielsweise könnte es in Ihrer Organisation notwendig sein, für Dateien mit der Erweiterung .DOC sowohl Microsoft Word 2000 als auch WordPerfect 2000 zu unterstützen. Benutzer in der Rechtsabteilung bevorzugen aus historischen Gründen WordPerfect 2000 für die Bearbeitung ihrer Dokumente. Die Anwendung WordPerfect enthält Vorlagen und andere für die Mitarbeiter in diesem Organisationsbereich nützliche Tools. Benutzer in anderen Abteilungen bevorzugen jedoch Word 2000, weil dies der Unternehmensstandard für Textverarbeitung ist. Sie können für die Rechtsabteilung die Priorität der Anwendung festlegen, mit der eine .DOC-Datei geöffnet werden soll, indem Sie das GPO anpassen, das zur Bereitstellung von Software in der OU Recht benutzt wird. Alle anderen Bereiche des Unternehmens haben Microsoft Word 2000 in einer höheren Priorität als WordPerfect 2000 mit der Erweiterung .DOC verknüpft. Deshalb wird bei ihnen Microsoft Word 2000 installiert, wenn sie eine DOC-Datei öffnen. Prioritäten für Dateinamenserweiterungen werden GPO-spezifisch konfiguriert. Die Priorität für die Installation einer bestimmten Anwendung per Dokumentaktivierung wird im GPO konfiguriert, und dies betrifft nur Benutzer, bei denen dieses GPO eingesetzt wird. Andere Benutzer sind von der Priorität in einem GPO nicht betroffen und könnten sogar andere Anwendungen für dieselbe Dateierweiterung installieren. Wenn Sie beispielsweise im GPO Recht WordPerfect als Standardanwendung für die Erweiterung DOC festlegen, wird bei Aktivierung einer DOCDatei nur für Benutzer in der OU Recht WordPerfect 2000 installiert.
565
566
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
HINWEIS Nur Windows 2000 Die Priorität für Dateierweiterungen kann nur für Anwendungen konfiguriert werden, die mittels Windows-2000-Gruppenrichtlinien verteilt werden (d.h. als Windows-Installer-Paket konfiguriert sind). Auch wenn eine andere Anwendung, etwa eine Standardkomponente von Windows 2000, das Öffnen einer Datei mit einer bestimmten Erweiterung unterstützt, kann diese nicht innerhalb des GPO mit der Erweiterung verknüpft werden. Beispielsweise kann WordPad in Windows 2000 zum Öffnen von .DOC-Dateien verwendet, aber nicht im GPO mit der Erweiterung .DOC verknüpft werden. Dies liegt daran, dass es kein Paket gibt, das zur Bereitstellung von WordPad über ein GPO verwendet werden kann. Wenn Sie WordPad mit der Erweiterung .DOC verknüpfen möchten, müssen Sie ein Paket zur Bereitstellung von WordPad erstellen. Der wesentliche Punkt hier ist, dass die Priorität bei Dateierweiterungen nur für Pakete gilt, die mit Windows-2000-Gruppenrichtlinien verteilt werden. Sie gilt nicht für Software, die mit anderen Methoden verteilt wird.
Folgen Sie der Schrittanleitung, um Prioritäten für Dateinamenserweiterungen zu konfigurieren und zu ändern.
SCHRITT FÜR SCHRITT 7.12 Konfiguration der Dateierweiterungspriorität für ein GPO 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maustaste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAFTEN. 2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO, das Informationen über das gewünschte Paket enthält, und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet. 3. Erweitern Sie COMPUTERKONFIGURATION bzw. BENUTZERKONFIGURATION, und dann den Ordner SOFTWAREEINSTELLUNGEN. 4. Klicken Sie mit der rechten Maustaste auf den Container SOFTWAREINSTALLATION und wählen Sie EIGENSCHAFTEN. 5. Klicken Sie auf das Register DATEIERWEITERUNGEN, um die Liste der Pakete und Dateierweiterungen anzuzeigen, wie in Abbildung 7.44 gezeigt. 6. Wählen Sie die Erweiterung, zu der Sie die Anwendungspriorität ändern möchten. Verwenden Sie hierzu das Drop-down-Listenfeld, um eine Liste der mit der betreffenden Erweiterung verknüpften Softwareanwendungen anzuzeigen.
7.6 Management der Softwarebereitstellung
Abbildung 7.44 Die Registerkarte DATEIERWEITERUNGEN des Dialogfelds EIGENSCHAFTEN VON
SOFTWAREINSTALLATION
7. Bringen Sie die Anwendung, die standardmäßig installiert werden soll, mit Hilfe der Schaltflächen NACH OBEN und NACH UNTEN an den Anfang der Liste. Klicken Sie OK, wenn Sie fertig sind, um die Änderungen zu speichern. 8. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu setzen. 9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Wenn Sie sich fragen, wie die Dateierweiterung mit einem bestimmten Paket in Verbindung gebracht wurde, denken Sie zurück an den Abschnitt »Packen von Software für die Bereitstellung« in diesem Kapitel. Vielleicht erinnern Sie sich, dass Sie beim Umpacken einer Anwendung festlegen konnten, mit welchen Dateierweiterungen diese Anwendung verknüpft werden soll. Genauso verknüpft ein Softwareentwickler bestimmte Dateierweiterungen mit seiner Anwendung, wenn er ein Paket für die Installation seiner Software erstellt. Auf diese Weise können Benutzer die Anwendung nutzen wie vorgesehen.
567
568
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Auf welche Weise auch immer eine Erweiterung mit einer Anwendung verknüpft wird, diese Verknüpfung wird in Active Directory veröffentlicht und auf jedem Clientcomputer fortgeschrieben. Dies geschieht, damit Dateien geöffnet werden können und Benutzer nicht in die Verlegenheit kommen, Dateien zu besitzen, die sie nicht öffnen können.
7.6.4
Fehlersuche bei der Softwarebereitstellung
Softwarewartung und -fehlersuche mittels Gruppenrichtlinien 씰
Fehlersuche bei verbreiteten Problemen während der Softwarebereitstellung
Nachdem Sie die Softwarebereitstellung konfiguriert haben, vor allem wenn Sie einer großen Organisation angehören, die viele GPOs zur Bereitstellung von Software einsetzt, kommt es gelegentlich vor, dass die Softwarebereitstellung nicht genauso funktioniert wie erwartet. Einige der häufiger auftretenden Probleme und ihre Ursachen sind in der folgenden Tabelle aufgeführt. Problem
Ursache und Lösung
Anwendung kann nicht installiert werden
Die wahrscheinlichste Ursache dieses Problems ist, dass der Benutzer die Netzwerkfreigabe nicht erreichen kann, in der sich das Paket befindet. Prüfen Sie, ob die Freigabe wirklich verfügbar ist, und ob der Benutzer berechtigt ist, auf die Paketdateien zuzugreifen. Die nötigen Berechtigungen sind Lesen für die Freigabe und Lesen und Ausführen auf NTFS-Ebene für den Datenträger, auf dem die Paketdateien liegen. Die NTFS-Berechtigungen sind für alle Dateien und Ordner erforderlich, die zum Paket gehören.
Anwendungen werden auf dem Desktop nicht angezeigt wie erwartet
Die wahrscheinlichste Ursache dieses Problems ist die Art der Bereitstellung der Software. Wenn die Anwendung dem Benutzer zugewiesen wurde, sollten die Verknüpfungen für die Anwendung auf dem Desktop des Benutzers angezeigt werden. Wenn dies nicht der Fall ist, melden Sie sich als Benutzer an und prüfen Sie, ob die Anwendung in der Systemsteuerung unter Software aufgeführt ist. Wenn ja, dann wurde die Anwendung veröffentlicht, nicht zugewiesen. In diesem Fall muss der Benutzer die Anwendung manuell installieren oder die Installation per Dokumentaktivierung starten. Wenn die Anwendung nicht unter Software aufgeführt wird und keine Verknüpfungen auf dem Desktop angezeigt werden, dann könnte es sein, dass die Anwendung nie verteilt oder in einer anderen OU verteilt wurde. Es ist ebenfalls möglich, dass die Anwendung in der richtigen OU verteilt wurde, dass aber der Benutzer aus dem Gültigkeitsbereich des GPO herausgefiltert wurde, in dem die Anwendungsbereitstellung festgelegt ist. Prüfen Sie die Sicherheitseinstellungen für das GPO, um sicherzustellen, dass der Benutzer nicht aus den GPO-Einstellungen herausgefiltert wird.
Tabelle 7.2: Häufig vorkommende Bereitstellungsprobleme
7.6 Management der Softwarebereitstellung
Problem
Ursache und Lösung
Verteilte Anwendungen funktionieren nach der Installation nicht richtig
In manchen Fällen verläuft das Umpacken von Anwendungen mit einem Packprogramm von einem Drittanbieter, wie etwa Veritas WinINSTALL LE, nicht korrekt. Wenn beispielsweise das SetupProgramm der Anwendung beim Umpacken bestimmte Dateien nicht auf der Festplatte des Referenzcomputers installiert, sind diese Dateien nicht in der erstellten Paketdatei enthalten und müssen auf der Festplatte des Benutzers vorhanden sein. Werden sie hier nicht gefunden, so funktioniert die Anwendung nach der Bereitstellung u.U. nicht richtig. Um das Problem zu beheben, packen Sie die Anwendung erneut oder fügen Sie die benötigten Dateien zum Paket hinzu.
Bei Paketinstallation werden andere Dateien entfernt
Dies ist ebenfalls ein Problem beim Umpacken. Wenn dabei eine längere Zeit zwischen Vorher- und Nachher-Schnappschuss liegt, können andere Änderungen am System stattgefunden haben, falls andere Programme gestartet wurden. Dies kann dazu führen, dass das endgültige Paket nach Erstellung des Nachher-Schnappschusses Anweisungen zur Entfernung von Dateien von der Festplatte enthält. Ist dies der Fall, so werden dieselben Dateien bei der Bereitstellung des Pakets vom Computer des Benutzers entfernt, was Probleme bei anderen Anwendungen verursachen kann. Um dieses Problem zu beheben, ändern Sie das Paket so, dass keine Dateien gelöscht werden, oder packen Sie die Software neu, um sicherzustellen, dass sie korrekt konfiguriert ist.
Anwendungen werden nicht verteilt wie erwartet oder überhaupt nicht verteilt
Die wahrscheinlichste Ursache dafür sind Konflikte in Gruppenrichtlinien. GPOs können auf verschiedenen Ebenen von Active Directory erstellt werden, und in diesen kann Softwarebereitstellung konfiguriert sein. Es ist möglich, dass eine Einstellung in einem GPO, das mit einem Active Directory-Container verknüpft ist, im Widerspruch steht mit einer Einstellung in einem anderen GPO in einem Container auf einer tieferen Ebene in Active Directory. Außerdem können, da Software sowohl Computern als auch Benutzern zugewiesen werden kann, Computereinstellungen je nach AD-Ebene, auf der sie angewandt werden, Benutzereinstellungen überschreiben. Wenn einem Benutzer beispielsweise Microsoft Word 2000 auf Ebene des Domänen-GPO zugewiesen wurde, ihm aber dieselbe Anwendung auf OU-Ebene verweigert wurde, dann wird die Anwendung nicht installiert. Wenn ferner einem Benutzer eine Anwendung wie Microsoft Excel 2000 auf Domänenebene zugewiesen, aber für die obligatorische Entfernung von seinem Computer markiert wurde, steht die Anwendung dem Benutzer nicht zur Verfügung. Es ist immer sinnvoll, die Vererbung von GPOs innerhalb der Active Directory-Struktur zu prüfen.
Tabelle 7.2: Häufig vorkommende Bereitstellungsprobleme
569
570
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Wie Sie in der vorstehenden Tabelle sehen konnten, haben viele verbreitete Probleme bei der Softwarebereitstellung mit Fehlern beim Umpacken oder Problemen mit Gruppenrichtlinien zu tun. Das Verständnis für die allgemeine Funktionsweise von GPOs (ganz gleich, ob Sie GPOs für die Softwarebereitstellung verwenden oder nicht) ist von entscheidender Bedeutung. Durch Testen der Softwarebereitstellung auf wenigen Computern vor der Einführung im großen Stil wird das Risiko verringert, dass Probleme im großen Maßstab auftreten.
Fallstudie: Verwendung von Gruppenrichtlinien zur Softwarebereitstellung in der Sonnenschein-Brauerei Das Wichtigste im Überblick Die Sonnenschein-Brauerei hat eine neue Anwendung für die Unternehmensressourcenplanung (ERP) erworben, die an alle Manager und administrativen Benutzer verteilt werden muss. Beim Verkaufspersonal muss die CRM-Komponente (Customer Relationship Management) der Anwendung ebenfalls installiert werden, weil diese Mitarbeiter die Intelligenz des Systems verwenden sollen, um Bestellungen zu bearbeiten, Kundenprofile zu erstellen und den Status von Kundenaufträgen und anderen Elementen zu überprüfen. Darüber hinaus wurde Microsoft Office 2000 als unternehmensweite Standardlösung für das Büro angeschafft, und dieses muss auf allen Benutzerdesktops installiert werden. Da das Unternehmen multinational tätig ist, müssen bestimmte Einstellungen für Office 2000, wie etwa Wörterbuchkomponenten für die Rechtschreibprüfung, an lokale Erfordernisse angepasst werden. Es wurde außerdem beschlossen, dass Windows-Installer-Paketdateien für Dienstprogramme, darunter WinZIP, Adobe Acrobat Reader und Real Audio Player, die vom lokalen Softwarelieferanten gekauft wurden, den Benutzern als optionale Installation zur Verfügung gestellt werden sollen. Wenn der Benutzer versucht, eine Datei eines Typs zu öffnen, der von dem Dienstprogramm unterstützt wird, soll er gefragt werden, ob er das Paket installieren möchte. In der Vergangenheit wurden große Softwarebereitstellungsprojekte von den Mitarbeitern der IT-Abteilung abgewickelt, wobei der Großteil der Fleißarbeit von Teilzeitkräften und Werkstudenten übernommen wurde. Das für diese Vorgehensweise kalkulierte Budget wurde vom VV abgelehnt, und die IT-Abteilung wurde angewiesen, die Bereitstellung mit vorhandenen Mitteln innerhalb von drei Monaten abzuwickeln. Als Champion für Windows 2000 in der Organisation wurden Sie angewiesen, dafür zu sorgen, dass dies erledigt werden kann, andernfalls müssen Sie mit Konsequenzen rechnen.
Fallstudie: Verwendung von Gruppenrichtlinien
Nach Prüfung der Anforderungen wenden Sie sich an den ERP-Hersteller, um zu ermitteln, ob die Software bestimmte Installationsfähigkeiten aufweist, die eine Bereitstellung in diesem Maßstab unterstützen. Der Drittanbieter der ERPAnwendung hat mitgeteilt, dass auf jedem Clientcomputer ein Installationsprogramm ausgeführt werden muss, auch wenn das Ergebnis bei Installation derselben Komponenten immer gleich ausfällt. Ein Windows-Installer-Paket liegt für das ERP-System nicht vor, und der Hersteller plant auch nicht, eines anzubieten, es sei denn, die Sonnenschein-Brauerei zahlt einen saftigen Preis (sie geben zu, dass dies Neuland wäre und sie bei Null anfangen müssten).
Situationsbeschreibung In diesem Kapitel haben Sie gesehen, wie Gruppenrichtlinien bei der Bereitstellung von Softwarepaketen in einem Unternehmen oder an eine bestimmte Gruppe von Benutzern verwendet werden können. Es wurden außerdem Methoden vorgestellt, die zur Aktualisierung von bereits verteilten Paketen eingesetzt werden können, und Sie haben gelernt, wie Software, die nicht in einem Windows-Installer-kompatiblen Format vorliegt, umgepackt werden kann. Hier werden Sie feststellen, wie dies zur Lösung eines bestimmten Problems bei der Sonnenschein-Brauerei verwendet werden kann.
Situationsanalyse Die Herausforderung durch den Maßstab dieser Softwarebereitstellung mag zwar auf den ersten Blick etwas erschreckend erscheinen, aber durch den Einsatz von Gruppenrichtlinien für die Bereitstellung ist dieses Problem leicht zu lösen. Auf der ERP-Seite würden Sie mindestens zwei verschiedene Softwarekonfigurationen benötigen: eine für das Verkaufspersonal, das eine Untermenge des ERP-Pakets (nur die CRM-Komponente) erhält, und die andere für alle administrativen Benutzer, auf deren Desktops die gesamte ERP-Clientsoftware installiert werden soll. Da der ERP-Hersteller die Anwendung nicht im Windows-Installer-Paketformat anbietet und Ihnen dies beim Verkaufspersonal auch nichts nützen würde, müssen Sie zunächst zwei Windows-Installer-Pakete mit der korrekten Konfiguration erstellen.
571
572
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Die Erstellung des Windows-Installer-Pakets für die administrativen Benutzer würden Sie mit einem sauberen Windows-2000-Professional-Computer beginnen und mit Veritas WinINSTALL LE (oder einem anderen Produkt von einem Drittanbieter) einen Vorher-Schnappschuss des Computers erstellen. Anschließend würden Sie die ERP-Anwendung so installieren und konfigurieren, wie sie auf den Computern aller administrativen Benutzer aussehen soll. In dieser Phase würden Sie alle erforderlichen Verknüpfungen erstellen und Softwareeinstellungen konfigurieren. Danach würden Sie den Discover Wizard von Veritas WinINSTALL LE (oder das Tool vom Drittanbieter) verwenden, um die Paketdatei mit der richtigen Konfiguration zu erstellen. Zur Erstellung einer Windows-Installer-Paketdatei für die Benutzer im Verkaufsbereich würden Sie ähnliche Schritte ausführen wie bei der Paketerstellung für die Administratoren, aber Sie würden nur die Komponenten der Anwendung übernehmen, die vom Verkauf benötigt werden (CRM). Zu diesem Zeitpunkt würden zwei Windows-Installer-Pakete vorliegen, die Sie in jeweils eigenen Ordnern in eine Netzwerkfreigabe legen würden. Daneben würden Sie Microsoft Office 2000 in einem eigenen Ordner am selben Freigabepunkt ablegen. Zur Bereitstellung der Software müssten Sie drei GPOs erstellen: eines für die OU Admin mit dem ERP-Paket, ein zweites für die OU Verkauf mit der CRMKomponente des ERP-Pakets und ein drittes mit Microsoft Office 2000. Dieses GPO würde an jedem Standort erstellt und würde Transformationsdateien (MST) enthalten, die das Paket zur Berücksichtigung lokaler Einstellungen modifizieren. Sie würden das GPO mit dem ERP-Paket für authentifizierte Benutzer in der OU Admin, das CRM-Paket für authentifizierte Benutzer in der OU Verkauf und Microsoft Office 2000 für authentifizierte Benutzer auf Standortebene mit der Option Kein Vorrang anwenden, um sicherzustellen, dass alle Benutzer Microsoft Office 2000 erhalten. Bei den Dienstprogrammen würden Sie alle Pakete mit einem GPO auf Domänenebene an authentifizierte Benutzer veröffentlichen und bei jedem Paket die Dokumentaktivierung aktivieren.
Zusammenfassung
Zusammenfassung In diesem Kapitel haben Sie gelernt, wie Gruppenrichtlinien in Ihrem Unternehmen für die Bereitstellung von Softwareanwendungen eingesetzt werden können. Software, die mittels Gruppenrichtlinien verteilt werden soll, muss in einem mit Windows Installer kompatiblen Format vorliegen. Zu solchen Formaten gehören u.a. Windows-Installer-Paketdateien (MSI) und ZAP-Dateien, die der Windows-Installer-Dienst analysieren kann, um den Softwareinstallationsprozess zu starten. Mittels Gruppenrichtlinien kann Software entweder durch Zuweisung oder durch Veröffentlichung an Benutzer verteilt werden. Bei Zuweisung eines Softwarepakets an einen Computer werden automatisch Symbole auf dem Desktop abgelegt. Wenn ein Paket einem Benutzer zugewiesen ist, dann wird der Softwareinstallationsprozess gestartet, sobald der Benutzer auf ein Symbol oder Dokument klickt, dessen Dateierweiterung mit dem Paket verknüpft ist. Bei Veröffentlichung von Software wird die Anwendung dem Benutzer zur Verfügung gestellt, aber nicht unmittelbar installiert. Die Software wird entweder über Software in der Systemsteuerung oder durch Dokumentaktivierung installiert. Letztere findet statt, wenn der Benutzer versucht, eine Datei zu öffnen, deren Erweiterung mit einem bestimmten Paket verknüpft ist. Windows 2000 prüft, ob auf dem Computer des Benutzers eine Anwendung verfügbar ist, mit der die Datei geöffnet werden kann. Ist dies nicht der Fall, so wird Active Directory auf eine Liste von Anwendungen und deren Priorität hin überprüft. Dann wird mittels Gruppenrichtlinien Windows Installer gestartet, um die Anwendung zu installieren. Nur Windows-Installer-Paketdateien können Benutzern zugewiesen oder veröffentlicht werden. Solche Dateien enthalten die nötigen Informationen für die Installation der Anwendung ohne Benutzereingriff. ZAP-Dateien können nur veröffentlicht werden. Sie setzen voraus, dass der Benutzer den normalen Installationsprozess für die Softwareanwendung durchführt. Aus diesem Grund werden von Drittanbietern Tools zum Umpacken von Anwendungen angeboten, die nicht in einem WindowsInstaller-Paketdateiformat vorliegen. Ein solches Tool, Veritas WinINSTALL LE, ist auf der Windows-2000-CD-ROM enthalten. Administratoren können Dateien transformieren, um dasselbe Softwarepaket mit unterschiedlichen Optionen an verschiedene OUs im Unternehmen zu verteilen. Transformationsdateien ändern ein vorhandenes Paket so ab, dass es bestimmte Anforderungen erfüllt, etwa hinsichtlich der Sprache oder des geografischen Standorts. Außerdem können Administratoren Softwareanwendungen kategorisieren, um für den Benutzer die Auswahl der zu installierenden Software in der Systemsteuerung unter Software zu vereinfachen.
573
574
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Nach einiger Zeit mag es notwendig sein, den Benutzern neuere Versionen ihrer Anwendungen zukommen zu lassen oder andere, nicht mehr benötigte Anwendungen zu entfernen. Der Administrator kann ein Softwarepaket als obligatorische oder optionale Aktualisierung für eine vorhandene Anwendung festlegen. Obligatorische Aktualisierungen werden installiert, ohne den Benutzer an der Entscheidung zu beteiligen; optionale Aktualisierungen lassen dem Benutzer die Wahl, ob er bzw. sie auf die aktuellste Version aktualisieren möchte. Auch die Entfernung von Software kann obligatorisch oder optional sein. Bei der erzwungenen Entfernung wird das Softwarepaket zwangsweise vom Computer des Benutzers entfernt. Die optionale Entfernung lässt dem Benutzer die Freiheit, die Software weiterhin zu verwenden. Auch wenn der Benutzer das Paket auf seinem System belässt, kann es nicht mehr installiert werden, weil es nicht mehr in Active Directory veröffentlicht wird. Die meisten Probleme bei der Bereitstellung von Software mittels Gruppenrichtlinien gehen auf Netzwerkfehler zurück, beispielsweise wenn ein Softwareverteilungspunkt nicht erreichbar ist. Manche Probleme sind auf die Anwendung von Gruppenrichtlinien zurückzuführen. Beim Einkreisen von Problemen müssen Sie alle Regeln einhalten, die für die Richtlinienvererbung, Filterung und andere Elemente gelten, wie in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«, beschrieben. Bereitstellung ist ein extrem nützlicher Aspekt der Gruppenrichtlinien, aber sie ändert nicht die allgemeine Funktionsweise von Gruppenrichtlinien. Schlüsselbegriffe 쎲
Erzwungene (obligatorische) Paketentfernung
쎲
Paketänderungen
쎲
GPO-Gültigkeitsbereich
쎲
Softwarekategorien
쎲
Gruppenrichtlinienfilterung
쎲
Transformationsdateien
쎲
Gruppenrichtlinienobjekt (GPO)
쎲
Umpacken einer Anwendung
쎲
Gruppenrichtlinienpriorität
쎲
Umpacken von Software
쎲
Gruppenrichtlinienvererbung
쎲
Veröffentlichung von Software
쎲
Neubereitstellung
쎲
Windows Installer
쎲
Obligatorische Aktualisierung
쎲
Windows-Installer-Dienst
쎲
Optionale Aktualisierung
쎲
ZAP-Datei
쎲
Optionale Entfernung
쎲
Zuweisung von Software
Lernzielkontrolle
Lernzielkontrolle Übungen Alle Übungen zu diesem Kapitel setzen voraus, dass Sie Windows 2000 Server (bzw. Advanced Server) auf einem Computer installiert haben. Ihr Windows 2000 Server muss als Domänencontroller für eine Domäne konfiguriert sein, damit die Übungen funktionieren. Sie müssen sich bei der Domäne als Administrator anmelden können (d.h. Ihr Benutzerkonto muss Mitglied der Gruppe OrganisationsAdmins oder der Gruppe Domänen-Admins sein). Es reicht aus, wenn Sie das Kennwort für das Administratorkonto kennen. Für diese Übungen benötigen Sie mindestens zwei Windows-Installer-Paketdateien. Wenn Sie nicht genügend haben, können Sie mit Veritas WinINSTALL LE eine Anwendung Ihrer Wahl umpacken und diese verwenden, oder Sie können eine der Anwendungen auf der Windows-2000-CD-ROM verwenden, die bereits im richtigen Format gepackt sind. Eine fertige MSI-Datei, die verwendet werden kann, ist das Windows 2000 Resource Kit im Ordner SUPPORT\TOOLS auf der Windows2000-CD-ROM. Die Übungen in diesem Kapitel bauen auf den Übungen in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«, auf. Sie sollten die Übungen in Kapitel 6 abgeschlossen haben, bevor Sie die folgenden Übungen beginnen. 7.1
Verwendung von Gruppenrichtlinien zur Softwarebereitstellung
In dieser Übung werden Sie zunächst die Softwarebereitstellung für die OU Forschung konfigurieren. Dann werden Sie testen, ob die veröffentlichte Anwendung unter Software in der Systemsteuerung verfügbar ist. Falls ja, werden Sie das Paket installieren. Geschätzte Zeit: 20 Minuten. Führen Sie folgende Schritte aus, um zur OU Forschung Softwareinstallationskomponenten hinzuzufügen: 1. Während Sie als Domänenadministrator angemeldet sind, starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf die OU Vertrieb und wählen Sie EIGENSCHAFTEN. 3. Markieren Sie die in Übung 6.1 erstellte Forschungs-Richtlinie und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor gestartet.
575
576
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
4. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinien BENUTZERKONFIGURATION und erweitern Sie dann SOFTWAREEINSTELLUNGEN. 5. Klicken Sie mit der rechten Maustaste auf SOFTWAREINSTALLATION und wählen Sie NEU, dann PAKET. Suchen Sie in dem angezeigten Dialogfeld ÖFFNEN nach der Paketdatei für die zu verteilende Softwareanwendung, und klicken Sie auf ÖFFNEN. Stellen Sie sicher, dass das Paket in einer Netzwerkfreigabe liegt, damit alle Benutzer, die es benötigen, darauf zugreifen können. 6. Wählen Sie im Dialogfeld SOFTWARE BEREITSTELLEN, das angezeigt wird, VERÖFFENTLICHT als Bereitstellungsmethode, und klicken Sie auf OK. 7. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu speichern. 8. Klicken Sie anschließend auf OK, um es zu schließen. 9. Melden Sie sich beim Computer ab, nachdem Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER geschlossen haben. Führen Sie zum Test der Softwarebereitstellung mittels Gruppenrichtlinien folgende Schritte aus: 1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler, für den die Gruppenrichtlinie gültig ist (TimC). 2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG. 3. Doppelklicken Sie auf SOFTWARE, um die Anwendung zu starten. 4. Klicken Sie auf NEUE PROGRAMME HINZUFÜGEN , um eine Liste verfügbarer Anwendungen im Netzwerk anzuzeigen. Wird das Paket, das Sie vorher konfiguriert haben, in der Liste angezeigt? _____________________________________________________________ _____________________________________________________________ 5. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um das Paket auf dem Computer zu installieren. Wie viel Benutzerinteraktion findet während der Installation statt? _____________________________________________________________ _____________________________________________________________ 6. Versuchen Sie, die Anwendung zu starten, und testen Sie, ob sie richtig funktioniert. Ist dies der Fall? _____________________________________________________________ _____________________________________________________________ 7. Melden Sie sich beim Computer ab, wenn Sie mit dem Test der Anwendungsfunktionalität fertig sind.
Lernzielkontrolle
7.2
Konfiguration von Softwarebereitstellungsoptionen
In dieser Übung konfigurieren Sie einen Standard-Freigabeordner für die Softwarebereitstellung für alle Anwendungen, die für die Gruppenrichtlinie der OU Forschung konfiguriert sind. Dann erstellen Sie Softwarekategorien, die der ganzen Domäne zur Verfügung stehen, und ordnen Ihrem Paket zwei Kategorien zu. Geschätzte Zeit: 20 Minuten. Führen Sie folgende Schritte aus, um Softwarekategorien zu erstellen, Software Kategorien zuzuordnen und eine Standardfreigabe für die Installation zu beschreiben: 1. Während Sie als Domänenadministrator angemeldet sind, starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf die OU Vertrieb und wählen Sie EIGENSCHAFTEN. 3. Markieren Sie das zuvor erstellte GPO Forschung und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor gestartet. 4. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinien BENUTZERKONFIGURATION und erweitern Sie dann SOFTWAREEINSTELLUNGEN. 5. Klicken Sie mit der rechten Maustaste auf SOFTWAREINSTALLATION und wählen Sie EIGENSCHAFTEN. 6. Geben Sie in der Registerkarte ALLGEMEIN im Feld STANDARDPFAD FÜR PAKETE Ihren Freigabenamen im Format \\Computername\Freigabename ein (Beispiel: \\Toronto\Pakete). Damit wird der Standardpfad für alle Pakete in diesem GPO konfiguriert. Der eigentliche vollständige Pfad zum Paket wird in den Paketeinstellungen gespeichert. Wenn Pakete, die verschoben wurden, in diesen Ordner gelegt werden, können sie während der Bereitstellung gefunden werden. 7. Klicken Sie auf das Register KATEGORIEN, um Softwarekategorien zu diesem GPO und zur Domäne hinzuzufügen. 8. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um eine neue Kategorie namens Dienstprogramme hinzuzufügen, und klicken Sie auf OK, wenn Sie fertig sind. Wiederholen Sie diesen Schritt, um zwei weitere Kategorien namens Dateileser und Büropakete zu erstellen. Wenn das verwendete Softwarepaket in keine dieser Kategorien fällt, fügen Sie weitere Kategorien hinzu, die geeignet sind, Ihre Software zu beschreiben.
577
578
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
9. Wenn Sie mit dem Hinzufügen von Kategorien fertig sind, klicken Sie auf ÜBERNEHMEN und dann auf OK, um das Dialogfeld EIGENSCHAFTEN VON SOFTWAREINSTALLATION zu schließen. 10. Um Ihr Paket in Softwarekategorien aufzunehmen, markieren Sie das Paket, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann EIGENSCHAFTEN. 11. Klicken Sie auf das Register KATEGORIEN, um zu prüfen, in welche Kategorien die Software aufgenommen wurde. Markieren Sie Dateileser und Dienstprogramme in der Liste verfügbarer Kategorien, und klicken Sie auf AUSWÄHLEN. Klicken Sie auf OK, wenn Sie mit der Kategorienauswahl fertig sind. 12. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu speichern. 13. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON FORSCHUNG auf OK, um es zu schließen. 14. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER MMC. Führen Sie folgende Schritte aus, um die Aufnahme der Software in Kategorien zu überprüfen: 1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler, für den die Gruppenrichtlinie gültig ist (TimC). 2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG. 3. Doppelklicken Sie auf SOFTWARE, um die Anwendung zu starten. 4. Klicken Sie auf NEUE PROGRAMME HINZUFÜGEN, um eine Liste verfügbarer Anwendungen im Netzwerk anzuzeigen. Welche Kategorien sind im Dropdown-Listenfeld KATEGORIEN verfügbar? _____________________________________________________________ _____________________________________________________________ 5. Wählen Sie eine der Kategorien, in die Sie Ihr Paket aufgenommen haben (Dienstprogramme oder Dateileser). Wird Ihr Paket in der Kiste angezeigt, wenn die Kategorie Dienstprogramme markiert ist? Wird es auch in der Kategorie Dateileser angezeigt? (Geben Sie hier ggf. Ihre eigenen Kategorien an) _____________________________________________________________ _____________________________________________________________ 6. Schließen Sie SOFTWARE und schließen Sie dann SYSTEMSTEUERUNG. 7. Melden Sie sich beim Computer ab, wenn Sie fertig sind.
Lernzielkontrolle
7.3
Konfiguration von Softwareaktualisierungen
In dieser Übung konfigurieren Sie eine Aktualisierung für Ihr Paket. Zuerst fügen Sie Ihrem GPO ein weiteres Paket hinzu, dann konfigurieren Sie dieses als Aktualisierung für Ihr vorhandenes Paket. Sie machen die Aktualisierung obligatorisch. Schließlich testen Sie die Aktualisierung, um sicherzustellen, dass sie erfolgreich ist. Geschätzte Zeit: 20 Minuten. Führen Sie folgende Schritte aus, um ein Paket als Aktualisierung für Ihr vorhandenes Paket hinzuzufügen: 1. Während Sie als Domänenadministrator angemeldet sind, starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf die OU Vertrieb und wählen Sie EIGENSCHAFTEN. 3. Markieren Sie das zuvor erstellte GPO Forschung und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor gestartet. 4. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinien BENUTZERKONFIGURATION und erweitern Sie dann SOFTWAREEINSTELLUNGEN. 5. Klicken Sie mit der rechten Maustaste auf SOFTWAREINSTALLATION und wählen Sie NEU, dann PAKET. Suchen Sie im angezeigten Dialogfeld ÖFFNEN nach der Paketdatei (MSI) für die Softwareanwendung, die zur Aktualisierung Ihres vorhandenen Pakets verwendet werden soll, und klicken Sie auf ÖFFNEN. Dies muss eine andere Datei sein als Ihre ursprüngliche Anwendung. 6. Wählen Sie im Dialogfeld SOFTWARE BEREITSTELLEN VERÖFFENTLICHT als Bereitstellungsmethode und klicken Sie auf OK. 7. Klicken Sie mit der rechten Maustaste auf das soeben hinzugefügte Paket und wählen Sie EIGENSCHAFTEN. 8. Klicken Sie auf das Register KATEGORIEN und wählen Sie die Kategorien, die auf dieses Paket zutreffen. Diese sollten ähnlich (wenn nicht identisch) zu den Kategorien sein, die Sie für Ihr ursprüngliches Paket gewählt haben. 9. Klicken Sie auf das Register AKTUALISIERUNGEN und dann auf die Schaltfläche HINZUFÜGEN, um ein Paket hinzuzufügen, für welches das neue Paket eine Aktualisierung darstellen soll.
579
580
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
10. Wählen Sie in der angezeigten Liste das erste Anwendungspaket, und aktivieren Sie passend zu Ihrer Softwareanwendung entweder BESTEHENDES PAKET DEINSTALLIEREN, AKTUALISIERUNGSPAKET INSTALLIEREN oder PAKET KANN ÜBER DAS BESTEHENDE PAKET AKTUALISIEREN. Klicken Sie auf OK. 11. Stellen Sie sicher, dass in der Registerkarte AKTUALISIERUNGEN die Option BESTEHENDE PAKETE AKTUALISIEREN aktiviert ist, und klicken Sie auf ÜBERNEHMEN, dann auf OK, um das Dialogfeld EIGENSCHAFTEN für Pakete zu schließen. 12. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu speichern. 13. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON FORSCHUNG auf OK, um es zu schließen. 14. Melden Sie sich beim Computer ab, nachdem Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER MMC geschlossen haben. Führen Sie zum Test der Paketaktualisierung folgende Schritte aus: 1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler, für den die Gruppenrichtlinie gültig ist (TimC). 2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG. 3. Starten Sie Ihr erstes Anwendungspaket, indem Sie darauf doppelklicken oder eine damit verknüpfte Dateierweiterung öffnen. Was passiert? _____________________________________________________________ _____________________________________________________________ 4. Ist die ältere Version Ihrer Anwendung immer noch installiert? Warum bzw. warum nicht? _____________________________________________________________ _____________________________________________________________ 5. Wenn Sie fertig sind, schließen Sie alle Programme und melden Sie sich beim Computer ab. 7.4
Entfernen verteilter Pakete mittels Gruppenrichtlinien
In dieser Übung konfigurieren Sie die obligatorische Entfernung des zuletzt installierten Pakets (d.h. der letzten Aktualisierung). Dann testen Sie die Aktualisierung, um sicherzustellen, dass sie erfolgreich ist. Geschätzte Zeit: 20 Minuten.
Lernzielkontrolle
Führen Sie folgende Schritte aus, um ein Paket als Aktualisierung für Ihr vorhandenes Paket hinzuzufügen: 1. Während Sie als Domänenadministrator angemeldet sind, starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf die OU Vertrieb und wählen Sie EIGENSCHAFTEN. 3. Markieren Sie das zuvor erstellte GPO Forschung und klicken Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor gestartet. 4. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinien BENUTZERKONFIGURATION und erweitern Sie dann SOFTWAREEINSTELLUNGEN. Klicken Sie auf SOFTWAREINSTALLATION, um eine Liste von Paketen zu diesem GPO anzuzeigen. 5. Klicken Sie mit der rechten Maustaste auf das ältere Paket und wählen Sie ALLE TASKS, dann ENTFERNEN. 6. Aktivieren Sie im Dialogfeld ENTFERNEN SOFTWARE die Option SOFTWARE SOFORT VON BENUTZERN UND COMPUTERN DEINSTALLIEREN, und klicken Sie auf OK. Wiederholen Sie diesen Schritt auch für die Aktualisierung. Beachten Sie, dass beide Pakete aus der Liste SOFTWAREINSTALLATION entfernt werden. 7. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu speichern. 8. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON FORSCHUNG auf OK, um es zu schließen. 9. Melden Sie sich beim Computer ab, nachdem Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER MMC geschlossen haben. Führen Sie zum Test der Paketaktualisierung folgende Schritte aus: 1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler, für den die Gruppenrichtlinie gültig ist (TimC). 2. Welche neuen Meldungen werden während des Anmeldevorgangs angezeigt? _____________________________________________________________ _____________________________________________________________ 3. Werden die Symbole bzw. Verknüpfungen für eines Ihrer Pakete angezeigt bzw. sind sie noch verfügbar? Warum bzw. warum nicht? _____________________________________________________________ _____________________________________________________________
581
582
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
4. Wenn Sie fertig sind, schließen Sie alle Programme und melden Sie sich beim Computer ab. Wiederholungsfragen 1. Wie muss Software konfiguriert werden, damit sie mittels Gruppenrichtlinien verteilt werden kann? 2. Sie müssen sicherstellen, dass alle Benutzer in Ihrer Organisation Microsoft Outlook 2000 als E-Mail-Client installiert haben. Wie würden Sie das realisieren? 3. Benutzer in Ihrem Büro in Frankreich beschweren sich, dass sie in Microsoft Outlook 2000 keine Eingabeaufforderungen und andere Informationen auf Französisch erhalten. Wie würden Sie das Problem beheben? 4. Wenn eine Softwareanwendung nicht als Windows-Installer-Paketdatei ausgeliefert wird, welche Alternativen gibt es für die Bereitstellung mittels Gruppenrichtlinien? 5. Wenn Ihre Organisation viele Softwarepakete verteilt hat, wie können Sie Benutzern die Suche nach der gewünschten Anwendung erleichtern? 6. In welchen Fällen würden Sie eine Anwendung einem Computer statt einem Benutzer zuweisen? 7. Welche Optionen der Softwarebereitstellung sind bei ZAP-Dateien nicht verfügbar? 8. Wie würden Sie einer vorhandenen MSI-Datei eine Supporttelefonnummer und eine Website-Adresse hinzufügen? 9. Warum entfernt ein Softwarepaket Dateien vom Computer des Benutzers, wenn es verteilt wird? 10. Wie können Sie sicher sein, dass Benutzer eine Anwendung weiterhin einsetzen können, nachdem sie aus dem GPO entfernt wurde? Prüfungsfragen 1. Sie sind Administrator einer großen multinationalen Organisation mit Büros in Paris, London, Berlin, Moskau, Tokio und Sydney sowie der Zentrale in New York. Ihr Informationsvorstand hat mit Microsoft verhandelt und macht Microsoft Office 2000 zum Unternehmensstandard für Büropakete. Er braucht Sie, um sicherzustellen, dass die Software verteilt wird. Die Anforderungen an die Bereitstellung sind: 씰
Microsoft Office 2000 muss auf allen Desktops im gesamten Unternehmen installiert werden.
Lernzielkontrolle
씰
In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Microsoft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflächen einzusetzen.
씰
Die zentrale Rechtsabteilung in New York, für die eine eigene OU in der Active Directory-Struktur existiert, installiert Microsoft Office 2000 nicht auf ihren Desktops, weil alle ihre Dokumente von einem Add-on eines Drittanbieters für ein anderes Büropaket abhängen.
씰
Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig gehalten werden.
Sie kommen zum Ergebnis, dass die Anforderungen am Besten folgendermaßen erfüllt werden können: 씰
Verwendung von Microsoft Windows-2000-Gruppenrichtlinien zur Bereitstellung der Software.
씰
Erstellung eines GPO-Objekts auf Domänenebene (Ihre Organisation besteht aus nur einer Domäne), das die Software Computern zuweist.
씰
Erstellung einer Transformationsdatei für jede benötigte lokalisierte Version und Hinzufügen dieser Datei zu dem Paket, das im GPO konfiguriert ist.
씰
Blockieren der Richtlinienvererbung für die OU der Rechtsabteilung.
Welche der folgenden Anforderungen werden von Ihrer Lösung erfüllt? (Kreuzen Sie alle zutreffenden an.) A. Microsoft Office 2000 muss auf allen Desktops im gesamten Unternehmen installiert werden. B. In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Microsoft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflächen einzusetzen. C. Die zentrale Rechtsabteilung in New York installiert Microsoft Office 2000 nicht auf ihren Desktops. D. Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig gehalten werden. E. Die Lösung erfüllt keine dieser Zielsetzungen.
583
584
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
2. Sie sind Administrator einer großen multinationalen Organisation mit Büros in Paris, London, Berlin, Moskau, Tokio und Sydney sowie der Zentrale in New York. Ihr Informationsvorstand hat mit Microsoft verhandelt und macht Microsoft Office 2000 zum Unternehmensstandard für Büropakete. Er braucht Sie, um sicherzustellen, dass die Software verteilt wird. Die Anforderungen an die Bereitstellung sind: 씰
Microsoft Office 2000 muss auf allen Desktops im gesamten Unternehmen installiert werden.
씰
In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Microsoft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflächen einzusetzen.
씰
Die zentrale Rechtsabteilung in New York, für die eine eigene OU in der Active Directory-Struktur existiert, installiert Microsoft Office 2000 nicht auf ihren Desktops, weil alle ihre Dokumente von einem Add-on eines Drittanbieters für ein anderes Büropaket abhängen.
씰
Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig gehalten werden.
Sie kommen zum Ergebnis, dass die Anforderungen am besten folgendermaßen erfüllt werden können: 씰
Verwendung von Microsoft-Windows-2000-Gruppenrichtlinien zur Bereitstellung der Software.
씰
Erstellung eines GPO-Objekts auf Standortebene (jede Zweigstelle ist ein eigener Standort), das die Software Computern zuweist.
씰
Erstellung einer Transformationsdatei in jedem Standort-GPO für die an diesem Standort benötigte lokalisierte Version, und Hinzufügen dieser Datei zu dem Paket, das im GPO konfiguriert ist.
씰
Filtern des GPO am Standort New York, sodass es die Computer der OU der Rechtsabteilung nicht berücksichtigt.
Welche der folgenden Anforderungen werden von Ihrer Lösung erfüllt? (Kreuzen Sie alle zutreffenden an.) A. Microsoft Office 2000 muss auf allen Desktops im gesamten Unternehmen installiert werden. B. In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Microsoft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflächen einzusetzen.
Lernzielkontrolle
C. Die zentrale Rechtsabteilung in New York installiert Microsoft Office 2000 nicht auf ihren Desktops. D. Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig gehalten werden. E. Die Lösung erfüllt keine dieser Zielsetzungen. 3. Wenn Sie Windows-Installer-Paketdateien mit ZAP-Dateien vergleichen, welche der folgenden Aussagen trifft zu? (Wählen Sie die beste Antwort aus.) A. Im Gegensatz zu Paketdateien können ZAP-Dateien nicht für die Softwarebereitstellung verwendet werden. B. Mit Paketdateien können Erweiterungen veröffentlicht werden, die mit der Anwendung verknüpft sind. Mit ZAP-Dateien ist dies nicht möglich. C. ZAP-Dateien können, genau wie Paketdateien, mit höheren Privilegien installiert werden. D. Paketdateien enthalten Verknüpfungen, Registrierungseinstellungen und die zur Installation benötigten Dateien; dies trifft auf ZAP-Dateien nicht zu. E. Es gibt keinen Unterschied zwischen ZAP- und Paketdateien, was die verfügbare Funktionalität betrifft. 4. Sie müssen Benutzern in Ihrer Verkaufsabteilung eine Softwareanwendung verfügbar machen. Die Anwendung wird nicht im Windows-Installer-Paketformat geliefert. Benutzer haben die Wahl, ob die Software auf ihren Computern installiert werden soll. Welche der folgenden Möglichkeiten eignet sich am besten für die Bereitstellung dieser Anwendung mittels Gruppenrichtlinien? (Wählen Sie die beste Antwort aus.) A. Umpacken der Anwendung mit WinINSTALL LE und Zuweisung an den Benutzer. B. Umpacken der Anwendung mit WinINSTALL LE und Veröffentlichung für den Benutzer. C. Erstellung einer ZAP-Datei für die Anwendung und deren Zuweisung an den Benutzer. D. Erstellung einer ZAP-Datei für die Anwendung und deren Veröffentlichung für den Benutzer. E. Es ist nicht möglich, Software mittels Gruppenrichtlinien zu verteilen, wenn die Software nicht als Windows-Installer-Paketdatei verfügbar ist.
585
586
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
5. Wenn ein Paket für einen Benutzer veröffentlicht wird, wie kann der Benutzer die Installation der Softwareanwendung im Paket einleiten? (Wählen Sie zwei korrekte Antworten aus.) A. Durch Öffnen einer Datei, deren Erweiterung mit dem Paket verknüpft ist (Dokumentaktivierung) B. Durch Starten des Setup-Programms für das Paket (Installationsaktivierung) C. Durch Anmelden, wobei das Setup-Programm für die Anwendung gestartet wird (Anmeldungsaktivierung) D. Durch Verwendung von Software in der Systemsteuerung (Benutzeraktivierung) E. Durch Starten seines bzw. ihres Computers, wobei die Anwendung installiert wird (Computeraktivierung) 6. Im GPO für die OU der Verkaufsabteilung haben Sie ein Paket für die zwangsweise Entfernung bei allen Benutzern konfiguriert. Wenn Sie Benutzer in der Verkaufsabteilung besuchen, stellen Sie fest, dass die Anwendung von den Computern einiger Benutzer entfernt wurde, aber nicht bei allen. Was könnte der Grund dafür sein, dass sich das Paket immer noch auf den Computern einiger Benutzer in der Verkaufsabteilung befindet? (Wählen Sie die beste Antwort aus.) A. Diese Benutzer haben die Frage, ob die Anwendung entfernt werden soll, mit Nein beantwortet. B. Diese Computer wurden aus dem Gültigkeitsbereich des GPO herausgefiltert. C. Diese Benutzer haben das Paket auf ihren Computern als unerlässlich markiert, wodurch die zwangsweise Entfernung übergangen wurde. D. Diese Benutzer sind Verkaufsmanager und unterliegen deshalb nicht den Regeln des normalen Verkaufs-GPO. E. Sie haben die Anwendung mit Software in der Systemsteuerung neu installiert, nachdem sie entfernt worden war. 7. Sie möchten eine Aktualisierung für eine vorhandene Anwendung verteilen. Sie möchten sicherstellen, dass alle Benutzer die Aktualisierung erhalten, und dass die alte Version der Software nicht mehr verfügbar ist. Wie sollten Sie die Aktualisierung konfigurieren? (Wählen Sie zwei korrekte Antworten aus.)
Lernzielkontrolle
A. Ich mache die Aktualisierung obligatorisch. B. Ich mache die Aktualisierung optional. C. Ich erlaube Benutzern, die vorhandene Version zu behalten. D. Deinstallation der vorherigen Version bei Installation der Aktualisierung. E. Überschreiben der vorhandenen Version durch die Aktualisierung. 8. Welche Vorteile hat die Verwendung von Windows-Installer-Paketdateien bei der Softwarebereitstellung? (Wählen Sie alle korrekten Antworten aus.) A. Sie können Software nur dann auf dem Computer eines Benutzers installieren, wenn der Benutzer dafür die Berechtigung hat. B. Wichtige Dateien können automatisch ersetzt werden, wenn sie beschädigt oder gelöscht wurden. C. Dateien, die gemeinsam mit anderen Anwendungen benutzt werden, werden nicht gelöscht, wenn das Paket entfernt wird. D. Sie können Software Benutzern und Computern zuweisen. E. Sie können Software für Benutzer und Computer veröffentlichen. Antworten zu den Übungen Verwendung von Gruppenrichtlinien zur Softwarebereitstellung Test der Softwarebereitstellung mittels Gruppenrichtlinien 1. Ja, das Paket wird in der Liste der im Netzwerk verfügbaren Programme angezeigt. 2. Bei einer Paketdatei ist der Umfang der Benutzerinteraktion minimal. Während des Installationsvorgangs werden Statusinformationen angezeigt, aber es werden keine Eingaben von Optionen für die Anwendungskonfiguration angefordert. Die Installation wird erfolgreich abgeschlossen und verwendet die in der Paketdatei festgelegten Parameter. Wenn Sie eine ZAP-Datei anstelle einer Paketdatei verwenden, findet so viel Interaktion statt, wie das SetupProgramm für die zu installierende Anwendung benötigt. 3. Die Anwendung sollte normal funktionieren. Mit anderen Worten, sie sollte so funktionieren wie vor dem Umpacken, wenn Sie sie mit Veritas WinINSTALL LE bzw. nach Vorgaben des Herstellers umgepackt haben. Windows Installer führt einfach die Aufgaben aus, die vom Softwareentwickler vorgegeben sind, um die Anwendung zu installieren und funktionsfähig zu machen. Falls diese Konfiguration Fehler enthält, wenden Sie sich an den Hersteller bzw. die Person, welche die Software umgepackt hat.
587
588
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
Konfiguration von Softwarebereitstellungsoptionen Überprüfung der Zuordnung von Software zu Kategorien 1. Dienstprogramme, Dateileser und Büropakete. Es können auch andere Kategorien angezeigt werden, wenn Sie diese erstellt haben. 2. Ihr Paket sollte in allen Kategorien aufgelistet sein, die Sie dafür ausgewählt haben, einschließlich der in der Übung angesprochenen Kategorien Dienstprogramme und Dateileser. Konfiguration von Softwareaktualisierungen Testen der Paketaktualisierung 1. Windows Installer installiert die Aktualisierung. 2. Die ältere Version der Anwendung ist nicht mehr installiert, weil sie bei der Aktualisierung entfernt oder überschrieben wurde. Entfernen verteilter Pakete mittels Gruppenrichtlinien Testen der mittels Gruppenrichtlinien erzwungenen Paketentfernung 1. Sie erhalten Meldungen darüber, dass die verteilte Software während des Anmeldungsvorgangs entfernt wird. 2. Symbole und Verknüpfungen für die mittels Gruppenrichtlinien verteilte Software sind nicht mehr verfügbar. Die Pakete wurden vollständig von Ihrem Computer entfernt. Antworten auf Wiederholungsfragen 1. Software muss in Form einer Windows-Installer-Paketdatei vorliegen, oder Sie müssen eine ZAP-Datei erstellen, wenn Sie die Software mittels Gruppenrichtlinien verteilen möchten. Die MSI-Datei ist im systemeigenen Windows-Installer-Format und enthält die Dateien, Registrierungseinstellungen und Verknüpfungen, aus denen die Anwendung besteht, sowie Informationen darüber, wo diese Elemente installiert werden sollen. Eine ZAP-Datei ist eine Textdatei, in der Informationen gespeichert werden über das Programm, das zur Installation der Anwendung gestartet werden soll, evtl. nötige Parameter sowie Dateierweiterungen, die mit der Anwendung verknüpft werden sollen. Näheres finden Sie im Abschnitt »Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien«.
Lernzielkontrolle
2. Konfigurieren Sie ein GPO auf Domänenebene und erstellen Sie das Microsoft-Outlook-2000-Paket im Container Benutzerkonfiguration des GPO. Weisen Sie die Software zu, statt sie zu veröffentlichen, um sicherzustellen, dass sie auf den Desktops aller Benutzer installiert wird. Siehe Abschnitt »Softwarebereitstellung mittels Gruppenrichtlinien«. 3. Erstellen Sie ein GPO in der OU für deutsche Benutzer in Active Directory und weisen Sie ihm das Paket zu. Konfigurieren Sie eine Transformationsdatei (MST) mit den für die deutsche Sprache notwendigen Merkmalen und verknüpfen Sie die Datei mit dem Paket. Damit wird gewährleistet, dass Microsoft Outlook 2000 zwar immer noch installiert wird (es ist zugewiesen), dass aber auch die sprachlichen Anforderungen der deutschen Benutzer über die Transformationsdatei (MST) berücksichtigt werden. Siehe Abschnitt »Management der Softwarebereitstellung«. 4. Sie können eine ZAP-Datei erstellen, um die Anwendung zu installieren, und dann das Softwareprodukt in Gruppenrichtlinien veröffentlichen. Sie können die Anwendung auch mit einem Umpacktool von einem Drittanbieter wie etwa Veritas WinINSTALL LE umpacken, wodurch eine Windows-InstallerPaketdatei erzeugt wird, die bei der Bereitstellung größere Flexibilität gewährt. Siehe Abschnitt »Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien«. 5. Erstellen Sie Softwarekategorien, die domänenweit verfügbar sind. Ändern Sie dann Ihre Pakete in den verschiedenen GPOs und ordnen Sie die Pakete jeweils einer oder mehreren Kategorien zu. Auf diese Weise kann ein Benutzer, wenn er bzw. sie eine veröffentlichte Anwendung installieren möchte, in der Systemsteuerung unter Software die Liste aller Softwareprodukte oder nur die für ihn bzw. sie interessanten Kategorien anzeigen. Siehe Abschnitt »Management der Softwarebereitstellung«. 6. Sie würden eine Anwendung eher einem Computer als einem Benutzer zuweisen, wenn die Anwendung allen Benutzern auf einem oder mehreren Computern zur Verfügung stehen muss. Auf diese Weise ist wichtige Software immer für alle Benutzer verfügbar. Siehe Abschnitt »Softwarebereitstellung mittels Gruppenrichtlinien«. 7. Beim Einsatz von ZAP-Dateien können Sie das Paket nicht Benutzern oder Computern zuweisen; sie können es nur veröffentlichen. Dies liegt daran, dass eine ZAP-Datei lediglich dem Windows Installer mitteilt, welches Programm zum Starten des Installationsvorgangs aufgerufen werden soll. Windows Installer hat keinen Einfluss darauf, was während der Anwendungsinstallation tatsächlich geschieht und kann sie daher nicht steuern. Aus diesem Grund können Pakete nicht zugewiesen werden, da Windows Installer dazu die Installation der Softwareanwendung automatisieren muss. Siehe Abschnitt »Vorbereitung von Software für die Bereitstellung mittels Gruppenrichtlinien«.
589
590
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
8. Um in eine vorhandene MST-Datei eine Supporttelefonnummer und Website-Adresse einzufügen, würden Sie die Paketdatei (MSI) mit einem Umpackprodukt von einem Drittanbieter wie etwa Veritas WinINSTALL LE modifizieren. Siehe Abschnitt »Windows-Installer-Technologie«. 9. Ein Softwarepaket kann bei der Bereitstellung Dateien vom Computer eines Benutzers entfernen, wenn es umgepackt und während des Umpackens Dateien entfernt wurden. Zum Umpacken gehören ein Vorher- und ein NachherSchnappschuss vom Computer des Benutzers, um festzustellen, was während der Softwareinstallation verändert wurde. Alle Dateien, die entfernt oder geändert wurden, werden in das Paket aufgenommen. Wenn der Administrator das erzeugte Paket nicht sorgfältig unter die Lupe genommen und Elemente, die nicht an den Benutzer weitergegeben werden sollten, nicht korrigiert hat, kann es vorkommen, dass eine umgepackte Anwendung unerwünschte Änderungen am System des Benutzers vornimmt. Um dieses Problem zu korrigieren, modifizieren Sie das Paket oder packen Sie die Anwendung erneut. Siehe Abschnitt »Fehlersuche bei der Softwarebereitstellung«. 10. Um sicherzustellen, dass Benutzer eine Anwendung weiterhin verwenden können, nachdem sie aus einem GPO entfernt wurde, machen Sie die Paketentfernung optional. Dann kann ein Benutzer die Anwendung nach wie vor verwenden, bis er selbst beschließt, sie zu entfernen, wonach sie nicht mehr verfügbar ist. Siehe Abschnitt »Wartung von Softwarepaketen mittels Gruppenrichtlinien«. Antworten auf Prüfungsfragen 1. A, C, D. Ihre Lösung würde gewährleisten, dass Microsoft Office 2000 allen Computern in der Domäne zugewiesen wäre und installiert würde. Jedes auf Domänenebene definierte GPO gilt für alle Container und OUs innerhalb der Domäne, die nicht blockiert sind. Da Sie die Richtlinienvererbung für die OU der Rechtsabteilung blockiert haben, wird die Software dort nicht installiert. Die von Ihnen erstellten Transformationsdateien haben keine Wirkung, weil sie in eine GPO eingefügt wurden (tatsächlich bewirken sie, dass sämtliche Sprachversionen installiert werden), und die Software wird nicht für die einzelnen Büros lokalisiert. Die Kosten wurden niedrig gehalten, weil die Bereitstellung mittels Gruppenrichtlinien abgewickelt wurde und niemand wirklich verreisen musste. Siehe die Abschnitte »Softwarebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel sowie »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 2. A, B, C, D. Durch Definition des GPO auf Standortebene und Erstellung verschiedener Transformationsdateien für jeden Standort waren Sie in der Lage, das Paket für jeden Standort zu lokalisieren. Außerdem haben Sie durch Blockieren der Richtlinienvererbung in der OU der Rechtsabteilung sichergestellt, dass die Rechtsabteilung von dieser Unternehmensrichtlinie ausgenommen
Lernzielkontrolle
war. Schließlich haben Sie dadurch, dass Sie alles mithilfe von Windows2000-Gruppenrichtlinien erledigt haben, die Kosten gering gehalten. Siehe die Abschnitte »Softwarebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel und »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 3. D. Paketdateien beinhalten Verknüpfungen, Registrierungseinstellungen und die zur Installation benötigten Dateien; dies trifft auf ZAP-Dateien nicht zu. ZAP-Dateien sind Textdateien, welche die mit einer Anwendung verknüpften Erweiterungen sowie das Programm, das zur Installation der Softwareanwendung ausgeführt werden muss, beschreiben. Windows Installer kann ZAP-Dateien nicht mit höheren Privilegien ausführen, weil in Wirklichkeit Sie das Setup-Programm für die Anwendung ausführen müssen, und dieses im Sicherheitskontext des Benutzers ausgeführt wird, der die Installation einleitet. Sowohl ZAP- als auch MSI-Dateien (Paketdateien) können mit wenigen Einschränkungen bei der Softwarebereitstellung eingesetzt werden. Siehe Abschnitt »Vorbereitung von Software für die Bereitstellung mittels Gruppenrichtlinien«. 4. B. Es würde zwar auch D funktionieren, aber es ist besser, die Anwendung neu zu packen und zu veröffentlichen, als eine ZAP-Datei zu verwenden. Wenn der Benutzer nicht die Berechtigung zur Änderung der Registrierung oder zum Speichern von Dateien im Systemordner besitzt, könnte die Methode mit der ZAP-Datei fehlschlagen, weil die Anwendung nicht mit höheren Privilegien installiert werden kann. Windows-Installer-Paketdateien, auch solche, die mit WinINSTALL LE umgepackt wurden, können mit höheren Privilegien installiert werden. Bei Zuweisung der umgepackten Anwendung an alle Benutzer würden sie auf deren Computern installiert, ganz gleich, ob die Benutzer die Anwendung wollen oder nicht, aber Sie wollten den Benutzern die Entscheidung überlassen. ZAP-Dateien können nicht zugewiesen werden; Sie können sie lediglich veröffentlichen. Siehe die Abschnitte »Vorbereitung von Software für die Bereitstellung mittels Gruppenrichtlinien« in diesem Kapitel und »Softwarebereitstellung mittels Gruppenrichtlinien«. 5. A, D. Wenn ein Paket für einen Benutzer veröffentlicht wird, kann es entweder über Dokumentaktivierung (der Benutzer öffnet eine Datei, deren Erweiterung mit der Anwendung verknüpft ist) oder durch Benutzeraktivierung, wobei der Benutzer in der Systemsteuerung unter Software die zu installierende Softwareanwendung auswählt, installiert werden. Das Paket wird nicht installiert, wenn der Benutzer sich anmeldet oder der Computer neu gestartet wird, weil es veröffentlicht und nicht zugewiesen wurde. Damit eine automatische Installation stattfindet, müssten Sie das Paket dem Benutzer oder dem Computer zuweisen. Siehe Abschnitt »Softwarebereitstellung mittels Gruppenrichtlinien«.
591
592
Kapitel 7
Softwarebereitstellung mittels Gruppenrichtlinien
6. B. Dass die Anwendung immer noch auf deren Computern installiert war, liegt höchstwahrscheinlich daran, dass diese Benutzer aus dem GP herausgefiltert wurden, in dem die zwangsweise Entfernung konfiguriert war. Da die Entfernung der Software obligatorisch war, konnten die Benutzer sie nicht ablehnen, weil sie nie gefragt wurden. Ob es sich um Verkaufsmanager handelt oder nicht, die Gruppenrichtlinien gelten auch für sie (die Position hat bei Gruppenrichtlinien keine Priorität). Die Benutzer hätten das Paket mittels Software nicht neu installieren können, weil es nicht mehr zur Verfügung stand. Es war entfernt worden. Es gibt keine Möglichkeit, eine Anwendung auf einem Computer als »unerlässlich« zu markieren und so die GPO-Einstellungen zu übergehen; diese Funktionalität existiert nicht. Siehe die Abschnitte » Softwarebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel und »Gruppenrichtliniensicherheit« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 7. A, D. Um zu gewährleisten, dass alle Benutzer ausschließlich die neue Version haben, müssen Sie die Aktualisierung obligatorisch machen und die ältere Version während der Aktualisierung deinstallieren. Die Aktualisierung optional zu machen und den Benutzern zu erlauben, die alte Version zu behalten, ist ein und dasselbe. Beim Überschreiben der alten Version können Teile dieser Anwendung erhalten bleiben, was nicht Ihren Anforderungen entspricht. Siehe Abschnitt »Wartung von Softwarepaketen mittels Gruppenrichtlinien«. 8. B, C, D. Mit Windows-Installer-Paketdateien können Sie Benutzern und Computern Software zuweisen. Außerdem ist der Deinstallationsprozess intelligent genug, um beim Entfernen von Software zu wissen, welche Dateien noch von anderen Anwendungen benötigt werden, da der Windows-InstallerDienst Buch führt über solche Informationen. Schließlich sorgen WindowsInstaller-Pakete dadurch für widerstandsfähige Software, dass wichtige Dateien automatisch ersetzt werden, wenn sie beschädigt oder gelöscht wurden. Die Veröffentlichung von Software kann mittels ZAP-Dateien oder Windows-Installer-Paketen erfolgen, sodass diese Antwort, was Pakete betrifft, nicht 100% korrekt ist. Mit Windows-Installer-Paketdateien können Sie Software auf Computern von Benutzern installieren, auch wenn diese nicht die dafür nötigen Privilegien besitzen, weil Windows Installer eine Installation unter Verwendung seiner eigenen Privilegien (d.h. mit höheren Privilegien) durchführen kann. Siehe Abschnitt »Vorbereitung von Software für die Bereitstellung mittels Gruppenrichtlinien«.
Lernzielkontrolle
Weiterführende Literaturhinweise und Quellen Microsoft Windows 2000 Resource Kit. Deployment Planning Guide. Microsoft Press, 2000. Automated Deployment Options: An Overview White Paper auf der MicrosoftWebsite unter http://www.microsoft.com/windows2000/library/planning/client/ deployops.asp. Software Installation and Maintenance auf der Microsoft-Website unter http:// www.microsoft.com/windows2000/library/operations/management/ siamwp.asp. Automating the Development of Windows 2000 Professional an Office 2000 auf der Microsoft-Website unter http://www.microsoft.com/windows2000/ library/planning/incremental/sysprep.asp. Desktop Deployment Solutions from Third-Party Companies auf der Microsoft-Website unter http://www.microsoft.com/windows2000/guide/server/partners/DesktopSolutions.asp. Software Deployment Using Windows 2000 and Systems Management Server 2.0 auf der Microsoft-Website unter http://www.microsoft.com/windows2000/ library/planning/management/smsintell.asp. Windows Installer auf der Microsoft-Website unter http://www.microsoft.com/ windows2000/library/howitworks/management/installer.asp.
593
Sicherheit mittels Gruppenrichtlinien
8
Lernziele In diesem Kapitel werden folgende Ziele aus dem Prüfungsabschnitt »Konfigurieren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheitsmodellen von Active Directory« behandelt. Konfiguration und Fehlersuche der Sicherheit in einer Verzeichnisdienst-Infrastruktur 씰
Anwendung von Sicherheitsrichtlinien mittels Gruppenrichtlinien
씰
Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen
씰
Implementierung einer Überwachungsrichtlinie
Ihre Fähigkeiten zur Konfiguration und Fehlersuche bei Sicherheitsfragen in einer Active Directory-Struktur werden in der Prüfung angesprochen. Microsoft möchte sicherstellen, dass Sie mit der Änderung von Sicherheitseinstellungen mittels Sicherheitsvorlagen der Gruppenrichtlinien vertraut sind. Außerdem werden Ihre Kenntnisse darüber geprüft, welche Sicherheitselemente konfiguriert und eingesetzt werden können, wo (Benutzer oder Computer) sie eingesetzt werden, und was die Ergebnisse einer Sicherheitsrichtlinie sind. Sie müssen auch die Fähigkeiten und Features des Snap-Ins für das MMC Sicherheitskonfiguration und -analyse kennen, und wie es zur Anwendung und Überprüfung Ihrer Sicherheitsrichtlinien eingesetzt werden kann. Überwachung und Analyse von Sicherheitsereignissen Microsoft testet darüber hinaus Ihre Fähigkeit, Sicherheitseinstellungen durch Überwachung zu verfolgen, sowie Ihre Fähigkeit zur Festlegung einer Überwachungsrichtlinie, um das tatsächliche Ergebnis dieser Sicherheitspolitik zu ermit-
596
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
teln. Sie müssen wissen, wo Informationen über Sicherheitsereignisse zu finden und wie die Details zu analysieren sind, um die Ursache eines Sicherheitsbruchs zu ermitteln.
Tipps für das Selbststudium 씰
Die beste Vorbereitung für diesen Prüfungsabschnitt besteht in der Anwendung geeigneter Tools, die in diesem Kapitel erwähnt werden. Wenn Sie Sicherheitskonfiguration und -analyse interaktiv zur Analyse der Sicherheit auf einem Computer und zur Erstellung einer Vorlage verwenden, gewinnen Sie die wichtige praktische Erfahrung, die Ihnen die Beantwortung der Fragen zu diesen Tools erleichtert. Darüber hinaus sollte auch versucht werden, Sicherheitseinstellungen mittels Sicherheitskonfiguration und -analyse zu exportieren.
씰
Sie sollten SECEDIT.EXE über den Taskplaner für die Analyse der Sicherheitseinstellungen auf einem oder mehreren Computern konfigurieren und die erzeugten Datenbankinformationen überprüfen.
씰
Sie sollten mit den in Sicherheitsvorlagen verfügbaren Optionen vertraut sein und ein oder mehrere Gruppenrichtlinienobjekte für den Test dieser Einstellungen konfigurieren. Microsoft fordert von Ihnen Kenntnisse darüber, welche Arten von Sicherheitseinstellungen mittels Gruppenrichtlinien für den Computer und den Benutzer konfiguriert werden können.
씰
Daneben wird geprüft, ob Sie testen können, was vorgefallen ist, und ob Sie die Optionen für die Konfiguration einer Überwachungsrichtlinie kennen, deshalb sollten Sie eine oder mehrere Überwachungseinstellungen konfigurieren sowie Windows Explorer einsetzen, um den Datei- und Objektzugang zu aktivieren.
씰
Schließlich sollten Sie als Vorbereitung auf die Prüfung die Wiederholungsund Prüfungsfragen in diesem Kapitel beantworten und die Übungen und Schritt-für-Schritt-Anleitungen durcharbeiten. Ebenso hilfreich ist das Durcharbeiten der Musterprüfung im Buch und auf der CD.
8.1
Einführung
Sie haben gesehen, wie Gruppenrichtlinien mittels administrativer Vorlagen und Skripte zur Konfiguration von Benutzer- und Computereinstellungen eingesetzt werden können. Sie haben ebenfalls gesehen, wie Gruppenrichtlinien eingesetzt werden können, um Softwareanwendungen zu verteilen und den Zeitaufwand für die Installation von Software im Unternehmen zu minimieren. Mit Gruppenrichtli-
8.2 Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien
nien kann der Administrator Sicherheitselemente für unterschiedliche Bereiche der Organisation konfigurieren und so gewährleisten, dass wichtige Ressourcen nur von autorisierten Personen benutzt werden. In diesem Kapitel finden Sie heraus, welche Sicherheitseinstellungen über Windows 2000 konfiguriert werden können. Es werden Informationen über Sicherheitseinstellungen vorgestellt, die für den Computer wie auch den Benutzer konfiguriert werden können. Funktionalität und Nutzen der Sicherheitseinstellungen werden untersucht. Es wird eine Diskussion geführt über die Verwendung und die Typen von verfügbaren Sicherheitsvorlagen sowie darüber, wie sie erstellt werden können. Darüber hinaus wird das Snap-In Sicherheitsvorlagen für Microsoft Management Console (MMC) vorgestellt und erläutert, wie dieses zur Erstellung und Änderung von Sicherheitseinstellungen in Vorlagen verwendet werden kann. Anschließend wird gezeigt, wie Sicherheitseinstellungen für einen Computer mittels Sicherheitskonfiguration und -analyse, einem weiteren MMC-Snap-In, analysiert und konfiguriert werden können. Die Erstellung von Sicherheitsvorlagen mit Sicherheitskonfiguration und -analyse wird ebenfalls gezeigt. Eine Diskussion der Vorteile und Grenzen dieses MMC-Snap-Ins schließt sich an. Es wird die Verwendung von Gruppenrichtlinien für die Anwendung von Sicherheitseinstellungen auf eine Reihe von Computern erläutert. Nachdem diese Sicherheitseinstellungen mittels Gruppenrichtlinien konfiguriert wurden, wäre es hilfreich, wenn es eine Möglichkeit gäbe, deren Einhaltung im nötigen Umfang zu gewährleisten. Um herauszufinden, wie dies erreicht werden kann, erhalten Sie Informationen zur Überwachung, und es wird gezeigt, wie eine Überwachungsrichtlinie konfiguriert wird und welche Optionen dabei verfügbar sind.
8.2
Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien
Konfiguration und Fehlersuche der Sicherheit in einer Verzeichnisdienst-Infrastruktur 씰
Umsetzung von Sicherheitsrichtlinien mittels Gruppenrichtlinien
Wie Sie in den beiden vorangegangenen Kapiteln gesehen haben, können Gruppenrichtlinien zur Anwendung von Computer- und Benutzereinstellungen verwendet werden. Dies gilt auch für die Anwendung von Sicherheitsrichtlinien. Allerdings sind Gruppenrichtlinien im Zusammenhang mit Sicherheit ungleich stärker auf die Computerseite ausgerichtet, weil es das wichtigere Element der Sicherheit ist, zu gewährleisten, dass der Zugriff auf Ressourcen ausschließlich auf einen befugten Personenkreis beschränkt wird.
597
598
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Wie Abbildung 8.1 zeigt, kann die Anzahl der Elemente, die in der Computerkonfiguration von Gruppenrichtlinien angegeben werden kann, im Vergleich mit dem Bereich Benutzerkonfiguration ganz beträchtlich sein. Letzterer enthält nur einen Eintrag: Richtlinien öffentlicher Schlüssel. Die Einstellungen, die in Gruppenrichtlinien für den Computer konfiguriert werden können, sind in der folgenden Tabelle aufgeführt. Abbildung 8.1 Sicherheitsoptionen in Gruppenrichtlinien
Einstellung
Beschreibung
Kontorichtlinien
Ermöglicht die Festlegung von Richtlinieneinstellungen für Kennwörter und Kontensperrung. Richtlinieneinstellungen für Kennwörter umfassen das Kennwortalter (Minimum und Maximum), die Anzahl der gemerkten Kennwörter, um zu verhindern, dass der Benutzer innerhalb einer gewissen Zeitspanne (d.h. bis die Anzahl gemerkter Kennwörter erreicht ist) ein Lieblingskennwort wieder verwendet, die minimale Kennwortlänge und die Kennwortkomplexität. Daneben können Sie optional das Speichern des Kennworts mittels umkehrbarer Verschlüsselung konfigurieren. Zu den Einstellungen für die Kontensperrung gehören die Dauer der Kontensperrung, die Anzahl unkorrekter Anmeldungsversuche bis zur Kontensperrung und das Kontensperrintervall – die Zeit zwischen fehlerhaften Anmeldeversuchen, bevor der Zähler zurückgesetzt wird.
8.2 Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien
Einstellung
Beschreibung
Lokale Richtlinien
Ermöglicht die Konfiguration lokaler Computereinstellungen für die Überwachung, Zuweisung von Benutzerrechten (z.B. Lokale Anmeldung oder Anmeldung als Dienst) sowie spezielle Optionen für die Computersicherheit (wie etwa der dem Benutzer vor der Anmeldung anzuzeigende Meldungstext, ob der letzte Benutzeranmeldungsname bei der Anmeldung angezeigt werden soll usw.).
Ereignisprotokoll
Ermöglicht die Konfiguration von Protokolldateigrößen für die drei wichtigsten Ereignisprotokolle (System, Sicherheit und Anwendung), die Festlegung, ob Protokolle nach Erreichen ihrer Maximalgröße überschrieben werden sollen, sowie ggf. Einschränkungen der Leseberechtigungen für die Protokolldateien.
Eingeschränkte Gruppen
Ermöglicht Ihnen die Festlegung der Benutzer, die Mitglieder bestimmter Sicherheitsgruppen sein können, und weiterer Gruppen, in denen diese Gruppen Mitglieder sein können. Anders ausgedrückt, mit dieser Einstellung können Sie die Gruppenmitgliedschaft mittels Sicherheitsrichtlinie konfigurieren, um sicherzustellen, dass Benutzer immer Mitglieder bestimmter Gruppen sind, und dass bestimmte Gruppen Mitglieder anderer Gruppen sind, wenn die Richtlinie umgesetzt wird.
Systemdienste
Ermöglicht dem Administrator die Festlegung, wie Dienste und Geräte auf dem Computer gestartet werden sollen. Auf diese Weise können Sie sicherstellen, dass notwendige Dienste auf den Zielcomputern gestartet werden, während der Start von Diensten, die möglicherweise Probleme verursachen, verhindert werden kann.
Registrierung
Ermöglicht die Konfiguration der Sicherheit für Registrierungsschlüssel. Mittels Sicherheitsrichtlinie können Sie festlegen, wer Schlüssel ändern, lesen und zur Registrierung hinzufügen kann.
Dateisystem
Über diese Sicherheitseinstellung können Sie Sicherheitsparameter für Ordner und Dateien auf NTFS-Partitionen festlegen und sich darauf verlassen, dass diese umgesetzt werden, wenn die Sicherheitsrichtlinie in Kraft tritt.
599
600
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Einstellung
Beschreibung
Richtlinien öffentlicher Schlüssel
Ermöglicht Ihnen die Festlegung, welche Benutzer Datenwiederherstellungs-Agents für das EFS (Encrypted File System, verschlüsseltes Dateisystem) sein sollen. WiederherstellungsAgents können Dateien entschlüsseln, wenn der Benutzer, der sie verschlüsselt hat, nicht verfügbar ist oder entfernt wurde. Hier können Sie auch Zertifikatdateien von Stammzertifizierungsstellen importieren, denen Windows 2000 vertrauen soll, Vertrauenseinstellungen für Zertifizierungsstellen und deren Zertifikate konfigurieren und bestimmte Einstellungen für die automatische Zertifikatanforderung festlegen. Windows 2000 hat große Fortschritte gemacht, um zu gewährleisten, dass sichere Kommunikation stattfindet und dass nur die Computer bzw. Benutzer Zugriff erhalten, die einen gültigen Authentizitätsnachweis erbringen, wie etwa Zertifizierungen, Zugang erhalten. Diese wichtigen Sicherheitsfunktionen werden mittels Gruppenrichtlinien implementiert.
IP-Sicherheitsrichtlinien auf Active Directory
Ermöglicht Ihnen die Festlegung, wie Clients, Server und Domänencontroller kommunizieren und welche Sicherheitsstufe angefordert wird, erforderlich ist bzw. abgelehnt wird. Diese Einstellungen gelten für den TCP/IP-Verkehr zwischen den verschiedenen Typen von Windows-2000-Computern.
Auf Seiten der Benutzerkonfiguration gibt es nur einen Konfigurationsbereich in Gruppenrichtlinien: Richtlinien für öffentliche Schlüssel. Richtlinien für öffentliche Schlüssel, die konfiguriert werden können, enthalten nur einen Bereich: Organisationsvertrauen. Hier kann der Administrator für den Benutzer festlegen, welcher Stammzertifizierungsstelle vertraut werden soll, wodurch gewährleistet ist, dass der Benutzer keine anderen Zertifizierungsstellen zulassen kann. Offensichtlich ermöglicht Windows 2000 die Konfiguration der Sicherheit in vielen Bereichen, darunter Kennwortverwaltungs- und Kontenrichtlinien, lokale Richtlinien für Computer, eingeschränkte Gruppenmitgliedschaften sowie Einstellungen für die Registrierung und für Dateisysteme. Daneben können Sie beispielsweise Richtlinien für die Verwendung öffentlicher Schlüssel im verschlüsselten Dateisystem EFS und für die Netzwerkkommunikation über IPSec konfigurieren. Diese können in erster Linie für Computer konfiguriert werden, wobei für den Benutzer eine Untermenge verfügbar ist.
8.3 Implementierung von Sicherheitsrichtlinien
8.3
Implementierung von Sicherheitsrichtlinien
Konfiguration und Fehlersuche der Sicherheit in einer Verzeichnisdienst-Infrastruktur 씰
Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen
In Windows 2000 gibt es im Wesentlichen zwei Möglichkeiten zur Implementierung von Sicherheitsrichtlinien: die Verwendung von Sicherheitsvorlagen oder Gruppenrichtlinien. Der Unterschied ist nicht sehr groß. Vorlagen vereinfachen die mehrfache Anwendung von Einstellungen auf viele Systeme. Eine Auswahl von Einstellungen kann auch als Textdatei gespeichert und dann bei Bedarf in unterschiedlichen Bereichen erneut angewandt werden.
8.3.1
Sicherheitsvorlagen in Windows 2000
Eine Sicherheitsvorlage ist eine Textdatei mit der Erweiterung .INF (z.B. SECSERVER.INF). Diese Datei enthält Sicherheitseinstellungen, die mit Hilfe des MMCSnap-Ins Sicherheitskonfiguration und -analyse auf einen einzelnen Computer angewandt werden können. Diese Einstellungen können in Gruppenrichtlinien importiert werden und auf Standort-, Domänen- oder OU-Ebene angewandt werden. Sicherheitsvorlagen sind vorkonfigurierte Listen von Einstellungen und können einen oder mehrere der zuvor beschriebenen Abschnitte enthalten. Microsoft Windows 2000 wird mit einer Reihe von vorkonfigurierten Sicherheitsvorlagen ausgeliefert, die für den Einsatz auf Domänencontrollern, Servern und Workstations vorgesehen sind. Diese Vorlagen beinhalten vier Sicherheitsstufen, die den Umfang der verfügbaren Anwendungsfunktionalität beeinflussen können. Wenn Sie beispielsweise beschließen, eine hohe Sicherheitsstufe einzusetzen, funktionieren möglicherweise einige Anwendungen, die andere Bereiche des Betriebssystems nutzen, nicht mehr korrekt, weil der Benutzer vielleicht keinen Zugriff auf diese gesicherten Betriebssystembereiche hat. Sicherheitsvorlagen werden auf Windows-2000-Computern im Ordner WINNT\SECURITY\TEMPLATES gespeichert. Bei den vier Stufen von Sicherheitsvorlagen handelt es sich um folgende: 씰
Basic. Diese Vorlagen bilden die Standardsicherheitsstufe im Windows 2000. Sie bieten einen großen Umfang an Anwendungsfunktionalität, verhindern aber grundlegende Sicherheitsprobleme wie etwa Definition leerer Kennwörter durch Benutzer oder ständige Wiederverwendung derselben Kennwörter. Wie in Abbildung 8.2 gezeigt, liefert Microsoft elementare Standardvorlagen für Domänencontroller, (BASICDC), Server (BASICSV) und Workstations (BASICWK).
601
602
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
씰
Compatible. Diese Vorlagen bieten mehr Sicherheit, wie etwa eingeschränkten Zugriff auf bestimmte Bereiche der Registrierung, gewährleisten aber immer noch die ordnungsgemäße Ausführung von Geschäftsanwendungen. Windows 2000 enthält standardmäßig nur eine kompatible Vorlage für Workstations (COMPATWS).
씰
Secure. Bei diesen Vorlagen ist erstmals die Sicherheit wichtiger als die Funktionalität von Geschäftsanwendungen. Dies bedeutet, dass in einer sicheren Umgebung nicht garantiert werden kann, dass Geschäftsanwendungen funktionieren, weil diese möglicherweise Teile des Betriebssystems nutzen, die abgesichert wurden. So könnte eine Geschäftsanwendung etwa ohne Meldungen in das Anwendungsprotokoll der Ereignisanzeige schreiben, ohne dazu berechtigt zu sein. Sichere Vorlagen werden für Domänencontroller (SECUREDC) und Workstations (SECUREWS) mitgeliefert.
Abbildung 8.2 Mit Windows 2000 ausgelieferte vorkonfigurierte Sicherheitsvorlagen
씰
High. Diese Vorlagen erzwingen die Einstellungen für maximale Sicherheit in Windows 2000 und garantieren nicht, dass Geschäftsanwendungen (wie etwa Microsoft Works 2000, Buchhaltungssysteme usw.) funktionieren. Sie werden in einer Windows-2000-Umgebung normalerweise nicht eingesetzt, weil zu viele Anwendungen nicht mehr funktionieren, aber sie sind nützlich bei der Entwicklung von Windows-2000-Anwendungen mit hoher Sicherheitsstufe. Vorlagen der Stufe Hoch enthalten u.a. die Signatur von IP-Paketen zwischen Server und Workstation, Aussperrung von Benutzern und Verbindungsabbau, Schutz von Registrierung und Dateisystemkomponenten
8.3 Implementierung von Sicherheitsrichtlinien
sowie viele weitere Einstellungen. Windows 2000 wird mit hochsicheren Vorlagen für Domänencontroller, (HISECDC) und Workstations (HISECWS) geliefert. Neben den vier elementaren Vorlageneinstellungen enthält Windows 2000 auch weitere Vorlagen für bestimmte Aufgaben. Bei allen handelt es sich um Abwandlungen der vier Elementarstufen, aber sie werden im MMC-Snap-In Sicherheitsvorlagen nicht so bezeichnet. Im nächsten Abschnitt werden Sie herausfinden, wie das Snap-In SICHERHEITSVORLAGEN geöffnet und benutzt wird. Bei diesen zusätzlichen Vorlagen handelt es sich um folgende: 씰
DC SECURITY. Diese Vorlage enthält die Sicherheitseinstellungen, die standardmäßig auf allen Domänencontrollern eingesetzt werden. Sie enthält Dateisystem- und Registrierungsschutz, damit gewährleistet ist, dass Domänencontroller ordnungsgemäß funktionieren. Die Vorlage DC SECURITY wird auf allen Domänencontrollern in der Domäne automatisch konfiguriert und installiert und ist Bestandteil der Standardrichtlinie für Domänencontroller im Container DOMÄNENCONTROLLER von Active Directory.
씰 NOTSSID.
Diese Vorlage entfernt die Terminalserver-SID vom Windows 2000 Server-Computer. Für Benutzer ist der Zugang zum Terminalserver über deren SID und Gruppenmitgliedschaft definiert, aber nicht über die SID des Terminalserver-Kontos.
씰 OCFILESS.
Diese Vorlage wird verwendet, um auf Windows-2000-ServerComputern zusätzliche Dateisicherheit zu schaffen. Die in die Richtlinie aufgenommenen Dateien dürfen nicht installiert werden, was problematisch sein kann, weil die Richtlinie den meisten Benutzern einschließlich Administrator und System die Berechtigung zur Installation der Dateien entzieht. Diese Vorlage sollte erst eingesetzt werden, wenn die Dateien, die dadurch geschützt werden sollen, bereits installiert sind (d.h., installieren Sie zuerst alle Software und wenden Sie dann die Richtlinie an). Um die installierten Dateien zu ändern, müssen Sie die Richtlinie entfernen oder herausfiltern.
씰 OCFILESW.
Diese Richtlinienvorlage ist vergleichbar mit OCFILESS, betrifft aber Windows-2000-Professional-Computer. Die beiden Vorlagen unterscheiden sich hauptsächlich in den enthaltenen Dateien: eine Reihe von Dateien auf Windows-2000-Server-Computern sind auf Windows 2000 Professional nicht vorhanden.
씰
SETUPSECURITY. Diese Vorlage beinhaltet die Standardeinstellungen von Windows-2000-Professional- und Server-Computern, wie sie geliefert werden.
603
604
Kapitel 8
8.3.2
Sicherheit mittels Gruppenrichtlinien
Erstellung und Änderung von Sicherheitsvorlagen
In Windows 2000 werden Sicherheitsvorlagen mit Hilfe des MMC-Snap-Ins SICHERHEITSVORLAGEN erstellt und geändert. Dieses Snap-In ist in keiner MMCKonsole vorkonfiguriert, die unter Verwaltung oder Systemsteuerung verfügbar ist. Folgen Sie der Schrittanleitung, um MMC zu öffnen und das Snap-In SICHERHEITSVORLAGEN zur Konsole hinzuzufügen.
SCHRITT FÜR SCHRITT 8.1
Konfiguration von MMC mit dem Snap-In Sicherheitsvorlagen
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie AUSFÜHREN im STARTMENÜ. Geben Sie im Dialogfeld AUSFÜHREN mmc ein, wie in Abbildung 8.3 gezeigt. Abbildung 8.3 Starten von Microsoft Management Console mit der Option AUSFÜHREN im STARTMENÜ
3. Wählen Sie SNAP-IN HINZUFÜGEN/ENTFERNEN im Menü KONSOLE des MMC-Konsolenfensters, wie in Abbildung 8.4 gezeigt. Abbildung 8.4 Um ein Snap-In HINZUZUFÜGEN, wählen Sie Snap-In hinzufügen/entfernen im Menü Konsole des MMCKonsolenfensters
8.3 Implementierung von Sicherheitsrichtlinien
4. Klicken Sie im Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN auf die Schaltfläche HINZUFÜGEN, um das Dialogfeld EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN zu öffnen (siehe Abbildung 8.5), in dem Sie das Snap-In wählen können, das hinzugefügt werden soll. Abbildung 8.5 Durch Klicken auf HINZUFÜGEN wird eine Liste von verfügbaren Snap-Ins angezeigt
5. Rollen Sie abwärts, bis Sie SICHERHEITSVORLAGEN finden, und doppelklicken Sie dann auf SICHERHEITSVORLAGEN oder klicken Sie auf die Schaltfläche HINZUFÜGEN, um das Snap-In SICHERHEITSVORLAGEN zur MMC-Konsole hinzuzufügen, wie in Abbildung 8.6 gezeigt. 6. Klicken Sie auf SCHLIEßEN, um das Dialogfeld EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN zu schließen. 7. Klicken Sie auf OK, um das Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN zu schließen. 8. Um Ihre Konsoleinstellungen zu speichern, wählen Sie SPEICHERN UNTER im Menü KONSOLE (siehe Abbildung 8.7). Geben Sie dann im Dialogfeld SPEICHERN UNTER den Dateinamen ein. Beachten Sie, dass der Standardpfad für die Speicherung Ihrer Konsoleinstellungen der Ordner VERWALTUNG ist, sodass Ihre neue Konsole in die Programmgruppe VERWALTUNG aufgenommen würde. Durch Auswahl im Drop-down-Listenfeld SPEICHERN IN kann ein anderer Pfad angegeben werden, wie in Abbildung 8.8. gezeigt. Ihr Desktop eignet sich vielleicht nicht so gut, wie in Abbildung 8.9 gezeigt. 9. Wenn Sie fertig sind, schließen Sie die MMC-Konsole.
605
606
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Abbildung 8.6 Klicken Sie auf HINZUFÜGEN, um das Snap-In Sicherheitsvorlagen zur MMC-Konsole hinzuzufügen
Abbildung 8.7 Wählen Sie SPEICHERN UNTER im Menü KONSOLE von MMC, um Ihre Konsole mit dem SnapIn Sicherheitsvorlagen für die spätere Verwendung zu speichern
Nachdem Sie eine MMC-Konsole konfiguriert haben, die Sie immer wieder zur Erstellung und Änderung von Sicherheitsvorlagen verwenden können, sind Sie in der Lage, eine Vorlage zu erstellen. Führen Sie die Schrittanleitung aus, um eine Sicherheitsvorlage zu erstellen.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.8 Der Standardpfad zum Speichern von MMC-Konsoleinstellungen ist der Ordner VERWALTUNG. Sie können in diesem Dropdown-Listenfeld einen anderen Pfad wählen
Abbildung 8.9 Speichern der MMC-Sicherheitsvorlagen auf Ihrem Desktop
SCHRITT FÜR SCHRITT 8.2
Erstellung einer Sicherheitsvorlage mit Hilfe des Snap-Ins Sicherheitsvorlagen
1. Nachdem Sie sich bei einem Windows-2000-Computer als Administrator angemeldet haben, doppelklicken Sie auf die Verknüpfung für die MMCSicherheitsvorlagen, die Sie auf Ihrem Desktop erstellt haben, um Microsoft Management Console zu öffnen. 2. Erweitern Sie SICHERHEITSVORLAGEN in der MMC-Konsole, um einen Pfad anzuzeigen. Nachdem Sie den Standardpfad auf C:\WINNT\SECURITY\TEMPLATES erweitert haben, wird eine Liste der aktuell verfügbaren Vorlagen angezeigt, wie in Abbildung 8.10 zu sehen ist.
607
608
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
3. Wenn Sie einen neuen Pfad zum Speichern von Sicherheitsvorlagen hinzufügen möchten, wie in Abbildung 8.11 gezeigt, klicken Sie mit der rechten Maustaste auf SICHERHEITSVORLAGEN und wählen Sie NEUER VORLAGENSUCHPFAD. Dies kann nützlich sein, wenn Sie einen Satz von Vorlagen, die noch in Entwicklung sind, an einem Speicherort ablegen, aber nicht zur allgemeinen Verwendung freigeben möchten. Außerdem ist es sinnvoll in Fällen, in denen ein Satz von Sicherheitsvorlagen, die in einem Unternehmen eingesetzt werden, in einer Netzwerkfreigabe gespeichert werden kann. Abbildung 8.10 Anzeige der am Standardpfad verfügbaren Sicherheitsvorlagen
Abbildung 8.11 Klicken Sie mit der rechten Maustaste auf SICHERHEITSVORLAGEN, um einen neuen Suchpfad für Sicherheitsvorlagen hinzuzufügen
4. Um eine neue Sicherheitsvorlage hinzuzufügen, klicken Sie mit der rechten Maustaste auf den Standardpfad in der Liste (weil Sie dort die Vorlage erstellen werden) und wählen Sie NEUE VORLAGE, wie in Abbildung 8.12 gezeigt.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.12 Klicken Sie mit der rechten Maustaste auf den Standardpfad, um eine neue Sicherheitsvorlage hinzuzufügen
5. Geben Sie im Dialogfeld, das in Abbildung 8.13 gezeigt wird, einen Namen für die Sicherheitsvorlage und optional eine Kurzbeschreibung ein, die im MMC-Snap-In angezeigt wird. Klicken Sie auf OK, wenn Sie fertig sind. Abbildung 8.13 Geben Sie einen Namen und eine Beschreibung für die zu erstellende Vorlage ein
6. Sie haben nun eine Sicherheitsvorlage erstellt, die auf diesem Computer eingesetzt oder, wie Sie später sehen werden, in ein Gruppenrichtlinienobjekt importiert werden kann. Die erstellte Sicherheitsvorlage enthält sämtliche Optionen, aber es sind keine eingestellt. Die Standardkonfiguration für jedes Element der Vorlage ist nicht definiert, sodass Sie nur die Elemente der Vorlage konfigurieren und in Kraft setzen müssen, die Sie durchsetzen möchten.
609
610
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
7. Schließen Sie die MMC-Sicherheitsvorlagen, wenn Sie fertig sind. Nachdem Sie die Sicherheitsvorlage erstellt haben, müssen Sie die Einstellungen ändern, damit die Sicherheitsrichtlinie das gewünschte Verhalten widerspiegelt. Um eine Sicherheitsvorlage zu ändern, folgen Sie der Schrittanleitung.
HINWEIS Verwendung einer vorhandenen Sicherheitsvorlage Statt eine völlig neue Sicherheitsvorlage zu erstellen, wie in Schritt für Schritt 8.2 gezeigt, können Sie eine vorhandene Vorlage als Grundlage für die Erstellung einer neuen Vorlage verwenden. Klicken Sie hierzu mit der rechten Maustaste auf die Vorlage die Sie kopieren möchten, und wählen Sie SPEICHERN UNTER. Geben Sie im Dialogfeld SPEICHERN UNTER einen Dateinamen für die zu erstellende Vorlagenkopie ein. Der Sicherheitsvorlagenpfad wird nun aktualisiert, um die erstellte Vorlagenkopie zu berücksichtigen. Das Kopieren einer Vorlage hat gegenüber der Neuerstellung einige Vorteile, aber auch Nachteile. Ein wesentlicher Vorteil ist es, dass, falls die meisten Einstellungen, die Sie durchsetzen möchten, bereits enthalten sind, die Änderung für einige wenige neue Einstellungen nicht so aufwendig ist wie die Neueingabe sämtlicher Einstellungen. Wird eine vorhandene Vorlage jedoch kopiert, ohne deren Inhalt genau zu kennen, kann dies auch zur Umsetzung von Einstellungen führen, die Sie so nicht erwartet haben. Ganz gleich, ob Sie die Vorlage neu erstellen oder eine vorhandene kopieren, Sie sollten immer den Inhalt der betreffenden Vorlage kennen und gründlich überprüfen, ob die vorgenommenen Änderungen das gewünschte Ergebnis liefern. Wie bei allem ist Testen eine wichtige Anforderung.
SCHRITT FÜR SCHRITT 8.3
Änderung von Sicherheitsvorlageneinstellungen mit Hilfe des MMC-Snap-Ins Sicherheitsvorlagen
1. Nachdem Sie sich als Administrator bei einem Windows-2000-Computer angemeldet haben, doppelklicken Sie auf die Verknüpfung für die MMCSicherheitsvorlagen, die Sie auf Ihrem Desktop erstellt haben, um Microsoft Management Console zu öffnen. 2. Erweitern Sie SICHERHEITSVORLAGEN in der MMC-Konsole, bis eine Liste von Vorlagen angezeigt wird und Sie die zu ändernde Vorlage finden. 3. Erweitern Sie die Vorlage, um eine Liste von Einstellungen anzuzeigen, die Sie ändern können, wie in Abbildung 8.14 gezeigt. Diese Liste entspricht den Bereichen, die in der Tabelle weiter vorne in diesem Kapitel aufgeführt sind.
8.3 Implementierung von Sicherheitsrichtlinien
4. Markieren Sie den Bereich, in dem Sie eine Einstellung ändern möchten, beispielsweise KONTORICHTLINIEN. Es wird eine weitere Gruppe von Kategorien für Einstellungen angezeigt. Erweitern Sie die Einstellungen so lange, bis Sie die zu ändernde Einstellung gefunden haben, etwa MINIMALE KENNWORTLÄNGE in der KENNWORTRICHTLINIE, wie in Abbildung 8.15 gezeigt. Abbildung 8.14 Bei Erweiterung einer Sicherheitsvorlage wird eine Liste von Einstellungen angezeigt, die geändert werden können
Abbildung 8.15 Um die minimale Länge eines Kennworts zu ändern, erweitern Sie Kontorichtlinien und dann Kennwortrichtlinien in der zu ändernden Sicherheitsvorlage
5. Doppelklicken Sie im Detailbereich auf MINIMALE KENNWORTLÄNGE, und es wird ein Dialogfeld wie in Abbildung 8.16 angezeigt. Um die Richtlinie festzulegen, klicken Sie auf DIESE RICHTLINIENEINSTELLUNG IN DER VORLAGE DEFINIEREN und setzen Sie dann die minimale Kennwortlänge auf die gewünschte Anzahl von Zeichen, indem Sie das Feld KENNWORT MUSS MIN-
611
612
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
ZEICHEN ENTHALTEN auf dem Bildschirm ändern. Klicken Sie auf OK, wenn Sie fertig sind.
DESTENS N
Abbildung 8.16 Im Dialogfeld SICHERHEITSRICHTLINIENVORLAGE können Sie Einstellungen für Sicherheitsrichtlinien, wie z. B. die minimale Kennwortlänge, ändern
HINWEIS Dialogfeld Sicherheitsrichtlinienvorlage Die Informationen, die in diesem Dialogfeld angezeigt werden, variieren je nach verfügbaren Optionen für eine Einstellung und Art der Definition in der Vorlage. Das Dialogfeld mag zwar den gleichen Namen haben, aber die zu ändernden Informationen können unterschiedlich sein.
6. Um Ihre Änderungen zu speichern, wählen Sie im Menü KONSOLE von MMC SPEICHERN oder klicken Sie mit der rechten Maustaste auf die Vorlage und wählen Sie SPEICHERN, wie in Abbildung 8.17 gezeigt. 7. Schließen Sie die MMC-Konsole, wenn Sie fertig sind. Es wurde zwar noch nicht erwähnt, aber Sie können nicht mehr benötigte Sicherheitsvorlagen auch löschen. Löschen Sie hierzu die Datei direkt in dem Ordner, in dem sie sich befindet (z.B. C:\WINNT\Security\Templates), oder mit Hilfe des MMC-Snap-Ins SICHERHEITSVORLAGEN. Um die unerwünschte Sicherheitsvorlage im MMC-Snap-In SICHERHEITSVORLAGEN zu löschen, wie in Abbildung 8.18 gezeigt, klicken Sie mit der rechten Maustaste auf die zu löschende Vorlage und wählen Sie LÖSCHEN. Antworten Sie auf die Frage, ob Sie die Vorlage wirklich löschen möchten, mit JA, und sie ist weg.
8.3 Implementierung von Sicherheitsrichtlinien
Wie Sie gesehen haben, ist das Erstellen, Ändern und Löschen von Sicherheitsvorlagen relativ einfach. Der schwierigste Teil ist es, genau zu bestimmen, welche Einstellung angewandt werden soll. Diese Entscheidung beruht jedoch meistens eher auf Geschäftsanforderungen als auf technischen Gegebenheiten und erfordert möglicherweise Diskussionen mit anderen im Unternehmen. Abbildung 8.17 Ändern Sie Ihre Änderungen an der Sicherheitsvorlage, um sicherzustellen, dass sie in Kraft treten
Abbildung 8.18 Um eine Sicherheitsvorlage in MMC zu löschen, klicken Sie mit der rechten Maustaste auf die zu löschende Vorlage und wählen Sie Löschen
Sicherheitskonfiguration und -analyse Ein weiteres Tool zur Konfiguration von Sicherheitseinstellungen auf einem Computer ist das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. Das
613
614
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Snap-In SICHERHEITSVORLAGEN wurde zur Konfiguration von Einstellungen verwendet, die später in Gruppenrichtlinien importiert werden sollen. SICHERHEITSKONFIGURATION UND -ANALYSE ist in erster Linie für die Analyse der Sicherheitseinstellungen des lokalen Systems und die Anwendung von Sicherheitsvorlagen auf dem lokalen Computer vorgesehen. Es kann auch benutzt werden, um die lokale Sicherheitskonfiguration abzurufen und eine Sicherheitsvorlage zu erstellen, die diese Einstellungen widerspiegelt. Bei der Analyse der Sicherheitseinstellungen Ihres Systems kann SICHERHEITSKONFIGURATION UND -ANALYSE verwendet werden, um eine Sicherheitsvorlage zu importieren. Diese wird mit der Sicherheitskonfiguration des lokalen Computers verglichen. Die Analyseergebnisse können in einer Datenbank gespeichert werden, sodass der Administrator in der Lage ist, Änderungen an Sicherheitseinstellungen über die Zeit zu verfolgen. Die Standarderweiterung für die Datenbankdatei ist SDB, und bei Installation von Windows 2000 wird standardmäßig eine SDB-Datei erstellt, aber Sie haben darauf keinen direkten Zugriff. Bei der Konfiguration der Systemsicherheit kann SICHERHEITSKONFIGURATION UND -ANALYSE verwendet werden, um Sicherheitsvorlageneinstellungen zu importieren und direkt auf den lokalen Computer anzuwenden. Im Unterschied zu Gruppenrichtlinien können die Vorlageneinstellungen mit SICHERHEITSKONFIGURATION UND -ANALYSE nicht auf mehrere Computer zugleich angewandt werden. Wenn dies nötig ist, sollten Sie eine Sicherheitsvorlage in Gruppenrichtlinien in den Active Directory-Container importieren, in dem die Computer enthalten sind. Um Microsoft Management Console (MMC) zu öffnen und das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE zur Konsole hinzuzufügen, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 8.4
Konfiguration von MMC mit dem Snap-In Sicherheitskonfiguration und -analyse
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü AUSFÜHREN. Geben Sie im Dialogfeld AUSFÜHREN mmc ein. 3. Wählen Sie im Menü KONSOLE des MMC-Konsolenfensters SNAP-IN HINZUFÜGEN/ENTFERNEN. 4. Klicken Sie im Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN auf die Schaltfläche HINZUFÜGEN, und es wird das Dialogfeld EIGENSTÄNDIGES SNAP-IN
8.3 Implementierung von Sicherheitsrichtlinien
HINZUFÜGEN
angezeigt, in dem Sie das hinzuzufügende Snap-In auswählen
können. 5. Scrollen Sie abwärts, bis Sie SICHERHEITSKONFIGURATION UND -ANALYSE gefunden haben, und doppelklicken Sie dann auf SICHERHEITSKONFIGURATION UND -ANALYSE oder klicken Sie auf die Schaltfläche HINZUFÜGEN, um das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE zur MMC-Konsole hinzuzufügen, wie in Abbildung 8.19 gezeigt. Abbildung 8.19 Klicken Sie auf Hinzufügen, um das Snap-In Sicherheitskonfiguration und -analyse zur MMC-Konsole hinzuzufügen
6. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN zu schließen. 7. Klicken Sie auf SCHLIESSEN, um das Dialogfeld SNAP-IN FERNEN zu schließen.
HINZUFÜGEN/ENT-
8. Um Ihre Konsoleinstellungen zu speichern, wählen Sie SPEICHERN UNTER im Menü KONSOLE und geben Sie den Dateinamen im Dialogfeld SPEICHERN UNTER ein. 9. Wenn Sie fertig sind, schließen Sie die MMC-Konsole. Für die Verwendung des Snap-Ins SICHERHEITSKONFIGURATION UND -ANALYSE muss eine Datenbank erstellt werden, in der Sicherheitseinstellungen gespeichert werden. Sie können diese Datenbank nutzen, um Analysen Ihrer Einstellungen im Vergleich mit einer Sicherheitsvorlage durchzuführen und Ihre aktuelle Konfiguration zu speichern.
615
616
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Um eine Datenbank zu erstellen, die zur Analyse Ihres Computers im Vergleich mit einer Vorlage verwendet werden soll, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 8.5
Konfiguration einer Datenbank für die Analyse Ihres Computers in Sicherheitskonfiguration und -analyse
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an und öffnen Sie die MMC-Konsole SICHERHEITSKONFIGURATION UND -ANALYSE, die Sie in der Schrittanleitung erstellt haben. 2. Klicken Sie auf SICHERHEITSKONFIGURATION UND -ANALYSE, um die Datenbankanforderungen anzuzeigen, wie in Abbildung 8.20 gezeigt. 3. Folgen Sie der angezeigten Anleitung, um eine Datenbank zu erstellen. Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE und wählen Sie DATENBANK ÖFFNEN, wie in Abbildung 8.21 gezeigt. Abbildung 8.20 Sicherheitskonfiguration und -analyse benötigt eine Datenbank zum Speichern der Sicherheitseinstellungen
4. Geben Sie im Feld DATEINAME des Dialogfelds DATENBANK ÖFFNEN (siehe Abbildung 8.22) den Namen der zu erstellenden Datenbank ein, und klicken Sie auf ÖFFNEN. Beachten Sie, dass der Standardspeicherort der erstellten Datenbank ein Ordner namens SICHERHEIT ist. Wenn Sie den Pfad der Datenbank ändern möchten, ändern Sie den Zielordner mit Hilfe des Drop-downListenfelds SUCHEN.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.21 Um eine Datenbank zu erstellen, wählen Sie DATENBANK, nachdem Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE geklickt haben
Abbildung 8.22 Wählen Sie Dateiname und Speicherort der Datenbank für SICHERHEITSKONFIGURATION UND -ANALYSE
5. Als Nächstes wird ein Dialogfeld ähnlich Abbildung 8.23 angezeigt, in dem Sie aufgefordert werden, eine Sicherheitsvorlage zu importieren, die zum Vergleich der Sicherheitseinstellungen verwendet werden soll. Sie sollten eine Vorlage wählen, deren Einstellungen für den Computer, auf dem SICHERHEITSKONFIGURATION UND -ANALYSE ausgeführt wird, wünschenswert sind. Wenn Sie beispielsweise einen Domänencontroller mit elementaren Sicherheitseinstellungen konfigurieren wollten, würden Sie die Sicherheitsvorlage basicdc importieren. Wählen Sie eine Vorlage und klicken Sie auf OK, um deren Einstellungen zu laden.
617
618
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
6. Nachdem Sie eine Vorlage ausgewählt haben, importiert SICHERHEITSKONFIGURATION UND -ANALYSE deren Einstellungen und ändert dann den Detailbereich von MMC, um Informationen darüber anzuzeigen, wie Ihr Computer mit diesen Einstellungen konfiguriert wird, oder wie die Einstellungen Ihres Computers analysiert werden, wie in Abbildung 8.24 gezeigt. 7. Sie haben nun eine Datenbank erstellt, die Sie später zur Analyse Ihres Computers im Vergleich mit Vorlageneinstellungen verwenden können. Speichern Sie über das Menü KONSOLE die Einstellungen und schließen Sie die MMC-Konsole. Nun haben Sie eine MMC-Konsole mit dem Snap-In SICHERHEITSKONFIGURATION konfiguriert und diese zum Import der Sicherheitseinstellungen aus einer Sicherheitsvorlage verwendet. Damit können Sie feststellen, wie nahe die Sicherheitseinstellungen Ihres Computers bei den Vorgaben der Vorlage liegen, wie Sie im nächsten Abschnitt lernen werden.
UND -ANALYSE
Abbildung 8.23 Klicken Sie auf die Sicherheitsvorlage, deren Einstellungen als Grundlage für die Analyse des lokalen Computers dienen sollen, und klicken Sie auf Öffnen
8.3.3
Analyse Ihres Computers mittels Sicherheitskonfiguration und -analyse
Die Analyse der Sicherheitseinstellungen eines Computers bedeutet Vergleichen der aktuellen Konfiguration auf dem Computer mit der gewünschten Konfiguration, wie sie in einer Sicherheitsvorlage gespeichert ist. Das verwendete Programm ist das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. Sie können die Sicherheitseinstellungen mit einer Vorlage vergleichen, um sicherzustellen, dass die Computereinstellungen eine Unternehmensrichtlinie einhalten, oder um festzustellen, ob die Einstellungen seit der letzten Analyse geändert wurden.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.24 Nach dem Importieren einer Vorlage können Sie diese zur Konfiguration der Sicherheitseinstellungen Ihres Computers oder zur Analyse Ihrer Einstellungen im Vergleich mit der Vorlage verwenden
Um die Sicherheit eines Computers zu analysieren, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 8.6
Analyse der Sicherheitskonfiguration eines Computers mittels Sicherheitskonfiguration und -analyse
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und öffnen Sie die MMC-Konsole SICHERHEITSKONFIGURATION UND -ANALYSE, die Sie in der Schrittanleitung erstellt haben. 2. Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie DATENBANK ÖFFNEN. 3. Suchen Sie im Dialogfeld DATENBANK ÖFFNEN den Namen der Datenbankdatei, die Sie in der Schrittanleitung erstellt haben, klicken Sie darauf und klicken Sie dann auf ÖFFNEN. 4. Zur Durchführung der Analyse Ihres Systems müssen Sie eine Sicherheitsvorlage als Vergleichsgrundlage auswählen. Klicken Sie, wie in Abbildung 8.25 gezeigt, mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE und wählen Sie VORLAGE IMPORTIEREN oder gehen Sie über das Menü VORGANG.
619
620
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
5. Wählen Sie in dem angezeigten Dialogfeld die Vorlage, die Sie als Grundlage für die Analyse Ihres Computers verwenden möchten, und klicken Sie auf ÖFFNEN. Wie weiter vorne erwähnt, sollten Sie eine Vorlage wählen, die den erwünschten Einstellungen nahe kommt. 6. Um die Analyse durchzuführen, klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie COMPUTER JETZT ANALYSIEREN, wie in Abbildung 8.26 gezeigt. Abbildung 8.25 Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND
-ANALYSE, und wählen Sie VORLAGE IMPORTIEREN, um eine Vorlage als Basis für die Analyse zu importieren
7. Sie werden aufgefordert, den Speicherort der Fehlerprotokolldatei zu wählen, die möglicherweise während der Analyse erzeugt wird (siehe Abbildung 8.27). Behalten Sie den Standardpfad bei oder wählen Sie einen anderen, und klicken Sie dann auf OK. 8. Die Analyse der Sicherheitseinstellungen des Computers beginnt, und es wird das Fortschrittsdialogfeld ANALYSE DER SYSTEMSICHERHEIT angezeigt, wie in Abbildung 8.28 gezeigt. 9. Nach Abschluss der Analyse ändert sich das Erscheinungsbild der Konsole. Sie zeigt jetzt alle Bereiche an, die in die Vorlage aufgenommen wurden, im Vergleich mit den aktuellen Computereinstellungen, wie in Abbildung 8.29 gezeigt. An dieser Stelle steht Ihnen eine Reihe von Möglichkeiten zur Wahl.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.26 Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND
-ANALYSE, und wählen Sie COMPUTER JETZT ANALYSIEREN, um die Analyse zu beginnen
Abbildung 8.27 Wählen Sie einen Pfad- und Dateinamen für die Analyse-Fehlerprotokolldatei
10. Um die Analyseprotokolldatei anzuzeigen, klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und stellen Sie sicher, dass die Option PROTOKOLLDATEI ANSEHEN aktiviert ist. Wie in Abbildung 8.30 gezeigt, ändert sich die Anzeige im Detailbereich nun, um die Protokolldatei anzuzeigen. Sie können die Protokolldatei durchgehen, um festzustellen, ob während der Analyse ernsthafte Fehler aufgetreten sind.
621
622
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Abbildung 8.28 Während der Analyse zeigt das Dialogfeld ANALYSE DER SYSTEMSICHERHEIT STATUSINFORMATIONEN an
Abbildung 8.29 Nach Abschluss der Analyse werden alle Sicherheitseinstellungen aus der Vorlage in der MMC-Konsole angezeigt
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.30 Um die Analyseprotokolldatei anzuzeigen, klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie PROTOKOLLDATEI ANSEHEN
Abbildung 8.31 Nach Abschluss der Analyse können Sie die Vorlageneinstellungen mit den aktiven Einstellungen des Computers vergleichen
623
624
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
HINWEIS Analyse vieler Computer Für Situationen, in denen häufig die Analyse einer großen Menge von Computern anfällt, enthält Windows 2000 ein Befehlszeilenprogramm namens SECEDIT. Diesem Programm können der Dateiname und der Pfad der Datenbank sowie weitere in SICHERHEITSKONFIGURATION UND -ANALYSE festgelegte Parameter übergeben werden. Das Programm führt die Sicherheitsanalyse durch, wie Sie es in MMC getan haben, aber Sie benötigen trotzdem noch das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE, um die Analyseergebnisse anzuzeigen. Das Befehlszeilenprogramm SECEDIT.EXE kann dort wertvoll sein, wo es sinnvoll ist, die Analyse außerhalb der Spitzenlastzeiten durchzuführen. Tatsächlich ist das Programm in erster Linie zur Verwendung über den Taskplaner vorgesehen und nicht direkt über die Befehlszeile. Administratoren können einen zentralen Speicherort für die Datenbanken vieler Computer konfigurieren und erhalten dann auch die Ergebnisse an dieser Stelle. Nach der Analyse über Nacht kann der Administrator die Inhalte der Datenbanken mit Hilfe des Snap-Ins SICHERHEITSKONFIGURATION UND -ANALYSE durchsuchen, um festzustellen, ob Probleme vorliegen.
11. Um die Ergebnisse der Analyse anzuzeigen und den Vergleich zwischen Computereinstellungen und Datenbank zu sehen, erweitern Sie den Bereich, den Sie vergleichen möchten, und klicken Sie darauf, wie in Abbildung 8.31 angezeigt. Um beispielsweise für die Kennwortrichtlinie die Unterschiede zwischen den Einstellungen des Computers und denen in der Datenbank (d.h. den Einstellungen in der zum Vergleich herangezogenen Vorlage) zu ermitteln, würden Sie Kontorichtlinien erweitern und dann auf Kennwortrichtlinie klicken. Der Detailbereich würde drei Spalten enthalten: Richtlinie, für den Namen der Einstellung; Datenbankeinstellung, die Vorlageneinstellung in der Datenbank auf der Basis der von Ihnen importierten Vorlage, sowie Computereinstellung, die derzeit aktive Konfiguration des Systems. 12. Gehen Sie die Analyse durch, um ein vollständiges Bild davon zu erhalten, wie nahe Ihr System bei den Einstellungen der Vorlage liegt, und wo Änderungen angebracht sind. Schließen Sie die MMC-Konsole, wenn Sie fertig sind.
8.3.4
Konfiguration eines Computers mit Sicherheitseinstellungen
Mit SICHERHEITSKONFIGURATION UND -ANALYSE können Sie anhand der Analyseergebnisse ermitteln, ob die Vorlageneinstellungen richtig konfiguriert sind. Außerdem können Sie mittels SICHERHEITSKONFIGURATION UND -ANALYSE Einstellungen
8.3 Implementierung von Sicherheitsrichtlinien
von Sicherheitsvorlagen auf dem lokalen Computer anwenden. Führen Sie dazu die Schrittanleitung aus.
SCHRITT FÜR SCHRITT 8.7
Konfiguration eines Computers mit Sicherheitseinstellungen unter Verwendung von Sicherheitskonfiguration und -analyse
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an und öffnen Sie die MMC-Konsole SICHERHEITSKONFIGURATION UND -ANALYSE, die Sie in der Schrittanleitung erstellt haben. 2. Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie DATENBANK ÖFFNEN. 3. Suchen Sie im Dialogfeld DATENBANK ÖFFNEN den Namen der Datenbankdatei, die Sie zuvor erstellt haben, oder erstellen Sie eine neue Datenbank für die Vorlageneinstellungen, und klicken Sie dann auf ÖFFNEN. 4. Um Ihren Computer mit den soeben geladenen bzw. in der Datenbank gespeicherten Vorlageneinstellungen zu konfigurieren, klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie SYSTEM JETZT KONFIGURIEREN im Menü (siehe Abbildung 8.32). 5. Wählen Sie im angezeigten Dialogfeld den Speicherort der Fehlerprotokolldatei für die Konfiguration, und klicken Sie auf OK, wie in Abbildung 8.33 gezeigt. Abbildung 8.32 Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND
-ANALYSE, und wählen Sie SYSTEM JETZT KONFIGURIEREN, um die Vorlageneinstellungen auf den Computer anzuwenden
625
626
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Abbildung 8.33 Es muss ein Fehlerprotokollpfad und ein Dateiname angegeben werden, damit die Konfiguration des Computers fortgesetzt werden kann
6. Wie Sie beim Analysevorgang gesehen haben, wird bei der Konfiguration des Computers ein Statusbildschirm wie in Abbildung 8.34 angezeigt, der Ihnen Informationen über den Fortschritt der Anwendung von Sicherheitseinstellungen auf den lokalen Computer liefert. Nach deren Abschluss werden die verschiedenen Einstellungen nicht mehr im Bildschirm der MMC-Konsole SICHERHEITSKONFIGURATION UND -ANALYSE angezeigt. 7. Nachdem die Konfiguration abgeschlossen ist, können Sie die Ergebnisse prüfen, indem Sie wie bei der Analyse die Protokolldatei anzeigen (siehe Abbildung 8.35). 8. Schließen Sie die MMC-Konsole, wenn Sie fertig sind.
8.3.5
Export von Sicherheitseinstellungen in eine Vorlagendatei
Ein weiteres Feature von SICHERHEITSKONFIGURATION UND -ANALYSE ist die Möglichkeit, aktuelle, in der Konsole angezeigte Einstellungen in eine Sicherheitsvorlagendatei zu exportieren. Auf diese Weise können Sie die Konfiguration eines vorhandenen Systems in eine Vorlage exportieren, die in anderen Systemen importiert oder mittels Gruppenrichtlinie angewandt werden kann. Um eine Sicherheitskonfiguration mit SICHERHEITSKONFIGURATION UND -ANALYSE in eine Sicherheitsvorlage zu exportieren, folgen Sie der Schrittanleitung.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.34 Während der Konfiguration wird der Fortschritt in einem Statusbildschirm angezeigt
Abbildung 8.35 Nach Abschluss der Konfiguration können Sie prüfen, was sich geändert hat, indem Sie die Protokolldatei in Sicherheitskonfiguration und -analyse untersuchen
627
628
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
SCHRITT FÜR SCHRITT 8.8
Export von Sicherheitseinstellungen und Erstellung einer Sicherheitsvorlage mit Sicherheitskonfiguration und -analyse
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und öffnen Sie die MMC-Konsole SICHERHEITSKONFIGURATION UND -ANALYSE, die Sie in der Schrittanleitung erstellt haben. 2. Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie DATENBANK ÖFFNEN. 3. Suchen Sie im Dialogfeld DATENBANK ÖFFNEN den Namen der Datenbankdatei, in der sich die zu exportierenden Computereinstellungen befinden, und klicken Sie dann auf ÖFFNEN. 4. Um die Computerkonfiguration in eine Sicherheitsvorlagendatei zu exportieren, klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie VORLAGE EXPORTIEREN, wie in Abbildung 8.36 gezeigt. 5. Geben Sie im Dialogfeld VORLAGE EXPORTIEREN NACH, wie in Abbildung 8.37 gezeigt, den Namen der zu erstellenden Vorlagendatei ein und klicken Sie auf OK. Wenn Sie den Ordnerpfad für die Datei ändern möchten, können Sie dies im Drop-down-Listenfeld SPEICHERN IN tun. 6. Schließen Sie die MMC-Konsole, wenn Sie fertig sind. SICHERHEITSKONFIGURATION UND -ANALYSE ist zwar ein nützliches Werkzeug für Analyse, Anwendung und Export der Sicherheitseinstellungen eines Einzelcomputers, aber die Tatsache, dass dies nur auf einem Computer zu einer Zeit möglich ist, kann für Administratoren von großen Windows-2000-Netzwerken problematisch sein. Eine andere Möglichkeit, die zur Anwendung von Sicherheitseinstellungen auf eine Reihe von Computern genutzt werden kann, sind Gruppenrichtlinien.
8.3.6
Verwendung von Gruppenrichtlinien zur Anwendung von Sicherheitseinstellungen
Wie Sie in den vorangegangenen Kapiteln gesehen haben, handelt es sich bei Gruppenrichtlinien um ein Active Directory-Objekt, das genutzt werden kann, um eine große Anzahl von Konfigurationseinstellungen auf eine Sammlung von Objekten anzuwenden, die sich in einem Active Directory-Container befinden, wie etwa OU, Domäne oder Standort. Ebenso, wie Sie Gruppenrichtlinien verwenden können, um Einstellungen für administrative Vorlagen oder Softwarebereitstellung für eine Anzahl von Computern in einem Active Directory-Container gleichzeitig anzuwenden, ist dies für Sicherheitseinstellungen möglich.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.36 Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND
-ANALYSE, und wählen Sie VORLAGE EXPORTIEREN, um die aktuellen Computereinstellungen in eine Sicherheitsvorlagendatei zu exportieren
Abbildung 8.37 Geben Sie im Dialogfeld VORLAGE EXPORTIEREN NACH
den Pfad- und Dateinamen der zu erstellenden Sicherheitsvorlagendatei an
Bei der Anwendung von Sicherheitseinstellungen auf Computer mittels Gruppenrichtlinien verwenden Sie immer noch Vorlagen. Gruppenrichtlinien besitzen Standardvorlagen, die keine vorkonfigurierten Einstellungen enthalten und manuell konfiguriert werden können. Es ist besser, eine Vorlagendatei zu erstellen und dann in Gruppenrichtlinien zu importieren, weil so gewährleistet wird, dass alle Einstellungen, die gemäß Unternehmensrichtlinien erforderlich sind, ordnungsgemäß konfiguriert werden. Zugleich hat der Administrator damit die Möglichkeit, Sicherheitseinstellungen außerhalb der Gruppenrichtlinien zu erstellen und zu testen
629
630
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
(beispielsweise mittels SICHERHEITSKONFIGURATION UND -ANALYSE), bevor sie bei einer großen Anzahl von Computern auf Domänen-, OU- oder Standortebene eingeführt werden. Um Sicherheitsrichtlinien mittels Gruppenrichtlinien auf einen Active DirectoryContainer anzuwenden, importieren Sie eine oder mehrere Sicherheitsvorlagen in Sicherheitseinstellungen in Gruppenrichtlinien. Durch Import einer Sicherheitsvorlage in ein Gruppenrichtlinienobjekt wird gewährleistet, dass die Einstellungen automatisch bei allen Mitgliedern des Containers angewandt werden, wenn die Gruppenrichtlinie weitergegeben wird. Um Sicherheitseinstellungen mittels Gruppenrichtlinien anzuwenden und eine Sicherheitsvorlage in ein GPO zu importieren, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 8.9
Weitergabe von Sicherheitseinstellungen mittels Gruppenrichtlinien
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und starten Sie die MMC-Konsole, in der sich das Gruppenrichtlinienobjekt befindet, dessen Sicherheitseinstellungen Sie ändern möchten. (ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE). 2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO zwecks Anwendung von Sicherheitseinstellungen geändert werden soll, und klicken Sie auf EIGENSCHAFTEN. 3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie das GPO, das Sicherheitseinstellungen an Objekte in seinem Gültigkeitsbereich weitergeben soll. Klicken Sie auf BEARBEITEN, um den GRUPPENRICHTLINIENEDITOR zu öffnen. 4. Erweitern Sie COMPUTERKONFIGURATION (bzw. Benutzerkonfiguration, wenn Sie Benutzer.Sicherheitselemente ändern), WINDOWS-EINSTELLUNGEN und dann SICHERHEITSEINSTELLUNGEN, um die Bereiche anzuzeigen, die verändert werden können (siehe Abbildung 8.38). Sie können die Einstellungen an dieser Stelle manuell ändern, aber sie werden nicht als Sicherheitsvorlage gespeichert. Sie können eine vorhandene Vorlage importieren und ihre Einstellungen innerhalb des GPO anwenden lassen. 5. Um die Einstellungen einer Sicherheitsvorlage zu importieren, klicken Sie mit der rechten Maustaste auf SICHERHEITSEINSTELLUNGEN und wählen Sie RICHTLINIE IMPORTIEREN, wie in Abbildung 8.39 gezeigt.
8.3 Implementierung von Sicherheitsrichtlinien
Abbildung 8.38 Erweitern Sie W INDOWS-EINSTELLUNGEN und dann SICHERHEITSEINSTELLUNGEN im Container COMPUTERKONFIGURATION des Gruppenrichtlinieneditors, um anzuzeigen, welche Einstellungen angewandt werden können
Abbildung 8.39 Klicken Sie mit der rechten Maustaste auf SICHERHEITSEINSTELLUNGEN und wählen Sie RICHTLINIE IMPORTIEREN, um eine Sicherheitsvorlage in das GPO zu importieren
6. Suchen Sie im angezeigten Dialogfeld RICHTLINIE IMPORTIEREN VON (siehe Abbildung 8.40) den Pfad und Dateinamen der anzuwendenden Sicherheitsvorlage, und klicken Sie dann auf ÖFFNEN. Die Sicherheitsvorlageneinstellungen werden importiert und Sie kehren zum Gruppenrichtlinieneditor zurück. An dieser Stelle können Sie die Einstellungen überprüfen, um sicherzustellen, dass sie Ihren Erwartungen und den Vorgaben der Vorlage entsprechen.
631
632
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Abbildung 8.40 Suchen Sie die zu importierende Sicherheitsvorlage, und klicken Sie auf ÖFFNEN
7. Wenn Sie fertig sind, schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu speichern. 8. Klicken Sie auf OK, um das Dialogfeld ACTIVE DIRECTORY CONTAINEREIGENSCHAFTEN zu schließen. 9. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE), wenn Sie fertig sind. Wie die Diskussion zeigt, ist der Import von Sicherheitsvorlagen und deren Anwendung in einem GPO eine einfache Angelegenheit. Die Einstellungen der Vorlage werden nun bei allen Computern und/oder Benutzern im Gültigkeitsbereich des GPO umgesetzt. Sie können das MMC-Snap-In SICHERHEITSKONFIGURATION UND ANALYSE verwenden, um die Einstellungen einzelner Computer zu überprüfen. Windows 2000 bietet dem Administrator große Flexibilität bei der Implementierung einer Sicherheitsrichtlinie für Benutzer und Computer. Wie Sie gesehen haben, können Sie mit Sicherheitsvorlagen die Einstellungen konfigurieren, die für einen Computer bzw. Benutzer zu gelten haben. Mit SICHERHEITSKONFIGURATION UND -ANALYSE können Sie die gegenwärtig aktiven Einstellungen (Istzustand) mit denen in einer Sicherheitsvorlage (Sollzustand) vergleichen. Um auf einer Reihe von verschiedenen Computern bzw. für eine Anzahl verschiedener Benutzer die gleichen Sicherheitseinstellungen zu implementieren, können Sie Gruppenrichtlinien einsetzen und diese Einstellungen auf Standort-, Domänen- oder OU-Ebene zuweisen.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
8.4
Konfiguration und Implementierung einer Überwachungsrichtlinie
Konfiguration und Fehlersuche der Sicherheit in einer Verzeichnisdienst-Infrastruktur 씰
Implementierung einer Überwachungsrichtlinie.
Wie Sie gesehen haben, können Sie eine Sicherheitsrichtlinie entweder in Sicherheitskonfiguration und -analyse oder mittels Gruppenrichtlinien konfigurieren. Ein sehr wichtiges Element, das es dabei zu berücksichtigen gilt, ist die Verfolgung sicherheitsrelevanter Ereignisse, um festzustellen, ob Ihre Einstellungen effektiv sind, also unbefugten Zugriff auf Ressourcen verhindern. Richtlinien zur Sicherheitsüberprüfung stellen einen Bereich der Sicherheitspolitik dar, in dem Sie festlegen können, welche sicherheitsrelevanten Ereignisse überwacht bzw. potenziell überwacht werden sollen. Durch Überwachung solcher sicherheitsrelevanten Systemereignisse sind Sie in der Lage, Angriffsversuche zu erkennen, bei denen Eindringlinge versuchen, Daten im System zu beschädigen oder Zugriff auf Ressourcen zu erlangen, die sie nicht erreichen sollten. Bei der Überwachung verfolgen Sie Benutzer- und Betriebssystemaktivitäten bzw. -ereignisse auf einem Computer. Diese Informationen werden im Sicherheitsprotokoll der Ereignisanzeige gespeichert. Jeder Eintrag bzw. Datensatz im Sicherheitsprotokoll enthält die ausgeführte Aktion, den ausführenden Benutzer und die Information, ob die Aktion erfolgreich war oder nicht. Die zu überwachenden Ereignisse werden in einer Überwachungsrichtlinie festgelegt, die eine Komponente einer Sicherheitsrichtlinie ist. Wie gesagt, eine Überwachungsrichtlinie kann innerhalb der Sicherheitseinstellungen der Gruppenrichtlinien, oder in SICHERHEITSKONFIGURATION UND -ANALYSE für einen Einzelcomputer, konfiguriert werden. Die Ereignisse, die überwacht und in eine Überwachungsrichtlinie aufgenommen werden können, bilden ein breites Spektrum. Die folgende Tabelle listet die Ereignistypen auf. Zu jedem Ereignis können Sie Erfolg oder Fehler erfassen.
633
634
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Ereignis
Beschreibung
Anmeldeereignisse überwachen
Dieses Ereignis tritt auf einem Domänencontroller ein, wenn dieser eine Anforderung zur Validierung eines Benutzerkontos erhält. Es unterscheidet sich vom Ereignis Anmeldung, das weiter hinten in dieser Tabelle behandelt wird. Ein Ereignis des Typs Kontoanmeldung tritt ein, wenn ein Benutzer versucht, sich bei einem Computer anzumelden und ein Anmeldekonto auf Domänenebene angibt. Wenn der Domänencontroller vom Clientcomputer eine Anforderung zur Anmeldung im Netzwerk erhält, so gilt dies als Eintreten eines Kontoanmeldeereignisses. Es sollte darauf hingewiesen werden, dass Computer ebenso wie Benutzer eine Kontoanmeldung anfordern können.
Kontenverwaltung überwachen
Dieses Ereignis tritt ein, wenn ein Administrator ein Benutzerkonto bzw. eine Gruppe erstellt, ändert oder löscht. Außerdem wird es verwendet, um das Umbenennen, Deaktivieren, Aktivieren oder Ändern des Kennworts eines Benutzerkontos durch einen Administrator zu verfolgen. Mit diesem Ereignis können Sie Änderungen an Benutzern oder Gruppen im Standort, in der Domäne oder in der OU verfolgen. Außerdem kann dieses Ereignis zur Überwachung von Änderungen an lokalen Benutzern und Gruppen auf Computern mit Windows 2000 Server bzw. Professional verwendet werden.
Active DirectoryZugriff überwachen
Dieses Ereignis verfolgt Benutzerzugriffe auf ein bestimmtes Active Directory-Objekt. Durch Aktivierung dieses Überwachungsereignisses in Windows 2000 wird nicht automatisch die Verfolgung von Zugriffen auf alle Active Directory-Objekte eingeschaltet. Sie müssen festlegen, welche Benutzer und Gruppen Zugriff auf einen bestimmten Active DirectoryContainer haben sollen, der dadurch überwacht wird, dass Einträge in der Registerkarte Überwachung der Einstellungen unter Erweiterte Sicherheit für ein Active Directory-Objekt geändert werden.
Anmeldeversuche überwachen
Dieses Ereignis wird ausgelöst, wenn ein Benutzer sich bei einem lokalen Computer an- oder abmeldet. Es kann auch verwendet werden, um den Netzwerkzugriff auf einen Computer zu verfolgen, weil der Benutzer sich zum Aufbau einer Verbindung mit einem Computer über das Netzwerk anmelden muss. Anmeldungsereignisse treten auf dem Computer ein, bei dem der Zugang angefordert wird, im Gegensatz zu Kontoanmeldeereignissen, die immer auf Domänencontrollern auftreten.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
Ereignis
Beschreibung
Objektzugriffsversuche überwachen
Zu diesen Ereignissen gehört der Versuch eines Benutzers, Zugriff auf eine Datei oder einen Ordner in einer NTFS-Partition oder auf einen Drucker zu erhalten. Durch Aktivierung der Objektzugriffsversuche, z.B. Active Directory-Zugriff, wird dieses nicht automatisch für den Computer aktiviert; stattdessen wird die Überwachung für Dateien und Drucker auf dem Computer ermöglicht. Um festzulegen, welche Dateien, Ordner und Drucker überwacht werden sollen, können Sie die Sicherheitseinstellungen des zu überwachenden Objekts ändern.
Richtlinienänderungen überwachen
Dieses Ereignis überwacht den Erfolg bzw. Misserfolg von Versuchen zur Änderung von Sicherheitsoptionen, wie etwa Kennwortrichtlinie, Zuweisung von Benutzerrechten, Einstellungen für die Kontosperrung oder Überwachungsrichtlinien. Mit anderen Worten, diese Reihe von Ereignissen verfolgt Änderungen an Sicherheitseinstellungen des Computers oder GPOs einschließlich der zu überwachenden Ereignisse.
Rechteverwendung überwachen
Diese Ereignisse verfolgen die Verwendung bestimmter Privilegien und Benutzerrechte durch eine Person. Dazu gehören die Übernahme der Eigentümerschaft für Dateien und Ordner, Änderung der Systemzeit, Laden bzw. Entladen von Gerätetreibern und Änderung von Kontingenten. Mit Ausnahme von Anmeldungs- und Abmeldungsberechtigungen und -ereignissen, die das Windows-2000-Sicherheitsprotokoll betreffen, wie etwa Herunterfahren oder Neustarten des Computers, kann dieses Ereignis verwendet werden, um fast alle Benutzerrechte zu überwachen, die zugewiesen werden können.
Prozessverfolgung überwachen
Dieses Ereignis wird zur Verfolgung der Ausführung von Prozessen auf dem System verwendet. Dazu gehören u.a. Start und Beendigung einer Anwendung sowie weitere von einer Anwendung selbst geöffnete Programme. Im Allgemeinen würden Sie die Prozessverfolgung nur aktivieren, wenn Sie Programmierer sind und den Ablauf Ihrer Programme und die von Windows 2000 aufgezeichneten Prozessinformationen sehen möchten.
Systemereignisse überwachen
Dieses Ereignis betrifft das Herunterfahren und den Neustart eines Computers durch den Benutzer. Weitere Ereignisse umfassen alles, was Sicherheitselemente in Windows 2000, beispielsweise Löschen des Sicherheitsprotokolls in der Ereignisanzeige, oder andere sicherheitsbezogene Einstellungen auf dem Computer betrifft.
635
636
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Angesichts dieser Tabelle sollten Sie nun verstehen, dass es möglich ist, fast jede Aktion zu verfolgen, die in einem System durchgeführt wird, falls dies gewünscht wird. Im Allgemeinen ist zu viel Überwachung jedoch nicht zu empfehlen. Die Überwachung kann die Leistung des Zielsystems ernsthaft beeinträchtigen. Andererseits ist der Totalverzicht auf Überwachung zwar besonders gut für die Leistung, bietet aber auch keine Informationen über Versuche von Außenstehenden, Zugriff auf Ressourcen zu erlangen. Das ideale Ausmaß der Überwachung liegt auf dem Grat zwischen Leistung und Sicherheit und ist für jede Organisation anders zu bewerten. Die Planung ist der Schlüssel.
8.4.1
Planung einer Überwachungsrichtlinie
Bei der Entscheidung, ob und in welchem Umfang eine Überwachungsrichtlinie implementiert werden soll, spielt die Planung eine überragende Rolle. Wie zuvor gesagt, zu viel Überwachung kann das System auf die Knie zwingen und das Netzwerk sowie die Computer in den Augen der Benutzer als zu langsam für die Bewältigung ihrer Aufgaben erscheinen lassen. Auf der anderen Seite kann zu wenig oder gar keine Überwachung das System für Angriffe verwundbar machen und einen Eindringling unterstützen, statt ihn zu behindern. Eine allgemeine Daumenregel besagt, dass nur die Ereignisse zu überwachen sind, die in Ihrer Umgebung Sinn machen. Berücksichtigen Sie bei der Planung einer Überwachungsrichtlinie folgende Leitlinien: 씰
Stellen Sie fest, auf welchen Computern die Überwachung konfiguriert werden soll. Die Überwachung kann bei einzelnen Computern ein- oder ausgeschaltet werden; deshalb sollten Sie feststellen, bei welchen Computern Erfolg oder Misserfolg von Benutzeraktionen verfolgt werden sollen. So sind etwa Dateiserver und Domänencontroller, die vertrauliche oder unternehmenswichtige Daten enthalten, gute Kandidaten für die Überwachung. Desktop-Computer von Benutzern hingegen sollten, mit Ausnahme von Hochsicherheitsumgebungen wie nationalen Sicherheitsbehörden, Militär oder bestimmter Bereiche von Finanzinstituten, wahrscheinlich nicht überwacht werden. Solche Computer enthalten normalerweise keine vertraulichen oder unternehmenswichtigen Daten. Wie immer gibt es Ausnahmen, und diese sollten als solche behandelt werden.
씰
Ermitteln Sie für jeden Computer die zu überwachenden Ereignistypen. Auf manchen Computern sollten bestimmte Ereignistypen überwacht werden, die bei anderen Computern nicht relevant sind. Domänencontroller sind beispielsweise gute Kandidaten für die Überwachung von Ereignissen der Typen Kontoanmeldung, Kontenverwaltung und Active Directory-Zugriff. Bei Windows 2000 Server werden eher die Ereignistypen Datei- und Ordner-
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
zugriff sowie Rechteverwendung überwacht. Alle Computer sind u.U. gute Kandidaten für die Überwachung der Ereignisse vom Typ System (Systemstart und Herunterfahren) und Anmeldung. Prüfen Sie für jeden Computer, welche Ereignisse sinnvollerweise auf diesem Computer überwacht werden sollten. 씰
Müssen Sie den erfolgreichen Zugriff auf bzw. Nutzung einer Ressource, den Misserfolg dabei oder beides verfolgen? Offensichtlich liefert die Verfolgung beider Ereignisklassen mehr Daten, aber liefern diese Daten auch nützliche Informationen oder erschweren sie lediglich das Aufspüren von Versuchen zur Umgehung der Sicherheitseinstellungen auf dem Computer? ERFOLGREICH und FEHLGESCHLAGEN zusammen können für die Ressourcenplanung verwendet werden, wogegen Fehler alleine Sie auf mögliche Sicherheitsbrüche aufmerksam machen können.
씰
Stellen Sie fest, für welche Objekte und Benutzer Sie Ereignisse verfolgen möchten. Wie zuvor angedeutet, müssen manche Ereignisse, wie etwa Objektzugriffsversuche (Datei, Ordner und Drucker) und ACTIVE DIRECTORY-ZUGRIFF ÜBERWACHEN für das fragliche Objekt und für Benutzer, deren Zugriffe Sie überwachen möchten, konfiguriert werden. Die Verfolgung von ERFOLGREICH und FEHLGESCHLAGEN bei der Systemgruppe Jeder erfasst zwar alle Benutzer, könnte aber einmal mehr zu viele Daten und nicht viele nützliche Informationen liefern. Sie müssen sich entscheiden, für welche Benutzer und für welche Objekte Sie den Zugriff überwachen möchten.
씰
Stellen Sie fest, ob Sie Nutzungstrends über die Zeit verfolgen möchten. Ist dies der Fall, so müssen Sie die Sicherheitsprotokolle regelmäßig archivieren und über längere Zeit aufbewahren. Dies hat nicht unbedingt Einfluss auf die Entscheidung, was zu überwachen ist; es führt eher ein weiteres administratives Element in die Gleichung ein. Zu den relevanten Faktoren gehören Aufbewahrungsdauer und Aufbewahrungsort für Protokolle sowie die Frage, ob sie regelmäßig ausgewertet werden sollen, um Trends zu verfolgen, und wie dies zu bewerkstelligen ist.
씰
Prüfen Sie die Protokolle häufig und regelmäßig. Eine Überwachungsrichtlinie zu konfigurieren und dann das Sicherheitsprotokoll niemals anzusehen ist etwa so sinnvoll wie einen Sechser im Lotto zu haben und den Gewinn nicht abzuholen. Sie fühlen sich gut, weil Sie wissen, dass Sie sechs Richtige mit Zusatzzahl haben, aber Sie bekommen kein Geld. Bei ihren Anstrengungen, alles reibungslos am Laufen zu halten, sollten Administratoren regelmäßig (täglich ist gut) die Protokolle prüfen und auf Ereignisse achten, die nicht vorkommen sollten.
637
638
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Ein länglicher, auf Überwachung konzentrierter Planungsprozess hat zur Einigung zwischen dem Management und allen anderen Beteiligten geführt. Nun, da Sie festgelegt haben, welche Überwachung stattzufinden hat, müssen Sie die Politik implementieren.
8.4.2
Einrichtung einer Überwachungsrichtlinie
Bei der Einrichtung einer Überwachungsrichtlinie können Sie je nach Geltungsbereich der Richtlinie eines von zwei Tools einsetzen. Um eine Überwachungsrichtlinie für einen Einzelcomputer zu konfigurieren, können Sie das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE auf dem lokalen Computer einsetzen, auf dem die Richtlinie implementiert werden soll. Dadurch wird jedoch lediglich gewährleistet, dass die Überwachungsrichtlinie diesen einen Computer betrifft, aber dies bringt möglicherweise nicht so viel Nutzen wie die Anwendung ähnlicher Einstellungen auf eine ganze Reihe von Computern. Um eine Überwachungsrichtlinie für mehrere Computer zugleich zu konfigurieren, können Sie Gruppenrichtlinien verwenden. Um eine Überwachungsrichtlinie mittels Gruppenrichtlinien zu definieren, folgen Sie der Schrittanleitung.
SCHRITT FÜR SCHRITT 8.10 Konfiguration einer Überwachungsrichtlinie mittels Gruppenrichtlinien 1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und starten Sie die MMC-Konsole, in der sich das Gruppenrichtlinienobjekt befindet, für das Sie eine Überwachungsrichtlinie konfigurieren möchten. (ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORYSTANDORTE UND -DIENSTE). 2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO zwecks Installation einer Überwachungsrichtlinie geändert werden soll, und klicken Sie auf EIGENSCHAFTEN. 3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie das GPO, das Sicherheitseinstellungen an Objekte in seinem Gültigkeitsbereich weitergeben soll. Klicken Sie auf BEARBEITEN, um den Gruppenrichtlinieneditor zu öffnen. 4. Erweitern Sie COMPUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN SICHERHEITSEINSTELLUNGEN und dann LOKALE RICHTLINIEN, um die Bereiche des Systems anzuzeigen, auf welche die Überwachungsrichtlinie angewandt werden kann (siehe Abbildung 8.41).
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
5. Wählen Sie den zu überwachenden Ereignistyp und doppelklicken Sie darauf, um das Dialogfeld zur Einstellungsdefinition zu öffnen, wie in Abbildung 8.42 gezeigt. Abbildung 8.41 Erweitern Sie W INDOWS-EINSTELLUNGEN, SICHERHEITSEINSTELLUNGEN und dann LOKALE RICHTLINIEN im Container COMPUTERKONFIGURATION des Gruppenrichtlinieneditors, um eine Überwachungsrichtlinie zu konfigurieren
Abbildung 8.42 Doppelklicken Sie auf das Ereignis, für das Sie die Überwachung konfigurieren möchten, um das Dialogfeld SICHERHEITSRICHTLINIE zu öffnen
6. Klicken Sie in das Kontrollkästchen DIESE RICHTLINIENEINSTELLUNG DEFINIEREN, und wählen Sie, ob für das Ereignis ERFOLGREICH, FEHLGESCHLAGEN oder beides überwacht werden soll, indem Sie die entsprechenden Kontrollkästchen aktivieren. Klicken Sie auf OK, um Ihre Änderungen zu speichern. Der Gruppenrichtlinieneditor zeigt Ihre Änderungen an, wie in Abbildung 8.43 gezeigt. 7. Wiederholen Sie die Schritte 5 und 6 für jedes weitere Ereignis, das Sie überwachen möchten. Wenn Sie fertig sind, schließen Sie den Gruppenrichtlinieneditor.
639
640
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
8. Klicken Sie auf OK, um das EIGENSCHAFTEN-Dialogfeld zu schließen. 9. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Wie Sie sehen, ist die Einrichtung einer Überwachung ganz einfach. Denken Sie jedoch daran, dass Sie für den Zugriff auf Objekte und Verzeichnisdienste noch festlegen müssen, für welche Objekte (Dateien, Ordner oder Drucker) bzw. Active Directory-Container Sie den Zugriff von wem überwachen möchten.
8.4.3
Überwachung des Zugriffs auf Ressourcen
Nachdem Sie die Überwachungsrichtlinie für die Überwachung von Objekt- und Active Directory-Zugriffen konfiguriert haben, müssen Sie zusätzliche Schritte und weitere Planungsaufgaben ausführen, um sicherzustellen, dass die Ereignisse zu wichtigen Ressourcen überwacht werden. Zu solchen Ressourcen gehören u.a. Dateisystemobjekte, Druckerobjekte und Active Directory-Objekte. Abbildung 8.43 Die Änderung der Ereigniskonfiguration für die Überwachung wird unmittelbar im Gruppenrichtlinieneditor angezeigt
Überwachung des Zugriffs auf Dateisystemobjekte Wenn Sie die Überwachung für Dateien und Ordner des Dateisystems konfigurieren, betrifft dies nur Dateien und Ordner in NTFS-Dateisystemen. Überwachung für Dateien in FAT- oder FAT32-Dateisystemen ist nicht verfügbar; diese Dateisysteme bieten nicht die Art von Sicherheit, die für die Überwachung notwendig ist.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
Denken Sie an Folgendes, wenn Sie die Überwachung für Dateisystemobjekte festlegen: 씰
Überwachen Sie Fehlerereignisse bei Leseoperationen in wichtigen bzw. vertraulichen Dateien, um festzustellen, welche Benutzer versuchen, auf Dateien zuzugreifen, für die sie keine Berechtigung haben.
씰
Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei Löschoperationen in vertraulichen oder archivierten Dateien, um festzustellen, welche Benutzer möglicherweise schädliche Aktivitäten versuchen, und um zu verfolgen, welche Dateien von welchen Benutzern gelöscht wurden.
씰
Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei der Rechteverwendung vom Typ BERECHTIGUNGEN ÄNDERN und BENUTZERRECHTE ÜBERNEHMEN für vertrauliche und persönliche Dateien von Benutzern. Solche Ereignisse können darauf hinweisen, dass jemand versucht, Sicherheitseinstellungen von Dateien zu ändern, auf die er keinen Zugriff hat, um Zugriff auf Daten zu erlangen, für die er gegenwärtig keine Rechte besitzt. Damit wird auch ein Administrator erfasst, der die Benutzerrechte für die Datei eines Benutzers übernimmt oder Berechtigungen für eine Datei ändert, damit er bzw. sie Zugriff erlangt. Auch wenn Administratoren ihre Spuren möglicherweise etwas besser verwischen können als die meisten anderen, das Ereignis wird im Protokoll aufgezeichnet.
씰
Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei allen Ereignissen, die mit Mitgliedern der Gruppe GÄSTE zu tun haben. Dies sollte für die Ordner erfolgen, auf die Gäste keinen Zugriff haben sollten. Sie können prüfen, ob Versuche von unbefugten Benutzern stattgefunden haben, und falls ja, wann sie stattgefunden haben (sodass Sie ein Muster ermitteln können).
씰
Überwachen Sie Datei- und Ordnerzugriffe (ERFOLGREICH und FEHLGESCHLAGEN) auf allen Computern mit gemeinsamen Daten, die normalerweise abgesichert werden sollten. Auf diese Weise können Aktivitäten bei gemeinsamen Ordnern verfolgt werden, um sicherzustellen, dass keine unerwünschten Versuche des Sicherheitsbruchs stattgefunden haben.
Um die Überwachung für eine bestimmte Datei oder einen bestimmten Ordner in einer NTFS-Partition festzulegen, aktivieren Sie die Überwachung von Objektzugriffsereignissen (ERFOLGREICH und FEHLGESCHLAGEN) und folgen Sie dann der Schrittanleitung.
641
642
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
SCHRITT FÜR SCHRITT 8.11 Konfiguration der Überwachung für Dateien und Ordner 1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und starten Sie Windows Explorer aus der Programmgruppe ZUBEHÖR. 2. Suchen Sie den Ordner bzw. die Datei in einer NTFS-Partition, den bzw. die Sie auf Zugriffe überwachen möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie EIGENSCHAFTEN. Es wird ein Dialogfeld ähnlich wie in Abbildung 8.44 angezeigt. 3. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN, um die aktuellen Berechtigungen anzuzeigen, wie in Abbildung 8.45 gezeigt. Abbildung 8.44 Wenn Sie für den NTFS-Ordner, den Sie auf Zugriffe überwachen möchten, EIGENSCHAFTEN wählen, wird dieses Dialogfeld angezeigt
4. Klicken Sie auf die Schaltfläche ERWEITERT, um zu den erweiterten Sicherheitseinstellungen zu gelangen, wie in Abbildung 8.46 gezeigt. 5. Klicken Sie auf das Register ÜBERWACHUNG, um die aktuell konfigurierten Überwachungseinstellungen für den Ordner anzuzeigen, wie in Abbildung 8.47 gezeigt. 6. Klicken Sie auf die Schaltfläche HINZUFÜGEN und wählen Sie eine Gruppe oder einen Benutzer, für die bzw. den Sie Aktivitäten an diesem Ordner überwachen möchten. Nachdem Sie gewählt haben, wird ein Dialogfeld ähnlich Abbildung 8.48 angezeigt, in dem Sie festlegen können, für welche Ereignisse ERFOLGREICH bzw. FEHLGESCHLAGEN aufgezeichnet werden soll.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
Abbildung 8.45 Die Registerkarte SICHERHEITSEINSTELLUNGEN des NTFSOrdners zeigt die gegenwärtig zugeordneten Berechtigungen an
Abbildung 8.46 Durch Klicken auf die Schaltfläche ERWEITERT kommen Sie in das Dialogfeld ZUGRIFFSEINSTELLUNGEN
Beachten Sie, dass Sie das Drop-down-Listenfeld ANWENDEN AUF verwenden können, um festzulegen, ob diese Überwachungseinstellungen nur auf diesen Ordner, auf diesen und untergeordnete Ordner oder andere Kombinationen angewandt werden sollen.
643
644
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Abbildung 8.47 Die Registerkarte ÜBERWACHUNG listet die aktuell konfigurierten Überwachungsoptionen für den Ordner auf
Abbildung 8.48 Durch Markieren einer Gruppe oder eines Benutzers wird das Auswahldialogfeld ÜBERWACHUNGSEINTRAG
angezeigt, in dem Sie die für diesen NTFS-Ordner zu überwachenden Erfolgs- bzw. Fehlerereignisse auswählen können
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
7. Treffen Sie Ihre Wahl, indem Sie in die passenden Kontrollkästchen unter ERFOLGREICH bzw. FEHLGESCHLAGEN klicken, und klicken Sie auf OK, wenn Sie fertig sind. 8. Wiederholen Sie die Schritte 6 und 7, um weitere Gruppen und Benutzer hinzuzufügen und deren Überwachungseinstellungen zu konfigurieren. 9. Nachdem Sie Ihre Wahl getroffen haben, kehren Sie zum Dialogfeld ZUGRIFFSEINSTELLUNGEN zurück. Klicken Sie auf ANWENDEN und dann auf OK, um Ihre Änderungen zu speichern. 10. Beenden Sie Windows Explorer, wenn Sie fertig sind. Wiederholen Sie andernfalls die vorangegangenen Schritte für jeden weiteren Ordner bzw. jede weitere Datei, den bzw. die Sie für die Überwachung konfigurieren möchten. Wie die letzte Schritt-für-Schritt-Anleitung zeigt, ist es notwendig, Windows Explorer einzusetzen, um die Überwachung für die einzelnen Dateien und Ordner zu aktivieren, die verfolgt werden sollen. Dieser Vorgang kann einige Zeit in Anspruch nehmen, bis alle Überwachungseinstellungen für alle sensitiven Dateien und Ordner festgelegt sind, aber dies kann für den reibungslosen und sicheren Betrieb Ihres Netzwerks von entscheidender Bedeutung sein.
8.4.4
Überwachung des Zugriffs auf Druckerobjekte
Sie können die Überwachung für Druckerobjekte konfigurieren, um deren Auslastung zu verfolgen, oder um festzustellen, ob versucht wurde, sensitive Drucker zu benutzen (z.B. MICR-Drucker, die zur Erstellung von Schecks verwendet werden können). Zwar brauchen die meisten Drucker nicht überwacht zu werden, aber spezialisierte Drucker oder solche mit teurem Verbrauchsmaterial könnten u.U. etwas Überwachung vertragen. Gehen Sie bei der Überwachung von Druckern folgendermaßen vor: 씰
Überwachen Sie Fehlerereignisse für Druckoperationen bei gefährdeten Druckern, etwa solchen, die zum Drucken bzw. zum Ausfüllen vertraulicher Firmendokumente bzw. Vordrucke verwendet werden. Wenn beispielsweise ein CD-Laden Drucker zur Erstellung von Geschenkgutscheinen benutzt, möchte man vielleicht den Zugriff auf den Drucker, in dem die Gutscheinvordrucke eingelegt sind, einschränken.
씰
Überwachen Sie FEHLGESCHLAGEN und ERFOLGREICH bei Druckoperationen auf teuren Druckern, damit Sie die Auslastung verfolgen und ggf. diese Informationen verwenden können, um eine Abteilung bzw. einen Benutzer mit den Kosten zu belasten.
645
646
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
씰
Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei der Verwendung der Berechtigung VOLLZUGRIFF FÜR ALLE DRUCKER, damit Sie administrative Änderungen am Drucker verfolgen können. Dazu gehören die Aktualisierung von Gerätetreibern ebenso wie die Erstellung und Entfernung von Freigaben.
씰
Überwachen Sie Erfolgsereignisse für Löschberechtigungen bei häufig benutzten Druckern, damit das Löschen von Dokumenten im Rahmen von Aufräumarbeiten als administrativer Eingriff und nicht als Druckerausfall wahrgenommen werden kann.
씰
Überwachen Sie Erfolgs- und Fehlerereignisse für die Rechte BERECHTIGUNGEN ÄNDERN und BENUTZERRECHTE ÜBERNEHMEN bei gefährdeten Druckern, damit aufgezeichnet wird, wer in die Zugriffssteuerungsliste für den Drucker aufgenommen bzw. daraus entfernt wurde. Auf diese Weise können Sie feststellen, ob ein Administrator einem Benutzer möglicherweise Berechtigungen gewährt hat, die dieser nicht haben sollte, und Sicherheitsverletzungen verfolgen.
Um die Überwachung für einen Drucker festzulegen, aktivieren Sie die Objektzugriff-Überwachung (ERFOLGREICH und FEHLGESCHLAGEN), und führen Sie dann die Schrittanleitung aus.
SCHRITT FÜR SCHRITT 8.12 Konfiguration der Überwachung für Drucker 1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und klicken Sie auf START, EINSTELLUNGEN und dann DRUCKER. Es wird eine Liste von Druckern im System angezeigt, ähnlich wie in Abbildung 8.49. 2. Klicken Sie mit der rechten Maustaste auf den Drucker, für den Sie die Überwachung aktivieren möchten, und wählen Sie EIGENSCHAFTEN. Wie in Abbildung 8.50 gezeigt, wird das Dialogfeld EIGENSCHAFTEN zu dem Drucker angezeigt. 3. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN und dann auf die Schaltfläche ERWEITERT, um das Dialogfeld ZUGRIFFSEINSTELLUNGEN anzuzeigen, wie in Abbildung 8.51 gezeigt. 4. Klicken Sie auf das Register ÜBERWACHUNG des Dialogfelds ZUGRIFFSEINSTELLUNGEN, um eine Liste der Überwachungseinträge für diesen Drucker anzuzeigen. 5. Um einen Eintrag hinzuzufügen, klicken Sie auf die Schaltfläche HINZUFÜGEN. Sie werden aufgefordert, den Benutzer bzw. die Gruppe zu wählen, deren Druckeraktionen Sie überwachen möchten, wie in Abbildung 8.52 gezeigt.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
Abbildung 8.49 Bei der Wahl von DRUCKER im Menü EINSTELLUNGEN des Startmenüs werden die im System installierten Drucker angezeigt
Abbildung 8.50 Das Dialogfeld EIGENSCHAFTEN zum Drucker wird geöffnet, wenn Sie mit der rechten Maustaste auf den Drucker klicken und EIGENSCHAFTEN wählen
647
648
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Abbildung 8.51 Das Dialogfeld ZUGRIFFSEINSTELLUNGEN wird geöffnet, wenn Sie in der Registerkarte SICHERHEITSEINSTELLUNGEN des EIGENSCHAFTEN-Dialogfelds auf ERWEITERT klicken
Abbildung 8.52 Wenn Sie auf das Register ÜBERWACHUNG und dann auf HINZUFÜGEN klicken, können Sie weitere Überwachungseinträge für den Drucker hinzufügen
6. Nachdem Sie den Benutzer bzw. die Gruppe gewählt haben, deren Aktionen Sie überwachen möchten, wird das Dialogfeld ÜBERWACHUNGSEINTRAG angezeigt (siehe Abbildung 8.53).Wählen Sie die zu überwachenden Aktionen, und klicken Sie auf OK, wenn Sie fertig sind. Beachten Sie, dass Sie Ihre Überwachungsaktionen auf den Drucker und Dokumente, nur auf den Drucker oder nur auf Dokumente anwenden können. Außerdem ist es wichtig, anzumerken, dass die Überwachung der Berechtigung DRUCKEN zusätzlich die Überwachung der Leseberechtigungen erfordert, weil Benutzer den Drucker auffinden müssen, um darauf zu drucken.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
Abbildung 8.53 In dem Dialogfeld ÜBERWACHUNGSEINTRAG wählen Sie die zu überwachenden Aktionen
7. Wiederholen Sie die Schritte 5 und 6, um weitere Gruppen bzw. Benutzer hinzuzufügen und deren Überwachungseinstellungen zu konfigurieren. 8. Nachdem Sie Ihre Entscheidungen getroffen haben, kehren Sie zum Dialogfeld ZUGRIFFSEINSTELLUNGEN zurück. Klicken Sie auf ANWENDEN und dann auf OK, um Ihre Änderungen zu speichern. 9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Drucker zu schließen. 10. Schließen Sie den Ordner DRUCKER, wenn Sie fertig sind. Andernfalls wiederholen Sie die vorangegangenen Schritte mit weiteren Druckern, für die Sie die Überwachung konfigurieren möchten. Ähnlich wie bei Dateien und Ordnern ist es für die Überwachung des Zugriffs auf Drucker erforderlich, dass Sie festlegen, welche Aktionen von welchen Benutzern für welche Drucker protokolliert werden sollen. Es ist sinnvoll, den Zugriff auf sehr spezielle oder wichtige Drucker (wie etwa Scheckdrucker oder teure Farbdrucker) zu überwachen, nicht aber auf einfache Drucker, die von jedem benutzt werden, oder gar auf solche, die auf dem Schreibtisch eines Benutzers stehen.
649
650
Kapitel 8
8.4.5
Sicherheit mittels Gruppenrichtlinien
Überwachung des Zugriffs auf Active DirectoryObjekte
Wenn Sie die Überwachung für Active Directory-Objekte konfigurieren, können Sie Änderungen an oder einfach Lesezugriffe auf eine Komponente von Active Directory verfolgen. Zu den Objekten, die verfolgt werden können, gehört praktisch alles in Active Directory. Wenn Sie den Zugriff auf Active Directory-Objekte überwachen, sollten Sie wichtige Objekte, wie etwa Benutzerkonten und alle Gruppen mit gefährdeter Mitgliedschaft, sowohl auf Erfolgs- als auch auf Fehlerereignisse überwachen. Sie sollten dies für alle administrativen Benutzer tun, vor allem für solche, denen Sie evtl. die Kontrolle über ein Active Directory-Objekt übertragen haben. Damit können Sie feststellen, ob eine der Personen, die Sie mit der Verantwortung für Teile Ihrer Netzwerkinfrastruktur betraut haben, versucht, mehr Zugriffsrechte zu erlangen als ihr gewährt wurden. Um den Zugriff auf Active Directory-Objekte zu überwachen, stellen Sie die Überwachungsrichtlinie auf VERFOLGUNG DES ZUGRIFFS und die Nutzung von Verzeichnisdiensten ein. Aktivieren Sie die Überwachung des Objekts mit Hilfe der passenden MMC-Konsole, wie etwa ACTIVE DIRECTORY-BENUTZER UND -COMPUTER, ACTIVE DIRECTORY-STANDORTE UND -DIENSTE oder ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN. Um beispielsweise die Überwachung für den Container BENUTZER in Active Directory zu aktivieren, führen Sie die folgende Schrittanleitung aus.
SCHRITT FÜR SCHRITT 8.13 Konfiguration der Überwachung für Active Directory-Objekte 1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an und öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER in der Programmgruppe VERWALTUNG. 2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf den Container, für den Sie die Überwachung konfigurieren möchten, und wählen Sie EIGENSCHAFTEN. 3. Klicken Sie im Bildschirm EIGENSCHAFTEN auf das Register SICHERHEITSEINSTELLUNGEN und wählen Sie ERWEITERT. Es wird ein Bildschirm ähnlich Abbildung 8.54 angezeigt. Wenn die Option ERWEITERT nicht verfügbar ist, klicken Sie auf das Menü ANSICHT in der MMC-Konsole und wählen Sie ERWEITERTE FUNKTIONEN, um die erweiterten Optionen in der Konsole anzuzeigen.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
Abbildung 8.54 Im Dialogfeld ZUGRIFFSEINSTELLUNGEN für den Active DirectoryContainer BENUTZER können Sie auf die Überwachungseinstellungen für das Active Directory-Objekt zugreifen
4. Klicken Sie auf das Register ÜBERWACHUNG, um eine Liste der aktuellen Überwachungseinträge anzuzeigen. Um einen neuen Eintrag hinzuzufügen, klicken Sie auf die Schaltfläche HINZUFÜGEN, und wählen Sie einen Benutzer bzw. eine Gruppe, die überwacht werden sollen, wie in Abbildung 8.55 gezeigt. Abbildung 8.55 Wenn Sie auf das Register ÜBERWACHUNG klicken, wird eine Liste der aktuellen Einträge angezeigt
5. Wählen Sie im Dialogfeld die Aktion, die Sie überwachen möchten, ERFOLGREICH oder FEHLGESCHLAGEN, sowie den Gültigkeitsbereich der Überwachung, wie in Abbildung 8.56 gezeigt. Klicken Sie auf OK, wenn Sie fertig sind, um Ihre Änderungen zu speichern. Beachten Sie, dass Active Directory-
651
652
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Objekte viele unterschiedliche Berechtigungen aufweisen, die überwacht werden können, beispielsweise COMPUTEROBJEKTE ERSTELLEN oder COMPUTEROBJEKTE LÖSCHEN. Active Directory-Objekte können mehr Berechtigungen aufweisen als Dateien, Ordner oder Drucker. Abbildung 8.56 Wenn Sie einen Überwachungseintrag für ein Active Directory-Objekt hinzufügen, wird eine lange Liste möglicher Aktionen angezeigt, die verfolgt werden können
6. Wenn Sie mit der Konfiguration der Überwachungseinstellungen für das Objekt fertig sind, klicken Sie auf OK, um das Dialogfeld ZUGRIFFSEINSTELLUNGEN zu schließen. Andernfalls fügen Sie die gewünschten Einträge hinzu und schließen Sie das Dialogfeld. 7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN zu schließen. 8. Wenn Sie weitere Objekte überwachen möchten, wiederholen Sie die Schritte 2 bis 7 für die betreffenden Container bzw. Objekte. Wenn Sie fertig sind, beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie
HINWEIS Fokussierung der Überwachung auf präzise Stufen Seien Sie vorsichtig bei der Anwendung der Überwachung auf alle Objekte einschließlich der untergeordneten. Dadurch werden u.U. Überwachungseinträge für eine große Anzahl von Objekten erzeugt, wenn sich der Container weit oben in der Active Directory-Hierarchie befindet. Normalerweise ist es sinnvoll, die Überwachung von Active Directory-Objekten präzise auf den benötigten Umfang einzuschränken und nicht zuzulassen, dass sie sich über die gesamte Struktur ausbreitet.
Eines der wunderbaren Features von Windows 2000 für Administratoren ist die flexible Kontrolle, die Active Directory ermöglicht. Damit dies funktioniert, ist es jedoch entscheidend, zu gewährleisten, dass nur diejenigen Zugriff auf einen bestimmten Bereich in Active Directory erhalten, die ihn benötigen. Durch Konfiguration der Überwachung von Zugriffen auf Active Directory-Objekte, wie in der Schrittanleitung gezeigt, können Sie unangebrachte Zugriffsversuche verfolgen.
8.4.6
Überprüfung und Überwachung von Sicherheitsereignissen
Nach der Konfiguration einer Überwachungsrichtlinie wäre es nutzlos, sie einfach sich selbst zu überlassen, ohne zu prüfen, ob relevante Ereignisse eingetreten sind. Der Knackpunkt bei der Überwachung von Aktionen ist die Möglichkeit, sie später zu prüfen und zu analysieren; wird dies unterlassen, so ist die Überwachung sinnlos und eine reine Ressourcenverschwendung. Das Programm, mit dem Sie die Sicherheitsaufzeichnungen anzeigen können, ist die Ereignisanzeige. Dieses wurde Ihnen bereits in Kapitel 5, »Server verwalten«, vorgestellt, und Sie sollten seine Funktionsweise kennen. Überwachungseinträge werden im Sicherheitsprotokoll der Ereignisanzeige in chronologischer Reihenfolge gespeichert. Ereignisse werden grundsätzlich auf dem Computer gespeichert, auf dem sie eintreten, mit Ausnahme von Kontoanmeldeereignissen, die im Sicherheitsereignisprotokoll des Domänencontrollers gespeichert werden, der die Anforderung bearbeitet. Mit anderen Worten, um zu sehen, welche Aktivitäten stattgefunden haben, müssen Sie das Protokoll des Computers analysieren, an dem Sie interessiert sind. Um das Sicherheitsereignisprotokoll eines Computers anzuzeigen, können Sie die MMC-Konsole COMPUTERVERWALTUNG in der Programmgruppe VERWALTUNG oder direkt die MMC-Konsole EREIGNISANZEIGE verwenden. Wenn Sie beispielsweise das Sicherheitsprotokoll auf Ihrem Domänencontroller anzeigen möchten, folgen Sie der Schrittanleitung.
653
654
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
SCHRITT FÜR SCHRITT 8.14 Prüfung der überwachten Ereignisse mittels Ereignisanzeige 1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an, und öffnen Sie die MMC-Ereignisanzeige in der Programmgruppe VERWALTUNG. 2. Klicken Sie im angezeigten Bildschirm auf das Element SICHERHEITSPROTOKOLL im linken Fensterbereich, um eine Liste von Überwachungseinträgen anzuzeigen. Abbildung 8.57 Das Sicherheitsprotokoll der Ereignisanzeige enthält eine Liste der auf dem lokalen Computer überwachten Ereignisse
3. Um weitere Details zu einer ausgeführten Aktion zu erhalten, doppelklicken Sie auf einen Einzeleintrag im Detailbereich. Das Dialogfeld EREIGNISEIGENSCHAFTEN wird angezeigt, ähnlich wie in Abbildung 8.58. 4. Prüfen Sie weitere Protokolleinträge nach Wunsch. Wenn Sie fertig sind, beenden Sie die Ereignisanzeige. Die Verwendung der Ereignisanzeige zur Prüfung der auf einem Computer eingetretenen Überwachungsereignisse ist für den Administrator die einzige Möglichkeit, festzustellen, ob die Sicherheitseinstellungen, die mittels Gruppenrichtlinien oder Sicherheitskonfiguration und -analyse implementiert wurden, funktionieren.
Fallstudie: Verwendung von Gruppenrichtlinien
Abbildung 8.58 Weitere Details über die Aktion werden angezeigt, wenn Sie auf das Ereignis doppelklicken und das Dialogfeld EREIGNISEIGENSCHAFTEN
anzeigen
Wenn Sie für die Bereiche von Windows 2000, die mit Sicherheitsvorlagen konfiguriert wurden, die Überwachung aktivieren, sind Sie in der Lage, alle unbefugten Versuche zu verfolgen und festzustellen, wer versucht, Zugriff auf Ihr Netzwerk bzw. Ihren Computer zu erlangen. Darüber hinaus erhalten Sie, wenn Sie die Überwachung des Erfolgs einer Aktion aktivieren, ein Protokoll der Aktivitäten in Systembereichen wie Dateien oder Druckern ebenso wie in Windows-2000-Komponenten wie etwa Active Directory.
Fallstudie: Verwendung von Gruppenrichtlinien zur Durchsetzung von Sicherheitsanforderungen bei der Sonnenschein-Brauerei Das Wichtigste im Überblick Der VV der Sonnenschein-Brauerei ist vor kurzem von einer Tagung über die Wirtschaft des 21. Jahrhunderts zurückgekehrt. Er war zwar schwer beeindruckt von den Möglichkeiten und Angeboten des E-Commerce, aber es wurde auch das Problem der sicheren Datenübertragung und des Schutzes interner Firmenwerte vor internem Missbrauch zur Sprache gebracht. Er hat Sie in sein Büro gerufen, um seine Bedenken zu äußern und Sie um Informationen zu bitten, wie das Netzwerk vor externem und internem Missbrauch geschützt werden kann, und wie verfolgt werden kann, was vor sich geht.
655
656
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Er ist insbesondere besorgt über folgende Punkte: 씰
Er möchte alle unbefugten Zugriffsversuche auf Server im Intranet und Extranet verfolgen. Er würde gerne wissen, woher diese Versuche kommen, wann sie stattfinden und welche Benutzerkonten für Zugriffsversuche verwendet werden.
씰
Er möchte ein Protokoll sämtlicher sicherheitsbezogener Ereignisse auf allen wichtigen Servern in der Organisation, ganz gleich, ob diese nur intern oder auch extern eingesetzt werden.
씰
Er möchte sicherstellen, dass Benutzer sich mit einem Kennwort bei ihren Workstations anmelden müssen, und er möchte verhindern, dass Kennwörter immer wieder verwendet werden. Benutzer sollen ihre Kennwörter regelmäßig ändern (z.B. jeden Monat) und sie innerhalb eines Jahres nicht wieder verwenden können.
씰
Bei unternehmenswichtigen Servern, wie etwa den Hauptservern von Forschung und Entwicklung, Buchhaltung und Kundendienst, sowie Computern, auf denen gefährdete Daten gespeichert sind, soll die Liste der Benutzer mit administrativen Rechten auf diesen Computern zentral kontrolliert werden. Da sich die Liste solcher Server von Zeit zu Zeit ändert, soll die Liste der Benutzer einfach zu ändern sein.
씰
Wenn ein Benutzer innerhalb von 30 Minuten dreimal vergeblich versucht, sich bei der Domäne anzumelden, soll er ausgesperrt werden. Das Benutzerkonto soll nur von einem Administrator freigeschaltet werden können.
씰
Benutzer in der Forschungs- und Entwicklungsabteilung sollen Smartcards für den Zugang zu ihrem Computer erhalten, und beim Entfernen der Smartcard soll der Benutzer sofort abgemeldet werden.
씰
Auf wichtigen Servern soll der Telnet-Dienst immer deaktiviert sein, und die Liste der Benutzer, die sich lokal bei solchen Servern anmelden dürfen, muss zentral kontrolliert werden.
Er trägt Ihnen diese Vorstellungen vor und fragt Sie, ob dies mit minimalem Overhead erreicht werden kann. Sie antworten »auf jeden Fall«. Er gibt Ihnen eine Woche, um einen Plan auszuarbeiten und bei ihm abzugeben.
Fallstudie: Verwendung von Gruppenrichtlinien
Situationsbeschreibung Für die sichere Übertragung und den sicheren Zugriff auf Daten ist es unerlässlich, dass geeignete Sicherheitsrichtlinien im gesamten Unternehmen oder Teilen davon einheitlich umgesetzt werden. Die Rückverfolgung der Urheber von Versuchen, eine Ressource ohne Autorisierung zu benutzen, sowie eine Methode zur Überprüfung, ob die Wächter dieser Richtlinien nicht ihre Position missbrauchen, sind beides Dinge, die mittels Sicherheitsvorlagen in Gruppenrichtlinien durchgesetzt werden können. In dieser Fallstudie werden Sie sehen, wie Gruppenrichtlinien zur Lösung eines bestimmten Problems bei der Sonnenschein-Brauerei eingesetzt werden können.
Situationsanalyse Die vom VV der Sonnenschein-Brauerei skizzierten Anforderungen können alle durch Einsatz von Sicherheitseinstellungen in Gruppenrichtlinien erfüllt werden. Da Letztere auf verschiedenen Ebenen von Active Directory sowie mittels Gruppenrichtlinienfilterung auf bestimmten Computern im Unternehmensnetzwerk umgesetzt werden können, sind Sie zuversichtlich. Ihre erste Empfehlung sollte die Festlegung einer Domänenüberwachungsrichtlinie sein, welche die Überwachung fehlgeschlagener Kontoanmeldungen und Anmeldungen ermöglicht, um rückzuverfolgen, welche Benutzerkonten für unbefugte Zugriffsversuche auf wichtige Server verwendet werden. Diese Richtlinie würde auf Computern in einer bestimmten Liste umgesetzt. Diese Liste könnte in einer globalen Sicherheitsgruppe gehalten werden, die von einem Administrator verwaltet wird, wobei das GPO so gefiltert wird, dass es nur diese Sicherheitsgruppe betrifft. Auf diese Weise würden bei anderen, nicht unternehmenswichtigen Servern keine Anmeldungsereignisse überwacht. Bei der Gruppenrichtlinie sollte die Option KEIN VORRANG aktiviert sein. Um chronologische Aufzeichnungen der Sicherheitsereignisse fortzuschreiben, können Sie die Ereignisprotokolleinstellungen mit Hilfe der Sicherheitsrichtlinie für die kritischen Server so konfigurieren, dass das Sicherheitsprotokoll nie überschrieben wird. Natürlich würden Sie die Protokollgröße mittels GPO auf einen Wert (um die 100 MB) einstellen, der es Ihnen ermöglicht, hinreichend viele Ereignisse aufzuzeichnen, bevor der Inhalt der Protokolldatei gelöscht wird. Außerdem würden Sie den Gästezugriff auf das Sicherheitsprotokoll mittels derselben Richtlinie einschränken, und für maximale Sicherheit die Einstellungen so konfigurieren, dass der Computer heruntergefahren wird, wenn die Protokolldatei voll ist. Das GPO sollte auf Domänenebene mit KEIN VORRANG konfiguriert werden.
657
658
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Da die Liste der Administratoren für die wichtigen Server des Unternehmens zentral kontrolliert werden muss, könnten Sie ein weiteres GPO erstellen, das den Bereich EINGESCHRÄNKTE GRUPPEN der Sicherheitseinstellungen nutzen würde, um Benutzer zu der von Ihnen mit Hilfe des GPO erstellten Sicherheitsgruppe SecureServerAdmins hinzuzufügen. Dieses GPO würde auch auf eine Liste bestimmter Server angewandt und so gefiltert, dass die Administration anderer Server in der Organisation nicht eingeschränkt wird. Das GPO sollte auf Domänenebene erstellt werden und mit KEIN VORRANG konfiguriert werden. Zur Durchsetzung der Kennwortvorgaben erstellen Sie eine weitere Richtlinie auf Domänenebene mit geeigneten Einstellungen (z.B. maximales Alter 30 Tage und 12 Kennwörter merken). Die Richtlinie sollte auch ein minimales Kennwortalter von mindestens einem Tag enthalten, damit Benutzer nicht innerhalb von weniger als 12 Tagen wieder ihr ursprüngliches Kennwort verwenden können. Die Kennwortlänge ist zwar nicht vorgegeben, aber sie sollte auf mindestens ein Zeichen (besser wären fünf oder sechs) gesetzt werden, damit Benutzer ein Kennwort verwenden müssen. Diese Richtlinie könnte auch die Einstellungen für die Kontosperre aufnehmen, die nach drei Versuchen innerhalb von 30 Minuten einsetzt. Die GPOs sollten außerdem mit KEIN VORRANG konfiguriert werden, damit sie einheitlich im ganzen Unternehmen umgesetzt werden. Sie sollten so gefiltert werden, dass alle Benutzer berücksichtigt werden. Es ist möglich, den Telnet-Dienst über den Bereich SYSTEMDIENSTE der Sicherheitseinstellungen zu deaktivieren. Die Richtlinie sollte ebenfalls auf Domänenebene erstellt werden und zu den Servern gefiltert werden, die als kritisch gelten. Schließlich, um zu gewährleisten, dass ein Benutzer der Abteilung Forschung und Entwicklung sofort abgemeldet wird, wenn er bzw. sie die Smartcard aus dem Computer entfernt, konfigurieren Sie dieses Verhalten in den Sicherheitsoptionen eines GPO auf Ebene der OU Forschung und Entwicklung. Damit wird ein Benutzer automatisch abgemeldet, wenn die Karte entfernt wird. Da Sie alle diese Sicherheitsanforderungen über GPOs implementiert haben, können diese auf einfache Weise zentral verwaltet und nach Bedarf in der gesamten Domäne oder auf OU-Ebene umgesetzt werden.
Zusammenfassung
Zusammenfassung In diesem Kapitel haben Sie gelernt, wie eine Sicherheitsrichtlinie erstellt wird, und wie deren Effektivität durch Überwachung überprüft werden kann. Es sollte hervorgehoben werden, dass die Überwachung selbst eine Komponente der Sicherheitsrichtlinie ist und zusammen mit der Planung Ihrer Sicherheitsrichtlinie als Ganzes behandelt und geplant werden sollte. (Wie könnten Sie sonst wissen, ob Ihre Sicherheitsrichtlinie greift?) Zur Einrichtung einer Sicherheitsrichtlinie können Sie zwei Tools verwenden: das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE oder GRUPPENRICHTLINIEN innerhalb von Active Directory. Mit SICHERHEITSKONFIGURATION UND -ANALYSE können Sie die Sicherheitsrichtlinie für den lokalen Computer konfigurieren. Außerdem können Sie damit die aktuellen Sicherheitseinstellungen für den Computer abrufen und mit einer Sicherheitsvorlage vergleichen, die einen Satz von vorkonfigurierten Sicherheitseinstellungen enthält. Auf diese Weise können Sie die aktuellen Sicherheitseinstellungen Ihres Computers mit der Liste von erwünschten Einstellungen in der Vorlage vergleichen. Ferner können Sie Ihre aktuellen Sicherheitseinstellungen auf dem Computer mit Hilfe von SICHERHEITSKONFIGURATION UND -ANALYSE in eine Vorlage exportieren. Schließlich können Sie eine Sicherheitsvorlage in SICHERHEITSKONFIGURATION UND -ANALYSE IMPORTIEREN und deren Einstellungen auf Ihrem Computer umsetzen, um eine lokale Richtlinie zu aktivieren. Um eine Sicherheitsrichtlinie auf mehreren Computern zugleich umzusetzen, können Sie Gruppenrichtlinien verwenden. Es sollte einmal mehr gesagt werden, dass Computer unter Windows 2000 Mitglieder von Sicherheitsgruppen sein können, und die einfachste Methode, die gleichen Einstellungen auf einer Anzahl von Computern anzuwenden, ist deren Aufnahme in eine Sicherheitsgruppe. Wie andere Gruppenrichtlinien-Einstellungen auch gilt eine Sicherheitsrichtlinie, wenn sie konfiguriert wurde, für alle Computer im Gültigkeitsbereich der Gruppenrichtlinie. Auf diese Weise können Sie die gleiche Sicherheitskonfiguration gleichzeitig auf Computern mit gefährdeten Daten umsetzen und sicher sein, dass die Sicherheitskonfiguration wirksam wird. Wenn Sie Gruppenrichtlinien zur Umsetzung und Konfiguration einer Sicherheitsrichtlinie verwenden, importieren Sie auch Sicherheitsvorlagen und ändern diese nach Bedarf. Die Vorlageneinstellungen werden auf allen Computern im Gültigkeitsbereich der Richtlinie umgesetzt. Auch bei Verwendung von Gruppenrichtlinien zur Durchsetzung einer Sicherheitsrichtlinie gelten die üblichen Regeln für die Gruppenrichtlinienvererbung und -filterung.
659
660
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
HINWEIS Sicherheit und Benutzerfreundlichkeit Bei der Entscheidung zur Umsetzung von Sicherheitseinstellungen für Benutzer und Computer in Windows 2000 sollten Sie immer ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herstellen. Dies bedeutet, dass eine zu hohe Sicherheitsstufe u.U. dazu führt, dass das System für Einzelpersonen schwieriger zu benutzen ist; zu wenig Sicherheit kann es anfällig machen für Angriffe. Ein Beispiel für zu viel Sicherheit zu Lasten der Benutzerfreundlichkeit ist es, wenn vom Benutzer verlangt wird, das Kennwort jeden Tag zu ändern. Dies ist für Benutzer ermüdend und führt dazu, dass sie häufig das neueste Kennwort vergessen. Das System wird dadurch sicher (weil niemand hineinkommt), aber die Benutzerfreundlichkeit lässt zu wünschen übrig. Ein Beispiel für unzureichende Sicherheit bei ausgezeichneter Benutzerfreundlichkeit ist es, wenn gar keine Kennwörter vom Benutzer verlangt werden. Dies erleichtert den Personen die Nutzung des Systems ungemein, liefert es aber völlig schutzlos den Angriffen derjenigen aus, die keinen Zugriff haben sollen. Das ist natürlich keine gute Lösung. Die beste Konfiguration ist eine, die gute Sicherheit mit angemessener Benutzerfreundlichkeit verbindet. Was dies tatsächlich bedeutet, hängt von der jeweiligen Situation und vom jeweiligen Unternehmen ab. Sicherheit sollte den Unternehmensforderungen nach minimalem Risiko Rechnung tragen, zugleich aber das legitime Bedürfnis der Benutzer, ein benutzbares System, im Auge behalten.
Sicherheitsvorlagen sind Textdateien mit voreingestellten Sicherheits-Konfigurationsinformationen, die in SICHERHEITSKONFIGURATION UND -ANALYSE und/oder GRUPPENRICHTLINIEN importiert werden können. Windows 2000 wird mit einer Reihe von Standardsicherheitsvorlagen geliefert, die vorkonfigurierte Einstellungen auf unterschiedlichen Stufen von KEINE bis HOCHSICHERHEIT bieten. Wenn Sie eine Vorlage auswählen, überlegen Sie, ob Sie das gebotene Schutzniveau benötigen, und warum Sie den Schutz nutzen. Sicherheit sollte so restriktiv sein wie nötig, nicht mehr und nicht weniger. Um zu ermitteln, ob Ihre Sicherheitskonfiguration funktioniert oder ob versucht wird, unbefugt auf wichtige Ressourcen zuzugreifen, können Sie eine Überwachungsrichtlinie konfigurieren. Dabei handelt es sich um eine Untermenge einer Sicherheitsrichtlinie, die mit den gleichen Tools konfiguriert wurde. Die Arten von Ereignissen, die überwacht werden können, beinhalten u.a. Datei- bzw. Ordnerzugriff, Anmelde- und Abmeldeaktivität sowie Rechteverwendung. Bei der Konfiguration der Überwachung mag es notwendig sein, präziser vorzugehen, als nur die Überwachungsrichtlinie mittels GRUPPENRICHTLINIE oder SICHERHEITSKONFIGURATION UND -ANALYSE zu konfigurieren. Es kann tatsächlich vorkommen, dass Sie Objektberechtigungen ändern müssen, um Ihre Überwachungsrichtlinie weiter zu
Lernzielkontrolle
verfeinern. Dies ist bei Dateien und Ordnern, Druckern und Active DirectoryObjekten erforderlich, weil das Aktivieren der Überwachung für alles einen zu großen Overhead zur Folge hätte. Wenn Sie die Überwachung für solche Objekte konfigurieren, aber auch allgemein, gilt: Überwachen Sie nur so viel wie nötig, damit kein zu großer Overhead im System erzeugt wird. Schlüsselbegriffe 쎲
Active Directory
쎲
Registrierung
쎲
Datenträgerkontingente
쎲
Sicherheitskonfiguration und -analyse
쎲
Deaktivierung der Richtlinienvererbung
쎲
Sicherheitsvorlage
쎲
GPO-Gültigkeitsbereich
쎲
Überwachung
쎲
GPO-Vererbung
쎲
Überwachungsrichtlinie
쎲
Gruppenrichtlinienfilterung
Lernzielkontrolle Übungen In den folgenden Übungen werden Sie mittels Gruppenrichtlinien eine Sicherheitsrichtlinie konfigurieren. Eine Komponente der Sicherheitsrichtlinie wird eine Überwachungsrichtlinie sein. Anschließend werden Sie überprüfen, ob Ihre Sicherheitsund Überwachungsrichtlinie den gewünschten Effekt hatte. Sie benötigen einen zweiten Computer, der Mitglied Ihrer Domäne ist, in der die Richtlinie getestet werden soll. Dieser Computer muss zur OU Forschung gehören, die Sie in Kapitel 6, » Benutzerverwaltung mit Gruppenrichtlinien«, erstellt haben. 8.1
Verwendung von Gruppenrichtlinien zur Softwareverteilung
In dieser Übung werden Sie die Gruppen und Richtlinien verwenden, die Sie in den Kapiteln 6 und 7 erstellt haben. Sie benötigen eine OU Forschung und eine Sicherheitsgruppe Eingeschränkte Entwickler. Geschätzte Zeit: 20 Minuten.
661
662
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Führen Sie folgende Schritte aus, um ein GPO für die Sicherheitsrichtlinie zu erstellen und dafür Berechtigungen festzulegen: 1. Während Sie als Domänenadministrator angemeldet sind, starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 2. Erweitern Sie Ihre Domäne, um die OU FORSCHUNG anzuzeigen. 3. Klicken Sie mit der rechten Maustaste auf die OU Forschung und wählen Sie EIGENSCHAFTEN. 4. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register GRUPPENRICHTLINIE, und klicken Sie auf NEU, um eine neue Richtlinie namens Forschungssicherheitsrichtlinie hinzuzufügen. 5. Klicken Sie auf FORSCHUNGSSICHERHEITSRICHTLINIE und dann auf EIGENSCHAFTEN. 6. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN und dann auf die Schaltfläche HINZUFÜGEN, um einen neuen Sicherheitseintrag hinzuzufügen. Fügen Sie die Gruppe Entwickler hinzu, und ordnen Sie ihr die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für die Richtlinie FORSCHUNGSSICHERHEITSRICHTLINIE zu. Stellen Sie außerdem sicher, dass der Computer, der zum Testen der Anmeldung verwendet werden soll (beispielsweise der Computer namens BERLIN), ebenfalls die Berechtigungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN erhält. Wenn das Register SICHERHEITSEINSTELLUNGEN nicht verfügbar ist, klicken Sie auf das Menü ANSICHT in der MMC-Konsole und wählen Sie ERWEITERTE FUNKTIONEN, um die Anzeige der erweiterten Optionen in der Konsole zu aktivieren. 7. Klicken Sie auf OK, um Ihre Änderungen zu speichern. 8. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSCHAFTEN für die OU Forschung zu schließen. Um Einstellungen für die Forschungssicherheitsrichtlinie zu konfigurieren, führen Sie folgende Schritte aus: 1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und suchen Sie die OU Forschung. Klicken Sie mit der rechten Maustaste darauf und wählen Sie EIGENSCHAFTEN. 2. Klicken Sie auf das Register GRUPPENRICHTLINIEN und wählen Sie FORSCHUNGSSICHERHEITSRICHTLINIE. Klicken Sie auf BEARBEITEN, um die MMC-Konsole GRUPPENRICHTLINIENEDITOR zu öffnen. 3. Erweitern Sie COMPUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN und dann SICHERHEITSEINSTELLUNGEN.
Lernzielkontrolle
4. Klicken Sie mit der rechten Maustaste auf SICHERHEITSEINSTELLUNGEN, wählen Sie RICHTLINIE IMPORTIEREN, wählen Sie BASICDC.INF als zu ladende Sicherheitsvorlage, und klicken Sie dann auf ÖFFNEN. 5. Erweitern Sie KONTORICHTLINIEN und klicken Sie dann auf KONTOSPERRUNG. Doppelklicken Sie im Detailbereich auf KONTOSPERRDAUER. 6. Klicken Sie im Dialogfeld SICHERHEITSRICHTLINIE auf DIESE RICHTLINIENEINSTELLUNG DEFINIEREN, setzen Sie die Dauer auf 5 Minuten, und klicken Sie auf OK. Beachten Sie, dass dadurch auch die Werte für die beiden anderen Einstellungen in KONTOSPERRUNG geändert werden. 7. Doppelklicken Sie auf KONTENSPERRUNGSSCHWELLE, ändern Sie die Einstellung auf 3 UNGÜLTIGE ANMELDUNGSVERSUCHE und klicken Sie auf OK. 8. Erweitern Sie RICHTLINIE.
LOKALE
RICHTLINIEN und klicken Sie auf ÜBERWACHUNGS-
9. Doppelklicken Sie auf ANMELDEVERSUCHE ÜBERWACHEN und aktivieren Sie sowohl die Erfolgs- als auch die Fehlerüberwachung. Führen Sie dieselben Schritte aus mit ANMELDEEREIGNISSE ÜBERWACHEN. 10. Schließen Sie das MMC-Fenster GRUPPENRICHTLINIENEDITOR. Beachten Sie, dass Sie aufgefordert werden, die Vorlageneinstellungen zu speichern. Wählen Sie den angezeigten Standardpfad und klicken Sie auf OK. 11. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSCHAFTEN FÜR FORSCHUNG zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER. 12. Starten Sie Windows 2000 neu. 8.2
Test der Sicherheitsrichtlinie
In dieser Übung versuchen Sie, sich unter TimC mit falschem Kennwort anzumelden, um die Kontosperrungseinstellung in der Sicherheitsrichtlinie auszulösen. Anschließend melden Sie sich als Administrator an und prüfen das Sicherheitsprotokoll der Ereignisanzeige, um die Einstellungen der Überwachungsrichtlinie zu testen. Geschätzte Zeit: 20 Minuten. Um die Kontosperrung in der Sicherheitsrichtlinie auszulösen, führen Sie folgende Schritte aus: 1. Versuchen Sie, sich vom zweiten Computer aus als Benutzer TimC mit dem Kennwort Microsoft bei der Domäne anzumelden. Der Versuch sollte fehlschlagen. Nehmen Sie andernfalls ein anderes Kennwort und stellen Sie sicher, dass es nicht funktioniert.
663
664
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
2. Führen Sie weitere ungültige Anmeldeversuche aus, bis die Gruppenrichtlinie in Aktion tritt und Ihnen mitgeteilt wird, dass Ihr Konto gesperrt ist. 3. Melden Sie sich bei Ihrem Domänencontroller als Domänenadministrator an. 4. Öffnen Sie die Ereignisanzeige in der Programmgruppe VERWALTUNG, und wählen Sie SICHERHEITSPROTOKOLL. 5. Prüfen Sie die Einträge im Protokoll, angefangen beim ersten Eintrag, der die Anmeldung des Administrators zeigt, bis weiter hinten die Aussperrung des Benutzers angezeigt wird. 6. Schließen Sie die Ereignisanzeige und melden Sie sich ab. Wiederholungsfragen 1. Sie möchten sicherstellen, dass nur Benutzer der Sicherheitsgruppe Managers auf die Dateien und Ordner eines Servers namens CORPSECURE zugreifen können. Sie haben noch keine Sicherheitsgruppe Managers erstellt. Die Liste der Benutzer, die Mitglieder der Managergruppe sein sollen, muss zu jeder Zeit geschützt sein, und die Aufnahme von Benutzern in diese Gruppe darf nicht an andere delegiert werden. Wie können Sie dies erreichen? 2. Sie haben den Verdacht, dass Studenten, die von der Softwareentwicklungsabteilung eingestellt wurden, versuchten, aus dem Netzwerk Zugriff auf den Server CORPSECURE zu erlangen. Wie können Sie feststellen, ob dies der Fall ist? 3. Ihr Unternehmen hat gerade einen neuen 70.000-DM-Farbdrucker installiert, der nur von der Grafikabteilung benutzt werden soll. Sie möchten verfolgen, wer außerhalb der Grafikabteilung versucht, den Drucker zu benutzen, und welche Benutzer in der Grafikabteilung den Drucker am häufigsten benutzen. Wie würden Sie dabei vorgehen? 4. Wofür können Sie SICHERHEITSKONFIGURATION UND -ANALYSE verwenden? 5. Sie möchten sicherstellen, dass die gesamte Kommunikation zwischen den Windows-2000-Mitgiedsservern in Ihrer Finanzabteilung verschlüsselt wird. Außerdem möchten Sie gewährleisten, dass Clientcomputer in der Finanzabteilung auf sichere Weise mit dem Gehaltsabrechnungsserver kommunizieren. Wie würden Sie das erreichen? 6. Sie müssen für drei Windows-2000-Server-Computer in der Entwicklungsabteilung die gleiche Überwachungsrichtlinie konfigurieren. Außerdem möchten Sie diese Überwachungsrichtlinie auch auf einem Windows-2000Mitgliedsserver in der Qualitätssicherung umsetzen. Wie können Sie dies erreichen?
Lernzielkontrolle
7. Was ist die Standarderweiterung für die Datenbankdateien, die von SICHERHEITSKONFIGURATION UND -ANALYSE erstellt werden? 8. Sie möchten sicherstellen, dass alle Benutzer in Ihrer Windows-2000-Domäne ihre Kennwörter alle 30 Tage ändern. Mitglieder der OU Verkaufsassistenten brauchen ihre Kennwörter nicht zu ändern, weil ihnen von der IT-Abteilung Kennwörter zugewiesen werden. Wie würden Sie diese Anforderungen erfüllen? Prüfungsfragen 1. Sie müssen Sicherheitseinstellungen konfigurieren, die auf mehreren Domänencontrollern Ihrer Organisation am Standort Berlin sowie auf drei weiteren Mitgliedsservern am Standort New York umgesetzt werden sollen. Welche Windows-2000-Verwaltungsprogramme würden Sie einsetzen, um Ihr Ziel zu erreichen? (Wählen Sie alle korrekten Antworten aus.) A. Sicherheitskonfiguration und -analyse B. Sicherheitsvorlagen C. Active Directory-Benutzer und -Computer D. Active Directory-Standorte und -Dienste E. Active Directory-Domänen und -Vertrauensstellungen 2. Sie müssen Zugriffsversuche auf Dateien in einer Netzwerkfreigabe namens SOURCECODE auf dem Mitgliedsserver ENGINEERING in Ihrer Domäne verfolgen. Welche der folgenden Aufgaben müssen Sie erledigen, um Ihr Ziel zu erreichen? (Wählen Sie alle korrekten Antworten aus.) A. Überwachung der Anmeldeaktivitäten auf Engineering B. Überwachung der Datei- und Ordnerzugriffe in Sourcecode C. Überwachung der Objektzugriffe auf Engineering D. Überwachung der Verzeichniszugriffe auf Engineering E. Überwachung der Datei- und Ordnerzugriffe auf Engineering F. Überwachung der Objektzugriffe in Sourcecode 3. Sie wurden gebeten, eine neue Sicherheitsvorlage zu erstellen, die zur Implementierung der Sicherheitseinstellungen auf einer Anzahl von Computern in Ihrer Organisation verwendet werden soll. Die meisten erforderlichen Einstellungen liegen in zwei anderen Sicherheitsvorlagen namens KennwortVor-
665
666
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
lage und AuditVorlage vor, die von Ihrem Vorgänger erstellt wurden. Mehrere andere Einstellungen sind in keiner Vorlage enthalten und müssen neu definiert werden. Welche Schritte müssen Sie unternehmen, um die Sicherheitsvorlage zu erstellen? (Wählen Sie vier korrekte Antworten aus.) A. Öffnen des Gruppenrichtlinieneditors und Import der Vorlagen KENNWORTVORLAGE und AUDITVORLAGE. B. Öffnen von SICHERHEITSKONFIGURATION UND -ANALYSE und Import der Vorlagen KENNWORTVORLAGE und AUDITVORLAGE, nachdem eine neue Datenbank erstellt wurde. C. Export der Einstellungen der Sicherheitsdatenbank mit Hilfe von SICHERHEITSKONFIGURATION UND -ANALYSE in eine neue Sicherheitsvorlage. D. Einsatz von SICHERHEITSKONFIGURATION UND -ANALYSE zur Analyse des Computers im Vergleich mit der Sicherheitsdatenbank. E. Änderung der Sicherheitseinstellungen mit Hilfe des Gruppenrichtlinieneditors, um sie an die Anforderungen anzupassen. F. Änderung der Sicherheitseinstellungen mit Hilfe von SICHERHEITSKONFIGURATION UND -ANALYSE, um sie an die Anforderungen anzupassen. G. Manuelle Erstellung der Vorlage mit Hilfe von SICHERHEITSKONFIGURATION UND -ANALYSE. H. Verwendung von SICHERHEITSKONFIGURATION UND -ANALYSE zur Prüfung der Sicherheitseinstellungen der Vorlagen KENNWORTVORLAGE und AUDITVORLAGE, nachdem eine neue Datenbank erstellt wurde. I. Kopieren der Dateien KENNWORTVORLAGE und AUDITVORLAGE in die Datei NEUEVORLAGE. J. Verwendung von SICHERHEITSKONFIGURATION UND -ANALYSE zum Import der Datei NEUEVORLAGE, nachdem eine neue Datenbank erstellt wurde. 4. Welche der folgenden Überwachungsrichtlinieneinstellungen erzeugen nach der Aktivierung standardmäßig keine Überwachungseinträge im Sicherheitsereignisprotokoll? (Wählen Sie zwei korrekte Antworten aus.) A. Objektzugriffsversuche überwachen B. Anmeldeereignisse überwachen
Lernzielkontrolle
C. Systemereignisse überwachen D. Active Directory-Zugriff überwachen E. Anmeldeversuche überwachen F. Datei- und Druckerzugriff überwachen 5. Sie müssen die Sicherheitskonfiguration aller Computer in der Entwicklungsund Finanzabteilung regelmäßig analysieren. Mit welchen beiden Tools könnten Sie das am effizientesten erledigen? (Wählen Sie zwei korrekte Antworten aus.) A. Active Directory-Benutzer und -Computer B. Taskplaner C. Windows Explorer D. Sicherheitskonfiguration und -analyse E. SECEDIT F. NTDSUTIL 6. Sie möchten verfolgen, wie lange die Benutzer im Netzwerk angemeldet sind. Welches der folgenden Überwachungsereignisse sollten Sie aktivieren? (Wählen Sie die beste Antwort aus.) A. Objektzugriffsversuche überwachen – ERFOLGREICH B. Kontenverwaltung überwachen – ERFOLGREICH C. Anmeldeversuche überwachen – FEHLGESCHLAGEN D. Anmeldeereignisse überwachen – ERFOLGREICH E. Anmeldeereignisse überwachen – FEHLGESCHLAGEN F. Kontenverwaltung überwachen – FEHLGESCHLAGEN 7. Das Management von conciliar.com hat beschlossen, dass jeder Unternehmensbereich selbst für die Fortschreibung der Kennwortrichtlinien verantwortlich sein soll. Die einzige unternehmensweite Anforderung ist eine minimale Kennwortlänge von fünf Zeichen. Die Active Directory-Struktur von conciliar.com enthält eine Domäne auf höchster Ebene namens conciliat.com und vier weitere untergeordnete Domänen namens namerica.conciliar.com, europe.conciliar.com, samerica.conciliar.com und specific.conciliar.com, die für Administrationszwecke erstellt
667
668
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
wurden. Da die Migration auf Windows 2000 erst vor kurzem abgeschlossen wurde, sind bisher keine neuen Gruppenrichtlinienobjekte erstellt worden. Wie würden Sie Gruppenrichtlinien konfigurieren, um die unternehmensweite Einstellung für Kennwortrichtlinien durchzusetzen, und alle anderen Elemente der Kennwortverwaltung auf lokaler Ebene zu belassen? (Wählen Sie alle korrekten Antworten aus.) A. Änderung der Standard-Domänenrichtlinie für die Domäne conciliar.com mit den Kennworteinstellungen. B. Erstellung eines GPO namens Kennwortrichtlinieneinstellungen in jeder Domäne mit den Kennworteinstellungen. C. Erstellung eines GPO namens Kennwortrichtlinieneinstellungen in der Domäne conciliar.com mit den Kennworteinstellungen. D. Verknüpfung des GPO Kennwortrichtlinieneinstellungen der Domäne conciliar.com mit jeder untergeordneten Domäne. E. Konfiguration der Option RICHTLINIENVERERBUNG DEAKTIVIEREN für das GPO Kennwortrichtlinieneinstellungen. F. Verlagerung aller Benutzer in den untergeordneten Domänen in den Container BENUTZER der Domäne conciliar.com. G. Konfiguration der Option KEIN VORRANG für das GPO Kennwortrichtlinieneinstellungen. H. Konfiguration der Option KEIN VORRANG für das GPO Standard-Domänenrichtlinie in der Domäne conciliar.com. 8. Sie beschließen, eine Überwachungsrichtlinie zu implementieren, um folgende Anforderungen zu erfüllen: 씰
Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht werden.
씰
Benutzer, die erfolglos versuchen, sich beim Dateiserver Findata anzumelden, sollen verfolgt werden.
씰
Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden.
씰
Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen verfolgt werden.
Lernzielkontrolle
씰
Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe VerkaufsPersonal, auf den Ordner Commissions auf dem Dateiserver Salesdata zuzugreifen, sollen verfolgt werden.
Um diese Anforderungen zu erfüllen, entscheiden Sie sich zur Durchführung der folgenden Aufgaben: 씰
Erstellung eines GPO für die Standardüberwachungsrichtlinie auf Domänenebene.
씰
Zuweisung der Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN an Authentifizierte Benutzer und Beibehaltung der Standardeinstellungen für alle anderen Berechtigungen in der Standardüberwachungsrichtlinie.
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Anmeldeversuchen auf ERFOLGREICH und FEHLGESCHLAGEN.
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Kontenverwaltungsereignissen auf ERFOLGREICH und FEHLGESCHLAGEN.
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Objektzugriffen auf ERFOLGREICH.
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Active Directory-Zugriffen auf ERFOLGREICH und FEHLGESCHLAGEN.
Welche der angegebenen Anforderungen werden durch Ihre Lösung erfüllt? (Wählen Sie alle korrekten Antworten aus.) A. Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht werden. B. Benutzer, die erfolglos versuchen, sich beim Dateiserver FINDATA anzumelden, sollen verfolgt werden. C. Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden. D. Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen verfolgt werden. E. Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe VerkaufsPersonal, auf den Ordner Commissions auf dem Dateiserver Salesdata zuzugreifen, sollen verfolgt werden.
669
670
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
9. Sie haben die Überwachung so konfiguriert, dass folgende Anforderungen erfüllt werden: 씰
Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht werden.
씰
Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden.
씰
Erfolglose Versuche, die Gruppenrichtlinie der Domäne zu ändern, sollen verfolgt werden.
씰
Benutzer, die beim Versuch, den Computer herunterzufahren, eine Fehlermeldung erhalten, sollen verfolgt werden.
씰
Erfolglose Versuche von Benutzern, sich mit der Freigabe Confidential auf dem Mitgliedsserver Executive zu verbinden, sollen verfolgt werden.
Sie konfigurieren eine Überwachungsrichtlinie mit folgenden Einstellungen: 씰
Anmeldeversuche überwachen – FEHLGESCHLAGEN
씰
Kontenverwaltung überwachen – ERFOLGREICH, FEHLGESCHLAGEN
씰
Active Directory-Zugriff überwachen – nicht konfiguriert
씰
Anmeldeereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN
씰
Objektzugriffsversuche überwachen – nicht konfiguriert
씰
Richtlinienänderung überwachen – ERFOLGREICH und FEHLGESCHLAGEN
씰
Rechteverwendung überwachen – nicht konfiguriert
씰
Prozessverfolgung überwachen – FEHLGESCHLAGEN
씰
Systemereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN
Nachdem Sie diese Einstellungen mittels Gruppenrichtlinie auf Domänenebene in Kraft gesetzt haben, stellen Sie fest, dass einige Gesichtspunkte, die Sie verfolgen wollten, nicht im Sicherheitsereignisprotokoll angezeigt werden, wohl aber andere, die Sie nicht verfolgen wollten. Welche der Überwachungsrichtlinieneinstellungen müssen Sie ändern, um das Problem zu korrigieren? (Wählen Sie alle zutreffenden aus.) A. Anmeldeversuche überwachen – FEHLGESCHLAGEN B. Kontenverwaltung überwachen – ERFOLGREICH, FEHLGESCHLAGEN
Lernzielkontrolle
C. Active Directory-Zugriff überwachen – nicht konfiguriert D. Anmeldeereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN E. Objektzugriffsversuche überwachen – nicht konfiguriert F. Richtlinienänderung überwachen – ERFOLGREICH und FEHLGESCHLAGEN G. Rechteverwendung überwachen – nicht konfiguriert H. Prozessverfolgung überwachen – FEHLGESCHLAGEN I. Systemereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN 10. Sie beschließen, eine Überwachungsrichtlinie zur Erfüllung folgender Anforderungen zu implementieren: 씰
Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht werden.
씰
Benutzer, die erfolglos versuchen, sich beim Dateiserver Findata anzumelden, sollen verfolgt werden.
씰
Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden.
씰
Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen verfolgt werden.
씰
Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe VerkaufsPersonal, auf den Ordner COMMISSIONS auf dem Dateiserver Salesdata zuzugreifen, sollen verfolgt werden.
Um diese Anforderungen zu erfüllen, entscheiden Sie sich zur Durchführung der folgenden Aufgaben: 씰
Erstellung eines GPO namens Standarddomänenüberwachungsrichtlinie auf Domänenebene.
씰
Zuweisung der Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN an Authentifizierte Benutzer, Findata und Salesdata und Verweigerung der Berechtigung GRUPPENRICHTLINIEN ÜBERNEHMEN für die Sicherheitsgruppe Domänen-Admins für die Standarddomänenüberwachungsrichtlinie.
씰
Konfiguration der Standarddomänenüberwachungsrichtlinie für die Überwachung von Anmeldeversuchen auf ERFOLGREICH und FEHLGESCHLAGEN.
671
672
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Anmeldeereignissen auf FEHLGESCHLAGEN.
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Kontenverwaltungsereignissen auf ERFOLGREICH und FEHLGESCHLAGEN.
씰
Konfiguration der Standardüberwachungsrichtlinie für die Überwachung von Objektzugriffsversuchen auf FEHLGESCHLAGEN.
씰
Einsatz von Windows Explorer auf dem Server SALESDATA zur Verfolgung von ERFOLGREICH und FEHLGESCHLAGEN bei den Operationen ORDNER AUFLISTEN / DATEN LESEN im Ordner COMMISSIONS für die Sicherheitsgruppe VerkaufsPersonal.
Welche der angegebenen Anforderungen werden von Ihrer Lösung erfüllt? (Wählen Sie alle korrekten Antworten aus.) A. Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht werden. B. Benutzer, die erfolglos versuchen, sich beim Dateiserver FINDATA anzumelden, sollen verfolgt werden. C. Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden. D. Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen verfolgt werden. E. Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe VerkaufsPersonal, auf den Ordner COMMISSIONS auf dem Dateiserver SALESDATA zuzugreifen, sollen verfolgt werden. Antworten auf die Wiederholungsfragen 1. Der beste Weg zum gewünschten Ziel ist die Erstellung einer Sicherheitsrichtlinie auf Corpsecure mit Aufnahme der Gruppe Managers in EINGESCHRÄNKTE GRUPPEN. Nehmen Sie Benutzer ausschließlich über die Sicherheitsrichtlinie in die Gruppe MANAGERS auf, sodass Benutzer nicht auf andere Weise Mitglied werden können. Geben Sie der Gruppe Managers das Benutzerrecht AUF DIESEN COMPUTER VOM NETZWERK AUS ZUGREIFEN, und entziehen Sie den Gruppen JEDER und AUTORISIERTE BENUTZER dieses Recht. Siehe »Implementierung von Sicherheitsrichtlinien«. 2. Um festzustellen, ob Werkstudenten versuchen, Zugriff auf den Server CORPSECURE zu erhalten, erstellen Sie eine Überwachungsrichtlinie, die für die Überwachung der Rechteverwendung durch die Gruppe JEDER (weil
Lernzielkontrolle
es sich um andere Benutzer handeln könnte) und für die Überwachung des fraglichen Rechts (AUF DIESEN COMPUTER VOM NETZWERK AUS ZUGREIFEN) konfiguriert ist. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«. 3. Aktivieren Sie die Überwachung von Objektzugriffsversuchen auf dem Windows-2000-Computer, auf dem der Drucker definiert ist. Ordnen Sie dem gemeinsamen Drucker geeignete Berechtigungen zu, damit gewährleistet ist, dass nur Mitglieder der Grafikabteilung Zugriff haben. Konfigurieren Sie die Überwachung für den Drucker auf FEHLGESCHLAGEN bei den Operationen DRUCKEN und DRUCKER LESEN für die Gruppe JEDER, sowie auf ERFOLGREICH und FEHLGESCHLAGEN für Mitarbeiter der Grafikabteilung. Ersteres erlaubt Ihnen die Verfolgung unbefugter Versuche, auf den Drucker zuzugreifen. Letzteres verfolgt die Druckernutzung innerhalb der Grafikabteilung. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«. 4. SICHERHEITSKONFIGURATION UND -ANALYSE kann zur Analyse der Systemsicherheit verwendet werden, indem eine Sicherheitsdatenbank erstellt wird und deren Einstellungen mit einer Sicherheitsvorlage verglichen werden. Es kann auch durch Anwendung von Vorlageneinstellungen auf den Computer zur Konfiguration der Systemsicherheit verwendet werden. Schließlich kann es verwendet werden, um neue Vorlagen für die aktuelle Computerkonfiguration zu erstellen, oder um vorhandene Einstellungen mit einer Vorlage zu einer neuen Sicherheitsvorlage zusammenzuführen. Siehe »Implementierung von Sicherheitsrichtlinien«. 5. Sie würden zuerst zwei Sicherheitsgruppen erstellen: eine für alle Mitgliedsserver in der Finanzabteilung und eine weitere für die Clientcomputer in der Finanzabteilung. Dann würden Sie eine OU für die Finanzabteilung erstellen, falls noch nicht vorhanden, und die Computer sowie die Sicherheitsgruppen in die OU aufnehmen. Anschließend würden Sie auf Ebene der Finanz-OU ein GPO mit den nötigen Einstellungen erstellen und den beiden Sicherungsgruppen zuordnen. Siehe »Implementierung von Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 6. Die beste Möglichkeit, Ihre Ziele zu erreichen, ist die Erstellung eines GPO auf Ebene der Entwicklungs-OU. Konfigurieren Sie eine Sicherheitsvorlage mit den passenden Einstellungen, und importieren Sie diese in das GPO. Ordnen Sie dann das GPO den Computern in der Entwicklungs-OU zu. Dadurch werden den Computern der Entwicklungsabteilung die Einstellungen der Vorlage zugewiesen. Um die gleichen Einstellungen auf den Computer in der Qualitätssicherung zu bekommen, würden Sie in SICHERHEITSKONFIGURATION UND -ANALYSE auf diesem Computer die Vorlage importieren und die
673
674
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
Einstellungen für den Qualitätssicherungscomputer konfigurieren. Siehe »Implementierung von Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlinienbereich » in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 7. Die Standarderweiterung für Sicherheitsdatenbankdateien, die in SICHERHEITSKONFIGURATION UND -ANALYSE erstellt werden, ist .SDB. Siehe »Implementierung von Sicherheitsrichtlinien«. 8. Um alle Benutzer in der Domäne zu zwingen, ihre Kennwörter alle 30 Tage zu ändern, würden Sie auf Domänenebene ein GPO mit den passenden Einstellungen für die Kennwortrichtlinie erstellen. Sie würden das GPO der Gruppe Authentifizierte Benutzer zuordnen. Damit die Richtlinie nicht für die Verkaufsassistenten gilt, würden Sie eine Sicherheitsgruppe erstellen und dieser alle Benutzer zuordnen, die Verkaufsassistenten sind. Dieser Gruppe würden Sie dann das Recht Gruppenrichtlinie übernehmen verweigern. Siehe »Implementierung von Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. Antworten auf die Prüfungsfragen 1. A, B, D. Sie müssten Sicherheitsvorlagen verwenden, um die Vorlage zu erstellen, die auf den Domänencontrollern am Standort Berlin und auf den anderen Servern umgesetzt werden soll. Anschließend würden Sie mit ACTIVE DIRECTORY-STANDORTE UND -SERVER ein GPO für den Standort erstellen und die Sicherheitsvorlage importieren. Schließlich würden Sie in SICHERHEITSKONFIGURATION UND -ANALYSE die Vorlage in die anderen Server importieren und ihre Einstellungen umsetzen. Siehe »Implementierung von Sicherheitsrichtlinien«. 2. B, C. Um festzustellen, wer unbefugt versucht, Zugriff auf die Freigabe SOURCECODE auf dem Server namens ENGINEERING zu erlangen, müssen Sie die Überwachung von Objektzugriffsversuchen auf dem Computer (ENGINEERING) und dann die Überwachung von Dateien und Ordnern in der Freigabe SOURCECODE aktivieren. Durch Überwachung der Anmeldeaktivitäten erfahren Sie, wer versucht, sich beim Computer anzumelden, aber nicht, zu welchem Zweck. Das kann helfen, ist aber nicht die optimale Lösung. Sie können nicht Datei- und Ordnerzugriffe auf dem Computer und Objektzugriffsversuche auf die Freigabe überwachen. Die Überwachung der Active Directory-Zugriffe hat hier keinen Zweck. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«. 3. B, C, D, F. Um die Vorgaben zu erfüllen, eine neue Vorlage aus zwei vorhandenen plus zusätzlichen Einstellungen zu erstellen, würden Sie mit SICHERHEITSKONFIGURATION UND -ANALYSE die neue Vorlage erstellen. Demzufolge ist die Antwort mit dem Gruppenrichtlinieneditor falsch. In SICHERHEITSKONFIGURATION UND -ANALYSE würden Sie zunächst beide
Lernzielkontrolle
Vorlagen importieren, nachdem Sie eine neue Sicherheitsdatenbank erstellt haben. Dann würden Sie Ihren Computer mit den Einstellungen der Datenbank vergleichen. Dieser Schritt ist notwendig, damit Sie die Datenbankeinstellungen als Vorlage exportieren können. Als Nächstes würden Sie die benötigten Einstellungen konfigurieren, die weder in KennwortVorlage noch in AuditVorlage enthalten sind. Schließlich würden Sie die Datenbankeinstellungen mittels Menüoption VORLAGE EXPORTIEREN in SICHERHEITSKONFIGURATION UND -ANALYSE in eine Sicherheitsvorlage exportieren. Siehe »Implementierung von Sicherheitsrichtlinien«. 4. A, D. Wenn Sie die Überwachung für Objektzugriffsversuche und Active Directory-Zugriffe aktivieren, sind im Windows-2000-Sicherheitsereignisprotokoll hierzu keine Ereignisse zu finden. Dies kommt daher, dass Sie genauer festlegen müssen, welche Objekte (etwa Dateien, Ordner und Drucker) oder Active Directory-Elemente (OUs, Benutzer, Gruppen usw.) Sie auf wessen Zugriffe überwachen möchten. Bei Dateien, Ordnern und Druckern verwenden Sie dazu Windows Explorer, bei Druckern die Systemsteuerung, und bei Active Directory-Objekten verwenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«. 5. B, E. Die beiden Tools, mit denen Sie regelmäßig die Sicherheitskonfiguration der betreffenden Computer analysieren können, sind Secedit.exe und der Taskplaner. Secedit.exe kann zur Analyse der Sicherheitskonfiguration eines Computers verwendet werden. Taskplaner kann zur Planung des Ausführungszeitpunkts von Secedit verwendet werden. Siehe »Implementierung von Sicherheitsrichtlinien«. 6. A. Um die Zeit zu verfolgen, während der Benutzer beim Netzwerk angemeldet sind, würden Sie den Erfolg von Anmeldeversuchen überwachen. Diese haben damit zu tun, dass ein Benutzer sich bei einer Workstation anmeldet und eine Anmeldung bei der Domäne verlangt. Dieses Ereignis unterscheidet sich von einem Anmeldeereignis, bei dem der Benutzer Zugriff auf einen Mitgliedsserver verlangt oder sich lokal bei einem Computer anmeldet. Die Anforderung war, die Zeit zu verfolgen, die der Benutzer im Netzwerk verbringt, wozu eine Anmeldung auf Domänenebene notwendig ist. Die Überwachung des Erfolgs von Anmeldeversuchen würde auf einem Domänencontroller einen Eintrag im Sicherheitsereignisprotokoll hinterlassen, wenn sich ein Benutzer beim Netzwerk anmeldet, und einen weiteren, wenn er bzw. sie sich abmeldet. Damit wären Sie in der Lage, die online verbrachte Zeit zu verfolgen. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«.
675
676
Kapitel 8
Sicherheit mittels Gruppenrichtlinien
7. C, D, G. Diese Frage ist etwas trickreich, weil sie in erster Linie Ihre Kenntnisse der Gruppenrichtlinien testet. Das Problem hier ist, wie Sie eine Unternehmensrichtlinie in einer Struktur durchsetzen, die untergeordnete Domänen enthält. Wie Sie in Kapitel 6 gelernt haben, sind Domänen die Grenzen des Administrators, und GPOs überqueren keine Domänengrenzen, es sei denn, sie sind für einen Standort konfiguriert. Von Standorten ist hier keine Rede, sodass dies auch nicht weiterhilft. Dann ist es die beste Möglichkeit zur Erfüllung der Anforderungen, das GPO »Kennwortrichtlinieneinstellungen« mit den passenden Einstellungen auf Ebene der Domäne conciliar.com zu erstellen. Sie würden diese anschließend mit jeder untergeordneten Domäne verknüpfen, damit sie dort verfügbar ist. Schließlich würden Sie KEIN VORRANG aktivieren, um sicherzustellen, dass diese Minimaleinstellungen im gesamten Unternehmen durchgesetzt werden. Siehe »Implementierung von Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 8. A, C. Die einzigen Anforderungen, die Ihre Lösung erfüllt, wären die Überwachung aller Anmeldeversuche beim Netzwerk und die Überwachung der Änderung von Benutzerkonten im Standardcontainer Benutzer durch einen Administrator. Tatsächlich würde die von Ihnen implementierte Richtlinie alle Kontenverwaltungsaktivitäten sämtlicher Benutzer überwachen, weil das GPO auf die Gruppe Authentifizierte Benutzer angewandt wird, zu der alle Benutzer gehören. Auch wenn bei der von Ihnen beschlossenen Konfiguration noch ganz andere Dinge passieren, die beiden Anforderungen, die definitiv erfüllt werden, sind A und C. Beachten Sie, dass Microsoft Ihnen in einer Prüfung möglicherweise auch Antworten anbietet, die über die Anforderungen hinausgehen, aber wenn Sie das angestrebte Ziel erreichen, können die Antworten richtig sein. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 9. A, D, F, I. Um die Anforderung zu erfüllen, ohne zusätzliche Informationen im Sicherheitsprotokoll zu erzeugen, müssten Sie die Überwachung der Anmeldeversuche auf ERFOLGREICH und FEHLGESCHLAGEN ausweiten, damit alle Anmeldungen im Netzwerk verfolgt werden. Sie müssten außerdem die Überwachung der Anmeldeereignisse auf FEHLGESCHLAGEN beschränken, um erfolglose Versuche zum Aufbau einer Verbindung mit dem Dateiserver EXECUTIVE zu verfolgen. Um erfolglose Versuche zur Änderung der Richtlinieneinstellungen zu verfolgen, brauchen Sie Richtlinienänderungen nur auf Fehler zu überwachen. Schließlich können Sie auch die Überwachung der Systemereignisse auf Fehler einschränken, wenn Sie nur verfolgen möchten, welche Benutzer beim Herunterfahren ihres Computers eine Fehlermeldung erhielten. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«.
Lernzielkontrolle
10. B, E. Ihre Lösung verfolgt alle erfolglosen Versuche von Benutzern, sich beim Server FINDATA anzumelden, weil Sie die Überwachung des Anmeldeereignisses konfiguriert haben. Weil das GPO auf Domänenebene erstellt wird und Sie dem Server FINDATA die Berechtigung Gruppenrichtlinien übernehmen gewährt haben, wird die Richtlinie auf dem Server wirksam, und es werden erfolglose Anmeldeversuche beim Server verfolgt. Sie haben außerdem die Überwachung des Ordners COMMISIONS auf dem Server SALESDATA mit Windows Explorer richtig konfiguriert und die Überwachung von ERFOLGREICH und FEHLGESCHLAGEN bei Objektzugriffsversuchen im Domänen-GPO aktiviert. Damit werden Versuche von Mitgliedern der Gruppe VerkaufsPersonal verfolgt, auf diesen Ordner zuzugreifen. Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«. Weiterführende Literaturhinweise und Quellen Windows 2000 Resource Kit. Deployment Planning Guide. Microsoft Press, 2000. Security Configuration Toolset auf der Microsoft-Website unter http:// www.microsoft.com/windows2000/library/howitworks/security/sctoolset.asp. Securing Windows 2000 Network Resources auf der Microsoft-Website unter http://www.microsoft.com/windows2000/library/planning/incremental/securenetworkresources.asp. Step-by-Step Guide to Using the Security Configuration Toolset auf der Microsoft-Website unter http://www.microsoft.com/windows2000/library/planning/ incremental/securenetworkresources.asp. Step-by-Step Guide to Configuring Enterprise Security auf der Microsoft-Website unter http://www.microsoft.com/windows2000/library/planning/security/ entsecsteps.asp. Default Access Control Settings auf der Microsoft-Website unter http:// www.microsoft.com/windows2000/library/planning/security/Secdefs.asp. Secure Networking Using Windows 2000 Distributed Security Services auf der Microsoft-Website unter http://www.microsoft.com/windows2000/library/ howitworks/security/distdecservices.asp. IP Security for Windows 2000 Server auf der Microsoft-Website unter http:// www.microsoft.com/windows2000/library/howitworks/security/ ip_security.asp.
677
Windows 2000 und Remoteinstallationsdienste
9
Lernziele In diesem Kapitel werden die beiden Ziele aus dem Prüfungsabschnitt »Installieren, Konfigurieren, Verwalten, Überwachen, Optimieren und Fehler beheben im Änderungs- und Konfigurationsmanagement« behandelt, die mit Remoteinstallationsdiensten zu tun haben. Bereitstellung von Windows 2000 mit Hilfe der Remoteinstallationsdienste (RIS) 씰
Installation eines Abbilds (Image) auf einem RIS-Clientcomputer
씰
Erstellung einer Remotestartdiskette
씰
Konfiguration von Remoteinstallationsoptionen
씰
Fehlersuche bei RIS-Problemen
씰
Verwaltung von Abbildern zur Durchführung von Remoteinstallationen
Diese Zielsetzung ist darauf ausgerichtet, dass Sie lernen, wie Remoteinstallationsdienste auf einem Windows-2000-Mitgliedsserver installiert werden. Dazu gehört u.a., dass Sie über die Vorkenntnisse für die Arbeit mit dem RIS-Server und dem Client verfügen, CD-basierte und RIPrep-Images erstellen können, dass Sie wissen, wie eine RIS-Startdiskette erstellt und wann sie eingesetzt wird, und dass Sie RIS zur Bereitstellung von Windows 2000 einsetzen. Außerdem müssen Sie wissen, welche Probleme bei RIS häufig auftreten, und wie sie zu lösen sind. Konfiguration der RIS-Sicherheit 씰
Autorisieren eines RIS-Servers
씰
Rechte zur Erstellung von Computerkonten gewähren
씰
RIS-Clientcomputer vorkonfigurieren für zusätzliche Sicherheit und zum Lastausgleich
680
Kapitel 9
Windows 2000 und Remote- installationsdienste
Dadurch, dass Microsoft Sie zur Bereitstellung von Windows 2000 prüft, soll sichergestellt werden, dass Sie mit den Sicherheitsaspekten von RIS völlig vertraut sind. Dazu gehören u.a. Fragen wie die Autorisierung eines RIS-Servers zur Bearbeitung von Clientanforderungen, wie und wann die Erstellung von Computerkonten an andere Benutzer in der Organisation delegiert wird, und wie schließlich sichergestellt wird, dass nur Computer mit bekannter Identifikation Windows 2000 mittels RIS bereitstellen dürfen (d.h. Vorkonfiguration eines Clientcomputers). Die speziellen Teilziele werden in zwei Abschnitten des Kapitels behandelt. Die Autorisierung und Gewährung von Computerberechtigungen zur Erstellung werden im Abschnitt »Einrichten eines RIS-Servers« behandelt, und die Vorkonfiguration von Clientcomputern in einem eigenen Abschnitt. Dies sollte unbedenklich sein, weil Microsoft Sie wahrscheinlich in ein und derselben Frage zu diesen und anderen Themen prüft. Seien Sie sich einfach der Fragen im Zusammenhang mit Sicherheit und RIS bewusst.
Tipps für das Selbststudium 씰
Die beste Vorbereitung auf den Prüfungsabschnitt Remoteinstallationsdienste besteht darin, sich die Anforderungen an RIS-Server und -Clients völlig klarzumachen. Das Durcharbeiten der Übungen in diesem Kapitel und zwei verfügbare Computer helfen Ihnen bei der Vorbereitung auf die Prüfung, weil Sie dann in der Lage sind, einen RIS-Server zu konfigurieren, und RIS zur Bereitstellung von Windows 2000 auf dem zweiten Computer einsetzen können. Wenn Sie keinen Computer mit PXE-fähiger Netzwerkkarte haben, sollten Sie eine Remote-Startdiskette für Ihre Netzwerkkarte erstellen.
씰
Sie sollten außerdem die Vorkonfiguration eines Clients sowie die Autorisierung eines RIS-Servers in Active Directory üben. Kenntnisse über die Konfiguration der Namengebung für Clientcomputer sowie der Autorisierung von Benutzern zur Erstellung von Computerkonten sind ebenfalls erforderlich. Sie erhalten diese normalerweise dadurch, dass Sie die Schritt-für-SchrittAbschnitte und die Übungen in diesem Kapitel durcharbeiten.
씰
Wenn Sie die Wiederholungs- und Prüfungsfragen beantworten können, sind Sie bei der Prüfungsvorbereitung einen Schritt weiter. Sie sollten außerdem verstehen, was bei einer RIS-Bereitstellung schief gehen kann, weil Microsoft gerne Fragen in dieser Richtung stellt.
씰
Noch einmal: Die beste Möglichkeit, sich auf diesen Teil der Prüfung vorzubereiten, ist die Arbeit mit dem Produkt und die Durchführung mindestens einer Installation mittels RIS.
9.1 Einführung
9.1
Einführung
Wie Sie nach der Konfiguration von Active Directory mittels Gruppenrichtlinien gesehen haben, gibt es eine ganze Menge Features, die benutzt werden können, darunter Steuerung der Benutzerumgebung mit Gruppenrichtlinien, Bereitstellung von Software und Aktualisierungen für Benutzer und Computer sowie Konfiguration und Überwachung von Sicherheitseinstellungen. Sie müssen jedoch immer noch Windows 2000 Professional oder andere Windows-2000-Varianten auf den Computern installieren, um alle diese schönen Features benutzen zu können. Bei der Installation von Windows 2000 auf Clientcomputern haben Sie die Wahl zwischen mehreren Methoden. Sie können erstens Windows 2000 von der CDROM installieren und die Einstellungen für jeden Computer manuell konfigurieren. Das Problem hierbei ist, dass dieser Vorgang ziemlich zeitraubend werden kann, und dass zur ordnungsgemäßen Abwicklung sehr viele Benutzereingriffe nötig sind. Eine andere Methode ist die Erstellung einer Datei für die unbeaufsichtigte Installation und die automatische Installation von einer Netzwerkfreigabe oder der CDROM, sodass weniger Benutzereingriffe erforderlich sind. Dies erleichtert die gleichzeitige Installation auf mehreren Computern und kann ein sinnvoller Ausgangspunkt sein. Eine dritte Methode ist die Erstellung eines Abbilds auf einem Windows-2000Referenzcomputer mit Hilfe eines Image-Produkts von einem Drittanbieter, wie etwa Symantec Ghost oder PowerQuest Disk Image Pro, und anschließend das Kopieren des Abbilds auf andere Computer mit genau den gleichen Merkmalen der Hardwareabstraktionsschicht (Hardware Abstraction Layer, HAL). Dies geht ziemlich schnell und kann ebenfalls eine brauchbare Lösung sein. Eine vierte Methode ist die Verwendung des neuen Windows-2000-Features Remoteinstallationsdienste (Remote Installation Services, RIS), mit dem die Installation von Windows 2000 Professional aus einer Netzwerkfreigabe auf Clientcomputern automatisiert werden kann. Diese Methode bietet zusätzliche Sicherheit sowie weitere Features, die sie in vielen Organisationen zur richtigen Wahl für die Bereitstellung machen können.
681
682
Kapitel 9
9.2
Windows 2000 und Remote- installationsdienste
Übersicht über Remoteinstallationsdienste HINWEIS
Nur Windows 2000 Professional Remoteinstallationsdienste unterstützt in Windows 2000 nur die Installation der Windows-2000-Professional-Clientsoftware mittels RIS. Derzeit ist es mit RIS nicht möglich, Windows 2000 Server bzw. Advanced Server auf einem Zielcomputer zu installieren. Zur Installation einer Server-Variante von Windows 2000 auf einem Computer müssen Sie entweder eine Installation von CD-ROM oder eine unbeaufsichtigte Installation von einer Netzwerkfreigabe ausführen.
Remoteinstallationsdienste ist eine Komponente von Windows 2000, welche die automatische Installation von Windows 2000 Professional auf Clientcomputern ermöglicht. Computer werden am Anfang der Bootphase mit dem RIS-Server verbunden und starten die Remoteinstallation von Windows 2000 Professional. Dabei können entweder die Windows-2000-Professional-Installationsdateien der CDROM oder ein RIPrep-Abbild mit dem Betriebssystem und Konfigurationen von weiteren Anwendungen verwendet werden. Die Abbilddateien sind auf dem RISServer gespeichert und werden während des Bootvorgangs auf den Clientcomputer übertragen, um die Installation zu starten. Der Remoteinstallationsvorgang beruht auf einer Reihe von wichtigen Technologien auf Server- und Clientcomputern. Auf Serverseite setzt RIS Folgendes voraus: 씰
Eine NTFS-Partition zur Aufnahme der Abbilder von Windows 2000 Professional, die auf den Clientcomputern installiert werden sollen. Eine Partition kann mehrere Images enthalten.
씰
Images zur Durchführung der Installation von Windows 2000 Professional auf Clientcomputern. Images können die auf der CD-ROM zu findenden Installationsdateien für Windows 2000 Professional oder RIPrep-Images (Remote Installation Preparation, Remoteinstallationsvorbereitung) sein. RIPrep-Images stehen für einen vollständig konfigurierten Computer, einschließlich zusätzlicher Anwendungssoftware, Desktopeinstellungen und Netzwerkverbindungen, und bieten eine einfache Möglichkeit, die gleiche Konfiguration schnell auf mehreren Computern zu installieren.
씰
Remoteinstallationsdienste, die Clientanforderungen zur Installation von Windows 2000 Professional auf einem Clientcomputer entgegennehmen und bearbeiten. Remoteinstallationsdienste verwendet die drei nachfolgenden Windows-2000-Netzwerkkomponenten. Diese müssen auf dem RIS-Server installiert und aktiv sein.
9.2 Übersicht über Remoteinstallationsdienste
Boot Information Negotiation Layer (BINL), Protokollschicht zum Aushandeln von Bootinformationen, die Clientanforderungen entgegennimmt und Clientcomputern hilft. Single Instance Store (SIS, Ein-Instanzen-Speicher), der zur Minimierung des von RIS-Images belegten Speicherplatzes beiträgt, indem es Mehrfachkopien von Dateien, die zu mehreren Images gehören, durch Verweise auf einen gemeinsamen Speicherort auf der Festplatte ersetzt. Trivial File Transfer Protocol (TFTP, triviales Dateiübertragungsprotokoll), das zur Übertragung der Images auf die Clientcomputer und zum Start der Installation von Windows 2000 Professional verwendet wird. 씰
Den DHCP-Dienst (Dynamic Host Configuration Protocol), installiert und aktiviert auf einem Windows-2000-Server-, Advanced-Server- oder DataServer-Computer, der Clientanforderungen von IP-Adressen entgegennimmt. Den Clients wird eine DHCP-Adresse zugewiesen, wenn sie sich mit dem RIS-Server verbinden, um eine Installation zu beginnen. Der DHCP-Server muss in Active Directory autorisiert sein, IP-Adressen an Clients per Lease zu vergeben, auf denen eine RIS-Installation ausgeführt werden soll.
씰
Windows 2000 Active Directory, installiert und konfiguriert in mindestens einer Domäne. RIS benötigt Active Directory zur Installation und Verwaltung seiner Konfiguration und zum Auffinden von Computerkonten, die berechtigt sind, Windows 2000 Professional mit RIS zu installieren.
씰
Domain Name Service (DNS) zur Ortung von Active Directory-Diensten in der Domäne.
Auf Clientseite ist es zur Installation von Windows 2000 Professional mit RIS erforderlich, dass der Computer und die Netzwerkkarte bestimmte Spezifikationen erfüllen. Zu den Anforderungen auf Clientseite gehören folgende: 씰
Ein Computer mit CPU Pentium 166 oder besser. Empfohlen wird Pentium 233 oder besser, einschließlich Celeron, Pentium II und Pentium III. Der Clientcomputer, auf dem mittels RIS Windows 2000 Professional installiert werden soll, muss die Mindestvoraussetzungen für das Betriebssystem Windows 2000 Professional erfüllen.
씰
Eine Festplatte mit mindestens 1 Gbyte freiem Speicherplatz, konfiguriert als primäre Partition. Es empfiehlt sich, mehr Speicherplatz bereitzustellen, wenn Sie zusätzliche Anwendungen installieren möchten. 2 Gbyte Speicherplatz sind zu bevorzugen.
683
684
Kapitel 9
Windows 2000 und Remote- installationsdienste
씰
64 Mbyte RAM sind erforderlich, 128 Mbyte zu empfehlen. Je mehr Speicher der Computer aufweist, desto besser ist die Leistung von Windows 2000 Professional.
씰
Eine Netzwerkkarte mit 10 Mb/s, 100 Mb/s sind zu empfehlen. Die Netzwerkkarte muss der Spezifikation Pre-Boot Execution Environment (PXE) Version 0.99c oder höher entsprechen und eine PCI-Karte sein, die eine Remotestartdiskette unterstützt. Computer, die der NetPC-Spezifikation entsprechen oder deren Einhaltung der Spezifikation PC98 oder später getestet und verifiziert wurde, sollten kompatibel sein.
HINWEIS PCMCIA/PC-Karten werden nicht unterstützt PC-Karten bzw. PCMCIA-Karten, wie sie in Notebooks vorkommen, werden von RIS nicht unterstützt. Das bedeutet, es ist nicht möglich, mit RIS eine NotebookBereitstellung in großem Maßstab durchzuführen, es sei denn, es wird eine Dockingstation mit einer kompatiblen Netzwerkkarte verwendet. Wenn das Notebook angedockt ist, verwendet es die Netzwerkkarte der Dockingstation zum LAN-Zugriff; wenn diese Karte PXE-kompatibel ist oder von der Remotestartdiskette unterstützt wird, können Sie Windows 2000 Professional mit RIS auf dem Notebook installieren. 씰
Das Basic Input/Output System (BIOS) des Clientcomputers muss so konfiguriert sein, dass von der Netzwerkkarte gestartet wird, sofern diese PXEkompatibel ist. Wenn Sie ein RIPrep-Image verwenden, muss der Computer für den Start von Diskette konfiguriert sein.
Wenn Ihr Clientcomputer die oben skizzierten Anforderungen erfüllt und Sie einen RIS-Server ordnungsgemäß konfiguriert und installiert haben, nachdem alle serverseitigen Anforderungen erfüllt waren, können Sie RIS verwenden, um Windows 2000 Professional-Images für Clientcomputer bereitzustellen.
9.2.1
Der Prozess der Installation von Windows 2000 mit RIS
Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste (RIS) 씰
Installation eines Images auf einem RIS-Clientcomputer
Der eigentliche Vorgang einer Installation von Windows 2000 Professional nach der Konfiguration eines RIS-Servers und der Erstellung eines Images ist ziemlich elegant. Während der Bootphase, wobei entweder eine PXE-kompatible Netzwerkkarte oder die Remotestartdiskette verwendet wird, drückt der Benutzer (F12). Damit wird die Konfiguration des Computers mittels RIS eingeleitet. Dann wird eine Reihe von Schritten zur Ausführung der Installation durchgeführt .
9.2 Übersicht über Remoteinstallationsdienste
1. Der Clientcomputer sendet ein DHCP-Discover-Paket, um einen DHCP-Server zu finden und eine IP-Adresse anzufordern. Dieses Paket enthält außerdem die globale Identifikation GUID (Globally Unique Identifier) für den Computer sowie ein Anforderung, die von einem RIS-Server bedient werden muss. Wie Sie bald sehen werden, ist die GUID ein wichtiges Element. 2. Der DHCP-Server weist dem Client eine IP-Adresse zu, damit dieser im Netzwerk kommunizieren kann. 3. Der Clientcomputer wird an einen RIS-Server verwiesen und mit diesem verbunden. 4. Nachdem der Client eine Verbindung mit dem RIS-Server hergestellt hat, prüft dieser in Active Directory, ob der Clientcomputer vorkonfiguriert (d.h. für den Empfang einer bestimmten Liste von Images von einem bestimmten Server im Unternehmen vorbereitet) wurde. Dazu nimmt der RIS-Server Verbindung mit Active Directory auf, um die GUID des Computers zu finden. Wird diese gefunden, so gilt der Computer als vorkonfiguriert. 5. Wenn der Clientcomputer vorkonfiguriert ist, verweist ihn der RIS-Server an den zugeordneten RIS-Server, der in Active Directory festgelegt ist, und gibt ihm einen Benutzernamen sowie ein Kennwort für die Anmeldung. Ist der Clientcomputer nicht vorkonfiguriert, so wird der Benutzer vom RISServer aufgefordert, seinen Benutzernamen und sein Kennwort für die Anmeldung einzugeben. 6. Nachdem der Benutzer beim RIS-Server angemeldet ist, wird ihm eine Liste von verfügbaren Images für die Installation angezeigt, und er wird aufgefordert, eines auszuwählen. 7. Nachdem ein Image ausgewählt wurde, beginnt der Installationsvorgang mit der Konfiguration des Computers mit Windows 2000 Professional. Die Konfiguration und Verwendung von Remoteinstallationsdienste umfasst vier Schritte: 1. Die Installation von Remoteinstallationsdienste 2. Die Konfiguration des RIS-Servers und des Starts von RIS, einschließlich Erstellung der für die Installation von Windows 2000 Professional benötigten Images. 3. Die Autorisierung des RIS-Servers in DHCP-Manager, damit Clients, die eine DHCP-Adresse erhalten, am Anfang der Bootphase auch eine Anforderung zur Verwendung eines RIS-Servers abgeben können.
685
686
Kapitel 9
Windows 2000 und Remote- installationsdienste
4. Die Gewährung des Rechts zur Erstellung von Computerkonten in der Domäne für Benutzer, die Windows 2000 mittels RIS auf ihrem Computer installieren und diesen zur Domäne hinzufügen sollen. Der erste Schritt in der Folge ist die Installation des RIS-Servers.
9.3
Installation und Konfiguration eines RISServers
Die Installation von RIS ist eigentlich ein einfacher Vorgang. Zunächst müssen die Hardware- und Softwarevoraussetzungen erfüllt werden, dann können Sie RIS auf einem Computer mit Windows 2000 Server, Advanced Server oder Data Center Server installieren, der Mitglied Ihrer Domäne ist. Es können mehrere RIS-Server eingesetzt werden, um Windows 2000 Professional bereitzustellen, aber die Installation des Betriebssystems auf einem Computer wird jeweils nur von einem RISServer abgewickelt.
9.3.1
Voraussetzungen für RIS
Vor der Installation der Windows-2000-Remoteinstallationsdienste müssen Sie sicherstellen, dass Ihr Server die Anforderungen von RIS erfüllt. Dazu gehören die Hardwarevoraussetzungen für den Servercomputer selbst ebenso wie weitere Komponenten von Windows 2000, die von RIS benötigt werden Hardwarevoraussetzungen für den Server Die Hardwareanforderungen an den RIS-Server sind fast identisch mit den Voraussetzungen für Windows 2000 Server selbst, mit einem kleinen Unterschied. Zu den Hardwarevoraussetzungen für die Ausführung von RIS gehören folgende: 씰
Eine CPU Pentium 166 oder besser. Ein Pentium II 300 oder besser wird empfohlen.
씰
Eine 10-Mb/s-Netzwerkkarte (z.B. 10BASE-T). Eine 100-Mb/s-Netzwerkkarte (z.B. 100BASE-TX) wird empfohlen.
씰
Mindestens 256 Mbyte RAM, obwohl auch eine Konfiguration mit 128 Mbyte RAM unterstützt wird. Mehr Speicher ist erforderlich, wenn Sie vorhaben, auf dem gleichen Server neben RIS auch DHCP, DNS oder andere Dienste auszuführen.
씰
Mindestens 2 Gbyte freier Speicherplatz auf der Festplatte (4 Gbyte empfohlen), der in zwei Partitionen auf der Festplatte aufgeteilt ist. Eine Partition wird zum Speichern der RIS-Images verwendet und muss NTFS benutzen; die andere wird für das Betriebssystem Windows 2000 Server verwendet. Es
9.3 Installation und Konfiguration eines RIS-Servers
wird empfohlen, alle Partitionen als NTFS zu konfigurieren. Die Partition für RIS-Images muss so viel Speicherplatz umfassen, dass sie alle Images aufnehmen kann, die auf dem Server verfügbar sein sollen. 씰
Eine VGA-Videokarte mit einer Auflösung von 800x600 Bildpunkten.
씰
Eine Maus und eine Tastatur.
씰
Ein CD-ROM-Laufwerk wird bei Verwendung von CD-basierten Images empfohlen, damit Sie den Inhalt der Windows-2000-Professional-CD an den Image-Speicherort kopieren können.
씰
Der einzige größere Unterschied bei den Voraussetzungen für die Installation eines RIS-Servers auf Computern mit Windows 2000 Server bzw. Advanced Server ist die Notwendigkeit von mindestens zwei Datenträgern auf der Festplatte; einer für die RIS-Images, der als NTFS-Dateisystem formatiert sein muss, und ein zweiter für das Betriebssystem des Servers.
Softwarevoraussetzungen für RIS Bevor Sie RIS installieren und in Ihrem LAN verwenden können, muss eine Reihe von weiteren Softwarekomponenten installiert werden. Sie können diese auf dem gleichen Server wie RIS oder zur Verbesserung der Leistung auf einem anderen Computer mit Windows 2000 Server bzw. Advanced Server installieren. Folgende Softwarekomponenten müssen vor der Installation von RIS installiert und konfiguriert werden: 씰
Domain Name System (DNS). Dieses wird zur Ortung von Objekten in Active Directory benötigt. Jeder DNS-Server, der mit Active Directory verwendet werden kann, funktioniert. Der RIS-Computer muss mit der IP-Adresse des DNS-Servers konfiguriert werden.
씰
Active Directory. RIS benötigt Active Directory zur Ortung von Computerkonten und Verwaltung der RIS-Konfiguration. RIS kann nicht in einer Umgebung installiert werden, in der Active Directory nicht installiert und konfiguriert ist – Active Directory ist eine notwendige Komponenten.
씰
DHCP-Dienst. RIS verwendet DHCP zur Zuweisung von IP-Adressen an Clientcomputer. Wie bereits angesprochen, senden Clients ein DHCP-Discover-Paket, um eine IP-Adresse zu erhalten, und dieses Paket enthält auch die Anforderung, mit einem RIS-Server verbunden zu werden. DHCP-Server autorisieren RIS-Servercomputer und geben die Clientanforderung zum Verbindungsaufbau mit einem RIS-Server an den bekannten RIS-Server oder an denjenigen weiter, für den der Client vorkonfiguriert wurde.
687
688
Kapitel 9
Windows 2000 und Remote- installationsdienste
Nachdem diese Softwarekomponenten installiert und konfiguriert wurden, kann die Installation von RIS auf einem Windows-2000-Server, Advanced-Server oder DataCenter-Server gestartet werden.
9.3.2
Einrichtung eines RIS-Servers
Nachdem die vorne beschriebenen Hardware- und Softwarevoraussetzungen erfüllt wurden, sind zur Einrichtung eines RIS-Servers folgende Schritte erforderlich: 1. Installieren Sie RIS auf dem Windows 2000 Server-Computer. Sie können RIS während der Installation von Windows 2000 Server oder danach installieren. Durch die Installation wird RIS nicht konfiguriert, sondern es werden lediglich die Dateien installiert, die RIS funktionsfähig machen. 2. Konfigurieren und starten Sie den RIS-Server mit Hilfe des Assistenten zur Installation der Remoteinstallationsdienste. In diesem Schritt müssen Sie ein erstes CD-basiertes Image erstellen, was voraussetzt, dass Sie die Windows2000-Professional-CD-ROM bereithalten. 3. Autorisieren Sie mit Hilfe von DHCP Manager den RIS-Server in Active Directory. Dadurch wird der RIS-Server in die Lage versetzt, Clientanforderungen zum Start einer Remoteinstallation zu bedienen. 4. Gewähren Sie den Benutzern, die Remoteinstallationen mit RIS durchführen sollen, das Recht, in der Domäne Computerkonten zu erstellen. Installation von RIS auf einem Windows-2000-Server-Computer Wenn Sie RIS bei der Installation von Windows 2000 Server nicht ausgewählt haben, können Sie es jederzeit nachträglich installieren, indem Sie Software in der Systemsteuerung oder den Assistenten für die Konfiguration des Servers verwenden. Sie müssen die CD-ROM für Windows 2000 Server bzw. Advanced Server oder einen Pfad zu den Quelldateien im Netzwerk bereithalten. Folgen Sie Schritt für Schritt 9.1, um RIS mit dem Assistenten für die Konfiguration des Servers zu installieren.
SCHRITT FÜR SCHRITT 9.1
Installation von RIS mit dem Assistenten für die Konfiguration des Servers
HINWEIS Mehr als eine Möglichkeit zur Installation von RIS Eine weitere Möglichkeit zur Installation von RIS ist die Verwendung von Software in der Systemsteuerung. Wenn Sie diese Methode verwenden möchten, führen Sie an Stelle der Schritte 1 bis 4 in Schritt für Schritt 9.1 folgende Schritte aus:
9.3 Installation und Konfiguration eines RIS-Servers
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü EINSTELLUNGEN, dann SYSTEMSTEUERUNG. 3. Doppelklicken Sie in der Systemsteuerung auf SOFTWARE. 4. Wählen Sie in SOFTWARE WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN, um den ASSISTENT FÜR WINDOWS-KOMPONENTEN zu öffnen.
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann KONFIGURATION DES SERVERS. Es wird ein Bildschirm ähnlich wie in Abbildung 9.1 angezeigt. Abbildung 9.1 Der Assistent für die Konfiguration des Servers ist eine Möglichkeit zur RIS-Installation
3. Wählen Sie ERWEITERT im Assistenten für die Konfiguration des Servers und klicken Sie auf OPTIONALE KOMPONENTEN, von wo Sie den Assistenten für Windows-Komponenten starten können, wie in Abbildung 9.2 gezeigt. 4. Klicken Sie auf STARTEN, um den Assistenten für Windows-Komponenten zu starten, worauf ein Bildschirm ähnlich Abbildung 9.3 angezeigt wird 5. Rollen Sie, wie in Abbildung 9.4 gezeigt, die Liste verfügbarer Komponenten abwärts, und markieren Sie REMOTEINSTALLATIONSDIENSTE, indem Sie das Kontrollkästchen daneben aktivieren. Klicken Sie dann auf WEITER, um die Installation zu starten.
689
690
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.2 Der Assistent für Windows-Komponenten kann durch Wahl von ERWEITERT, OPTIONALE KOMPONENTEN im Assistenten für die Konfiguration des Servers geöffnet werden
Abbildung 9.3 Der Assistent für Windows-Komponenten ermöglicht Ihnen die Installation zusätzlicher Windows-2000Komponenten auf dem Computer
6. Wenn Sie zuvor Terminaldienste installiert haben, werden Sie aufgefordert, die Einrichtung von Terminaldiensten zu bestätigen, wie in Abbildung 9.5 gezeigt. Klicken Sie auf WEITER, nachdem Sie Ihre Konfiguration ausgewählt haben, um die Installation der Remoteinstallationsdienste fortzusetzen.
9.3 Installation und Konfiguration eines RIS-Servers
Abbildung 9.4 Wählen Sie in der Liste REMOTEINSTALLATIONSDIENSTE, und klicken Sie auf WEITER, um die Installation zu starten
Abbildung 9.5 Wenn sie zuvor installiert wurden, bestätigen Sie die Konfiguration der Terminaldienste, und klicken Sie auf WEITER
7. Wenn Sie Terminaldienste nicht installiert haben, wird die Installation fortgesetzt und Sie werden, wie in Abbildung 9.6 gezeigt, aufgefordert, die CDROM für Windows 2000 Server bzw. Advanced Server einzulegen, wenn sie sich nicht schon im CD-ROM-Laufwerk befindet. Legen Sie die CD ein, und klicken Sie auf OK. Die Installation wird fortgesetzt, wie in Abbildung 9.7 gezeigt.
691
692
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.6 Wenn sich die Windows-2000-CDROM nicht im CDROM-Laufwerk befindet, werden Sie aufgefordert, diese einzulegen
Abbildung 9.7 Der Assistent für Windows-Komponenten installiert Remoteinstallationsdienste auf Ihrem Computer
Abbildung 9.8 Nachdem der Assistent für Windows-Komponenten die Remoteinstallationsdienste installiert hat, klicken Sie auf FERTIG STELLEN, um die Installation abzuschließen
9.3 Installation und Konfiguration eines RIS-Servers
8. Wenn die Installation abgeschlossen ist, wird ein Bildschirm ähnlich Abbildung 9.8 angezeigt. Klicken Sie auf FERTIG STELLEN, um die Installation abzuschließen. 9. Sie werden aufgefordert, Ihren Computer neu zu starten, wie in Abbildung 9.9 gezeigt. Klicken Sie auf JA, um Windows 2000 Server neu zu starten und die Installation der Remoteinstallationsdienste abzuschließen. Abbildung 9.9 Starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden, um die Installation der Remoteinstallationsdienste abzuschließen
Sie haben nun Remoteinstallationsdienste installiert. Zu diesem Zeitpunkt können Sie RIS jedoch nicht verwenden; zuerst müssen Sie es konfigurieren. Konfiguration der Remoteinstallationsdienste Nach der Installation der Remoteinstallationsdienste auf einem Computer mit Windows 2000 Server, Advanced Server oder Data Center Server müssen Sie sie konfigurieren, damit sie verwendbar sind. Die Konfiguration besteht in der Festlegung des Ordners in einer NTFS-Partition, der zum Speichern der RIS-Images verwendet werden soll, sowie in der Festlegung von Anfangseinstellungen für das Verhalten des RIS-Servers in Reaktion auf Clientanforderungen. Außerdem müssen Sie den Speicherort der Windows-2000-Professional-Dateien angeben, die in den RIS-Ordner kopiert und für die Erstellung des ersten CD-basierten Images verwendet werden sollen. Zur Konfiguration von Remoteinstallationsdienste stehen Ihnen drei Methoden zur Wahl. Erstens wird nach dem Neustart des Windows-2000-Server-Computers und der Anmeldung als Administrator automatisch der Assistent für die Konfiguration des Servers gestartet (sofern Sie dieses Feature nicht deaktiviert haben). Dieser fordert Sie auf, die Installation fertig zu stellen, wie in Abbildung 9.10 gezeigt. Dadurch wird der Assistent zur Installation der Remoteinstallationsdienste gestartet, in dem Sie die RIS-Konfiguration abschließen können. Zum Zweiten können Sie den Assistenten zur Installation der Remoteinstallationsdienste öffnen und RIS konfigurieren, indem Sie in der Systemsteuerung Software öffnen und WINDOWS-KOMPONENTEN HINZUFÜGEN/LÖSCHEN wählen.
693
694
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.10 Der Assistent für die Konfiguration des Servers fordert Sie auf, die Installation fertig zu stellen. Dies ermöglicht die Konfiguration der Remoteinstallationsdienste auf Ihrem Computer
Sie werden aufgefordert, RIS zu konfigurieren, wie in Abbildung 9.11 gezeigt. Klicken Sie auf die Schaltfläche KONFIGURIEREN, um die Konfiguration der Remoteinstallationsdienste zu beginnen. Abbildung 9.11 Wenn Sie Software in der Systemsteuerung öffnen und W INDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN wählen, werden Sie ebenfalls aufgefordert, Remoteinstallationsdienste auf Ihrem Computer zu konfigurieren
Die dritte Methode zur Konfiguration von RIS ist das Öffnen des Assistenten zur Installation der Remoteinstallationsdienste mit Hilfe des Programms risetup.exe, wie in folgendem Schritt für Schritt gezeigt.
9.3 Installation und Konfiguration eines RIS-Servers
SCHRITT FÜR SCHRITT 9.2
Konfiguration von RIS mit dem Assistenten zur Installation der Remoteinstallationsdienste
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Domänenadministrator an. 2. Wählen Sie im Startmenü AUSFÜHREN, und geben Sie im Feld AUSFÜHREN risetup.exe ein, wie in Abbildung 9.12 gezeigt, um den Assistenten zur Installation der Remoteinstallationsdienste zu öffnen. Dieser kann statt über START/AUSFÜHREN auch über eine Eingabeaufforderung ausgeführt werden. Abbildung 9.12 Sie können Remoteinstallationsdienste konfigurieren, indem Sie risetup.exe über den Befehl AUSFÜHREN im Startmenü ausführen Abbildung 9.13 Nach dem Start erinnert der Assistent zur Installation der Remoteinstallationsdienste Sie an die Voraussetzungen für RIS
3. Nach dem Start zeigt der Assistent zur Installation der Remoteinstallationsdienste einen Bildschirm ähnlich Abbildung 9.13 an, in dem darauf hingewiesen wird, dass für die Konfiguration DNS, DHCP und die Windows-2000-
695
696
Kapitel 9
Windows 2000 und Remote- installationsdienste
Professional-CD-ROM erforderlich sind. Beachten Sie, dass auch Anforderungen an Clientcomputer aufgeführt werden. Klicken Sie auf WEITER, um fortzufahren. 4. Der nächste Bildschirm fordert Sie auf, den Speicherort eines Ordners anzugeben, in dem die RIS-Images gespeichert werden sollen, wie in Abbildung 9.14 gezeigt. Geben Sie den Namen eines Ordners in einer NTFS-Partition ein, die nicht das Systemlaufwerk ist, und klicken Sie auf WEITER, um die Konfiguration fortzusetzen. Wenn der angegebene Ordner auf dem Datenträger bereits vorhanden ist, werden Sie gefragt, ob er überschrieben werden soll, wie in Abbildung 9.15 gezeigt. Klicken Sie auf JA, um den Inhalt des Ordners zu überschreiben, bzw. auf NEIN, um einen anderen Ordner auszuwählen. Abbildung 9.14 Geben Sie den Speicherort des Remoteinstallationsordners in einer NTFS-Partition (nicht auf dem Systemlaufwerk) auf Ihrem Computer an
Abbildung 9.15 Wenn der Ordner auf Ihrem Computer bereits vorhanden ist, werden Sie gefragt, ob er überschrieben werden soll
9.3 Installation und Konfiguration eines RIS-Servers
HINWEIS Exklusive Festplatte empfohlen Es wird empfohlen, die Festplatte, auf der das erste und alle weiteren Images gespeichert werden sollen, exklusiv RIS zur Verfügung zu stellen. Auf diese Weise erhalten Sie die beste Leistung, und andere OS-Aktivitäten werden nicht durch Clients beeinträchtigt, die Dateien auf der RIS-Festplatte lesen. Die Festplatte, auf der die Images gespeichert werden, muss außerdem eine Basisfestplatte sein. Der SIS-Dienst (Single Instance Store) unterstützt dynamische Festplatten nicht, sodass zum Speichern von RIS-Images nur Basisfestplatten in Frage kommen. Aus Gründen der Fehlertoleranz im Falle des Festplattenausfalls wird empfohlen, an einem Standort mehrere RIS-Server einzurichten; dies ermöglicht zugleich die Lastverteilung zwischen den RIS-Servern während der Bereitstellung.
5. Standardmäßig bedient ein RIS-Server unmittelbar nach der Erstinstallation noch keine Clientanforderungen. Wenn Sie den RIS-Server sofort einsetzen möchten, um Remoteinstallationen von Windows 2000 Professional mit Standardeinstellungen durchzuführen, aktivieren Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN, wie in Abbildung 9.16 gezeigt. Wenn Sie den RIS-Server sofort aktivieren, haben Sie außerdem die Möglichkeit, festzulegen, ob der Server nur Anforderungen bekannter Computer (aktivieren Sie die Option UNBEKANNTEN CLIENTS NICHT ANTWORTEN) oder alle Computer (Standard, Option nicht aktiviert) bedienen soll. Wenn Sie den RIS-Server sofort aktivieren, sollten Sie jedem Client erlauben, ihn zu verwenden. Dies nicht zu tun, hätte den gleichen Effekt wie die spätere Konfiguration. Klicken Sie auf WEITER. Abbildung 9.16 Legen Sie fest, dass der RIS-Server sofort aktiv werden soll, indem Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON C LIENTS ANTWORTEN
aktivieren
697
698
Kapitel 9
Windows 2000 und Remote- installationsdienste
6. Sie werden nun aufgefordert, den Speicherort der Windows-2000-Professional-Dateien anzugeben, wie in Abbildung 9.17 gezeigt. Standard ist das CDROM-Laufwerk Ihres Computers, aber Sie können einen anderen Pfad angeben, indem Sie auf die Schaltfläche DURCHSUCHEN klicken und die Dateien suchen oder den Pfad selbst eingeben. Wenn Sie den richtigen Pfad ausgewählt haben, klicken Sie auf WEITER. Wenn Sie außer der Windows-2000Professional-CD die Windows-2000-Server-CD oder eine andere CD einlegen, werden Sie daran erinnert, dass RIS nur die Installation von Windows 2000 Professional unterstützt, wie in Abbildung 9.18 gezeigt. Abbildung 9.17 Geben Sie den Speicherort der Windows-2000-Professional-Dateien für die Erstellung des ersten Images für Remoteinstallationsdienste an
Abbildung 9.18 Wenn Sie eine andere CD einlegen als Windows 2000 Professional, werden Sie in einer Fehlermeldung daran erinnert, dass RIS nur Windows 2000 Professional unterstützt
7. Nachdem Sie einen Pfad zum richtigen Produkt angegeben haben, werden Sie aufgefordert, den Namen des Ordners anzugeben, in den die CD-basierten Imagedateien kopiert werden sollen, wie in Abbildung 9.19 gezeigt. Normalerweise ist es am besten, die Standardeinstellung win2000.pro für das erste
9.3 Installation und Konfiguration eines RIS-Servers
Image beizubehalten und andere Images später anders zu nennen. Wenn der Ordner bereits vorhanden ist, tritt ein Fehler auf, und es wird ein Dialogfeld angezeigt, in dem Sie gefragt werden, ob der Inhalt des Ordners überschrieben werden soll. Klicken Sie auf JA, um den Ordner zu überschreiben. Klicken Sie auf NEIN, um zum Dialogfeld WÄHLEN SIE EINEN ORDNER zurückzukehren, und einen anderen Namen anzugeben. Abbildung 9.19 Geben Sie den Namen des Ordners für das Windows-2000-Professional-Image auf der RIS-Partition ein
Abbildung 9.20 Geben Sie für das erstellte Windows2000-ProfessionalImage einen angezeigten Namen ein. Dieser wird Benutzern angezeigt, wenn sie eine Remoteinstallation beginnen
699
700
Kapitel 9
Windows 2000 und Remote- installationsdienste
8. Sie werden nun aufgefordert, einen angezeigten Namen und eine Beschreibung für das vom Assistenten für die Installation der Remoteinstallationsdienste erstellte Image anzugeben, wie in Abbildung 9.20 gezeigt. Dies ist der Name, der Benutzern beim Start ihres Computers angezeigt wird, wenn sie aufgefordert werden, das zu installierende Image zu wählen. Lassen Sie den Namen, wie er ist, oder überschreiben Sie die Informationen mit Ihren eigenen. Klicken Sie auf WEITER, um fortzufahren. 9. Nun wird ein Zusammenfassungsbildschirm mit den durchzuführenden Aktionen angezeigt, wie in Abbildung 9.21 gezeigt. Klicken Sie auf FERTIG STELLEN, um die Konfiguration der Remoteinstallationsdienste abzuschließen. Abbildung 9.21 Der Zusammenfassungsbildschirm für die Remoteinstallationsdienste zeigt die durchzuführenden Aktionen an
10. Während der Assistent zur Installation der Remoteinstallationsdienste die Komponenten installiert, werden Statusinformationen angezeigt, wie in Abbildung 9.22 gezeigt. Wenn Sie die RIS-Installation abbrechen möchten, klicken Sie auf ABBRECHEN; andernfalls können Sie den Fortschritt der Installation verfolgen. Sie könnten jetzt eine Kaffeepause einlegen, weil der Vorgang einige Zeit (etwa 15 Minuten) dauert. 11. Zum Abschluss zeigt der Assistent für die Installation der Remoteinstallationsdienste ein Dialogfeld ähnlich Abbildung 9.23 an, in dem der Abschluss der geforderten Aufgaben bestätigt wird. Der Assistent zur Installation der Remoteinstallationsdienste hat den RIS-Ordner erstellt, die für RIS benötigten Dateien kopiert, die Installationsdateien für Windows 2000 Professional von der CD-ROM bzw. dem von Ihnen angegebenen Speicherort kopiert, die Dateien für den Clientinstallations-Assistenten aktualisiert, eine Antwortdatei
9.3 Installation und Konfiguration eines RIS-Servers
für die unbeaufsichtigte Installation erstellt, die Registrierung aktualisiert, die benötigten Dienste wie z.B. TFTP gestartet und einen SIS-Datenträger erstellt. Klicken Sie auf FERTIG, um die Konfiguration abzuschließen und den Assistenten zu beenden. Abbildung 9.22 Der Assistent zur Installation der Remoteinstallationsdienste zeigt während des Installationsvorgangs Informationen zum Fortschritt an
Abbildung 9.23 Der Assistent zur Installation der Remoteinstallationsdienste zeigt zum Schluss Informationen zu den erledigten Aufgaben an
701
702
Kapitel 9
Windows 2000 und Remote- installationsdienste
Durch Ausführung des Assistenten für die Installation der Remoteinstallationsdienste haben Sie die erste Konfiguration von RIS erstellt. Sie müssen nun den RISServer autorisieren, und Sie können weitere Images hinzufügen sowie die Installation weiter verfeinern. Autorisierung des RIS-Servers Konfiguration der RIS-Sicherheit 씰
Autorisierung eines RIS-Servers
Nachdem Sie RIS auf einem Computer konfiguriert haben, müssen Sie diesen in Active Directory autorisieren. Wenn Ihr RIS-Server gleichzeitig DHCP-Server ist und als solcher in Active Directory autorisiert wurde, ist dieser Schritt bereits erledigt; andernfalls müssen Sie den Server autorisieren. Dazu können Sie die DHCP-Konsole verwenden, die Bestandteil der Verwaltungsprogramme ist. Sollten die Verwaltungsprogramme nicht auf dem RIS-Server installiert sein, so müssen Sie sie installieren, damit Sie den Server autorisieren können. Doppelklicken Sie hierzu auf Adminpak.msi im Ordner WINNT\SYSTEM32 auf Ihrem Computer. Dieses Paket enthält alle Verwaltungsprogramme, darunter die DHCP-Konsole. Führen Sie nach der Installation der Verwaltungsprogramme folgende Schritte aus, um Ihren Server zu autorisieren:
SCHRITT FÜR SCHRITT 9.3
Autorisierung des RIS-Servers in Active Directory
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann DHCP, um die DHCP-Konsole zu öffnen, wie in Abbildung 9.24 gezeigt. 3. Klicken Sie mit der rechten Maustaste in der DHCP-Konsole auf DHCP, und wählen Sie AUTORISIERTE SERVER VERWALTEN, wie in Abbildung 9.25 gezeigt. 4. Wenn Ihr Server nicht in der Liste autorisierter Server angezeigt wird, klicken Sie auf AUTORISIEREN, um ihn in die Liste aufzunehmen. 5. Geben Sie im Dialogfeld DHCP-SERVER AUTORISIEREN (siehe Abbildung 9.26) den Namen oder die IP-Adresse Ihres RIS-Servers in das Feld NAME ODER IP-ADRESSE ein, und klicken Sie dann auf OK. Wenn Sie um Bestätigung Ihrer Eingabe gebeten werden, klicken Sie auf JA.
9.3 Installation und Konfiguration eines RIS-Servers
Abbildung 9.24 Öffnen Sie die DHCP-Konsole unter Verwaltung, um Ihren RIS-Server zu autorisieren
Abbildung 9.25 Wählen Sie AUTORISIERTE S ERVER VERWALTEN, indem Sie mit der rechten Maustaste in der DHCP-Konsole auf DHCP klicken
Abbildung 9.26 Geben Sie den Namen bzw. die IPAdresse Ihres RISServers im Dialogfeld DHCP-Server autorisieren ein, um Ihren RIS-Server in die Liste autorisierter Server aufzunehmen
703
704
Kapitel 9
Windows 2000 und Remote- installationsdienste
6. Klicken Sie auf SCHLIESSEN, um das Dialogfeld DHCP-SERVER AUTORISIEREN zu schließen, nachdem Sie überprüft haben, ob Ihr RIS-Server in die Liste autorisierter Server aufgenommen wurde. 7. Beenden Sie DHCP, um Ihre Aufgabe abzuschließen. Sie haben nun Ihren RIS-Server in Active Directory erfolgreich autorisiert und ihn in die Lage versetzt, Clientanforderungen zu bedienen. Zu diesem Zeitpunkt können sich Clients an den RIS-Server wenden, um die Remoteinstallation von Windows 2000 Professional mit dem Standardimage einzuleiten, das Sie bei der Konfiguration Ihres RIS-Servers erstellt haben. Clients sind jedoch nicht in der Lage, Computerkonten in der Domäne einzurichten oder ihre Workstation in die Domäne aufzunehmen. Dies bedeutet letztlich, dass die Clients Windows 2000 Professional nicht mittels Remoteinstallationsdienste installieren können. Gewährung des Rechts zur Erstellung eines Computerkontos in der Domäne Konfiguration der RIS-Sicherheit 씰
Gewährung des Rechts zur Erstellung eines Computerkontos
Damit Benutzer RIS einsetzen und ein Betriebssystemimage auf ihrem Computer installieren können, müssen sie in der Lage sein, Computerkonten in der Domäne zu erstellen. Dieses Privileg ist normalerweise auf Administratoren beschränkt, weil es die Domänenstruktur in Active Directory betrifft. Beim Einsatz von RIS ist es jedoch notwendig, diese Berechtigung denjenigen Benutzern zu gewähren, die die Betriebssysteminstallation durchführen sollen. Denken Sie bei der Entscheidung, welchen Benutzern das Recht zur Erstellung von Computerkonten in der Domäne gewährt werden soll, daran, dass dies aus Sicherheitsgründen so restriktiv wie möglich gehandhabt werden sollte. Wenn eine Anzahl von Personen mit der Aufgabe betraut wird, Windows 2000 Professional auf Clientcomputern zu installieren, dann seien dies diejenigen, denen dieses Privileg gewährt werden sollte. Es ist sinnvoll, in Active Directory eine Sicherheitsgruppe einzurichten, dieser die Benutzer zuzuordnen, die RIS zur Installation von Windows 2000 Professional verwenden sollen, und dann dieser Gruppe das Recht zu gewähren. Um einer Sicherheitsgruppe das Recht zur Erstellung von Computerkonten in einer Domäne zu gewähren, führen Sie folgende Schritte aus.
9.3 Installation und Konfiguration eines RIS-Servers
SCHRITT FÜR SCHRITT 9.4
Benutzern das Recht zur Erstellung von Computerkonten in einer Domäne gewähren
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Öffnen Sie ACTIVE DIRECTORY-BENUTZER grammgruppe VERWALTUNG.
UND
-COMPUTER in der Pro-
3. Klicken Sie mit der rechten Maustaste auf die Domäne, in der Sie Benutzern das Recht zur Erstellung von Computerkonten gewähren möchten, und wählen Sie OBJEKTVERWALTUNG ZUWEISEN, um den Assistenten zum Zuweisen der Objektverwaltung zu öffnen, wie in Abbildung 9.27 gezeigt. Abbildung 9.27 Öffnen Sie den Assistenten zum Zuweisen der Objektverwaltung in ACTIVE DIRECTORYBENUTZER UND -COMPUTER, um mit der Zuweisung des Rechts zur Erstellung von Computerkonten in der Domäne zu beginnen
4. Beim Start zeigt der Assistent zum Zuweisen der Objektverwaltung ein Informationsdialogfeld an, wie in Abbildung 9.28 gezeigt. 5. Sie werden nun aufgefordert, Benutzer oder Gruppen hinzuzufügen, denen Sie die Objektverwaltung zuweisen möchten, wie in Abbildung 9.29 gezeigt. Klicken Sie auf HINZUFÜGEN, um die Liste der Benutzer anzuzeigen, wählen Sie die Benutzer bzw. Gruppen, denen Sie das Recht zur Erstellung von Computerkonten in der Domäne zugestehen möchten, und klicken Sie dann auf HINZUFÜGEN. Wenn Sie alle in Frage kommenden Benutzer bzw. Gruppen hinzugefügt haben, klicken Sie auf WEITER. 6. Im nächsten Dialogfeld können Sie wählen, ob allgemeine Aufgaben delegiert werden sollen, oder ob Sie eine benutzerdefinierte Gruppe von Privilegien festlegen möchten, die Sie delegieren wollen, wie in Abbildung 9.30 gezeigt.
705
706
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.28 Der Assistent zum Zuweisen der Objektverwaltung zeigt ein Informationsdialogfeld an. Klicken Sie auf WEITER, um fortzufahren
Abbildung 9.29 Klicken Sie auf HINZUFÜGEN, um Benutzer und/oder Gruppen hinzuzufügen, denen Sie das Recht zur Erstellung von Computerkonten in der Domäne gewähren möchten. Wenn Sie Ihre Auswahl abgeschlossen haben, klicken Sie auf WEITER, um fortzufahren
Markieren Sie FÜGT EINEN COMPUTER EINER DOMÄNE HINZU in der angezeigten Liste allgemeiner Aufgaben, und klicken Sie auf WEITER. Diese Berechtigung genügt für die Erstellung von Computerkonten in der Domäne mittels RIS.
9.3 Installation und Konfiguration eines RIS-Servers
Abbildung 9.30 Aktivieren Sie FÜGT COMPUTER EINER DOMÄNE HINZU im Assistenten zum Zuweisen der Objektverwaltung, um das Recht zur Erstellung von Computerkonten in der Domäne zu gewähren
EINEN
7. Der Assistent zum Zuweisen der Objektverwaltung zeigt eine Zusammenfassung an, wie in Abbildung 9.31 gezeigt. Wenn alle Tasks korrekt sind, klicken Sie auf FERTIG STELLEN, um die Aktionen durchzuführen und den Assistenten zum Zuweisen der Objektverwaltung zu beenden. Abbildung 9.31 In der Zusammenfassung des Assistenten zum Zuweisen der Objektverwaltung wird eine Liste der durchzuführenden Aufgaben angezeigt. Klicken Sie auf FERTIG STELLEN, um den ausgewählten Benutzern bzw. Gruppen das Recht zur Erstellung von Computerkonten in der Domäne zu gewähren
8. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
707
708
Kapitel 9
Windows 2000 und Remote- installationsdienste
Zu diesem Zeitpunkt haben Sie alle nötigen Aufgaben erledigt, damit andere Benutzer mit Hilfe von Remoteinstallationsdienste eine Standardkonfiguration von Windows 2000 Professional auf Clientcomputern installieren und diese Computer in die Domäne aufnehmen können. Möglicherweise möchten Sie jedoch den Benutzern die Möglichkeit geben, aus einer Liste von Images für Windows 2000 Professional zu wählen, damit verschiedene Benutzer unterschiedliche Konfigurationen von Windows 2000 Professional installieren können. Dazu müssen Sie geeignete Images erstellen.
9.4
Erstellen von Images für Remoteinstallationsdienste
Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste (RIS) 씰
Verwaltung von Images für die Durchführung der Remoteinstallationen
Wie weiter vorne in diesem Kapitel erwähnt, unterstützen Remoteinstallationsdienste zwei unterschiedliche Arten von Images: CD-basierte und RIPrep-Images. CD-basierte Images sind Images des Betriebssystems Windows 2000 Professional und dessen Standardeinstellungen, die mit Hilfe einer Antwortdatei konfiguriert werden. Diese wird manuell oder mit Hilfe des Installations-Managers erstellt. Bei der Konfiguration von Remoteinstallationsdienste wird ein CD-basiertes Standardimage erstellt. Sie können daneben auch andere konfigurieren. Ein RIPrep-Image ist ein Image für Windows 2000 Professional, das auf einem Referenz- bzw. Quellcomputer vorkonfiguriert wurde. Es kann sowohl das Betriebssystem als auch zusätzliche Anwendungen enthalten. Wird ein RIPrepImage bereitgestellt, so wird auf dem Zielcomputer mittels Remoteinstallationsdienste eine Kopie des Referenzcomputers erstellt. Sie können ein RIPrep-Image mit dem Assistenten zur Vorbereitung der Remoteinstallation erstellen, der im Lieferumfang von Windows 2000 Server, Advanced Server oder Data Center Server enthalten ist.
9.4.1
Erstellung eines CD-basierten Images für Remoteinstallationsdienste
Wie Sie bereits gesehen haben, installiert RIS ein CD-basiertes Standardimage, wenn Sie RIS konfigurieren. Dies ist eine Kopie der Installationsdateien für Windows 2000 Professional von der CD-ROM und eine Standard-Antwortdatei namens
9.4 Erstellen von Images für Remoteinstallationsdienste
Ristandard.sif. Sie können die Standard-Antwortdatei (auch als Setup-Informationsdatei oder SIF bezeichnet) mit Windows Installations-Manager ändern oder mit diesem Programm zusätzliche Antwortdateien erstellen. Installation von Windows Installations-Manager Dieser ist Bestandteil des Windows 2000 Resource Kit und befindet sich im Ordner SUPPORT\TOOLS auf der CD-ROM von Windows 2000 Server, Advanced Server oder Professional. Falls der Windows Installations-Manager noch nicht installiert ist, führen Sie zur Installation die folgenden Schritten aus.
SCHRITT FÜR SCHRITT 9.5
Installation von Windows Installations-Manager
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Legen Sie die CD-ROM für Windows 2000 Server (bzw. Professional oder Advanced Server) in Ihr CD-ROM-Laufwerk ein. 3. Wählen Sie im Startmenü PROGRAMME, ZUBEHÖR und dann WINDOWS EXPLORER. 4. Klicken Sie in WINDOWS EXPLORER auf den Laufwerkbuchstaben Ihres CDROM-Laufwerks, und erweitern Sie die Ordner SUPPORT und TOOLS auf der CD-ROM. Sie können auch auf das Symbol Arbeitsplatz auf dem Desktop doppelklicken, dann auf Ihr CD-ROM-Laufwerk, dann auf SUPPORT und schließlich auf TOOLS. Damit wird dieselbe Aufgabe erledigt. 5. Doppelklicken Sie im Ordner TOOLS auf DEPLOY.CAB, um den Inhalt der CAB-Datei anzuzeigen, wie in Abbildung 9.33 gezeigt. (Hinweis: Die Abbildung zeigt, dass zum Öffnen der CAB-Datei WinZIP benutzt wurde. Dies betrifft nur das vorliegende Beispiel. WinZIP ist zur Anzeige des Inhalts von DEPLOY.CAB nicht erforderlich.) 6. Markieren Sie setupmgr.exe und setupmgx.dll, klicken Sie dann mit der rechten Maustaste darauf und wählen Sie EXTRAHIEREN. 7. Legen Sie den Speicherort auf Ihrer Festplatte fest, an den die Dateien extrahiert werden sollen (etwa Winnt\System32). Suchen Sie den Speicherort und klicken Sie dann auf Extrahieren, um die Dateien zu extrahieren. 8. Schließen Sie den Windows Explorer, wenn Sie fertig sind.
709
710
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.32 DEPLOY.CAB im Ordner SUPPORT\TOOLS der Windows-2000CD-ROM enthält die Dateien für den Assistenten für das InstallationsManagement
Einsatz von Windows Installations-Manager zur Erstellung einer Datei für die unbeaufsichtigte Installation Nachdem Sie den Windows Installations-Manager installiert haben, können Sie ihn zur Konfiguration einer unbeaufsichtigten Installation für ein CD-basiertes Image verwenden, das zur Installation von Windows 2000 Professional mittels Remoteinstallationsdienste eingesetzt werden soll. Bei der Erstellung einer Datei für unbeaufsichtigte Installation bzw. SIF-Datei mit Windows Installations-Manager konfigurieren Sie die Einstellungen vor, die auf dem Zielcomputer verwendet werden sollen, wenn Windows 2000 Professional mittels RIS bereitgestellt wird. Führen Sie zur Erstellung und Konfiguration einer Datei für unbeaufsichtigte Installation mit Windows Installations-Manager folgende Schritte aus.
SCHRITT FÜR SCHRITT 9.6
Verwendung von Windows Installations-Manager zur Konfiguration einer Datei für die unbeaufsichtigte Installation mittels RIS
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Klicken Sie auf START und dann auf AUSFÜHREN. Geben Sie im Dialogfeld AUSFÜHREN setupmgr ein, um den Windows Installations-Manager zu starten, wie in Abbildung 9.33 gezeigt. Falls sich die Dateien von Windows Installations-Manager nicht in einem Ordner in Ihrem Pfad befinden, klicken Sie auf die Schaltfläche DURCHSUCHEN und suchen Sie nach der Datei, um sie zu öffnen.
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.33 Öffnen Sie den Windows Installations-Manager im STARTMENÜ, Option AUSFÜHREN
3. Der Assistent für den Installations-Manager wird gestartet und zeigt das Informationsdialogfeld an, wie in Abbildung 9.34 gezeigt. Abbildung 9.34 Windows Installations-Manager startet und zeigt das Informationsdialogfeld an
4. Im nächsten Bildschirm haben Sie die Wahl, ob eine neue Antwortdatei erstellt, eine vorhandene geändert oder eine Antwortdatei mit der aktuellen Konfiguration des Computers erstellt werden soll (siehe Abbildung 9.35). Wenn Sie die bei der Konfiguration von RIS erstellte Standard-Antwortdatei Ristandard.sif ändern möchten, klicken Sie auf die Schaltfläche DURCHSUCHEN, um die Datei zu suchen. Da Sie eine neue Antwortdatei für ein anderes Image erstellen, wählen Sie NEUE ANTWORTDATEI ERSTELLEN, und klicken Sie auf WEITER. 5. Im Bildschirm ZU INSTALLIERENDES PRODUKT in Abbildung 9.36 können Sie den Typ der zu erstellenden Antwortdatei wählen. Angeboten werden UNBEAUFSICHTIGTE WINDOWS-2000-INSTALLATION, SYSTEMVORBEREITUNGSINSTALLATION oder REMOTEINSTALLATIONSDIENSTE. Wählen Sie Letzeres und klicken Sie auf WEITER, um fortzufahren.
711
712
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.35 Mit Windows SetupManager können Sie eine neue Antwortdatei erstellen, eine Antwortdatei mit der aktuellen Konfiguration des Computers erstellen oder eine vorhandene Antwortdatei ändern
Abbildung 9.36 Aktivieren Sie im Assistenten für den Installations-Manager die Option REMOTEINSTALLATIONSDIENSTE, um eine Antwortdatei für RIS zu erstellen
6. Im nächsten Bildschirm, wie in Abbildung 9.37 gezeigt, werden Sie aufgefordert, den Umfang der Benutzereingriffe während der Installation festzulegen. Folgende Stufen stehen zur Auswahl: 씰
Standardeinstellungen angeben. Die SIF-Datei enthält Standardeingaben, die der Benutzer während der Installation überschreiben kann.
씰
Vollautomatisiert. Es wird Windows 2000 ohne jeden Benutzereingriff installiert.
9.4 Erstellen von Images für Remoteinstallationsdienste
씰
Seiten ausblenden. Während der Installation werden keine Seiten angezeigt, die per Antwortdatei vorkonfigurierte Optionen enthalten. Seiten, die Benutzereingriffe erfordern, werden angezeigt.
씰
Schreibgeschützt. Während der Installation werden die Seiten angezeigt, aber der Benutzer kann die Vorgaben in der Antwortdatei nicht ändern. Damit erfährt der Benutzer, was vorgeht, kann aber nicht eingreifen.
씰
GUI gesteuert. Der im Textmodus ablaufende Teil der Installation ist voll automatisiert, aber der Benutzer kann während des GUI-gesteuerten Teils der Installation von Windows 2000 Professional alle Optionen ändern.
In den meisten Fällen werden Sie eine Antwortdatei erstellen, die die gesamte Installation von Windows 2000 Professional ohne jeden Benutzereingriff abwickelt. Aktivieren Sie VOLLAUTOMATISIERT in der Liste und klicken Sie auf WEITER, um diese Option zu konfigurieren. Abbildung 9.37 Um die Installation von Windows 2000 Professional mit RIS zu automatisieren, aktivieren Sie im Bildschirm BENUTZEREINGRIFF die Option VOLLAUTOMATISIERT
7. Wie in Abbildung 9.38 gezeigt, werden Sie im nächsten Bildschirm aufgefordert, den Lizenzvertrag zu akzeptieren. Da Sie eine vollautomatische Installation gewählt haben, wird der Lizenzvertrag für Windows 2000 Professional nicht dem Benutzer angezeigt. Irgendjemand, der dazu autorisiert ist, muss jedoch den Lizenzvertrag akzeptieren, damit die Installation von Windows 2000 Professional rechtmäßig ist. Prüfen Sie den Lizenzvertrag und klicken Sie in das Kontrollkästchen LIZENZVERTRAG ANNEHMEN, um ihn anzunehmen. Klicken Sie dann auf WEITER, um fortzufahren.
713
714
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.38 Sie müssen den Lizenzvertrag für Windows 2000 Professional annehmen, um eine vollautomatische Installation durchzuführen und die SIF-Datei zu erstellen
8. Als Nächstes werden Sie nach dem Kennwort gefragt, das für das Konto Administrator auf dem Zielkonto zu verwenden ist, wie in Abbildung 9.40 gezeigt. Wenn Sie eine vollautomatische Installation gewählt haben, ist dies die einzige verfügbare Option; wenn während der Installation Benutzereingriffe möglich sind, haben Sie zusätzlich die Option, dem Benutzer selbst die Festlegung des Administrator-Kennworts zu überlassen. Ein hier angegebenes Kennwort wird auf allen Computern verwendet, die diese Antwortdatei benutzen (d.h. auf allen diesen Computern gilt dasselbe Administrator-Kennwort). Wird der Benutzer ermächtigt, das Kennwort selbst festzulegen, so erhält er bzw. sie damit die administrative Kontrolle über sein bzw. ihr Desktop. Wählen Sie die Option, die den Richtlinien Ihres Unternehmens folgt und für die gewählte Installationsart verfügbar ist. Geben Sie in diesem Beispiel ein Kennwort Ihrer Wahl in den Feldern KENNWORT und KENNWORT BESTÄTIGEN ein. Wenn Sie das Administrator-Kennwort leer lassen, haben Sie außerdem die Möglichkeit, sich beim ersten Start des Computers automatisch als Administrator anzumelden. Diese Option weist die geringste Sicherheit auf und wird nicht empfohlen. 9. Wie in Abbildung 9.40 gezeigt, werden Sie nun aufgefordert, die Bildschirmeinstellungen für den Zielcomputer festzulegen. Wenn Sie alle Optionen als Windows-Standard belassen, werden für den Zielcomputer 16 Farben mit einer Auflösung von 640x480 bei der Standardaktualisierungsrate für die Videokarte und den Monitor eingestellt.
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.39 Geben Sie ein Kennwort an, das für das Konto Administrator auf dem Zielcomputer verwendet werden soll
Wenn Sie für den Zielcomputer eine neue Standardeinstellung vorgeben möchten, tun Sie das hier. Außerdem haben Sie hier die Möglichkeit, benutzerdefinierte Einstellungen festzulegen. Ändern Sie die Standardangaben in die in Abbildung 9.40 angezeigten Einstellungen, und klicken Sie auf WEITER, um fortzufahren. Abbildung 9.40 Ändern Sie in diesem Bildschirm die Bildschirmeinstellungen für die Zielcomputer in die gewünschten Werte
715
716
Kapitel 9
Windows 2000 und Remote- installationsdienste
10. Als Nächstes wird das Dialogfeld NETZWERKEINSTELLUNGEN (siehe Abbildung 9.41) angezeigt. Hier werden Sie gefragt, ob für den Zielcomputer STANDARDEINSTELLUNGEN oder BENUTZERDEFINIERTE EINSTELLUNGEN gelten sollen, die Sie konfigurieren. Die Standardeinstellungen beinhalten einen DHCP-fähigen Computer nur mit TCP/IP und Client für Microsoft-Netzwerke. Wenn Sie mehrere Netzwerkkarten oder zusätzliche Netzwerkprotokolle (z.B. IPX/SPX oder NetBEUI) bzw. -dienste konfigurieren möchten, müssen Sie BENUTZERDEFINIERTE EINSTELLUNGEN wählen. Um STANDARDEINSTELLUNGEN zu wählen, klicken Sie in das gleichnamige Optionsfeld und dann auf WEITER. Abbildung 9.41 Wählen Sie in diesem Bildschirm die Netzwerkkonfiguration des Zielcomputers durch Aktivieren von STANDARDEINSTELLUNGEN oder BENUTZERDEFINIERTE EINSTELLUNGEN
11. Windows 2000 erfordert die ordnungsgemäße Zeitzoneneinstellung auf allen Computern. Wählen Sie in dem in Abbildung 9.42 gezeigten Dialogfeld, ob die Clientcomputer die Zeitzone des RIS-Servers übernehmen sollen, oder legen Sie mit Hilfe des Drop-down-Listenfelds andere Zeitzoneneinstellungen fest. Klicken Sie auf WEITER, wenn Sie Ihre Wahl getroffen haben. 12. Der nächste Bildschirm, wie in Abbildung 9.43 gezeigt, ermöglicht die Wahl, ob zusätzliche Optionen konfiguriert oder bei den Standardeinstellungen belassen werden sollen. Zu den zusätzlich konfigurierbaren Einstellungen gehören folgende:
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.42 Legen Sie in diesem Bildschirm fest, ob die Zielcomputer die Zeitzoneneinstellung vom RIS-Server übernehmen sollen
Abbildung 9.43 Wählen Sie in diesem Bildschirm, ob Windows 2000 Professional mit den Standardeinstellungen oder mit einer benutzerdefinierten Computerumgebung installiert werden soll
씰
Telefonie. Mit dieser Option werden die Vorwahl, das Land und die Telefoneigenschaften für Zielcomputer konfiguriert. Diese Einstellungen werden beim Wählen über ein Modem verwendet (siehe Abbildung 9.44)
씰
Ländereinstellungen. Zu diesen Einstellungen gehören Datumsformat, Währung, Zahlen und Tastaturlayout (siehe Abbildung 9.45).
717
718
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.44 Telefonieeigenschaften können mit benutzerdefinierten Einstellungen konfiguriert werden
Abbildung 9.45 Ländereinstellungen für den Computer können mit benutzerdefinierten Einstellungen konfiguriert werden
씰
Sprachen. Mit dieser Option können Sie Unterstützung für zusätzliche Sprachen auf dem Clientcomputer installieren (siehe Abbildung 9.46).
씰
Browser- und Shelleinstellungen. Hier können Sie Proxy-Einstellungen für Internet Explorer konfigurieren (siehe Abbildung 9.47).
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.46 Spracheinstellungen für den Computer können mit benutzerdefinierten Einstellungen konfiguriert werden
Abbildung 9.47 Proxy-Einstellungen für Internet Explorer und der Ordner FAVORITEN können mit benutzerdefinierten Einstellungen konfiguriert werden
Installationsordner. Wenn Sie Windows 2000 Professional in einem anderen Ordner als WINNT installieren möchten, können Sie hier den Pfad des Betriebssystemordners angeben (siehe Abbildung 9.48).
719
720
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.48 Um Windows 2000 Professional mit RIS in einem anderen Ordner zu installieren, konfigurieren Sie den Pfad mit benutzerdefinierten Einstellungen
HINWEIS IEAK notwendig Die Einstellungen, die in der Antwortdatei festgelegt werden können, sind nur ein Teil der für Internet Explorer konfigurierbaren Einstellungen. Das Internet Explorer Administration Kit kann zur Erstellung weiterer Skripts verwendet werden, beispielsweise des in dieser Liste erwähnten Skripts Proxy-Konfiguration, um das Verhalten von Internet Explorer weitergehend festzulegen. Weitere Informationen finden Sie auf den Internet-Explorer-Webseiten unter http://www.microsoft.com/ ie.
Drucker installieren. Wenn Sie den Zielcomputer automatisch so konfigurieren möchten, dass nach der Installation Verbindungen mit Netzwerkdruckern hergestellt werden, geben Sie in diesem Dialogfeld Namen und Pfad der Drucker an (siehe Abbildung 9.49). Einmaliges Ausführen. In diesem Dialogfeld können Sie die Namen von Programmen eingeben, die nach Abschluss der Installation automatisch gestartet werden sollen. Damit können Sie nach der Installation von Windows 2000 Professional die Installation von zusätzlichen Programmen für den Benutzer starten. Dies betrifft Anwendungen, die nicht zu Windows 2000 gehören, aber vom Benutzer benötigt werden (siehe Abbildung 9.50). Wenn Sie keine zusätzlichen benutzerdefinierten Einstellungen festlegen möchten, klicken Sie auf WEITER, um die Standardwerte von Windows 2000 Professional zu akzeptieren.
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.49 Um auf dem Zielcomputer automatisch Netzwerkdrucker zu installieren, können Sie mit benutzerdefinierten Einstellungen die zu installierenden Drucker festlegen
Abbildung 9.50 Nach der Installation können zusätzliche Programme ausgeführt werden, die in den benutzerdefinierten Einstellungen Pfad und Name der ausführbaren Datei angegeben sind
13. Wie in Abbildung 9.51 gezeigt, müssen Sie nun den Namen und eine Beschreibung für die zu erstellende Antwortdatei eingeben. Der Name wird Benutzern angezeigt, wenn sie die Windows-2000-Installation über RIS einleiten. Er sollte so aussagekräftig sein, dass Benutzer wissen, was sie installieren. Geben Sie den Namen und die Beschreibung ein, und klicken Sie dann auf WEITER.
721
722
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.51 Geben Sie einen aussagekräftigen Namen und zusätzliche Informationen für die zu erstellende SIF-Datei ein, damit der Benutzer Hinweise auf den Inhalt dieser Windows-2000-Professional-Konfiguration erhält
14. Im nächsten Bildschirm werden Sie, wie in Abbildung 9.52 gezeigt, aufgefordert, den Namen und Pfad der Antwortdatei anzugeben. Sie können einen beliebigen Namen wählen, aber die Datei sollte im Image-Ordner des RISServers, der während der Installation von Remoteinstallationsdienste erstellt wurde, abgelegt werden. Ein Ordner kann mehrere Antwortdateien enthalten. Geben Sie Name und Pfad der SIF-Datei an, und klicken Sie auf WEITER, um ihn zu speichern. Abbildung 9.52 Geben Sie Name und Pfad der Antwortdatei an
9.4 Erstellen von Images für Remoteinstallationsdienste
15. Im letzten Bildschirm des Installations-Managers werden die erstellten Dateien und ausgeführten Aufgaben angezeigt, wie in Abbildung 9.53 gezeigt. Klicken Sie auf FERTIG STELLEN, um Windows Installations-Manager zu beenden und die Erstellung Ihrer Antwortdatei abzuschließen. Abbildung 9.53 Klicken Sie nach Abschluss der Antwortdateikonfiguration auf FERTIG STELLEN, um Windows Installations-Manager zu beenden
Nach der Erstellung der Antwortdatei kann es u.U. vorkommen, dass Sie diese ändern möchten, Beispielsweise möchten Sie in einem Geschäftsumfeld keine Spiele auf den Clientcomputern installieren. Sie können die nötigen Änderungen an der Antwortdatei mit Notepad vornehmen. Verknüpfung einer Antwortdatei mit einem CD-basierten Image Nachdem die Antwortdatei zut Installation von Windows 2000 Professional mittels RIS konfiguriert wurde, muss sie mit einem CD-basierten Image verknüpft werden. Dadurch stehen die Einstellungen in der Antwortdatei bei Durchführung einer Remoteinstallation zu Verfügung. Es ist möglich, mehrere Antwortdateien mit demselben CD-basierten Image zu verknüpfen, weil sich die Installationsdateien für Windows 2000 Professional innerhalb einer CPU-Familie (z.B. INTEL-Prozessoren) nicht unterscheiden. Sie würden mehrere CD-basierte Images verwenden, wenn weitere CPU-Familien oder Gebietsschema-spezifische Versionen von Windows 2000 Professional (z.B. Französisch) im Einsatz wären.
723
724
Kapitel 9
Windows 2000 und Remote- installationsdienste
Um eine Antwortdatei mit einem CD-basierten Image zu verknüpfen, folgen Sie Schritt für Schritt 9.7.
SCHRITT FÜR SCHRITT 9.7
Verknüpfung einer Antwortdatei mit einem CD-basierten Image
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 3. Expandieren Sie in ACTIVE DIRECTORY-BENUTZER Ordner, der Ihren RIS-Server enthält.
UND
-COMPUTER den
4. Klicken Sie mit der rechten Maustaste auf den RIS-Servercomputer und wählen Sie EIGENSCHAFTEN. 5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register REMOTEINSTALLATION, um die Optionen der Remoteinstallationsdienste für den Computer anzuzeigen, wie in Abbildung 9.54 gezeigt. Abbildung 9.54 Die Registerkarte REMOTEINSTALLATION des Dialogfelds Eigenschaften für den Computer in ACTIVE DIRECTORYBENUTZER UND COMPUTER zeigt die RIS-Einstellungen für den Server an
9.4 Erstellen von Images für Remoteinstallationsdienste
6. Klicken Sie in der Registerkarte REMOTEINSTALLATION auf ERWEITERTE EINSTELLUNGEN, um die erweiterten Konfigurationsinformationen für RIS anzuzeigen, wie in Abbildung 9.55 gezeigt. Abbildung 9.55 Nach Klicken auf ERWEITERTE EINSTELLUNGEN in der Registerkarte REMOTEINSTALLATION des Dialogfelds EIGENSCHAFTEN für den Computer in Active DirectoryBenutzer und Computer werden die erweiterten Eigenschaften für den RIS-Server angezeigt
7. Klicken Sie im Dialogfeld EIGENSCHAFTEN von REMOTEINSTALLATIONSDIENSTE auf das Register ABBILDER, wie in Abbildung 9.56 gezeigt. 8. Klicken Sie auf der Registerkarte ABBILDER auf HINZUFÜGEN, um ein weiteres Image zur Liste verfügbarer Images hinzuzufügen. Dadurch wird der in Abbildung 9.57 gezeigte Bildschirm angezeigt. 9. Im Dialogfeld HINZUFÜGEN... für eine neue Antwortdatei oder ein Installationsabbild haben Sie die Möglichkeit, ein neues CD-basiertes Image hinzuzufügen oder eine neue Antwortdatei mit einem vorhandenen Image zu verknüpfen. Aktivieren Sie EINEM VORHANDENEN ABBILD EINE ANTWORTDATEI ZUWEISEN, und klicken Sie auf WEITER. 10. Im darauf folgenden Dialogfeld (siehe Abbildung 9.58) müssen Sie den Pfad angeben, von dem die Antwortdatei kopiert werden soll. Zur Wahl stehen Beispiel-Imagedateien, die mit Windows 2000 geliefert und während der ersten RIS-Installation erstellt wurden, ein anderer RIS-Server oder ein alternativer Pfad, der jeden Speicherort umfassen kann. Aktivieren Sie ALTERNATIVE QUELLE, und klicken Sie auf WEITER.
725
726
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.56 Um eine Liste von Images anzuzeigen und Images zu der Liste der von RIS verwendeten hinzuzufügen bzw. daraus zu entfernen, klicken Sie auf das Register ABBILDER im Dialogfeld ERWEITERTE EIGENSCHAFTEN
Abbildung 9.57 Klicken Sie auf Hinzufügen in der Registerkarte ABBILDER, um ein neues Image hinzuzufügen oder ein vorhandenes mit einer Antwortdatei zu verknüpfen
11. Suchen Sie im nun angezeigten Dialogfeld (Abbildung 9.59) den Speicherort der von Ihnen erstellten Antwortdatei und markieren Sie diese. Klicken Sie auf WEITER, um fortzufahren.
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.58 Geben Sie den zu verwendenden allgemeinen Speicherort für die Antwortdatei an, entweder eine Beispieldatei, eine auf einem anderen RIS-Server oder eine Antwortdatei auf der Festplatte (alternativer Speicherort)
Abbildung 9.59 Durchsuchen Sie Ihre Festplatte nach der Antwortdatei, und klicken Sie auf WEITER, um fortzufahren
12. Wie in Abbildung 9.60 gezeigt, werden Sie nun nach dem Windows-2000Installationsabbild auf dem RIS-Server gefragt, mit dem Sie diese Antwortdatei verknüpfen möchten. Klicken Sie auf das Installationsabbild und dann auf WEITER.
727
728
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.60 Wählen Sie das Installationsabbild, mit dem die Antwortdatei verknüpft werden soll, und klicken Sie auf WEITER
13. Als Nächstes werden Sie aufgefordert, den Namen und die Beschreibung des Installationsabbilds zu bestätigen, das mit dieser Antwortdatei installiert werden soll (siehe Abbildung 9.61). Dies sind der Name und die Beschreibung, die Sie bei der Erstellung der Antwortdatei mit Windows Installations-Manager angegeben haben. Sie können hier Änderungen vornehmen, dann klicken Sie auf WEITER. Abbildung 9.61 Geben Sie Name und Beschreibung des Installationsabbilds an, und klicken Sie auf WEITER
9.4 Erstellen von Images für Remoteinstallationsdienste
14. Überprüfen Sie die Einstellungen für die Antwortdatei, mit der das Installationsabbild installiert werden soll, und klicken Sie auf FERTIG STELLEN, um die Datei an den Vorlagenspeicherort zu kopieren, wie in Abbildung 9.62 gezeigt. Abbildung 9.62 Bestätigen Sie im Prüfbildschirm Ihre Einstellungen und klicken Sie auf F ERTIG STELLEN, um die Antwortdatei in den Ordner VORLAGEN zu kopieren
Abbildung 9.63 Die Registerkarte ABBILDER wird aktualisiert mit den Image-Informationen zur neuen Antwortdatei, nachdem Sie auf FERTIG STELLEN geklickt haben
729
730
Kapitel 9
Windows 2000 und Remote- installationsdienste
15. Wie in Abbildung 9.63 gezeigt, wird die neue Antwortdatei zur Liste der von diesem Server mittels RIS installierbaren Images hinzugefügt. Klicken Sie auf OK, um das EIGENSCHAFTEN-Dialogfeld zu schließen. 16. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Sie haben nun eine neue Antwortdatei installiert, die zur Remoteinstallation von Windows 2000 Professional mit den Einstellungen der Antwortdatei verwendet werden kann. Möglicherweise möchten Sie jedoch den Kreis der Benutzer einschränken, die dieses Image verwenden dürfen, damit gewährleistet ist, dass nur autorisierte Benutzer die Privilegien zur Installation des Image besitzen. Beschränkung von Images durch Berechtigungen Nachdem ein Image erstellt und eine Antwortdatei mit ihm verknüpft wurde, steht es allen Benutzern zur Verfügung, die sich mit dem RIS-Server verbinden können. Vielleicht möchten Sie aber den Kreis der Benutzer einschränken, die bestimmte Images verwenden dürfen, damit gewährleistet ist, dass auf einem Computer nur die Einstellungen installiert werden können, die für die Installation durch den Benutzer zugelassen sind. Berechtigungen für Images werden durch Zuordnung von NTFS-Berechtigungen zur SIF-Datei (d.h. zur Antwortdatei) festgelegt. Sie können einer SIF-Datei direkt Berechtigungen zuordnen, um ihre Verwendung einzuschränken. Normalerweise würden Sie eine Sicherheitsgruppe erstellen, und die Benutzer aufnehmen, die ein bestimmtes Image installieren sollen. Sie würden dann der Gruppe die passenden Berechtigungen zuordnen, damit die Mitglieder im Gegensatz zu anderen Zugriff auf das Image haben. Um der soeben mit einem Image verknüpften SIF-Datei Berechtigungen zuzuordnen, folgen Sie Schritt für Schritt 9.8.
SCHRITT FÜR SCHRITT 9.8
Zuordnung von Berechtigungen für Images
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü PROGRAMME, ZUBEHÖR und dann WINDOWS EXPLORER. 3. Navigieren Sie mit Windows Explorer zu dem Laufwerk und Ordner, in dem Sie bei der Konfiguration von Remoteinstallationsdienste Ihre Images installiert haben. Die Antwortdatei befindet sich in einem Ordner namens TEMPLA-
9.4 Erstellen von Images für Remoteinstallationsdienste
unter dem Ordner, der das von Ihnen auf dem RIS-Server installierte Image enthält, wie in Abbildung 9.64 gezeigt. TES
Abbildung 9.64 Navigieren Sie zu dem Ordner TEMPLATES in dem Pfad, in dem das Image installiert wurde, um die Antwortdatei zu finden, der Sie Berechtigungen zuordnen möchten
Abbildung 9.65 Klicken Sie mit der rechten Maustaste auf die SIF-Datei, deren Berechtigungen Sie ändern möchten, wählen Sie dann EIGENSCHAFTEN und die Registerkarte SICHERHEITSEINSTELLUNGEN, um die vorhandenen Berechtigungen anzuzeigen
731
732
Kapitel 9
Windows 2000 und Remote- installationsdienste
4. Klicken Sie mit der rechten Maustaste auf die SIF-Datei, deren Berechtigungen Sie ändern möchten, wählen Sie dann EIGENSCHAFTEN und die Registerkarte SICHERHEITSEINSTELLUNGEN, um die aktuellen Berechtigungen für die Datei anzuzeigen, wie in Abbildung 9.65 gezeigt. 5. Wie Sie sehen, sind die der Datei derzeit zugeordneten Berechtigungen im Feld SICHERHEIT grau dargestellt. Das bedeutet, dass sie vom übergeordneten Ordner geerbt wurden. Um einer Gruppe bestimmte Berechtigungen zuzuordnen, müssen Sie die geerbten Berechtigungen löschen. Deaktivieren Sie dazu die Option VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN. Darauf wird das in Abbildung 9.66 gezeigte Dialogfeld angezeigt. Klicken Sie auf KOPIEREN, um die vorhandenen Berechtigungen für die Datei zu kopieren. Abbildung 9.66 Um geerbte Berechtigungen zu löschen, deaktivieren Sie die Option VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN, und klicken Sie auf KOPIEREN, um die geerbten Berechtigungen für diese Datei zu kopieren
6. Klicken Sie auf HINZUFÜGEN, um die Sicherheitsgruppe bzw. Benutzer hin-
zuzufügen, denen Sie die Berechtigung für das Image zuordnen möchten, und stellen Sie sicher, dass diese die Berechtigungen Lesen und Lesen, Ausführen für die Datei erhalten. Entfernen Sie die Berechtigungen für die Gruppe Jeder, wie in Abbildung 9.67 gezeigt. 7. Klicken Sie auf OK, um die Zuordnung der Berechtigung für die Datei zu
bestätigen. 8. Beenden Sie Windows Explorer.
Sie haben nun die Verwendung des Images auf die Gruppe Administratoren plus zusätzlich festgelegte Benutzer eingeschränkt, die dieses Image verwenden sollen. Gehen Sie genauso vor, um anderen Images Berechtigungen zuzuordnen.
9.4 Erstellen von Images für Remoteinstallationsdienste
Abbildung 9.67 Ordnen Sie nach Bedarf Berechtigungen zu, entfernen Sie die Gruppe Jeder und klicken Sie auf OK, wenn Sie fertig sind
Jetzt sind Sie so weit, Benutzern mit geeigneten Berechtigungen die Installation des Images von Windows 2000 Professional mit den Einstellungen in Ihrer Antwortdatei auf deren Computern zu gestatten.
9.4.2
Erstellung eines RIPrep-Image für Remoteinstallationsdienste
Als Alternative zu CD-basierten Images kann mit RIS ein RIPrep-Image (Remote Installation Preparation, Vorbereitung der Remoteinstallation) verwendet werden. Mit solchen Images kann man nicht nur Windows 2000 Professional bereitstellen, sondern eine vorkonfigurierte Computerinstallation einschließlich anderer Anwendungen und PC-Einstellungen. Darüber hinaus enthalten RIPrep-Images das Betriebssystem und die Anwendungen, die von RIS auf Computer kopiert werden, in komprimierter Form. Dies ermöglicht eine rasche Installation aller benötigten Komponenten auf dem Desktop eines Benutzers. Wenn Ihr Unternehmen beispielsweise einen Standardsatz von Anwendungen festgelegt hat, der jedem Benutzer nach Installation eines neuen Computers zur Verfügung stehen muss, haben Sie zwei Möglichkeiten, die Computer richtig zu konfigurieren. Zum einen können Sie ein CD-basiertes Image für die Installation von Windows 2000 Professional mit Remoteinstallationsdienste verwenden und dann
733
734
Kapitel 9
Windows 2000 und Remote- installationsdienste
manuell die Anwendungen installieren oder mittels Gruppenrichtlinien bereitstellen, falls möglich. Bei der zweiten Methode werden Windows 2000 Professional und die Anwendungen auf einem Computer installiert, die ggf. notwendigen Änderungen an der Umgebung vorgenommen und dann aus dem Ganzen ein RIPrepImage erstellt. Dieses kann dann mittels Remoteinstallationsdienste bereitgestellt werden. Auf diese Weise können Betriebssystem, Anwendungen und alle benötigten Einstellungen zugleich auf dem Computer installiert werden. Die Entscheidung zwischen einem CD-basierten Image und einem RIPrep-Image hängt von einer Reihe von Faktoren ab, darunter auch der Änderungshäufigkeit. Wenn sich die Desktopkonfiguration des Standardbenutzers häufig ändert, ist ein RIPrep-Image weniger geeignet, weil dieses bei jeder Änderung aktualisiert und auf einem RIS-Server installiert werden muss. Dazu gehört die Vorbereitung eines Quellcomputers mit den neuen Einstellungen bei jeder Konfigurationsänderung. Wenn diese allzu häufig stattfinden, ist das RIPrep-Image u.U. arbeitsintensiver als ein CD-basiertes Image mit manueller Installation der Software bzw. mittels Gruppenrichtlinien. Wenn jedoch die Standardanwendungen in der Organisation nicht zu oft aktualisiert werden (etwa alle drei Monate oder noch seltener), könnte RIPrep eine einfache Methode zur Bereitstellung voll konfigurierter Desktops sein. Kleinere Änderungen an der Computerkonfiguration und an den Anwendungseinstellungen können mittels Gruppenrichtlinien, über SMS oder mit anderen Methoden bereitgestellt werden. Zur Erstellung eines RIPrep-Image für die Installation von Windows 2000 Professional samt Anwendungen benötigen Sie zwei Computer: 씰
Den Quellcomputer, auf dem Windows 2000 Professional und alle Anwendungen installiert werden. Dieser ist die Basis für die Erstellung des RIPrepImage mit Hilfe eines Tools aus Remoteinstallationsdienste.
씰
Einen RIS-Server, auf den das RIPrep-Image kopiert wird und für die Installation auf anderen Computern zur Verfügung steht, um die Anwendungen und Einstellungen des Quellcomputers zu duplizieren.
HINWEIS CD-basiertes Image notwendig Damit ein RIPrep-Image zwecks Installation auf anderen Computern auf einem RIS-Server installiert werden kann, muss dieser bereits ein CD-basiertes Image enthalten. Dies ist normalerweise kein Problem, weil während der Konfiguration von RIS ein CD-basiertes Standardimage erstellt wird. Falls dieses Image jedoch für eine andere CPU-Familie erstellt wurde als das RIPrep-Image, müssen Sie vor der Installation des RIPrep-Image auf dem RIS-Server ein CD-basiertes Image für die gleiche CPU-Familie installieren, damit die Bereitstellung funktioniert.
9.4 Erstellen von Images für Remoteinstallationsdienste
Konfiguration des Quellcomputers Bei der Erstellung eines RIPrep-Image müssen Sie als Erstes den Quellcomputer mit der Konfiguration und den Anwendungen konfigurieren, die für die zusätzlichen Workstations bereitgestellt werden sollen. Dazu gehören fünf Aufgaben: 1. Installation von Windows 2000 Professional auf dem Quellcomputer, da Sie mittels RIS nur dieses Betriebssystem bereitstellen können. 2. Konfiguration der Komponenten und Einstellungen von Windows 2000, die für den Quellcomputer und alle Zielcomputer benötigt werden. Wenn Sie also ein bestimmtes Look and Feel für das Desktop haben möchten, sollte es so konfiguriert werden, wie die Desktops aller Benutzer nach Installation des Image aussehen sollen. Auch wenn Sie möchten, dass Benutzern die IPAdressen von DHCP zugewiesen werden sollen, oder dass zusätzliche Netzwerkprotokolle bzw. -dienste installiert werden sollen, sollten Sie dies auf dem Quellcomputer durchführen. Sie werden die Konfiguration des Quellcomputers auf den Zielcomputern widerspiegeln, stellen Sie also sicher, dass alle Einstellungen auf dem Quellcomputer so aussehen, wie Sie sie auf den Zielcomputern haben möchten. 3. Installation und Konfiguration der für diese Desktopkonfiguration benötigten Anwendungen. Installieren Sie die Anwendungen mit den normalen Installationsprogrammen bzw. Windows-Installer-Paketen, um die nötigen Dateien zu kopieren, und fügen Sie dann auf der Festplatte des Quellcomputers ggf. zusätzliche Elemente hinzu, wie etwa Desktopverknüpfungen, Menüelemente oder Firmenvorlagen. Mit Windows-2000-Gruppenrichtlinien können Sie zugewiesene Anwendungen auch automatisch installieren. Alternativ könnten Sie derzeit veröffentlichte Anwendungen auf dem Quellcomputer installieren, die später mittels Gruppenrichtlinien bereitgestellt werden könnten. Dadurch wird der Netzwerkverkehr minimiert, vorausgesetzt, es wird später per Gruppenrichtlinien geprüft, ob eine Anwendung auf dem Zielcomputer installiert ist. Die Installation auf dem Quellcomputer und die Bereitstellung mit RIS während der Konfiguration des Computers spart später Zeit, wenn der Computer neu gestartet wird und der Benutzer sich anmeldet. 4. Test des Betriebssystems und der Anwendungen, damit gewährleistet ist, dass alles funktioniert wie vorgesehen. Dieser Schritt ist sehr wichtig. Es ist nicht sehr sinnvoll, ein RIPrep-Image von einem Quellcomputer einschließlich Anwendungen zu erstellen, bereitzustellen und dann festzustellen, dass die Dinge nicht so funktionieren wie sie sollen. Testen, testen und nochmals testen lautet die Devise, um sicherzugehen, dass Betriebssystem und Anwendungen nach der Bereitstellung mit RIS den Anforderungen entsprechen.
735
736
Kapitel 9
Windows 2000 und Remote- installationsdienste
5. Kopieren des Administrator-Profils vom Quellcomputer in das Standardprofil Benutzer. Dies ist erforderlich, weil die gesamte Konfiguration und Installation von Anwendungen auf dem Quellcomputer normalerweise unter dem Konto Administrator durchgeführt wird. Damit genau diese Einstellungen nach der Bereitstellung des Image dem Benutzer auf dem Zielcomputer zur Verfügung stehen, müssen sie als Standardprofil Benutzer konfiguriert werden, weil dieses Profil kopiert wird, wenn sich ein Benutzer beim Computer anmeldet. 6. Führen Sie folgende Schritte aus, um das Administrator-Profil in das Standardprofil Benutzer zu kopieren.
SCHRITT FÜR SCHRITT 9.9
Kopieren des Profils Administrator in das Standardprofil Benutzer auf dem Quellcomputer
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-ProfessionalZielcomputer an. 2. Erstellen Sie einen neuen Benutzer, indem Sie den Benutzer Administrator kopieren. Dabei wird auch die Gruppenmitgliedschaft mit kopiert. Zum Kopieren des Profils müssen Sie Mitglied der Gruppe Administratoren auf dem Quellcomputer sein. 3. Melden Sie sich ab, und melden Sie sich dann wieder an als der neue administrative Benutzer, den Sie in Schritt 2 erstellt haben. 4. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und wählen Sie EIGENSCHAFTEN. 5. Klicken Sie im Dialogfeld SYSTEMEIGENSCHAFTEN auf das Register BENUTZERPROFILE. 6. Wählen Sie das Profil für Administrator und klicken Sie auf KOPIEREN NACH. 7. Kopieren Sie das Profil im Dialogfeld KOPIEREN NACH an den Pfad C:\DOKUMENTE UND EINSTELLUNGEN\DEFAULTUSER, wo das Standardbenutzerprofil gespeichert ist. 8. Klicken Sie im Abschnitt BENUTZER des Dialogfelds KOPIEREN NACH auf die Schaltfläche ÄNDERN, um festzulegen, wer dieses Profil benutzen darf. 9. Klicken Sie im Feld SUCHEN IN auf den lokalen Computer. 10. Doppelklicken Sie im Feld Name auf JEDER, um der Gruppe Jeder (also allen Benutzern) die Verwendung dieses Profils zu gestatten. 11. Klicken Sie auf OK, um dieses Dialogfeld zu schließen.
9.4 Erstellen von Images für Remoteinstallationsdienste
12. Schließen Sie das Dialogfeld SYSTEMEIGENSCHAFTEN. 13. Melden Sie sich als der neue administrative Benutzer ab und als Administrator wieder an. 14. Löschen Sie den neuen administrativen Benutzer, den Sie zum Kopieren des Profils Administrator erstellt haben. Nachdem Sie auf dem Quellcomputer Windows 2000 Professional sowie die benötigten Anwendungen konfiguriert und das Benutzerprofil Administrator in das Standardbenutzerprofil kopiert haben, ist das Schlimmste überstanden. Jetzt müssen Sie ein Image der Quellcomputerkonfiguration erstellen, damit es auf anderen Computern bereitgestellt werden kann. Erstellung des RIPrep-Image und Kopieren auf den RIS-Server Der letzte Schritt bei der Bereitstellung des RIPrep-Image für Benutzer ist die Verwendung eines Tools zur Erstellung des eigentlichen Abbilds des Quellcomputers und das Kopieren des Image auf den RIS-Server. Führen Sie dazu den Assistenten für die Remoteinstallationsvorbereitung über das Netzwerk auf dem Quellcomputer selbst aus. Damit dieser Schritt funktioniert, muss ein RIS-Server verfügbar sein, der mit einem CD-basierten Image der selben CPU-Familie konfiguriert ist wie der Quellcomputer. Der Assistent für die Remoteinstallationsvorbereitung erledigt folgende Aufgaben: 씰
Konfiguration des Quellcomputers in einen allgemeinen Zustand, bei dem alle eindeutigen Einstellungen wie etwa SID (Sicherheits-ID) für den Computer, der Name des Computers und alle Registrierungseinstellungen, die auf den Zielcomputern eindeutige Werte aufweisen müssen, entfernt werden.
씰
Erstellung eines RIPrep-Image mit den Einstellungen des Computers und Kopieren desselben auf den angegebenen RIS-Server.
씰
Erstellung einer Antwortdatei (SIF) und Verknüpfung dieser Datei mit dem RIPrep-Image,
Führen Sie folgende Schritte aus, um mit Hilfe des Assistenten für die Remoteinstallationsvorbereitung ein RIPrep-Image zu erstellen und auf einem RIS-Server zu installieren.
737
738
Kapitel 9
Windows 2000 und Remote- installationsdienste
SCHRITT FÜR SCHRITT 9.10 Erstellung eines RIPrep-Image auf dem RIS-Server mit dem Assistenten für die Remoteinstallationsvorbereitung 1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü AUSFÜHREN. 3. Geben Sie im Feld AUSFÜHREN den Pfad der Datei riprep.exe ein, um den Assistenten für die Remoteinstallationsvorbereitung zu starten, beispielsweise: \\\reminst\admin\i386\riprep.exe
wobei der Name Ihres RIS-Servers ist. Klicken Sie auf OK. 4. Geben Sie im angezeigten Dialogfeld die benötigten Optionen ein wie folgt: Option
Beschreibung
Servername
Der Name des RIS-Servers, auf dem dieses RIPrep-Image gespeichert werden soll und der zur Bereitstellung des Image für Zielcomputer verwendet werden soll.
Ordnername
Der Name des Ordners auf dem RIS-Server, in dem dieses Image gespeichert werden soll.
Angezeigter Name
Der Name, der Benutzern angezeigt werden soll, wenn sie eine Remoteinstallation zur Installation des Image beginnen. Der Name sollte Aufschluss über den Inhalt des Image geben (z.B. »Standarddesktop Verkauf«).
Hilfetext
Aufschlussreiche Informationen über den Inhalt des Image, seinen Zweck bzw. eine Zielgruppe.
5. Klicken Sie auf FERTIG STELLEN, um die Erstellung des Image zu starten. Der Assistent für die Remoteinstallationsvorbereitung erledigt seine Aufgaben und benachrichtigt Sie, wenn er damit fertig ist. Sie sind nun bereit, dieses Image mit allen Anwendungen und Desktopeinstellungen, die den Quellcomputer widerspiegeln, auf Zielcomputern bereitzustellen. Wenn Sie die Nutzung des RIPrep-Image auf eine ausgewählte Gruppe von Benutzern einschränken möchten, ändern Sie wie beim CD-basierten Image die Berechtigungen für die SIF-Datei, mit der das Image verknüpft ist.
9.5 Ausführung einer Remoteinstallation
HINWEIS Manueller Lastausgleich zwischen RIPrep-Images Der Assistent für die Remoteinstallationsvorbereitung erstellt und installiert das RIPrep-Image des Quellcomputers auf nur einem RIS-Server. In vielen Organisationen werden u.U. mehrere RIS-Server benötigt, um die Last der Bereitstellung von Windows 2000 Professional zu verteilen, oder um den gleichen Satz von Images an mehreren geografischen Standorten vorzuhalten. Um das erstellte RIPrep-Image auf anderen RIS-Servern bereitzuhalten, kopieren Sie das Image auf den anderen RIS-Server, und die Benutzer sind ohne weiteres in der Lage, es bereitzustellen.
Die Erstellung des RIPrep-Image und dessen Installation auf einem RIS-Server ist der letzte Schritt bei der Erstellung eines Quellcomputer-Image. Wie Sie gesehen haben, umfassen die Schritte die Installation von Windows 2000 Professional und sämtlicher Anwendungen auf den Quellcomputern, das Kopieren des Administrator-Profils in das Standardbenutzerprofil und schließlich die Erstellung und Installation des Image auf einem RIS-Server mit Hilfe des Assistenten für die Remoteinstallationsvorbereitung. Jetzt sind Sie bereit, eine Remoteinstallation dieses wie auch aller anderen Images auf dem RIS-Server auszuführen.
9.5
Ausführung einer Remoteinstallation
Nachdem Sie Remoteinstallationsdienste auf einem Zielserver installiert, den RISServer in Active Directory autorisiert, den Server konfiguriert und das erste CDbasierte Image installiert, zusätzliche Images erstellt, Benutzern die Berechtigung zur Erstellung von Computerkonten in der Domäne gewährt und die nötigen Berechtigungen für die Image-Dateien festgelegt haben, können Sie Benutzern die Installation eines Windows-2000-Professional-Image auf einem Zielcomputer überlassen. Wie immer bei Einführung einer neuen Technologie ist es sinnvoll, die RISInstallation jedes Image auf einem Testcomputer zu verifizieren, bevor sie allen Benutzern zur Verfügung gestellt wird. Wenn mehrere Computerkonfigurationen vorliegen, für die Windows 2000 Professional über ein CD-basiertes oder ein RIPrep-Image bereitgestellt werden soll, muss jede Konfiguration gründlich getestet werden, bevor die Bereitstellung im großen Stil beginnt.
9.5.1
Konfiguration von Optionen für die Serverinstallation
Bevor Sie Clients die Nutzung von RIS ermöglichen, sollten Sie die Optionen auf dem RIS-Server konfigurieren, um festzulegen, wie Namen von Computerkonten generiert werden sollen. Außerdem können Sie den Verzeichnisdienstkontext in Active Directory vorgeben, in dem das Computerkonto erstellt werden soll. Dies geschieht mit Hilfe des Dialogfelds EIGENSCHAFTEN für den RIS-Server in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
739
740
Kapitel 9
Windows 2000 und Remote- installationsdienste
Führen Sie zur Konfiguration der Namensoptionen für Clientcomputer und des Active Directory-Computerkontexts für Clients, die den RIS-Server benutzen, folgende Schritte aus.
SCHRITT FÜR SCHRITT 9.11 Konfiguration der Namensoptionen und des Verzeichniskontexts für Clientcomputer 1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 3. Suchen Sie Ihren RIS-Server in der Active Directory-Struktur, klicken Sie mit der rechten Maustaste darauf, und wählen Sie EIGENSCHAFTEN. 4. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register REMOTEINSTALLATION, um die Einstellungen des RIS-Servers anzuzeigen, wie in Abbildung 9.68 gezeigt. Abbildung 9.68 Konfigurieren Sie RIS-Servereinstellungen in der Registerkarte Remoteinstallation des Dialogfelds EIGENSCHAFTEN für Ihren RIS-Server
9.5 Ausführung einer Remoteinstallation
5. Klicken Sie auf die Schaltfläche ERWEITERTE EINSTELLUNGEN, um die erweiterten Eigenschaften des RIS-Servers anzuzeigen. Das Dialogfeld EIGENSCHAFTEN VON REMOTEINSTALLATIONSDIENSTE wird angezeigt ähnlich wie in Abbildung 9.69. Abbildung 9.69 Im Dialogfeld EIGENSCHAFTEN VON REMOTEINSTALLATIONSDIENSTE können Sie u. a. die Namensoptionen für Computer festlegen
HINWEIS Deaktivierung aller Images auf einem RIS-Server Beachten Sie, dass global festgelegt werden kann, ob Ihr Server Clientanforderungen bedient, indem Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN auf der Registerkarte REMOTEINSTALLATION des Dialogfelds EIGENSCHAFTEN FÜR DEN SERVER deaktivieren. Dadurch sind die Images auf dem Server nicht verfügbar, und Clients können diesen RIS-Server nicht benutzen.
6. In der Registerkarte NEUE CLIENTS des Dialogfelds EIGENSCHAFTEN VON REMOTEINSTALLATIONSDIENSTE können Sie festlegen, wie der Name für einen Computer generiert werden soll, auf dem Windows 2000 Professional mittel RIS installiert wird. Das Standardnamensformat ist Benutzername. 7. Um ein Format für Computernamen festzulegen, wählen Sie eines der vorkonfigurierten Namensformate im Drop-down-Listenfeld oder, wenn Sie die volle Kontrolle über die Art der Namenvergabe behalten möchten, klicken
741
742
Kapitel 9
Windows 2000 und Remote- installationsdienste
Sie auf die Schaltfläche ANPASSEN, worauf ein Dialogfeld ähnlich Abbildung 9.70 angezeigt wird. Abbildung 9.70 Um die Regeln für die Erstellung von Computernamen bei Einsatz von RIS anzupassen, klicken Sie in der Registerkarte NEUE CLIENTS auf die Schaltfläche ANPASSEN
8. Um festzulegen, in welchem Active Directory-Kontext das Computerkonto bei der Installation von Windows 2000 Professional mit RIS erstellt werden soll, aktivieren Sie eine der Optionen unter CLIENTKONTO. Folgende Optionen sind verfügbar: Option
Speicherort in Active Directory
Standardstelle im Verzeichnis
Das neue Computerkonto wird im Container Computer für die Domäne in Active Directory erstellt. Diese Option (Standard) wird verwendet, wenn RIS nicht vom späteren Benutzer des Computers installiert wird. Auf diese Weise werden alle Computer in den Container Computer aufgenommen und können vom Administrator für die Anwendung von Gruppenrichtlinien in eine andere Organisationseinheit versetzt werden.
An derselben Stelle wie die Benutzereinstellungen des Computers
Das neue Computerkonto wird in der Organisationseinheit eingerichtet, zu der das Domänenbenutzerkonto des Benutzers gehört, der Windows 2000 Professional mit RIS installiert. Damit können alle Benutzer und Gruppen in einer Organisationseinheit erstellt werden, was die Konfiguration einheitlicher Gruppenrichtlinieneinstellungen für alle ermöglicht. Wenn der Benutzer, der Windows 2000 Professional mit RIS installiert, später auch Benutzer des Computers ist, dann ist diese Option eine gute Wahl.
9.5 Ausführung einer Remoteinstallation
Option
Speicherort in Active Directory
Eine spezifische Verzeichnisstelle
Das Computerkonto wird in der im Feld Durchsuchen angegebenen Organisationseinheit erstellt. Wenn alle per RIS bereitgestellten Computer zu einer bestimmten Organisationseinheit gehören sollen, um zu dokumentieren, dass diese mit RIS installiert wurden, ist dies u.U. eine gute Wahl. Auf diese Weise können Sie feststellen, welche Computer mittels RIS bereitgestellt wurden, und diese später für die Zwecke der Gruppenrichtlinien oder aus organisatorischen Gründen in passende Container verschieben.
9. Klicken Sie nach der Konfiguration der für Computer gültigen Namenskonventionen und des Active Directory-Kontexts, zu dem die per RIS bereitgestellten Computer gehören sollen, auf OK, um das Dialogfeld EIGENSCHAFTEN VON REMOTEINSTALLATIONSDIENSTE zu schließen. 10. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den RIS-Server zu schließen und Ihre Änderungen zu speichern. 11. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
Abbildung 9.71 Stellen Sie sicher, dass das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN in der Registerkarte REMOTEINSTALLATION des RIS-Servers aktiviert ist
743
744
Kapitel 9
Windows 2000 und Remote- installationsdienste
Jetzt können Sie wirklich von sich behaupten, für die Bereitstellung Ihrer Windows2000-Professional-Images bereit zu sein. Vergessen Sie nicht, das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN in der Registerkarte REMOTEINSTALLATION des Dialogfelds EIGENSCHAFTEN zu aktivieren (siehe Abbildung 9.71). Andernfalls können Clients keine Verbindung mit dem RIS-Server herstellen, um eine Liste der installierbaren Images zu erhalten. Nachdem Sie dies erledigt haben, stellen Sie sicher, dass Clients die Systemvoraussetzungen einhalten, und beginnen Sie mit der Bereitstellung.
9.5.2
Konfiguration von Clientinstallationsoptionen
Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste (RIS) 씰
Installation eines Image auf einem RIS-Clientcomputer
Gelegentlich kann es vorkommen, dass Sie bestimmten Benutzern während der Installation von Windows 2000 Professional die Möglichkeit geben möchten, Einstellungen festzulegen oder die Installation völlig ohne Benutzereingriff abzuwickeln. Die Merkmale der Installation werden in einem Gruppenrichtlinienobjekt (GPO) festgelegt, das dem Benutzer zugeordnet wird, der die Installation durchführt. Wenn mehrere GPOs für den Benutzer in Frage kommen, werden die Einstellungen auf Organisationseinheitenebene bzw. auf niedrigster Ebene wirksam, es sei denn, auf einer höheren Ebene wurde KEIN VORRANG konfiguriert. Führen Sie die folgenden Schritte aus, um in GRUPPENRICHTLINIEN Clientinstallationsoptionen für Benutzer festzulegen, die Installationen durchführen.
SCHRITT FÜR SCHRITT 9.12 Konfiguration von Clientinstallationsoptionen mittels Gruppenrichtlinien 1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 3. Suchen Sie die Organisationseinheit (d.h. den Container) für die Benutzer, die Installationen durchführen sollen (oder wählen Sie die Domäne, um diese Einstellungen für alle Benutzer festzulegen), klicken Sie mit der rechten Maustaste auf den Container, und wählen Sie EIGENSCHAFTEN. 4. Wählen Sie GRUPPENRICHTLINIEN im Dialogfeld EIGENSCHAFTEN für den Container.
9.5 Ausführung einer Remoteinstallation
5. Wählen Sie im Bildschirm GRUPPENRICHTLINIEN eine vorhandene Gruppenrichtlinie, deren Einstellungen Sie ändern möchten, oder erstellen Sie eine neue Gruppenrichtlinie für RIS-Clienteinstellungen. Klicken Sie auf BEARBEITEN, um den Gruppenrichtlinieneditor zu öffnen. Abbildung 9.72 Um die Clientinstallationsoptionen für RIS zu ändern, konfigurieren Sie die Einstellungen für Remoteinstallationsdienste in Gruppenrichtlinien für die Benutzer, die Installationen ausführen
Abbildung 9.73 Durch Doppelklicken auf AUSWAHLOPTIONEN können Sie die RIS-Clientoptionen einstellen
745
746
Kapitel 9
Windows 2000 und Remote- installationsdienste
6. Erweitern Sie im Gruppenrichtlinieneditor BENUTZERKONFIGURATION, WINDOWS-EINSTELLUNGEN und dann REMOTEINSTALLATIONSDIENSTE, wie in Abbildung 9.72 gezeigt. 7. Doppelklicken Sie im Detailbereich auf AUSWAHLOPTIONEN, um die RISClientinstallationsoptionen anzuzeigen, wie in Abbildung 9.73 gezeigt. 8. Ändern Sie die Einstellungen im Dialogfeld AUSWAHLOPTIONEN nach Bedarf Ihrer Organisation. Sie haben drei Möglichkeiten für jede Einstellung: ZULASSEN, OPTIONAL und VERWEIGERN. Mit ZULASSEN wird die Einstellung aktiviert, OPTIONAL belässt die Einstellung so, wie dies in einer früheren Richtlinie oder als Standardwert auf dem RIS-Server festgelegt wurde, und VERWEIGERN verbietet die Einstellung explizit. Zu den Einstellungen, die geändert werden können, gehören folgende: Einstellung
Beschreibung
Automatische Installation
Installation von Windows 2000 Professional mit den in der RIS-Serverkonfiguration festgelegten Namensregeln für Computer und Speicherorten für Computerkonten (die Sie im letzten Schritt für Schritt durchgeführt haben).
Benutzerdefinierte Installation
Der Benutzer kann den Computernamen und den Active Directory-Container angeben, in dem das Computerkonto erstellt werden soll. Dies hat Vorrang vor den Einstellungen des RIS-Servers und ermöglicht es Benutzern, ihre Computer nach anderen Namenskonventionen zu benennen. Wenn beispielsweise Clientcomputer in einem Büro nach Monden und Planeten benannt sind, könnten Sie diese Konvention unterstützen, indem Sie diese Option aktivieren.
Neustart der Installation (nach einem vorangegangenen Versuch)
Eine fehlgeschlagene Installation von Windows 2000 Professional mittels RIS kann auf dem Computer neu gestartet werden, ohne dass der Benutzer zur Eingabe von Informationen aufgefordert wird, die bereits zuvor im Assistenten für die Clientinstallation eingegeben wurden.
9.5 Ausführung einer Remoteinstallation
Einstellung
Beschreibung
Extras
Der Benutzer, der Windows 2000 Professional installiert, soll Zugriff erhalten auf Tools von Drittanbietern zur Wartung und Fehlersuche auf dem Computer, beispielsweise zur Aktualisierung des BIOS. Diese sind nur für Mitarbeiter des technischen Support vorgesehen und sollten in GPOs zugelassen werden, die für Benutzer im technischen Support eingesetzt werden. In der Regel sollte diese Option jedoch Benutzern nicht zugestanden werden. Die Tools, die für Wartung und Fehlersuche über RIS verwendet werden können, werden in der Registerkarte PROGRAMME des Dialogfelds EIGENSCHAFTEN VON REMOTEINSTALLATIONSDIENSTE festgelegt. Dieses wird aktiviert durch Klicken auf die Schaltfläche ERWEITERTE EINSTELLUNGEN in der Registerkarte REMOTEINSTALLATION des Dialogfelds EIGENSCHAFTEN FÜR DEN RIS-SERVER (siehe Abbildung 9.74).
Die Standardeinstellungen für RIS lassen lediglich AUTOMATISCHE INSTALLATION zu. Wenn Sie eine andere Konfiguration wünschen, müssen Sie dies im GPO angeben. Tun Sie dies. Abbildung 9.74 Auf der Registerkarte PROGRAMME des Dialogfelds EIGENSCHAFTEN VON
REMOTEINSTALLATIgeben Sie Programme für Fehlersuche und Wartung von Drittanbietern an ONSDIENSTE
747
748
Kapitel 9
Windows 2000 und Remote- installationsdienste
9. Klicken Sie auf OK, um Ihre Optionseinstellungen zu speichern und das Dialogfeld AUSWAHLOPTIONEN zu schließen. 10. Schließen Sie den Gruppenrichtlinieneditor, um die GPO-Einstellungen zu speichern. 11. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Container zu schließen. 12. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER. Noch einmal: Gruppenrichtlinien sind ein mächtiges Werkzeug zur Festlegung des Verhaltens von Windows-2000-Diensten, in diesem Fall von RIS. Mit Gruppenrichtlinien kann die Einhaltung von Unternehmensrichtlinien zur Bereitstellung von Windows 2000 mittels RIS durchgesetzt werden.
9.5.3
Voraussetzungen für Clientcomputer
Der erste Schritt bei der Bereitstellung von Windows 2000 Professional auf einem Computer mittels Remoteinstallationsdienste ist es, sicherzustellen, dass der Computer die Hardwarevoraussetzungen für Windows 2000 wie für RIS erfüllt. Durch die Installation von Windows 2000 mittels RIS ändern sich nicht die Voraussetzungen für das Betriebssystem, sondern lediglich die Methode zur Installation des Betriebssystems auf einem Computer. Bei einem Clientcomputer gelten folgende Hardwarevoraussetzungen für Windows 2000 Professional: Hardwarekomponente
Voraussetzung
CPU
Pentium 166 oder besser. Pentium II 300 oder besser wird empfohlen.
Speicher
Mindestens 64 Mbyte RAM. 128 Mbyte RAM empfohlen.
Festplattenplatz
Mindestens 1 Gbyte Speicherplatz. 2 Gbyte empfohlen. Es werden SCSI- und IDE-Festplattenlaufwerke unterstützt.
Netzwerkkarte
PCI-Netzwerkkarte mit mindestens 10 Mb/s (z.B. 10 BASET). 100 Mb/s empfohlen (100 BASE-TX). Die Karte sollte entweder ein PXE-fähiges Boot-ROM (Version .99c oder höher) enthalten oder von einer Remotestartdiskette unterstützt werden. PC-Karten-/PCMCIA-Netzwerkadapter werden nicht unterstützt.
Startgerät
Der Computer sollte für den Start von der PXE-fähigen Netzwerkkarte konfiguriert sein.
9.5 Ausführung einer Remoteinstallation
Wenn Ihr Zielcomputer die Hardwarevoraussetzungen erfüllt, können Sie nun mit der Bereitstellung von Windows 2000 Professional mittels RIS auf diesem Computer beginnen.
HINWEIS Notebooks können mittels RIS bereitgestellt werden Sie können zwar mit RIS keine PC-Karten- oder PCMCIA-Netzwerkadapter zur Bereitstellung von Windows 2000 Professional auf einem Notebook-Computer verwenden, aber es ist dennoch möglich, RIS zur Bereitstellung auf einem Notebook einzusetzen. Wenn Sie für das Notebook eine Dockingstation haben, in der eine PCI-Netzwerkkarte installiert ist, können Sie eine Remotestartdiskette verwenden. Falls die Karte PXE-fähig ist, können Sie über das Netzwerk starten und dann mit der Bereitstellung von Windows 2000 Professional beginnen. Dies ist die einzige Möglichkeit, Windows 2000 mittels RIS auf einem Notebook bereitzustellen. Übrigens enthalten einige neuere Notebooks, die heute am Markt sind, integrierte PCI-basierte Netzwerkkarten. Wenn eine solche Karte von einer Remotestartdiskette unterstützt wird oder PXE-fähig ist, kann Windows 2000 Professional möglicherweise ohne den Einsatz einer Dockingstation für solche Notebooks bereitgestellt werden.
9.5.4
Einsatz von RIS zur Installation eines Image auf einem Computer mit PXE-kompatibler Netzwerkkarte
Um Windows 2000 Professional auf einem Computer mit PXE-fähiger Netzwerkkarte zu installieren, muss der Computer für den Start von der Netzwerkkarte konfiguriert sein. Um dies zu überprüfen, drücken Sie während des Einschalt-Selbsttests (POST) die Tastenkombination, mit der Sie die BIOS-Konfiguration starten, und prüfen Sie, ob die Netzwerkkarte das erste Startgerät ist. Starten Sie dann den Computer. Wenn die Netzwerkkarte anzeigt, dass versucht wird, vom Netzwerk zu starten, drücken Sie (F12). Nachdem der Clientcomputer eine Verbindung mit einem RIS-Server hergestellt hat (und von einem DHCP-Server eine IP-Adresse erhalten hat und an einen RIS-Server verwiesen wurde), wird der Benutzer aufgefordert, erneut (F12) zu drücken, um den Assistenten für die Clientinstallation zu übertragen. Nachdem dies geschehen ist, wird der Benutzer aufgefordert, sich bei der Domäne anzumelden. Falls die Anmeldung erfolgreich ist, wird eine Liste von Optionen angezeigt.
749
750
Kapitel 9
Windows 2000 und Remote- installationsdienste
Einstellung
Beschreibung
Automatische Installation
Der Benutzer darf wählen, welches Image installiert werden soll. Wenn er berechtigt ist, auf das Image zuzugreifen, wird dieses ohne weiteren Benutzereingriff auf dem Clientcomputer installiert. Falls auf dem RIS-Server nur ein Image verfügbar ist, wird die Installation automatisch gestartet, ohne den Benutzer zu fragen.
Benutzerdefinierte Installation
Benutzer können u.U. den Computernamen und den Active Directory-Container, in dem der Computer gespeichert werden soll, überschreiben. Dies funktioniert nur, wenn dem Benutzer nicht in einer für ihn gültigen Gruppenrichtlinie die Berechtigung Benutzerdefinierte Installation verweigert wird.
Neustart der Installation (nach einem vorangegangenen Versuch)
Der Benutzer kann einen fehlgeschlagenen Versuch der Installation eines Image auf dem Computer neu starten. Dabei wird der gesamte Installationsvorgang von vorne begonnen, aber der Benutzer wird nicht zur Eingabe von Informationen aufgefordert, die bereits beim ersten Installationsversuch angegeben wurden.
Extras
Der Benutzer kann Tools von Drittanbietern zur Wartung und Fehlersuche auf dem Zielcomputer einsetzen.
Nachdem Sie Ihre Wahl getroffen haben, wird der Installationsvorgang begonnen. Wenn Sie eine benutzerdefinierte Installation gewählt haben, werden Sie nach dem Namen für den Computer und nach dem Speicherort des Active Directory-Containers gefragt, in dem das Computerkonto erstellt werden soll.
HINWEIS Mehrsprachige Bereitstellung Das Menü, das angezeigt wird, wenn der Benutzer (F12) drückt, hängt vom Inhalt einer Datei namens WELCOME.OSC ab, die sich im Ordner OSChooser in dem gemeinsamen RIS-Ordner auf dem RIS-Server befindet. Standardmäßig ist diese Datei in Englisch und geht davon aus, dass alle Eingabeaufforderungen auf Englisch erfolgen sollen. Microsoft stellt im gleichen Ordner eine Beispieldatei namens MULTILING.OSC zur Verfügung, die zeigt, wie Eingabeaufforderungen und Benutzereingriffe bei RIS mehrsprachig ausgelegt werden können. Diese Datei sollte als Vorlage für die Erstellung eines eigenen mehrsprachigen Menüs für Bereitstellungsoptionen verwendet werden, falls dies erforderlich ist.
9.5 Ausführung einer Remoteinstallation
9.5.5
Einsatz von RIS zur Installation eines Image auf einem Computer mittels einer Remotestartdiskette
Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste (RIS) 씰
Erstellung einer Remotestartdiskette
Auch in Fällen, bei denen die Netzwerkkarte in einem Computer nicht PXE-kompatibel ist, können Sie RIS zur Bereitstellung eines Windows-2000-ProfessionalImage auf einem Zielcomputer verwenden. Wenn der Zielcomputer eine Netzwerkkarte enthält, die von einer Remotestartdiskette unterstützt wird, können Sie die Diskette erstellen und damit eine PXE-Umgebung emulieren. Führen Sie zur Erstellung einer Remotestartdiskette folgende Schritte aus:
SCHRITT FÜR SCHRITT 9.13 Erstellung einer Remotestartdiskette 1. Melden Sie sich als Administrator bei einem Windows-2000-Computer an. 2. Wählen Sie AUSFÜHREN im Startmenü. 3. Geben Sie im Dialogfeld AUSFÜHREN Folgendes ein: \\\reminst\admin\i386\rbfg.exe
dabei ist der Name Ihres RIS-Servers. Klicken Sie auf OK. Damit wird die Windows-2000-Remotestart-Diskettenerstellung gestartet, wie in Abbildung 9.75 gezeigt. Abbildung 9.75 Die Windows-2000Remotestart-Diskettenerstellung kann zur Erstellung einer Startdiskette für Remoteinstallationsdienste verwendet werden
751
752
Kapitel 9
Windows 2000 und Remote- installationsdienste
4. Wenn Sie prüfen möchten, ob die Netzwerkkarte in Ihrem Computer von einer Remotestartdiskette unterstützt wird, klicken Sie auf ADAPTERLISTE, um ein Dialogfeld ähnlich Abbildung 9.76 anzuzeigen. Abbildung 9.76 Wenn Sie auf ADAPTERLISTE klicken, wird die Liste der von der Remotestartdiskette unterstützten Netzwerkkarten angezeigt. Prüfen Sie, ob Ihre Netzwerkkarte aufgeführt ist
Wenn die Netzwerkkarte des Zielcomputers weder in der Liste unterstützter Karten aufgeführt ist noch PXE-kompatibel ist, können Sie RIS nicht zur Bereitstellung von Windows 2000 Professional verwenden. Sie müssen sich eine mit RIS kompatible oder eine PXE-fähige Netzwerkkarte beschaffen. Wenn Sie RIS einsetzen möchten, gibt es keine andere Wahl. 5. Legen Sie eine leere, formatierte Diskette in Ihr Diskettenlaufwerk ein und klicken Sie auf DISKETTE ERSTELLEN, um die Remotestartdiskette zu erstellen. Nachdem Sie die Remotestartdiskette erstellt haben, prüfen Sie, ob das Diskettenlaufwerk auf dem Zielcomputer als Standard-Startgerät konfiguriert ist, legen Sie die Diskette in das Diskettenlaufwerk ein und schalten Sie den Computer ein. Drücken Sie ähnlich wie beim Start mit einer PXE-kompatiblen Netzwerkkarte die Taste (F12), wenn Sie dazu aufgefordert werden. Die restlichen Schritte zur Bereitstellung eines Windows-2000-Professional-Image mit RIS stimmen mit der (in Schritt für Schritt 9.13 gezeigten) Vorgehensweise beim Start von einer PXE-kompatiblen Netzwerkkarte überein.
9.5.6
Vorkonfiguration von Clientcomputern
Konfiguration der RIS-Sicherheit 씰
Vorkonfiguration von Clientcomputern für zusätzliche Sicherheit und zum Lastausgleich
Standardmäßig bedient ein RIS-Server nach der Installation Anforderungen von jedem Clientcomputer, der über DHCP eine IP-Adresse erhielt und im DHCP Discover-Paket die Adresse eines RIS-Servers angefordert hat, sofern Sie nicht festgelegt haben, dass der Server nur Anforderungen von bekannten Computern bedienen
9.5 Ausführung einer Remoteinstallation
soll. Dies ist natürlich eine potenzielle Sicherheitslücke und erlaubt u.U. jedem Benutzer die Installation eines Windows-2000-Professional-Image, der über ein gültiges Domänenkonto mit Berechtigungen zum Zugriff auf die Antwortdatei verfügt. Um den Kreis der von einem RIS-Server bedienten Computer einzuschränken, müssen Sie die Clientcomputer vorkonfigurieren, damit der RIS-Server ihre Identität kennt. Dazu gehört auch die Festlegung, welcher RIS-Server von einem Client benutzt werden soll, um eine Liste der verfügbaren Images zu erhalten und das Bereitstellungsimage zu übertragen. Bei der Vorkonfiguration eines Clientcomputers müssen Sie dessen GUID angeben und vor Beginn der RIS-Installation ein Computerkonto in der Domäne erstellen. Die GUID eines Clientcomputers als Bestandteil der PXE-Spezifikation wird vom Hersteller geliefert. Sie befindet sich normalerweise auf einem Aufkleber im oder am Computergehäuse und wird oft auch in den BIOS-Einstellungen angezeigt. Die GUID ist immer 32 Zeichen lang und hat das Format {dddddddd-dddd-dddd-dddd-dddddddddddd}
wobei d ein hexadezimaler Wert ist. Auch wenn Ihr Clientcomputer keine PXE-fähige Netzwerkkarte enthält und Sie eine Remotestartdiskette zur Bereitstellung des Windows-2000-Professional-Image auf dem Clientcomputer verwenden, können Sie den Computer vorkonfigurieren. Die GUID eines Computers, der von einer Remotestartdiskette gestartet wird, ist die MAC-Adresse der Netzwerkkarte, die mit führenden Nullen auf 32 Zeichen verlängert wird. Beispiel: {00000000-0000-0000-0000-00104BF91001}
Nachdem Sie die GUID des Clientcomputers ermittelt haben, können Sie ihn mittels Active Directory-Benutzer und -Computer vorkonfigurieren. Führen Sie dazu folgende Schritte aus.
SCHRITT FÜR SCHRITT 9.14 Vorkonfiguration eines Clientcomputers mit bekannter GUID 1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Computer an. 2. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
753
754
Kapitel 9
Windows 2000 und Remote- installationsdienste
3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, in der das Computerkonto erstellt werden soll, zeigen Sie auf NEU, dann auf COMPUTER. 4. Geben Sie im Dialogfeld NEUES OBJEKT – COMPUTER, wie in Abbildung 9.77 gezeigt, den Namen des vorkonfigurierten Computers ein, und klicken Sie auf WEITER. Abbildung 9.77 Um einen Clientcomputer vorzukonfigurieren, öffnen Sie das Dialogfeld NEUES OBJEKT – COMPUTER zur Erstellung des Computerkontos
5. Klicken Sie im nächsten Bildschirm, wie in Abbildung 9.78 gezeigt, in das Kontrollkästchen VERWALTETER COMPUTER, und geben Sie die GUID des Computers ein. Wenn Sie diese im richtigen Format eingegeben haben, sollte die Schaltfläche WEITER verfügbar sein. Klicken Sie auf WEITER, um fortzufahren. 6. Wie in Abbildung 9.79 gezeigt, können Sie nun festlegen, ob der Clientcomputer mit einem bestimmten oder mit einem beliebigen RIS-Server Verbindung aufnehmen soll, um eine Liste von Images zur Installation von Windows 2000 Professional zu erhalten. Wenn Sie den Client an einen bestimmten RIS-Server binden möchten, aktivieren Sie diese Option und geben Sie den voll qualifizierten DNS-Namen des RIS-Servers an. Klicken Sie dann auf WEITER. 7. Im nächsten Bildschirm wird, ähnlich wie in Abbildung 9.80, eine Zusammenfassung der Einstellungen angezeigt. Falls alles stimmt, klicken Sie auf FERTIG STELLEN, um die Vorkonfiguration des Clientcomputers abzuschließen.
9.5 Ausführung einer Remoteinstallation
Abbildung 9.78 Geben Sie die GUID des Computers ein, der vorkonfiguriert werden soll, und klicken Sie auf WEITER, nachdem Sie das Kontrollkästchen VERWALTETER COMPUTER aktiviert haben
Abbildung 9.79 Legen Sie in diesem Bildschirm fest, ob der Clientcomputer sich zwecks Bereitstellung an einen bestimmten oder an einen beliebigen RIS-Server wenden kann
8. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. In der letzten Schrittanleitung wurden Sie durch den Vorgang der Vorkonfiguration für einen Clientcomputer mit bekannter GUID geführt. Vor allem bei älteren Computern ist die GUID manchmal nicht bekannt, etwa, wenn Sie eine Remotestartdiskette verwenden und die MAC-Adresse der Netzwerkkarte nicht leicht zu finden ist. Solche Computer können jedoch trotzdem vorkonfiguriert werden. Um einen Computer mit unbekannter GUID vorzukonfigurieren, führen Sie die folgenden Schritte aus.
755
756
Kapitel 9
Windows 2000 und Remote- installationsdienste
Abbildung 9.80 Im Zusammenfassungsbildschirm wird eine Liste der auszuführenden Aktionen und der festgelegten Einstellungen angezeigt. Klicken Sie auf FERTIG STELLEN, um den Computer vorzukonfigurieren
SCHRITT FÜR SCHRITT 9.15 Vorkonfiguration eines Clientcomputers mit unbekannter GUID 1. Starten Sie den Clientcomputer von einer RIS-Clientstartdiskette und melden Sie sich bei der Domäne an wie aufgefordert. 2. Wählen Sie eine Installationsoption, wenn Sie dazu aufgefordert werden, und drücken Sie die Eingabetaste. 3. Wählen Sie ein Image, sofern eine Liste angezeigt wird, und drücken Sie die Eingabetaste. 4. Wenn Sie eine Warnmeldung erhalten, drücken Sie die Eingabetaste. Die GUID für den Clientcomputer wird auf dem Bildschirm angezeigt, und der Computer ist nun vorkonfiguriert. 5. Schalten Sie den Computer aus, um zu verhindern, dass die Übertragung eines RIS-Image eingeleitet wird. Jetzt ist der RIS-Client vorkonfiguriert und kann ein RIS-Image von jedem RIS-Server empfangen. Wenn Sie die Clientcomputer außerdem einem bestimmten RISServer zuordnen möchten, können Sie dies im Dialogfeld EIGENSCHAFTEN FÜR DEN RIS-CLIENTCOMPUTER in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER tun.
9.5 Ausführung einer Remoteinstallation
Eine letzte Aufgabe, die Sie ggf. noch erledigen können, ist die Konfiguration des Servers, sodass er nur vorkonfiguriert Clients bedient. Hierzu aktivieren Sie das Kontrollkästchen UNBEKANNTEN CLIENTS NICHT ANTWORTEN im Register REMOTEINSTALLATION für den RIS-Server, wie in Abbildung 9.81 gezeigt. Abbildung 9.81 Um sicherzustellen, dass der RIS-Server nur Anforderungen von vorkonfigurierten Clients bedient, aktivieren Sie das Kontrollkästchen UNBEKANNTEN CLIENTS NICHT ANTWORTEN in der Registerkarte REMOTEINSTALLATION für den RIS-Server
Bis hierher haben Sie den Prozess der Installation und Konfiguration, einschließlich Autorisierung, von Remoteinstallationsdienste auf Computern mit Windows 2000 Server, Advanced Server oder Data Center Server durchlaufen. Sie haben ferner ein CD-basiertes Image erstellt und sind den Prozess der Erstellung eines RIPrep-Image auf Grundlage einer Quellcomputerkonfiguration durchgegangen. Anschließend haben Sie den Images und den Computern Berechtigungen zugeordnet, damit nur die Computer RIS verwenden können, deren GUID in Active Directory bekannt ist. Sie haben die Berechtigungen dann weiter verfeinert, sodass bestimmte Clients nur von einem bestimmten Server mit einem bestimmten Image installieren können. Darüber hinaus haben Sie die notwendigen Hardwarevoraussetzungen für RIS-Clientcomputer ermittelt und sind den Prozess der Erstellung einer Remotestartdiskette für Computer ohne PXE-fähige Netzwerkkarte durchgegangen. Aber auch wenn Sie dies alles wissen und sichergestellt haben, dass sämtliche Voraussetzungen erfüllt sind, können dennoch Probleme auftreten.
757
758
Kapitel 9
9.6
Windows 2000 und Remote- installationsdienste
Fehlersuche bei Remoteinstallationsdienste
Problem
Ursache
Lösung
Clientcomputer erhalten keine IP-Adresse. Beim Startvorgang wird keine DHCO-Meldung angezeigt.
Höchstwahrscheinlich ist ein Windows-2000DHCP-Server nicht verfügbar.
Prüfen Sie zuerst, ob NichtRIS-Clients eine IP-Adresse von DHCP erhalten. Wenn nicht, prüfen Sie, ob Ihr DHCP-Server aktiv ist. Wenn ja, prüfen Sie, ob der DHCPServer ein Windows-2000DHCP-Server ist, d.h. in Active Directory autorisiert wurde, und dass es kein Windows-NT-4.0-DHCPServer ist. Ist dies der Fall, so verifizieren Sie, dass sich Client und DHCP-Server in unterschiedlichen physischen Subnetzen befinden, und dass ein DHCP-Relay-Agent im gleichen Subnetz wie der RISClientcomputer verfügbar ist und funktioniert. Stellen Sie schließlich sicher, dass dem DHCP-Server Adressen zum Verleasen zur Verfügung stehen, und dass der Gültigkeitsbereich von DHCP aktiviert wurde.
Clients erhalten eine IPAdresse, aber es wird keine BINL-Meldung angezeigt, die auf eine Verbindung mit dem RIS-Server hinweist.
Die wahrscheinlichste Ursache für dieses Problem ist, dass der RIS-Server nicht online ist. Eine weitere mögliche Ursache könnte sein, dass der RIS-Server zwar online ist, aber in Active Directory nicht autorisiert wurde.
Bringen Sie den RIS-Server online und autorisieren Sie ihn.
Tabelle 9.1: Probleme bei Remoteinstallationsdienste
9.6 Fehlersuche bei Remoteinstallationsdienste
Problem
Ursache
Lösung
Clientcomputer können die Übertragung eines Image nicht starten.
Dies wird höchstwahrscheinlich von einem hängenden NetPC Boot Service Manager (BINLSVC) auf dem RIS-Server verursacht. In dieser Situation wird auf dem Client die BINL-Meldung angezeigt, die darauf hinweist, dass mit einem RIS-Server Kontakt aufgenommen wurde, aber weiter geschieht nichts.
Stoppen Sie den NetPC Boot Service Manager Service, und starten Sie ihn neu.
Clients, die eine Remotestartdiskette verwenden, können keine Verbindung mit dem RIS-Server herstellen.
Die wahrscheinlichste Ursache für dieses Problem ist, dass der Clientcomputer eine Netzwerkkarte enthält, die von der Remotestartdiskette nicht unterstützt wird.
Prüfen Sie, ob die Netzwerkkarte in der Adapterliste des Programms RemotestartDiskettenerstellung angezeigt wird. Wenn nicht, ersetzen Sie die Netzwerkkarte durch eine aus der Liste.
Durch Drücken auf (F12) wird ein Remotestart eingeleitet, aber der Client kann keine Verbindung mit dem RIS-Server herstellen.
Die wahrscheinlichste Ursache für dieses Problem ist, dass die PXE-fähige Netzwerkkarte ein Boot-ROM mit einer älteren Version als .99c enthält. Die Version des Boot-ROM für PXE muss .99c oder neuer sein. Bei einigen Netzwerkkarten kann Version .99i notwendig sein, damit sie richtig funktionieren.
Wechseln Sie die Netzwerkkarte oder das Boot-ROM aus, um dieses Problem zu beheben. Dieses Problem kann auch auftreten, wenn der RISServer nicht in Betrieb ist. Stellen Sie sicher, dass ein RIS-Server betriebsbereit ist.
Tabelle 9.1: Probleme bei Remoteinstallationsdienste
759
760
Kapitel 9
Windows 2000 und Remote- installationsdienste
Problem
Ursache
Lösung
Installationsoptionen sind wider Erwarten für einen Benutzer nicht verfügbar.
Die wahrscheinlichste Ursache für dieses Problem sind Konflikte bei Gruppenrichtlinien. Wenn für den Benutzer ein GPO auf Organisationseinheitenebene definiert ist, könnte ein GPO auf höherer Ebene die Einstellung Kein Vorrang aktiviert haben und ebenfalls Konfigurationseinstellungen für RIS enthalten.
Überprüfen Sie die GPORangfolge für den Benutzer.
Tabelle 9.1: Probleme bei Remoteinstallationsdienste
Wie Sie gesehen haben, hat die Mehrzahl der Probleme bei RIS damit zu tun, dass notwendige Unterstützungsserver nicht verfügbar sind oder Clientkomponenten nicht ganz einwandfrei funktionieren. Wie immer gewährleistet sorgfältige Planung aller Aspekte von RIS sowie der Gruppenrichtlinienelemente, die RIS beeinflussen, eine robuste und (zum größten Teil) problemlose Installation.
Fallstudie: Verwendung von Remoteinstallationsdienste zur Bereitstellung von Windows 2000 Professional für neue Desktop-Computer bei der Sonnenschein-Brauerei Das Wichtigste im Überblick Eine Anzahl von Desktops bei der Sonnenschein-Brauerei kommt langsam in die Jahre, und es wurde die Implementierung einer kapitalen Akquisitionsstrategie beschlossen, um diese alternden Computer auszuwechseln. Die Anzahl der zu beschaffenden neuen Desktops wird auf 2500 geschätzt, wovon 500 für Forschung und Entwicklung, 235 für Manager, 500 für IT und der Rest für die Verwaltung vorgesehen sind. Der Verkauf hat vor kurzem neue Notebooks erhalten, sodass dort keine neuen Computer benötigt werden. Alle Computer sind mit Pentium III 650 MHz ausgestattet, der auf der Hardwarekompatibilitätsliste von Windows 2000 steht. Jeder Computer verfügt über mindestens 256 Mbyte RAM und eine Festplatte von 12 Gbyte. Alle neuen Computer sind mit PCI-100-BASE-TX-Netzwerkkarten des Typs INTEL Pro/100+ ausgestattet, die ein PXE-Boot-ROM der Version .99c oder neuer aufweisen.
Fallstudie: Verwendung von Remoteinstallationsdienste
Die Computer der Abteilung Forschung und Entwicklung sollen nur das Basisbetriebssystem Windows 2000 Professional enthalten, weil die Zusatzanwendungen, die in dieser Abteilung installiert werden müssen, sehr spezialisiert sind. Unternehmensweit eingesetzte Anwendungen wie etwa Office 2000 werden nach der Konfiguration der Computer mit Windows 2000 Professional über Gruppenrichtlinien bereitgestellt. Die Namen von Computern der Abteilung Forschung und Entwicklung sollen in der OU Forschung und Entwicklung vorkonfiguriert werden, um zu gewährleisten, dass nur die für diese Abteilung vorgesehenen Computer in dieser Organisationseinheit erstellt werden und deren Berechtigungen erben. Die Computer der Manager sollen Office 2000 Professional sowie die Berichtssoftware für das ERP-Paket enthalten. Zusätzlich benötigte Anwendungen werden manuell oder über Gruppenrichtlinien installiert. Die Computer sollen vorkonfiguriert werden. Die IT-Computer sollen ebenfalls nur Windows 2000 Professional enthalten sowie die Verwaltungsprogramme für Active Directory und das Windows 2000 Resource Kit. Auf den Computern der Verwaltung soll die derzeitige Desktopkonfiguration nachgebildet werden, und sie müssen nicht vorkonfiguriert werden. 씰
Die Bereitstellung für alle Computer, mit Ausnahme von Forschung und Entwicklung, soll von IT-Mitarbeitern an den verschiedenen Standorten per Installation über das Netzwerk durchgeführt werden. Sie möchten ggf. sicherstellen, dass das DFÜ-Netzwerk nicht zur Übertragung der für die Betriebssysteminstallation benötigten Dateien verwendet wird (d.h., dass jeder Standort einen eigenen Server als Quelle für die Bereitstellung des Betriebssystems besitzt).
Situationsbeschreibung Die Bereitstellung von Windows 2000 Professional auf neuen Desktop-Computern kann schon für sich genommen, und erst recht mit zusätzlichen Anwendungen, ein zeitraubender Vorgang sein. In diesem Kapitel wurden Remoteinstallationsdienste und ihre Nutzung zur Beschleunigung der Betriebssystembereitstellung sowie, mittels RIPrep-Image, zur Beschleunigung der Bereitstellung zusätzlicher Anwendungen vorgestellt. Sie werden sehen, wie dies zur Lösung eines Problems bei der Sonnenschein-Brauerei eingesetzt werden kann.
761
762
Kapitel 9
Windows 2000 und Remote- installationsdienste
Situationsanalyse Die einfache Lösung des Problems ist die Komponente Remoteinstallationsdienste von Windows 2000. Weil alle neuen Computer mit einer PXE-fähigen Netzwerkkarte einer geeigneten Version bestückt sind und sich alle Komponenten der Computer auf der HCL befinden, brauchen Sie sich während der Bereitstellung nicht mit seltsamen Problemen (außer Hardwareproblemen) herumzuschlagen. Um den Erfolg der Bereitstellung zu gewährleisten, würden Sie folgende Schritte ausführen: 씰
Installation und Konfiguration eines RIS-Servers an jedem Standort.
씰
Laden eines ersten CD-basierten Image namens Standard Windows 2000 Professional Install auf jedem RIS-Server während der Konfiguration.
씰
Autorisieren aller RIS-Server in Active Directory.
씰
Sicherstellen, dass an jedem Standort ein DHCP-Server vorhanden und in Active Directory autorisiert ist.
씰
Erstellung eines RIPrep-Image (einschließlich der Anwendungen) von einem typischen Managercomputer, und Kopieren dieses Image auf jeden RIS-Server, der Managercomputer bedienen soll.
씰
Vorkonfiguration der Managercomputer mittels Active Directory-Benutzer und -Computer und der jeweiligen GUID.
씰
Erstellung eines RIPrep-Image für die Benutzer aus der Verwaltung von einem typischen Verwaltungscomputer, wie er derzeit vorhanden ist. Dieses Image wird auf alle RIS-Server in allen Standorten kopiert, in denen Verwaltungscomputer erstellt werden.
씰
Erstellung eines RIPrep-Image mit der Konfiguration der IT-Benutzer und Kopieren desselben an alle Standorte, an denen IT-Mitarbeiter angesiedelt sind.
씰
Zuordnung von Berechtigungen zur Erstellung von Computerkonten in der OU Forschung und Entwicklung für die Sicherheitsgruppe Forschung und Entwicklung, und Veranlassung des Vorkonfiguration für diese Computer.
씰
Start aller Computer von der Netzwerkkarte und Auswahl des passenden Image zur Installation.
Zusammenfassung
Mit dieser Liste von Schritten und Konfigurationseinstellungen können Sie Windows 2000 Professional und alle notwendigen Anwendungen für jede Klasse von Benutzercomputern nach Bedarf bereitstellen.
Zusammenfassung Remoteinstallationsdienste ist eine Komponente der Technologie IntelliMirror von Windows 2000, welche die Bereitstellung von Windows-2000-Professional-Images auf einem Clientcomputer während der Startphase ermöglicht. RIS unterstützt Clients, welche die Spezifikation NetPC einhalten. Dazu ist eine Netzwerkkarte mit einem PXE-fähigen Boot-ROM der Version .99c oder neuer erforderlich. Auch Clientcomputer ohne PXE-fähige Netzwerkkarte können durch Erstellung einer Remotestartdiskette mittels RIS bereitgestellt werden. Solche Clients müssen mit einer von der Remotestartdiskette unterstützten Netzwerkkarte bestückt sein. Auf der Serverseite muss RIS auf einem Computer mit Windows 2000 Server, Advanced Server oder Data Center Server installiert werden. Der RIS-Server hängt von anderen Windows-2000-Technologien ab, darunter Active Directory und DHCP. Ein RIS-Server muss in Active Directory autorisiert werden, damit er Clients, die Windows 2000 Professional installieren möchten, mit Images versorgen kann. Die Installation von RIS-Server geschieht mit Hilfe von WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN in SOFTWARE unter SYSTEMSTEUERUNG oder durch Konfiguration des Servers. Bei Installation von RIS werden alle von RIS benötigten Dateien installiert. Sie müssen jedoch den RIS-Server auch konfigurieren. Dabei wird ein erstes CD-basiertes Image auf dem Server erstellt, und es werden alle für RIS notwendigen Dienste gestartet, darunter Trivial File Transfer Protocol, Single Instance Store und der Dienst Startdienst-Manager. Die zur Bereitstellung von Windows 2000 Professional mittels RIS verwendeten Images können CD-basierte Images oder RIPrep-Images (Images für die Remoteinstallationsdienstevorbereitung) sein. CD-basierte Images enthalten jeweils eine Kopie der zur Installation von Windows 2000 Professional benötigten Dateien, und ihre Installation verläuft genauso wie eine unbeaufsichtigte Installation von der Windows-2000-Professional-CD. Mit RIPrep-Images können Sie Windows 2000 Professional sowie weitere Anwendungen auf einem Quellcomputer konfigurieren, in einem gemeinsamen RIS-Ordner ein Image erstellen, das die gesamte Computer-
763
764
Kapitel 9
Windows 2000 und Remote- installationsdienste
konfiguration enthält, und dieses für Zielcomputer bereitstellen. RIPrep-Images bieten die schnellste Bereitstellungsmöglichkeit für Betriebssystem und Anwendungen. Ein einzelner RIS-Server kann mehrere Images aufnehmen. Images können in einer separaten Partition im NTFS-Format gespeichert werden, aber aus Leistungsgründen empfiehlt sich die Speicherung der Images auf einer eigenen physischen Festplatte. In einem Netzwerk können mehrere RIS-Server vorhanden sein. Zum Lastausgleich empfiehlt es sich, häufig verwendete Images auf mehrere Server zu kopieren. Clientcomputer können vorkonfiguriert werden, was voraussetzt, dass Sie deren GUIDs kennen. Vorkonfiguration umfasst die Erstellung des Computers mittels Active Directory-Benutzer und -Computer in einem geeigneten Active DirectoryContainer. Die GUID findet sich im BIOS des Computers oder auf einem Aufkleber des Herstellers. Computer, für die eine Remotestartdiskette benötigt wird, können ebenfalls vorkonfiguriert werden, indem die MAC-Adresse der Netzwerkkarte mit führenden Nullen auf das Format einer GUID gebracht wird. Sie können die Verwendung eines bestimmten Images für die Installation einschränken, indem Sie der damit verknüpften Antwortdatei Berechtigungen zuordnen. Benutzer, die Windows 2000 Professional auf einem nicht vorkonfigurierten Computer installieren, müssen die Berechtigung zum Erstellen von Computerobjekten innerhalb des Containers, in dem das Computerkonto erstellt werden soll, besitzen. Dieser Container kann, ebenso wie das Namensformat für neue Computerkonten, in Active Directory-Benutzer und -Computer unter Eigenschaften für den RIS-Server konfiguriert werden. Um die Installation von Windows 2000 Professional mittels RIS zu beginnen, müssen Sie sicherstellen, dass die PXE-fähige Netzwerkkarte das erste Startgerät auf dem Computer ist, oder, bei Verwendung einer Remotestartdiskette, dass das Diskettenlaufwerk das Startgerät ist. Während der Startphase drückt der Benutzer die Taste (F12), um einen gestaffelten Ladevorgang einzuleiten, worauf der DHCP-Server aufgefordert wird, dem Computer eine IP-Adresse zu geben und ihn mit einem RIS-Server zu verbinden. Vorkonfigurierte Clients können so konfiguriert werden, dass ihr Image direkt von einem bestimmten RIS-Server übertragen wird, damit gewährleistet ist, dass der Client das benötigte Image erhält.
Lernzielkontrolle
Schlüsselbegriffe 쎲
Active Directory
쎲
Quellcomputer
쎲
Antwortdatei
쎲
rbfg.exe (RemotestartDiskettenerstellung)
쎲
Assistent für die Installation und Konfiguration von Remoteinstallationsdienste (RISETUP)
쎲
Remoteinstallationsdienste (RIS)
쎲
Autorisierung eines RISServers
쎲
Remoteinstallationsvorbereitung (RIPrep)
쎲
Beschränkung von Images
쎲
Remotestartdiskette
쎲
CD-basiertes Image
쎲
RIS-Image
쎲
DHCP (Dynamic Host Configuration Protocol)
쎲
SIS-Dienst, Single Instance Store
쎲
DNS-Server (Domain Name System-Server)
쎲
Sysprep-Programm
쎲
GUID (Global eindeutiger Kennzeichner)
쎲
TFTP (Trivial File Transfer Protocol)
쎲
Installations-Manager
쎲
Vorkonfiguration
쎲
MAC-Adresse (Media Access Control-Adresse)
쎲
Zielcomputer
쎲
PXE (Pre-boot execution environment)
Lernzielkontrolle Übungen In den folgenden Übungen werden Sie Remoteinstallationsdienste auf Ihrem Windows-2000-Server-Computer installieren, RIS konfigurieren und das erste CDbasierte Image erstellen, Berechtigungen für das Image festlegen, eine Remotestartdiskette erstellen sowie das Image auf einem Clientcomputer mit einer PXE-fähigen Netzwerkkarte bzw. einer von der Remotestartdiskette unterstützten Netzwerkkarte bereitstellen.
765
766
Kapitel 9
Windows 2000 und Remote- installationsdienste
Die Übungen 1 bis 4 können auf einem einzelnen Windows-2000-Server, Advanced-Server oder Data-Center-Server durchgeführt werden, der Mitgliedsserver oder Domänencontroller in einer Active Directory-Domäne ist. Für Übung 5 ist ein weiterer Computer mit einer PXE-fähigen oder von der Remotestartdiskette unterstützten Netzwerkkarte erforderlich. Auf der Festplatte des in Übung 5 zu verwendenden Clientcomputers sollte keine Partition eingerichtet sein. Stellen Sie bei Ihrem RIS-Server sicher, dass der DHCP-Serverdienst installiert und in Active Directory autorisiert wurde (dies ist notwendig, damit der RIS-Server Clientanforderungen bedienen kann), und dass der DHCP-Server mindestens für einen für Ihr LAN gültigen Bereich von IP-Adressen konfiguriert ist. Sie können auch weitere Einstellungen konfigurieren, wie etwa Gateway-Adresse, DNS-Server usw. Stellen Sie außerdem sicher, dass sich auf der Festplatte mindestens zwei Partitionen befinden, von denen eine mit NTFS formatiert ist und sich von derjenigen unterscheidet, in der Windows 2000 Server installiert ist. Die Übungen setzen voraus, dass eine OU Forschung sowie eine Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER vorhanden ist (diese wurden in den Übungen zu den Kapiteln 6 bis 8 verwendet). Ist dies nicht der Fall, so erstellen Sie die OU sowie die Sicherheitsgruppe und einen Benutzer, der Mitglied der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER werden soll. 9.1
Installation von Remoteinstallationsdiensten
In dieser Übung installieren Sie RIS auf Ihrem Windows-2000-Server-Computer. Geschätzte Zeit: 20 bis 25 Minuten. 1. Melden Sie sich bei Ihrem Computer als Domänenadministrator an. 2. Wählen Sie im Startmenü EINSTELLUNGEN, dann SYSTEMSTEUERUNG. 3. Doppelklicken Sie in der Systemsteuerung auf SOFTWARE. 4. Wählen Sie in SOFTWARE WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN, um den Assistenten für Windows-2000-Komponenten zu öffnen. 5. Rollen Sie auf der Seite WINDOWS-KOMPONENTEN die Liste unter Komponenten abwärts, bis REMOTEINSTALLATIONSDIENSTE angezeigt wird. Markieren Sie diese und klicken Sie auf WEITER. 6. Wenn das Dialogfeld ERFORDERLICHE DATEIEN angezeigt wird, legen Sie die Windows-2000-Server-CD-ROM in das Laufwerk ein, geben Sie den Speicherort der Windows-2000-Server-Dateien an und klicken Sie auf OK. 7. Wenn das Dialogfeld FERTIGSTELLEN des Assistenten angezeigt wird, klicken Sie auf FERTIG STELLEN.
Lernzielkontrolle
8. Wenn Sie zum Neustart Ihres Computers aufgefordert werden, klicken Sie auf JA. 9.2
Konfiguration von RIS und Installation des ersten Image
In dieser Übung konfigurieren Sie Remoteinstallationsdienste und installieren das erste CD-basierte Image für Windows 2000 Professional. Geschätzte Zeit: 20 bis 25 Minuten. 1. Melden Sie sich bei Ihrem RIS-Server als Domänenadministrator an. 2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG. 3. Doppelklicken Sie in der SYSTEMSTEUERUNG auf SOFTWARE. Der Bildschirm WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN wird angezeigt. 4. Klicken Sie unterhalb von Setup-Dienste neben REMOTEINSTALLATIONSDIENSTE KONFIGURIEREN auf KONFIGURIEREN. 5. Klicken Sie beim Start des Assistenten zur Installation der Remoteinstallationsdienste auf WEITER, um den Einführungsbildschirm zu übergehen. 6. Wenn Sie nach dem Speicherort Ihres Installationsordners gefragt werden, stellen Sie sicher, dass der Standardpfad D:\REMOTE-INSTALL (bzw. der entsprechende Pfad mit dem angezeigten Laufwerkbuchstaben) auf eine NTFSPartition verweist, die nicht die Systempartition ist. Wenn Sie einen anderen Speicherort festlegen möchten, tun Sie dies. Klicken Sie auf WEITER, um fortzufahren. 7. Wenn das Dialogfeld ANFANGSEINSTELLUNGEN angezeigt wird, deaktivieren Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN, und klicken Sie auf WEITER. 8. Legen Sie die Windows-2000-Professional-CD in das Laufwerk ein. Wenn das Fenster Windows-2000-Professional-CD angezeigt wird, schließen Sie es. 9. Wen Sie nach dem Speicherort der Windows 2000 Professional-Dateien gefragt werden, geben Sie Laufwerk:\i386 ein, wobei Laufwerk der Buchstabe für Ihr CD-ROM-Laufwerk ist (Beispiel: e:\i386). Klicken Sie auf WEITER, um fortzufahren. 10. Wenn Sie nach dem Ordner gefragt werden, in dem das erste CD-basierte Image von Windows 2000 Professional gespeichert werden soll, behalten Sie den Standardwert WIN2000.PRO bei und klicken Sie auf WEITER.
767
768
Kapitel 9
Windows 2000 und Remote- installationsdienste
11. Wenn Sie zur Eingabe eines angezeigten Namens und einer Beschreibung für das Image aufgefordert werden, geben Sie diese ein, um das Standardimage zu identifizieren, oder behalten Sie den vordefinierten Text bei, und klicken Sie auf WEITER. 12. Wenn das Dialogfeld EINSTELLUNGEN ÜBERPRÜFEN angezeigt wird, stellen Sie sicher, dass die Einstellungen korrekt sind, und klicken Sie dann auf FERTIG STELLEN. 13. Der Assistent zur Installation der Remoteinstallationsdienste erstellt nun den gemeinsamen RIS-Ordner, kopiert die von RIS benötigten Dateien sowie die Windows-2000-Professional-Dateien in den Image-Ordner, erstellt eine Antwortdatei für das Image, konfiguriert RIS, aktualisiert die Registrierung, erstellt einen SIS-Datenträger und startet den Dienst RIS. 14. Beenden Sie SOFTWARE 15. Schließen Sie SYSTEMSTEUERUNG. 9.3
Absicherung des Image und Gewährung des Rechts zur Erstellung eines Computerkontos in der OU Forschung
In dieser Übung konfigurieren Sie RIS-Serveroptionen so, dass das während der Bereitstellung von Windows 2000 Professional erstellte Computerkonto in der OU FORSCHUNG (d.h. in derselben OU wie das Benutzerkonto) eingerichtet wird. Anschließend werden Sie der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER die Berechtigungen zur Erstellung des Computerkontos zuordnen. Schließlich werden Sie der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER die Berechtigungen zum Zugriff auf die Antwortdatei für das Image zuordnen und diese aus der Gruppe JEDER entfernen, sodass nur Mitglieder dieser Sicherheitsgruppe das Image installieren können. Geschätzte Zeit: 20 bis 25 Minuten. Führen Sie folgende Schritte aus, um RIS so zu konfigurieren, dass das Computerkonto in der OU Forschung erstellt wird: 1. Melden Sie sich bei Ihrem RIS-Server als Domänenadministrator an. 2. Wählen Sie im Startmenü VERWALTUNG, dann ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 3. Suchen Sie Ihren RIS-Server in der MMC-Konsole, klicken Sie mit der rechten Maustaste darauf, und wählen Sie EIGENSCHAFTEN. 4. Klicken Sie im Dialogfeld EIGENSCHAFTEN des Computers auf das Register REMOTEINSTALLATION.
Lernzielkontrolle
5. Klicken Sie auf der Registerkarte REMOTEINSTALLATION auf ERWEITERTE EINSTELLUNGEN. 6. Aktivieren Sie im Dialogfeld EIGENSCHAFTEN FÜR REMOTEINSTALLATIONSDIENSTE auf der Registerkarte NEUE CLIENTS im Bereich DAS CLIENTCOMPUTERKONTO AN FOLGENDER STELLE IM VERZEICHNISDIENST ERSTELLEN die Option AN DERSELBEN STELLE WIE DIE BENUTZEREINSTELLUNGEN DES COMPUTERS, und klicken Sie auf OK. 7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den RIS-Server zu schließen. 8. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 9.4
Vergabe des Rechts zur Erstellung von Computerkonten in der OU Forschung an die Sicherheitsgruppe Eingeschränkte Entwickler
1. Melden Sie sich bei Ihrem RIS-Server als Domänenadministrator an. 2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. 3. Suchen Sie die OU Forschung, klicken Sie mit der rechten Maustaste darauf, und wählen Sie OBJEKTVERWALTUNG ZUWEISEN. 4. Klicken Sie beim Start des Assistenten für die Zuweisung der Objektverwaltung auf WEITER. 5. Klicken Sie im Bildschirm BENUTZER UND GRUPPEN auf HINZUFÜGEN, markieren Sie in der Liste die Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER, klicken Sie auf HINZUFÜGEN, dann auf OK. Sie kehren zum Bildschirm BENUTZER UND GRUPPEN zurück. Klicken Sie auf WEITER. 6. Aktivieren Sie die Option BENUTZERDEFINIERTE AUFGABEN ZUM ZUWEISEN ERSTELLEN und klicken Sie auf WEITER. 7. Aktivieren Sie im Dialogfeld ACTIVE DIRECTORY-OBJEKTTYP die Option DIESEM ORDNER, BESTEHENDEN OBJEKTEN IN DIESEM ORDNER UND DEM ERSTELLEN NEUER OBJEKTE IN DIESEM ORDNER, und klicken Sie auf WEITER. 8. Stellen Sie sicher, dass im Bildschirm BERECHTIGUNGEN die Optionen ALLGEMEIN und ERSTELLEN/LÖSCHEN der Berechtigungen von bestimmten untergeordneten Objekten aktiviert sind. Rollen Sie das Dialogfeld BERECHTIGUNGEN abwärts, bis Sie »COMPUTER«-OBJEKTE ERSTELLEN finden, markieren Sie diese Option und klicken Sie dann auf WEITER. 9. Überprüfen Sie Ihre Einstellungen im Bildschirm FERTIGSTELLEN des Assistenten, und klicken Sie auf FERTIG STELLEN, um die Änderungen durchzuführen. 10. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
769
770
Kapitel 9
9.5
Windows 2000 und Remote- installationsdienste
Absicherung des Windows-2000-Professional-Image
1. Melden Sie sich bei Ihrem RIS-Server als Domänenadministrator an. 2. Wählen Sie im Startmenü PROGRAMME, ZUBEHÖR und dann WINDOWS EXPLORER. 3. Navigieren Sie mit Windows Explorer in Ihrem RIS-Ordner, bis Sie unter dem Ordner, der das Standardimage enthält, eine Datei namens RISTNDRD.SIF gefunden haben. Ein möglicher Speicherort dafür könnte D:\REMOTE-INSTALL\SETUP\ENGLISH\IMAGES\WIN2000.PRO\I386\TEMPLATES
sein, falls Sie das Image in einem Ordner namens und den RIS-Ordner RemoteInstall genannt haben.
WIN2000.PRO
gespeichert
4. Klicken Sie mit der rechten Maustaste auf RISTNDRD.SIF, und wählen Sie EIGENSCHAFTEN. 5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register SICHERHEITSEINSTELLUNGEN.
6. Deaktivieren Sie auf der Registerkarte die Option VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN, und klicken Sie im CHERHEITSEINSTELLUNGEN, das geöffnet wird, auf KOPIEREN.
Dialogfeld SI-
7. Entfernen Sie auf der Registerkarte SICHERHEITSEINSTELLUNGEN die Gruppe JEDER, und fügen Sie die Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER hinzu. Überprüfen Sie, ob die Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER die Berechtigungen LESEN und LESEN, AUSFÜHREN für die Datei besitzt. 8. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für die Datei zu schließen. 9. Beenden Sie WINDOWS EXPLORER. 9.6
Erstellung einer Remotestartdiskette (Optional)
Diese Übung muss durchgeführt werden, wenn Ihr Clientcomputer kein PXE-fähiges Boot-ROM aufweist. Wenn Ihr Clientcomputer dieses Merkmal aufweist, brauchen Sie keine Remotestartdiskette zu erstellen. Geschätzte Zeit: 20 bis 25 Minuten. 1. Melden Sie sich bei einem Windows-2000-Computer als Administrator an. 2. Wählen Sie AUSFÜHREN im Startmenü. 3. Geben Sie im Dialogfeld AUSFÜHREN Folgendes ein:
Lernzielkontrolle
\\\reminst\admin\i386\rbfg.exe
dabei ist der Name Ihres RIS-Servers. Klicken Sie auf OK. Damit wird die Windows-2000-Remotestart-Diskettenerstellung gestartet. 4. Klicken Sie auf ADAPTERLISTE, um eine Liste unterstützter Netzwerkkarten anzuzeigen und zu prüfen, ob Ihre Netzwerkkarte unterstützt wird. 5. Legen Sie eine leere, formatierte Diskette in Ihr Diskettenlaufwerk ein und klicken Sie auf Diskette erstellen, um die Remotestartdiskette zu erstellen. 9.7
Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste
In dieser Übung stellen Sie mit Hilfe von Remoteinstallationsdienste Windows 2000 bereit. Geschätzte Zeit: 20 bis 25 Minuten. 1. Wechseln Sie auf dem Clientcomputer in das BIOS Setup, und überprüfen Sie, ob die PXE-fähige Netzwerkkarte das erste Startgerät ist. Wenn Sie eine Remotestartdiskette verwenden, prüfen Sie, ob das Diskettenlaufwerk das erste Startgerät ist. 2. Falls Sie eine Remotestartdiskette verwenden, legen Sie diese in das Laufwerk ein. Starten Sie den Clientcomputer. 3. Drücken Sie auf einem PXE-fähigen Computer während der Startphase die Taste (F12). Drücken Sie bei Verwendung einer Remotestartdiskette (F12), wenn Sie dazu aufgefordert werden. 4. Wenn Sie dazu aufgefordert werden, drücken Sie erneut (F12), um den Assistenten für die Clientinstallation zu übertragen und zu starten. 5. Wenn Sie aufgefordert werden, sich anzumelden, tun Sie dies als Benutzer TimC mit dem Kennwort password. TimC ist ein Benutzer in der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER. Wenn Sie in der Sicherheitsgruppe einen Benutzer anderen Namens erstellt haben, melden Sie sich unter diesem Benutzernamen an. 6. Aktivieren Sie AUTOMATISCHE INSTALLATION in der Liste verfügbarer Installationsoptionen, um Windows 2000 Professional mit den Standardeinstellungen zu installieren. 7. Wenn Sie nach dem zu installierenden Image gefragt werden, wählen Sie dasjenige, für das Sie Berechtigungen definiert haben. Sie sollten nicht nach einem Image gefragt werden, weil in den vorangegangenen Übungen lediglich ein Image auf Ihrem RIS-Server installiert wurde. 8. Folgen Sie ggf. den Aufforderungen während der Installation.
771
772
Kapitel 9
Windows 2000 und Remote- installationsdienste
Wiederholungsfragen 1. Welche Arten von Images können mit RIS bereitgestellt werden? 2. Welche Berechtigungen benötigt ein Benutzer zur Konfiguration eines Clientcomputers mit Hilfe von Remoteinstallationsdienste? 3. Welche Vorteile bietet die Vorkonfiguration von Clients für den Administrator? 4. Welcher RIS-Server bedient standardmäßig die Anforderung eines Clients, ein Betriebssystem auf dem Clientcomputer zu installieren? 5. Sie müssen Clientcomputer nach der MAC-Adresse des Netzwerkadapters mit vorangestelltem PC- benennen. Wie kann dies erreicht werden? 6. Sie müssen sicherstellen, dass auch gemeinsame Netzwerkdrucker auf einem Clientcomputer installiert werden, der mittels RIS bereitgestellt wird. Wie schaffen Sie das? 7. Sie möchten Windows 2000 Professional auf neuen Computern bereitstellen, die in Ihrer Buchhaltungsabteilung verwendet werden sollen. Das Management hat entschieden, dass auf keinem Computer in der Organisation Spiele installiert werden dürfen. Wie können Sie RIS konfigurieren, damit auf diesen neuen Computern keine Spiele installiert werden? 8. Ihr Unternehmen hat vor kurzem 100 neue Notebooks für das Verkaufspersonal angeschafft. Sie möchten die Bereitstellung von Windows 2000 Professional mit Microsoft Office 2000 und mehreren hausintern entwickelten Anwendungen auf diesen Notebooks vereinfachen. Wie hilft Ihnen RIS, die Bereitstellung zu vereinfachen? 9. Welche Taste müssen Sie bei einem Clientcomputer drücken, bevor mit der Bereitstellung von Windows 2000 Professional begonnen werden kann? 10. Welche Aktionen werden bei der Konfiguration von Remoteinstallationsdienste vom Assistenten zur Installation der Remoteinstallationsdienste erledigt? Prüfungsfragen 1. Sie wurden vor kurzem von SoftLogic Inc. eingestellt, um bei der Konfiguration und Bereitstellung von Clientcomputern mittels RIS zu helfen. Es wurde beschlossen, bei allen Computern im Netzwerk die 1-Gbyte-Festplatten durch neue 10-Gbyte-Festplatten zu ersetzen und ein CD-ROM-Laufwerk zu installieren. Die vorhandenen Computer enthalten Pentium-166-CPUs, 32 Mbyte RAM und ISA-Netzwerkkarten mit 10 Mb/s.
Lernzielkontrolle
Welche zusätzlichen Upgrades für die Clientcomputer würden Sie mindestens empfehlen, um den Erfolg einer Bereitstellung auf RIS-Basis zu gewährleisten? (Wählen Sie zwei Antworten aus.) A. CPU Pentium 233 B. 128 Mbyte RAM C. ISA-Netzwerkkarte mit 100 Mb/s D. PCI-Netzwerkkarte mit 10 Mb/s E. 64 Mbyte RAM 2. Welche Dienste müssen ausgeführt werden, bevor RIS installiert und konfiguriert werden kann? (Wählen Sie alle korrekten Antworten aus.) A. WINS B. DHCP C. DNS D. Trivial File Transfer Protocol E. Active Directory F. Single Instance Storage 3. Sie haben beschlossen, eine RIS-basierte Bereitstellung für 50 Computer in der Marketingabteilung zu verwenden. Sie haben verifiziert, dass alle Computer vor kurzem angeschafft wurden und ein PXE-fähiges Boot-ROM aufweisen. Sie erstellen und konfigurieren das Image auf dem RIS-Server und ordnen die richtigen Berechtigungen zu. Sie starten den Clientcomputer und drücken (F12), um eine RIS-Installation einzuleiten; es sieht jedoch so aus, als ob Sie keine Verbindung mit dem RIS-Server bekommen. Sie verifizieren, dass der DHCP-Server, der RIS-Server und der DNS-Server betriebsbereit sind, und dass im Netzwerk ein Domänencontroller vorhanden ist. Welches ist die wahrscheinlichste Ursache des Problems? (Wählen Sie die beste Antwort.) A. Der BINLSVC wurde auf dem RIS-Server nicht gestartet. B. Das PXE-Boot-ROM ist älter als Version .99c. C. Das PXE-Boot-ROM ist älter als Version .99i. D. Die Netzwerkkarte enthält kein PXE-Boot-ROM. E. Das Netzwerkkabel ist beim Clientcomputer nicht eingesteckt.
773
774
Kapitel 9
Windows 2000 und Remote- installationsdienste
4. Welche Betriebssysteme können mit RIS bereitgestellt werden? (Wählen Sie alle korrekten Antworten aus.) A. Windows 2000 Server B. Windows NT 4.0 Workstation C. Windows 98 D. Windows 2000 Professional E. Windows 2000 Advanced Server F. Windows Millennium 5. Welche Vorteile bietet die Vorkonfiguration von Clientcomputern? (Wählen Sie alle korrekten Antworten aus.) A. Ein vorkonfigurierter Computer kann nur vom IT-Personal bereitgestellt werden. B. Ein Clientcomputer kann für die Kommunikation mit einem bestimmten RIS-Server konfiguriert werden. C. Wenn der RIS-Server ausfällt, wird durch Vorkonfiguration automatisch ein anderer RIS-Server zur Fortsetzung der Installation ausgewählt. D. Die Last kann zwischen RIS-Servern verteilt werden. E. Bei der Vorkonfiguration wird ein spezielles Image für den Computer erstellt. 6. Sie müssen 200 Computer mittels Remoteinstallationsdienste bereitstellen. Die Computer weisen folgende Konfigurationen auf: 씰
50 Notebooks mit Pentium II 300 MHz, PC-Karten-Netzwerkadapter, 10Gbyte-Festplatte und 128 Mbyte RAM
씰
20 Desktops mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-Gbyte-Festplatte und 64 Mbyte RAM
씰
30 Desktops mit Pentium III 800 MHz, PXE-fähiger Netzwerkkarte, 20Gbyte-Festplatte und 32 Mbyte RAM
씰
40 Desktops mit Doppelprozessor Pentium Pro 200MHz, PCI-Netzwerkkarte, 4-Gbyte-Festplatte und 256 Mbyte RAM
Lernzielkontrolle
씰
60 Notebooks mit AMD K6-3 500 MHz, ohne Netzwerkkarte, 8-GbyteFestplatte und 64 Mbyte RAM, sowie eine Dockingstation mit PCI-Netzwerkkarte und Soundkarte
Welche Computer können mit RIS bereitgestellt werden? (Wählen Sie alle korrekten Antworten aus) A. 50 Notebooks mit Pentium II 300MHz, PC-Karten-Netzwerkadapter, 100Gbyte-Festplatte und 128 Mbyte RAM B. 20 Desktops mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-Gbyte-Festplatte und 64 Mbyte RAM C. 30 Desktops mit Pentium III 800 MHz, PXE-fähiger Netzwerkkarte, 20Gbyte-Festplatte und 32 Mbyte RAM D. 40 Desktops mit Doppelprozessor Pentium Pro 200 MHz, PCI-Netzwerkkarte, 4-Gbyte-Festplatte und 256 Mbyte RAM E. 60 Notebooks mit AMD K6-3 500 MHz, ohne Netzwerkkarte, 8-GbyteFestplatte und 64 Mbyte RAM, sowie eine Dockingstation mit PCI-Netzwerkkarte und Soundkarte 7. Welches Programm bzw. welche Technologie von Windows 2000 würden Sie zur Vorkonfiguration von Clientcomputern verwenden? (Wählen Sie die beste Antwort.) A. Assistent für die Installation von Remoteinstallationsdienste B. Active Directory-Benutzer und -Computer C. Gruppenrichtlinien D. Assistent für den Installations-Manager E. Assistent für die Remoteinstallationsvorbereitung 8. Welche Vorteile hat die Verwendung eines RIPrep-Image im Vergleich zu einem CD-basierten Image? (Wählen Sie alle korrekten Antworten aus.) A. RIPrep-Images können neben dem Betriebssystem auch Anwendungen enthalten. B. RIPrep-Images können auf Computern mit einer anderen HAL als der des Quellcomputers bereitgestellt werden. C. Mit RIPrep-Images wird eine vollständige Betriebssysteminstallation durchgeführt, sodass der Benutzer alle Einstellungen festlegen kann.
775
776
Kapitel 9
Windows 2000 und Remote- installationsdienste
D. RIPrep-Images können leicht aktualisiert werden, indem nur geänderte Dateien in den Image-Ordner kopiert werden. E. RIPrep-Images sind schneller zu installieren als CD-basierte Images. 9. Welche Dienste werden von RIS installiert und während der Softwarebereitstellung verwendet? (Wählen Sie drei korrekte Antworten aus.) A. Single Instance Storage-Dienst B. DHCP C. DNS D. Trivial File Transfer Protocol E. Startdienst-Manager 10. Sie sind als Domänenadministrator in Ihrer Organisation für eine Windows2000-Active-Directory-Domäne verantwortlich. In Kürze erhalten Sie 200 neue Desktop-Computer zum Austausch vorhandener Systeme. Alle neuen Computer sind mit einer PXE-fähigen Netzwerkkarte, 10-Gbyte-Festplatte, CD-ROM-Laufwerk und 128 Mbyte Speicher ausgestattet. Die neuen Computer sollen in vier Bereichen eingesetzt werden: Finanzen, Verkauf, IT und Management. Jeder Bereich ist in Active Directory durch eine eigene OU vertreten. Die IT-Abteilung ist unterbesetzt und schafft ihr Arbeitspensum nicht. Sie müssen Folgendes gewährleisten: 씰
Auf allen Computern muss Windows 2000 Professional installiert werden.
씰
Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwendung der Firma installiert werden.
씰
Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert werden.
씰
Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Domäne aufnehmen.
씰
Die Bereitstellung muss so schnell wie möglich über die Bühne gehen.
씰
Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen beanspruchen.
Lernzielkontrolle
Sie beschließen, zur Erfüllung der Anforderungen folgendermaßen vorzugehen: 씰
Installation von Remoteinstallationsdienste auf einem Windows-2000Mitgliedsserver und Autorisierung des Servers in Active Directory.
씰
Erstellung eines CD-basierten Image für Windows 2000 Professional auf dem RIS-Server.
씰
Umpacken der Firmenanwendung für die Kontoführung mit Hilfe eines Programms von einem Drittanbieter.
씰
Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das so gefiltert wird, dass die Firmensoftware für die Kontoführung den Mitgliedern der globalen Sicherheitsgruppen Management, Verkauf und Finanz zugewiesen wird.
씰
IT-Benutzer, die Mitglied der Gruppe Domänen-Admins sind, sollen RIS zur Installation von Windows 2000 Professional auf den neuen Computern verwenden, indem sie von der Netzwerkkarte starten.
씰
Das Softwarebereitstellungspersonal der IT-Abteilung wird angewiesen, Microsoft Office 2000 manuell auf allen Clientcomputern zu installieren.
Welche der folgenden Anforderungen wurden durch Ihre Lösung erfüllt? (Wählen Sie alle korrekten Antworten aus.) A. Auf allen Computern muss Windows 2000 Professional installiert werden. B. Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwendung der Firma installiert werden. C. Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert werden. D. Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Domäne aufnehmen. E. Die Bereitstellung muss so schnell wie möglich über die Bühne gehen. F. Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen beanspruchen. 11. Sie sind Domänenadministrator in einem geheimen Organisationsbereich der kanadischen Bundesregierung. Ihre Abteilung hat soeben eine Lieferung von 500 neuen Computern erhalten, auf denen Windows 2000 Professional installiert werden muss. Alle diese Computer sind ausgestattet mit 64 Mbyte RAM, 13Gbyte-Festplatte, CD-ROM-Laufwerk und einer PXE-fähigen Netzwerkkarte.
777
778
Kapitel 9
Windows 2000 und Remote- installationsdienste
Um den Aufwand für die Bereitstellung von Windows 2000 Professional auf diesen Computern zu minimieren, entscheiden Sie sich für den Einsatz von RIS. Sie konfigurieren den RIS-Server ordnungsgemäß und autorisieren ihn in Active Directory. Die Benutzer beginnen ordnungsgemäß mit der Installation, und alles scheint reibungslos zu laufen, bis ein Benutzer Sie anruft und sagt, dass er die Eingabeaufforderungen auf dem Bildschirm nicht versteht. Sie haken nach und stellen fest, dass dieser Benutzer mit französischen Eingabeaufforderungen besser zurechtkäme als mit englischen, die von RIS standardmäßig angezeigt werden. Ihr Chef erinnert Sie außerdem daran, dass alle Benutzeroberflächen bei kanadischen Regierungsstellen zweisprachig sein müssen. Wie ist diese Anforderung am einfachsten zu erfüllen? (Wählen Sie die beste Antwort aus.) A. Installation von RIS auf einem zweiten Server, der mit der Version Französisch (Kanada) von Windows 2000 Server konfiguriert ist; Vorkonfiguration aller französischen Clientcomputer in Active Directory, sodass gewährleistet ist, dass sie sich nur mit dem neuen Server verbinden, und schließlich Start der Bereitstellung durch die Benutzer. B. Kopieren von MULTILNG.OSC nach WELCOME.OSC im Ordner OSChooser Ihres vorhandenen RIS-Servers. C. Kopieren von WELCOME.OSC nach MULTILNG.OSC im Ordner OSChooser Ihres vorhandenen RIS-Servers. D. Bereitstellung einer Remotestartdiskette mit französischen Menüs für jeden frankofonen Benutzer. E. Erstellung eines neuen CD-basierten Image auf dem Server, der die Version Französisch (Kanada) von Windows 2000 Professional verwendet. 12. Sie sind als Domänenadministrator in Ihrer Organisation für eine Windows2000-Active-Directory-Domäne verantwortlich. In Kürze erhalten Sie 200 neue Desktop-Computer zum Austausch vorhandener Systeme. Alle neuen Computer sind mit einer PXE-fähigen Netzwerkkarte, 10-Gbyte-Festplatte, CD-ROM-Laufwerk und 128 Mbyte Speicher ausgestattet. Die neuen Computer sollen in vier Bereichen eingesetzt werden: Finanzen, Verkauf, IT und Management. Jeder Bereich ist in Active Directory durch eine eigene OU vertreten. Die IT-Abteilung ist unterbesetzt und schafft ihr Arbeitspensum nicht.
Lernzielkontrolle
Sie müssen Folgendes gewährleisten: 씰
Auf allen Computern muss Windows 2000 Professional installiert werden.
씰
Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwendung der Firma installiert werden.
씰
Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert werden.
씰
Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Domäne aufnehmen.
씰
Die Bereitstellung muss so schnell wie möglich über die Bühne gehen.
씰
Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen beanspruchen.
Sie beschließen, zur Erfüllung der Anforderungen folgendermaßen vorzugehen: 씰
Erstellung einer Datei WINNT.SIF mit dem Installations-Manager und Kopieren dieser Datei auf eine Diskette. Erstellung einer Kopie der Diskette für jeden IT-Benutzer, der zugleich Domänenadministrator ist.
씰
Kopieren der Microsoft-Office-2000-Distributionsdateien und der MSIDatei in eine Netzwerkfreigabe.
씰
Umpacken der Firmenanwendung für die Kontoführung mit Hilfe eines Programms von einem Drittanbieter.
씰
Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das so gefiltert wird, dass die Firmensoftware für die Kontoführung den Mitgliedern der globalen Sicherheitsgruppen Management, Verkauf und Finanzen zugewiesen wird.
씰
Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das Microsoft Office 2000 der Gruppe Authentifizierte Benutzer zuweist.
씰
IT-Benutzer, die Mitglied der Gruppe Domänen-Admins sind, sollen mit Hilfe einer Windows-2000-Professional-CD-ROM und der Diskette mit der Datei WINNT.SIF Windows 2000 Professional auf den neuen Computern installieren.
Welche der folgenden Anforderungen wurden von Ihrer Lösung erfüllt? (Wählen Sie alle korrekten Antworten aus.)
779
780
Kapitel 9
Windows 2000 und Remote- installationsdienste
A. Auf allen Computern muss Windows 2000 Professional installiert werden. B. Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwendung der Firma installiert werden. C. Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert werden. D. Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Domäne aufnehmen. E. Die Bereitstellung muss so schnell wie möglich über die Bühne gehen. F. Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen beanspruchen. 13. Welches Dienstprogramm kann zur Erstellung einer Remotestartdiskette verwendet werden? (Wählen Sie die beste Antwort aus.) A. RISETUP.EXE B. SYSPREP.EXE C. RBFG.EXE D. ACTIVE DIRECTORY-BENUTZER UND -COMPUTER E. RIPREP.EXE 14. Sie sind als Domänenadministrator in Ihrer Organisation für eine Windows2000-Active-Directory-Domäne verantwortlich. In Kürze erhalten Sie 200 neue Desktop-Computer zum Austausch vorhandener Systeme. Alle neuen Computer sind mit einer PXE-fähigen Netzwerkkarte, 10-Gbyte-Festplatte, CD-ROM-Laufwerk und 128 Mbyte Speicher ausgestattet. Die neuen Computer sollen in vier Bereichen eingesetzt werden: Finanzen, Verkauf, IT und Management. Jeder Bereich ist in Active Directory durch eine eigene OU vertreten. Die IT-Abteilung ist unterbesetzt und schafft ihr Arbeitspensum nicht. Sie müssen Folgendes gewährleisten: 씰
Auf allen Computern muss Windows 2000 Professional installiert werden.
씰
Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwendung der Firma installiert werden.
Lernzielkontrolle
씰
Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert werden.
씰
Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Domäne aufnehmen.
씰
Die Bereitstellung muss so schnell wie möglich über die Bühne gehen.
씰
Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen beanspruchen.
Sie beschließen, zur Erfüllung der Anforderungen folgendermaßen vorzugehen: 씰
Installation und Konfiguration einer RIS-Servers. Autorisierung desselben in Active Directory und Installation des ersten CD-basierten Image.
씰
Installation von Windows 2000 Professional und der Kontoführungsanwendung auf einem der neuen Computer.
씰
Erstellung eines RIPrep-Image des neuen Computers und Kopieren desselben in einen eigenen Ordner auf dem RIS-Server.
씰
Kopieren der Microsoft-Office-2000-Distributionsdateien und der MSIDatei in eine Netzwerkfreigabe.
씰
Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das Microsoft Office 2000 der Gruppe Authentifizierte Benutzer zuweist.
씰
Anweisung an Mitglieder der Gruppe Domänen-Admins, die neuen Clientcomputer von der PXE-fähigen Netzwerkkarte zu starten und das RIPrep-Image für die Computer von Finanzen, Verkauf und Management bereitzustellen.
씰
Anweisung an Mitglieder der Gruppe Domänen-Admins, die neuen Clientcomputer von der PXE-fähigen Netzwerkkarte zu starten und ein CD-basiertes Image zur Bereitstellung für alle anderen Computer zu verwenden.
Welche der folgenden Anforderungen wurden von Ihrer Lösung erfüllt? (Wählen Sie alle korrekten Antworten aus.) A. Auf allen Computern muss Windows 2000 Professional installiert werden. B. Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwendung der Firma installiert werden. C. Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert werden.
781
782
Kapitel 9
Windows 2000 und Remote- installationsdienste
D. Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Domäne aufnehmen. E. Die Bereitstellung muss so schnell wie möglich über die Bühne gehen. F. Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen beanspruchen. 15. Sie haben beschlossen, RIS einzusetzen, um Windows 2000 für 1750 neue Computer in Ihrer Organisation bereitzustellen. Um das Ganze zu beschleunigen, wurde entschieden, dass Mitglieder der Gruppe Domänen-Benutzer in ihrer eigenen Organisationseinheit Computerkonten einrichten dürfen. Sie konfigurieren RIS so, dass Computerkonten in der OU des Benutzers erstellt werden, der Windows 2000 installiert. Sie möchten gewährleisten, dass die unternehmensweiten Namensrichtlinien für neue Computer eingehalten werden. Wie ist dies am besten zu erreichen? (Wählen Sie die beste Antwort aus.) A. Vorkonfiguration aller Clientcomputer. B. Verhindern, dass Benutzer eine unterbrochene Installation neu starten. C. Entfernen der Berechtigung Lesen von der Antwortdatei für die OU. D. Verhindern, dass Benutzer Computerkonten erstellen. Antworten auf die Wiederholungsfragen 1. Sie können mit RIS CD-basierte Images und RIPrep-Images bereitstellen. Auf dem RIS-Server muss sich mindestens ein CD-basiertes Image befinden, bevor ein RIPrep-Image auf den Server kopiert werden kann. Siehe »Übersicht über Remoteinstallationsdienste«. 2. Der Benutzer benötigt die Berechtigung zum Erstellen von Computerobjekten in dem Active Directory-Container, in dem das Computerkonto erstellt werden soll. Wenn der Benutzer, der die Installation durchführt, diese Berechtigung nicht besitzt, schlägt die Installation fehl. Siehe »Durchführung einer Remoteinstallation« und »Installation und Konfiguration eines RIS-Servers«. 3. Bei der Vorkonfiguration von Clientcomputern kann der Administrator vor der Bereitstellung den Clientcomputer in Active Directory erstellen und festlegen, welcher RIS-Server als Quelle für die Images dienen soll, die dem Benutzer während der Bereitstellung angeboten werden. Durch Vorkonfiguration von Clients, zusammen mit einer RIS-Serverkonfiguration, die nur die Bedienung bekannter Clients zulässt, wird gewährleistet, dass RIS nicht zur
Lernzielkontrolle
Bereitstellung von Windows 2000 Professional für Computer verwendet werden kann, auf denen es nicht installiert werden soll. Siehe »Durchführung einer Remoteinstallation«. 4. Der RIS-Server, der eine Clientanforderung bedient, wurde dafür konfiguriert. Wenn der Client vorkonfiguriert und so konfiguriert ist, dass er ein Image von einem bestimmten RIS-Server erhält, dann antwortet dieser RISServer. Wenn der Client nicht vorkonfiguriert ist, antwortet jeder Server, der Anforderungen von unbekannten Clients bedienen darf, und startet die Installation, wenn sich ein Benutzer erfolgreich angemeldet hat. Im letzten Fall ist das wahrscheinlich der am nächsten beim Client liegende Server mit der geringsten Auslastung. Dies kann jedoch nicht zuverlässig vorher gesagt werden, weshalb die Vorkonfiguration empfohlen wird. Siehe »Installation und Konfiguration eines RIS-Servers«. 5. Um die Clients mit der MAC-Adresse und vorangestelltem »PC-« zu benennen, würden Sie in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER im Dialogfeld EIGENSCHAFTEN des Servers für Remoteinstallationsdienste benutzerdefinierte Namensoptionen konfigurieren. Für diese Namenskonvention würden Sie die Zeichenfolge PC-%MAC% eingeben. Siehe »Durchführung einer Remoteinstallation«. 6. Um zu gewährleisten, dass bei der Bereitstellung eines Betriebssystems mittels RIS auch Netzwerkdrucker installiert werden, erstellen Sie eine neue Antwortdatei, welche die Netzwerkdrucker bei den Einstellungen berücksichtigt, und verknüpfen Sie diese mit einem vorhandenen CD-basierten Image, oder ändern Sie die vorhandene Antwortdatei mit dem Assistenten für den Installations-Manager oder über den Editor so, dass die Drucker berücksichtigt werden. Siehe »Erstellung von Images für Remoteinstallationsdienste«. 7. Um zu gewährleisten, dass auf den neuen mittels RIS bereitgestellten Computern keine Spiele installiert werden, ändern Sie manuell die Antwortdatei für das bereitzustellende Image im Abschnitt Components wie folgt: [Components] freecell=off minesweeper=off pinball=off solitaire=off
Siehe »Erstellen von Images für Remoteinstallationsdienste«. 8. Diese Frage ist schwierig zu beantworten. Wenn die Notebooks einen PCKarten- oder PCMCIA-Netzwerkadapter aufweisen, können Sie nicht RIS verwenden, um ein RIPrep-Image bereitzustellen, das sowohl das Betriebssystem als auch Office 2000 enthält. Wenn es jedoch zu den Notebooks eine
783
784
Kapitel 9
Windows 2000 und Remote- installationsdienste
Dockingstation mit einer PCI-Netzwerkkarte gibt, die ein PXE-fähiges BootROM enthält oder von einer Remotestartdiskette unterstützt wird, könnten Sie RIS zur Bereitstellung des RIPrep-Image verwenden. Siehe »Durchführung einer Remoteinstallation«. 9. Sie müssen beim Start eines Clientcomputers (F12) drücken, um eine Verbindung mit dem RIS-Server herzustellen und eine RIS-Bereitstellung von Windows 2000 Professional auf dem Computer einzuleiten. Siehe »Durchführung einer Remoteinstallation«. 10. Bei der Konfiguration von RIS erstellt der Assistent zur Installation der Remoteinstallationsdienste den gemeinsamen RIS-Ordner, kopiert die von RIS benötigten Dateien sowie die Windows 2000 Professional-Dateien in den Image-Ordner, erstellt eine Antwortdatei für das Image, konfiguriert RIS, aktualisiert die Registrierung, erstellt einen Datenträger für Single Instance Store und startet die RIS-Dienste. Siehe »Installation und Konfiguration eines RIS-Servers«. Antworten auf Prüfungsfragen 1. D, E. Damit eine RIS-Bereitstellung erfolgreich ist, müssen die Computer mindestens 64 Mbyte RAM (die Minimalvoraussetzung für Windows 2000 Professional) und eine Netzwerkkarte (am besten mit einem PXE-fähigen Boot-ROM) enthalten. Mehr Speicher wäre hilfreich, aber Sie wurden gebeten, die minimalen zusätzlichen Anforderungen anzugeben. Deshalb ist auch eine schnellere CPU nicht die richtige Antwort. Siehe »Durchführung einer Remoteinstallation«. 2. B, C. E. Ein DHCP-Server, ein DNS-Server und ein Active Directory-Domänencontroller müssen im Netzwerk vorhanden sein, damit Sie einen RIS-Server installieren und konfigurieren können. Siehe »Installation und Konfiguration eines RIS-Servers«. 3. B. Es wurden zwar alle Anforderungen auf der Serverseite erfüllt, und die Karte enthält ein PXE-Boot-ROM, aber dessen Version ist wahrscheinlich älter als Version .99.c, die für die Funktionsfähigkeit von RIS vorausgesetzt wird. Dass die Netzwerkkarte tatsächlich ein PXE-Boot-ROM enthält, konnten Sie daran erkennen, dass in der Frage darauf hingewiesen wurde, dass der Bereitstellungsprozess durch Drücken der (F12)-Taste während des Startvorgangs auf dem Computer begonnen werden kann. Aus diesem Grund ist D in diesem Fall nicht korrekt. Siehe »Fehlersuche bei Remoteinstallationsdienste«. 4. D. RIS kann nur zur Bereitstellung von Windows 2000 Professional verwendet werden. Keines der anderen Betriebssysteme kann mit RIS bereitgestellt werden. Windows Millennium war noch nicht freigegeben, als dieses Buch verfasst wurde, es könnte daher sein, dass diese Antwort richtig ist, wenn Sie
Lernzielkontrolle
dieses Buch lesen (allerdings war zur Zeit der Drucklegung noch nicht bekannt, ob Windows Millennium von RIS unterstützt wird). Siehe »Übersicht über Remoteinstallationsdienste«. 5. B, D. Bei der Vorkonfiguration kann der Clientcomputer einem bestimmten RIS-Server zugeordnet werden. Wenn Sie alle Clientcomputer vorkonfigurieren, können Sie die Last auf mehrere RIS-Server verteilen, sodass gewährleistet ist, dass kein Server überlastet wird. Siehe »Durchführung einer Remoteinstallation«. 6. B, C, D, E. Die einzigen Computer , die nicht mit RIS bereitgestellt werden können, sind die Notebooks mit PC-Karten-Netzwerkadaptern. Da alle anderen Computer entweder die Minimalvoraussetzungen für Windows 2000 Professional erfüllen oder eine PCI-Netzwerkkarte mit PXE-Boot-ROM bzw. eine mit einer Remotestartdiskette verwendbare Netzwerkkarte enthalten, können diese mit RIS bereitgestellt werden. Siehe »Durchführung einer Remoteinstallation«. 7. B. Zur Vorkonfiguration von Clientcomputern würden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER verwenden, um durch Angabe der GUID das Computerkonto in der passenden OU zu erstellen. Siehe »Durchführung einer Remoteinstallation«. 8. A, E. Ein RIPrep-Image kann sowohl Anwendungen als auch das Betriebssystem enthalten, weil es ein Abbild des Quellcomputers ist, der zur Erstellung des RIPrep-Image verwendet wurde. Außerdem können RIPrep-Images u.U. kleiner sein als ein CD-basiertes Image und schneller bereitgestellt werden, weil das gesamte Image auf den Clientcomputer kopiert wird, statt den normalen Installationsvorgang von Windows 2000 Professional zu durchlaufen, wie es beim CD-basierten Image der Fall ist. Darüber hinaus müssen Sie beim CD-basierten Image die Anwendungen mittels Gruppenrichtlinien oder manuell installieren, was noch mehr Zeit kostet. Siehe »Erstellung von Images für Remoteinstallationsdienste«. 9. A, D, E. Nach der Ausführung des Assistenten zur Installation der Remoteinstallationsdienste sind Single Instance Storage, Trivial File Transfer Protocol und Boot Service Manager-Dienst installiert. DHCP und DNS sind Voraussetzung für die Installation von RIS auf einem Server im Netzwerk. Siehe »Installation und Konfiguration eines RIS-Servers«. 10. A, B, C, D. Die von Ihnen gewählte Lösung gewährleistet, dass Windows 2000 auf allen Clientcomputern installiert wird, und dass nur die Gruppe Domänen-Admins Computerkonten in der Domäne erstellen kann. Dies liegt daran, dass Sie ein CD-basiertes Image erstellt haben, als Sie den RIS-Server installiert und ordnungsgemäß autorisiert haben. Außerdem haben Sie die Domänen-Admins angewiesen, die Aufgabe zu erledigen. Durch die Erstellung eines GPO, mit dem die umgepackte Kontoführungsanwendung Benut-
785
786
Kapitel 9
Windows 2000 und Remote- installationsdienste
zern in geeigneten Gruppen zugewiesen wird, wird sie bereitgestellt, sobald sich ein Benutzer anmeldet und auf ein Symbol für das Kontoführungsprogramm klickt. Die manuelle Installation von Office 2000 gewährleistet außerdem, dass es allen Benutzern auf den neuen Computern zur Verfügung steht. Dies ist jedoch nicht die einfachste und schnellste Möglichkeit zur Erfüllung dieser Anforderungen (Microsoft stellt Fragen dieser Art). Siehe »Installation und Konfiguration eines RIS-Servers«. 11. B. Die einfachste Möglichkeit, die Menüschnittstelle mehrsprachig zu machen, ist das Überschreiben der Datei WELCOME.OSC im Ordner OSChooser mit der Datei MULTILNG.OSC. Die Standarddatei, die dem Benutzer angezeigt wird, ist WELCOME.OSC, und diese liegt standardmäßig nur auf Englisch vor. MULTILNG.OSC enthält Optionen zur Auswahl einer Sprache usw. Beachten Sie außerdem, dass Antwortdateien in der passenden Sprache erstellt werden müssen, weil den Images selbst eine Sprache zugeordnet ist. Siehe »Installation und Konfiguration eines RIS-Servers«. 12. A, B, C, D. Die Antwort auf diese Frage ist ähnlich wie bei Frage 10. Mit der gewählten Methode wird Windows 2000 Professional auf allen Clientcomputern installiert, aber dies müssen die Domänen-Admins für alle Computer manuell erledigen. Die Erstellung eines Pakets für die Kontoführungsanwendung und die Übernahme der MSI-Datei für Microsoft Office gewährleisten ebenfalls, dass diese Anwendungen über die erstellten GPOs auf allen Computern installiert werden. Dies ist aber weder die einfachste noch die ressourcenschonendste Möglichkeit. Siehe »Erstellung von Images für Remoteinstallationsdienste« und »Installation und Konfiguration eines RISServers«. 13. C. Der Remote Boot Floppy Generator (RBFG) ist das Tool zur Erstellung einer Remotestartdiskette. Manchmal, wenn auch nicht sehr oft, können Fragen in Microsoft-Prüfungen so einfach sein. Siehe »Durchführung einer Remoteinstallation«. 14. A, B, C, D, E, F. Durch die Verwendung eines RIPrep-Image von einem Quellcomputer mit der Kontoführungsanwendung und Windows 2000 Professional haben Sie zwei Fliegen mit einer Klappe erwischt. Weil Microsoft Office für alle Benutzer installiert werden soll, wird durch ein GPO, in dem das Paket der Gruppe Authentifizierte Benutzer zugewiesen wird, gewährleistet, dass dieses Produkt installiert wird, wenn sich ein Benutzer zum ersten Mal anmeldet und das Programm verwenden möchte. RIS erleichtert auch die Bereitstellung, wodurch der benötigte Umfang an IT-Ressourcen für diese Aufgabe minimiert wird. Siehe »Erstellung von Images für Remoteinstallationsdienste« und »Durchführung einer Remoteinstallation«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
Lernzielkontrolle
15. B. Die beste Möglichkeit, zu gewährleisten, dass Benutzer den Namen nicht während der RIS-Bereitstellung ändern können, ist es, die Installation jedes Mal von vorne zu beginnen, weil eine unterbrochene Installation den Benutzer zu weiteren Eingaben auffordern könnte. Sie müssen Benutzern die Erstellung von Computerkonten gestatten, weil zu viele Computer vorzukonfigurieren sind. Das Entfernen der Berechtigung Lesen von der Antwortdatei hätte zur Folge, dass Benutzer die Datei nicht mehr verwenden und die Bereitstellung nicht mehr durchführen könnten. Siehe »Fehlersuche bei Remoteinstallationsdienste« und »Durchführung einer Remoteinstallation«. Weiterführende Literaturhinweise und Quellen Windows 2000 Resource Kit. The Deployment Planning Guide. Microsoft Press, 2000. Automated Deployment options: An Overview White Paper auf der MicrosoftWebsite unter http://www.microsoft.com/windows2000/library/planning/client/ deployops.asp. Windows 2000 Professional Automated Deployment Options: An Introduction auf der Microsoft-Website unter http://www.microsoft.com/windows2000/ library/planning/client/autodeploy.asp. Automating the Deployment of Windows 2000 Professional and Office 2000 auf der Microsoft-Website unter http://www.microsoft.com/windows2000/ library/planning/incremental/sysprep.asp. Desktop Deployment Solutions from Third-Party Companies auf der Microsoft-Website unter http://www.microsoft.com/windows2000/guide/server/partners/DesktopSolutions.asp.
787
Wiederholungsteil Teil 10. Gesamtzusammenfassung 11. Tipps zur Prüfungsvorbereitung
2
10
Gesamtzusammenfassung
Nun, da Sie das Buch gelesen, die Übungen durchgearbeitet und so viel praktische Erfahrung mit der Verwaltung von Active Directory gesammelt haben, wie Sie konnten, sind Sie reif für die Prüfung. Dieser letzte Teil ist als »letzter Happen auf dem Parkplatz« gedacht, bevor Sie in die Prüfung gehen. Sie können das ganze Buch nicht in einer Stunde durchlesen, wohl aber diesen Abschnitt.
Dieser Abschnitt ist nach Lerzielkategorien geordnet und gibt Ihnen nicht nur eine Zusammenfassung, sondern wiederholt die wichtigsten Punkte aus jedem Kapitel. Denken Sie daran, dies ist als Wiederholung von Konzepten gedacht und als Gedächtnisstütze für Sie, um sich die vielen Einzelheiten merken zu können, die Sie in der Prüfung parat haben müssen. Wenn Sie diese Informationen und die Konzepte, die dahinterstehen, im Gedächtnis haben, ist die Prüfung für Sie vermutlich ein Klacks.
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory Beim Durcharbeiten dieses Abschnitts ist es unerlässlich, dass Sie sich die Zwecke der unterschiedlichen Komponenten von Active Directory einprägen. Sie müssen von jeder Komponente wissen, was sie ist, wo sie definiert wird und vor allem, warum Sie sie verwenden würden. Die Prüfung beruht überwiegend auf Szenarien aus der realen Welt, und insofern müssen Sie versuchen, sich vorzustellen, wo Sie die Komponenten von Active Directory in der Realität einsetzen würden. Die beiden Hauptbereiche dieser Zielsetzung gliedern sich in viele Teile.
792
Kapitel 10
10.1.1
Gesamt- zusammenfassung
Installation, Konfiguration und Fehlersuche bei Komponenten von Active Directory
Microsoft testet Ihr Verständnis der Voraussetzungen, der Anwendung und der Installation der verschiedenen Teile von Active Directory. Es gibt eine Anzahl von Unterpunkten in diesem Abschnitt, aber diese lassen sich alle im Wesentlichen diesen drei Punkten zuordnen. Installation von Active Directory Vor der Installation von Active Directory müssen u.a. folgende Dinge berücksichtigt werden: 씰
Das System muss die Windows-2000-Minimalvoraussetzungen für die Installation erfüllen: 64 Mbyte RAM, 1,2 Gbyte freier Speicherplatz und 166MHz-Prozessor.
씰
Sie benötigen einen DNS-Server, der SRV-Datensätze unterstützt.
씰
Wenn der DNS-Server keine dynamische Aktualisierung unterstützt, müssen Sie die Einträge in NETLOGON.DNS hinzufügen, damit gewährleistet ist, dass die Dienste gefunden werden.
씰
Sie können die Heraufstufung mit dem Befehl DCPROMO oder im Assistenten für die Konfiguration des Servers starten.
씰
Sie sollten den Domänennamen und alle anderen Konfigurationsinformationen vorab zusammengestellt haben.
씰
Beim Erstellen des ersten Domänencontrollers erstellen Sie einen neuen Domänencontroller in einer neuen Stammdomäne in einer neuen Gesamtstruktur. An dieser Stelle ist der einzelne Domänencontroller die Gesamtstruktur.
10.1.2
Erstellen von Standorten
Zu den Dingen, die bei der Erstellung von Standorten zu berücksichtigen sind, gehören folgende: 씰
Das Wichtigste, was Sie sich zu Standorten merken sollten, ist, dass sie die Replikation innerhalb der Domäne steuern.
씰
Standorte gehören zum physischen Netzwerk, nicht zur logischen Struktur.
씰
Jeder Standort sollte einen Domänencontroller und einen Server für den globalen Katalog enthalten.
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory
793
씰
Clients suchen immer zuerst im Standort nach einem Server, dann in der Domäne und zuletzt in der Gesamtstruktur. Die beste Antwortzeit wird erreicht, wenn die Server in den Standorten bei den Benutzern gehalten werden.
씰
Standorte werden über eine Standortverknüpfung mit allen anderen Standorten verbunden.
씰
Sie erstellen einen Standort in dem Programm ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Klicken Sie mit der rechten Maustaste auf die Sites und wählen Sie NEUER STANDORT. Sie müssen einen Standortnamen angeben und die als Standard zu verwendende Standortverbindung auswählen.
씰
Ein Standort ist definiert als Sammlung von IP-Subnetzen, die über ein Hochgeschwindigkeitsnetzwerk verbunden sind.
씰
Für Standorte können Gruppenrichtlinienobjekte definiert werden. Wenn ein Standort ein GPO enthält, sollte ein Domänencontroller für die Domäne, in welcher das GPO erstellt wurde, in den Standort aufgenommen werden.
10.1.3
Erstellen von Subnetzen
Beim Erstellen von Subnetzen sollte Folgendes berücksichtigt werden: 씰
Verwenden Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE zur Erstellung eines Subnetzes. Für ein System im Subnetz müssen Sie eine IP-Adresse und eine Subnetzmaske angeben.
씰
Ein Subnetz ist ein physisches Subnetz des Netzwerks.
씰
Subnetze werden zu Standorten hinzugefügt, und Sie müssen bei der Erstellung eines Subnetzes einen Standort angeben.
씰
In den Subnetzeigenschaften können Sie einen Pfad angeben, der von Active Directory benutzt werden soll.
씰
Beim Erstellen eines Subnetzes wird folgende Schreibweise verwendet: Subnetz-ID/Anzahl Bits zur Ermittlung der Subnetz-ID.
10.1.4
Erstellung von Standortverknüpfungen
Beim Erstellen von Standortverknüpfungen sollte Folgendes berücksichtigt werden: 씰
Eine Standortverknüpfung stellt eine physische Verbindung zwischen zwei Standorten dar. Diese ist ein permanenter oder temporärer Netzwerkpfad.
씰
Standortverknüpfungen werden in ACTIVE DIRECTORY-STANDORTE DIENSTE erstellt.
UND
-
794
Kapitel 10
Gesamt- zusammenfassung
씰
In den meisten Fällen werden Sie RPC über IP für Standortverknüpfungen einsetzen. Bei nichtpermanenten Verbindungen können Sie SMTP verwenden.
씰
SMTP-Standortverknüpfungen benötigen ein Zertifikat von einer Zertifizierungsstelle.
씰
Drei Variablen sind für einen Standort einstellbar: ZEITPLAN (zu welchen Zeiten die Verbindung verfügbar ist), REPLIZIEREN ALLE X MINUTEN (wie oft auf neue Informationen geprüft werden soll) und KOSTEN (Kosten, für die Entscheidung, welche Verbindung verwendet werden soll, wenn zwischen Standorten mehrere verfügbar sind).
씰
Sie können den Zeitplan für Standortverknüpfungen ignorieren, um eine Replikation zu erzwingen, indem Sie die Option ZEITPLAN IGNORIEREN unter Protokoll, IP- oder SMTP-Eigenschaften aktivieren.
씰
Sie können einen Server unter EIGENSCHAFTEN DES SERVERS als BridgeheadServer für einen Standort festlegen.
씰
Zwei Standorte können über mehrere Standortverknüpfungen gekoppelt sein. Die Verbindung mit geringeren Kosten wird zuerst verwendet. Der Standardwert für Kosten ist 100.
10.1.5
Erstellung von Standortverknüpfungsbrücken
Beim Erstellen von Standortverknüpfungsbrücken sollte Folgendes berücksichtigt werden: 씰
Standortverknüpfungsbrücken werden eingesetzt zur Verbindung von Standorten, die nicht physisch verbunden sind. Dazu wird ein Pfad über einen Zwischenstandort eingerichtet.
씰
Standortverknüpfungsbrücken haben keinerlei Nebenwirkungen, es sei denn, Sie deaktivieren die Option AUTOMATISCHE ÜBERBRÜCKUNG unter EIGENSCHAFTEN FÜR DAS PROTOKOLL. Die automatische Überbrückung wird in der Prüfung als transitive Standortverknüpfung bezeichnet.
씰
Mehrere Standortverknüpfungen können sich an einer Standortverknüpfungsbrücke beteiligen.
씰
Standortverknüpfungsbrücken werden in ACTIVE DIRECTORY-STANDORTE -DIENSTE erstellt.
UND
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory
10.1.6
Erstellung von Verbindungsobjekten
Beim Erstellen von Verbindungsobjekten sollte Folgendes berücksichtigt werden: 씰
Der Knowledge-Konsistenzprüfer (Knowledge Consistency Checker, KCC) erstellt normalerweise Verbindungen.
씰
Verbindungsobjekte repräsentieren eine Verbindung oder Zuordnung zwischen zwei Servern.
씰
Innerhalb eines Standorts erstellt der KCC jeweils eine Verknüpfung zwischen jedem Server und mindestens zwei anderen Servern.
씰
Falls transitive Standortverknüpfungen deaktiviert sind, erstellt KCC mittels Standortverknüpfungen und Standortverknüpfungsbrücken auch die Verbindungen zwischen Servern in unterschiedlichen Standorten.
씰
Sie können Verbindungen manuell erstellen, aber KCC entfernt oder aktualisiert solche Verbindungen auch dann nicht, wenn später ein besserer Pfad verfügbar werden sollte.
씰
Verbindungsobjekte befinden sich im Container NTDS Settings für jeden Server.
10.1.7
Erstellen von Servern für den globalen Katalog
Beim Erstellen von Servern für den globalen Katalog sollte Folgendes berücksichtigt werden: 씰
Server für den globalen Katalog sind eigentlich LDAP-Server, die den Clients die Liste der Objekte zur Verfügung stellen.
씰
Die Server für den globalen Katalog spielen auch eine wichtige Rolle bei der Replikation der Schema- und der Konfigurations-Partition.
씰
Im globalen Katalog sind die von Ihnen definierten Gruppen untergebracht.
씰
In jeder Domäne und in jedem Standort sollte mindestens ein Server für den globalen Katalog vorhanden sein.
씰
Server für den globalen Katalog sind Domänencontroller. In ACTIVE DIRECTORY-STANDORTE UND -DIENSTE gibt es unter NTDS Settings für jeden Server ein Kontrollkästchen, das bestimmt, ob er Server für den globalen Katalog ist.
795
796
Kapitel 10
10.1.8
Gesamt- zusammenfassung
Verschieben von Objekten zwischen Standorten
Beim Verschieben von Objekten zwischen Standorten sollte Folgendes berücksichtigt werden: 씰
Damit Server die besten Antwortzeiten liefern, sollten sie sich im selben Standort befinden wie der Client. Aus diesem Grund ist es sinnvoll, Server zu verschieben.
씰
Der Server, den Sie in einen Standort verschieben, sollte im physischen Subnetz sein.
씰
Einen Server verschieben Sie, indem Sie mit der rechten Maustaste auf den Server klicken und VERSCHIEBEN wählen.
10.1.9
Übertragen von Betriebsmasterfunktionen
Beim Übertragen von Betriebsmasterfunktionen sollte Folgendes berücksichtigt werden: 씰
Jeder Betriebsmaster hat eine bestimmte Funktion. Schemamaster. Dies ist die einzige beschreibbare Kopie des Schemas. Die Schreibmöglichkeit muss aktiviert werden. Dies wird im Snap-In ACTIVE DIRECTORY-SCHEMA geändert. Dazu wählen Sie im Kontextmenü den Befehl BETRIEBSMASTER und stellen die Option ein. Dieses Snap-In muss mittels ADMINPAK.MSI hinzugefügt werden. Es gibt in der Gesamtstruktur nur einen Schema-Master. Wenn ein Bereich der Organisation ein anderes Schema benötigt, brauchen Sie mehr als eine Gesamtstruktur. Domänennamenmaster. Dies ist das System, das dafür sorgt, dass Ihre Domänen- bzw. Gesamtstruktur in Form bleibt. Der Server ist außerdem für die Konfiguration aller transitiven Vertrauensstellungen im Unternehmen zuständig. Die Vertrauensstellungen werden automatisch durch die PDC-Emulatoren implementiert. Es gibt nur einen Domänennamenmaster in der Gesamtstruktur. PDC-Emulator. Dies ist der Server, der die Vertrauensverhältnisse implementiert. Er wird außerdem eingesetzt, um kompatible Anmeldungsanforderungen und kompatible Domänencontroller-Anforderungen für die Replikation der Verzeichnisdatenbank zu bedienen. Es gibt einen in jeder Domäne. Beachten Sie, dass sich »kompatibel« auf jedes Nicht-Active-Directory-System bezieht, einschließlich Windows NT 4.0. RID-Master. Dieser erzeugt Zufallsfolgen, die mit dem eindeutigen Kennzeichner der Domäne zur SID für Objekte, die auf einem Domänencontroller erstellt werden, kombiniert werden. Der RID-Master sendet Kontingente von
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory
RIDs an die Domänencontroller. Wenn ein Kontingent verbraucht ist, erhält der Domänencontroller ein neues von einem RID-Master. Jede Domäne enthält einen eigenen RID-Master. Infrastrukturmaster. Dieses System sorgt dafür, dass die Zuordnung von Benutzern zu Gruppen für die Benutzer seiner Domäne korrekt ist. Es gibt einen Infrastrukturmaster je Domäne. 씰
Die Funktion Schemamaster wird in dem Snap-In ACTIVE DIRECTORYSCHEMA gesteuert. Verbinden Sie sich mit dem Server, der die Funktion übernehmen soll, und wählen Sie im Kontextmenü BETRIEBSMASTER. Über die Option ÄNDERN können Sie dann die Rolle ändern.
씰
Die Funktion des Domänennamenmasters wird in ACTIVE DIRECTORYDOMÄNEN UND -VERTRAUENSSTELLUNGEN gesteuert. Verbinden Sie sich wie beim Schema-Master mit dem Controller, der die Funktion übernehmen soll, und ändern Sie dann über den Befehl BETRIEBSMASTER die Funktion.
씰
Die Funktionen auf Domänenebene werden in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER gesteuert. Verbinden Sie sich mit dem Domänencontroller und übertragen Sie die Funktion(en) mittels des Befehls BETRIEBSMASTER.
씰
NTDSUTIL kann zur Übertragung der Funktion in der Befehlszeile verwendet werden. Außerdem kann es benutzt werden, um eine Funktion (gewaltsam) zu entziehen. Wenn die Funktion eines Schema-, Domänennamensoder RID-Masters entzogen werden muss, darf der alte Server nicht mehr online gebracht werden, weil sonst Active Directory u.U. beschädigt wird.
10.1.10
Überprüfen der Active Directory-Installation
Berücksichtigen Sie bei der Überprüfung der Active Directory-Installation Folgendes: 씰
Die Überprüfung der Installation ist kein großes Prüfungsthema.
씰
Prüfen Sie, ob die Datenbank- und Protokolldateien vorhanden sind.
씰
Prüfen Sie, ob die Freigabe SYSVOL vorhanden ist.
씰
Prüfen Sie, ob sich die Tools im Menü PROGRAMME befinden.
씰
Prüfen Sie, ob Ihre Domänencontroller in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER angezeigt werden.
씰
Sie sollten auch prüfen, ob für den Dienst NetLogon die richtigen DNSDatensätze registriert wurden.
797
798
Kapitel 10
10.1.11
Gesamt- zusammenfassung
Implementieren einer Organisationseinheitenstruktur
Berücksichtigen Sie bei der Implementierung einer Organisationseinheitenstruktur Folgendes: 씰
Der wesentliche Punkt hier ist, dass Organisationseinheiten zum Delegieren von Autorität und zur logischen Gruppierung von Benutzern, Gruppen, Computern und anderen Objekten eingesetzt werden, die von Delegierten verwaltet werden können.
씰
Sie können eine Organisationseinheit in einer anderen erstellen, aber Microsoft empfiehlt, dabei nicht über drei Ebenen (also eine OU in einer OU in einer OU) hinauszugehen.
씰
Sie brauchen zur Erstellung einer OU lediglich mit der rechten Maustaste auf das Objekt zu klicken, unter dem sie angeordnet werden soll (Domäne oder andere OU), und dann im Kontextmenü NEU, ORGANISATIONSEINHEIT zu wählen.
씰
OUs beeinflussen Berechtigungen. Standorte beeinflussen die Replikation. Domänen enthalten beides.
10.1.12
Sichern und Wiederherstellen von Active Directory
Die Möglichkeit zur Sicherung und Wiederherstellung von Active Directory ist sehr wichtig. Sie müssen wissen, wann eine Wiederherstellung durchzuführen ist, wann eine maßgebende Wiederherstellung angebracht ist und wann nur der Domänencontroller neu installiert werden muss. Durchführung einer maßgebenden Wiederherstellung von Active Directory Berücksichtigen Sie bei der Durchführung einer maßgebenden Wiederherstellung von Active Directory Folgendes: 씰
Bei jeder Änderung, ob durch Replikation oder vom Benutzer vorgenommen, wird die USN (Update Sequence Number) für einen Domänencontroller erhöht.
씰
Die USN eines Objekts wird nur bei Änderungen erhöht, die von einem Benutzer vorgenommen wurden.
씰
Maßgebende Wiederherstellung ist nur erforderlich, wenn ein gelöschtes Objekt wiederhergestellt werden soll. Es gibt keinen anderen Grund für die maßgebende Wiederherstellung. Dabei wird das Objekt wiederhergestellt und die USN so hoch gesetzt, dass sie größer ist als die USN beim Löschen.
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory
씰
Eine maßgebende Wiederherstellung unterscheidet sich von einer normalen Wiederherstellung nur dadurch, dass Sie nach der Wiederherstellung der gesicherten Daten das Programm NTDSUTIL verwenden, um die USN des wiederherzustellenden Objekts zu erhöhen.
씰
Die maßgebende Wiederherstellung stellt das Objekt und alle seine untergeordneten Objekte wieder her.
씰
Sie müssen den definierten Namen des gelöschten Objekts kennen (z.B. cn=Techs,cn=Users,dc=ScrimTech,dc=local).
씰
Nach einer maßgebenden Wiederherstellung müssen Sie bis zur nächsten Replikation warten, bis das Objekt auf anderen Domänencontrollern wiederhergestellt wird.
Wiederherstellung nach einem Systemausfall Berücksichtigen Sie bei der Wiederherstellung nach einem Systemausfall Folgendes: 씰
Es gibt drei Möglichkeiten, einen Domänencontroller wiederherzustellen: Neuinstallieren des Betriebssystems und Heraufstufung des Systems zum Domänencontroller. Zulassen der Replikation, um die Active Directory-Informationen zurückzubringen. Dies ist die einfachste Methode, und sie eignet sich am besten bei Systemen, die nur Domänencontroller sind, vor allem, wenn die letzte Sicherung einige Zeit zurückliegt. Neuinstallieren des Betriebssystems und Neustart im Active Directory-Wiederherstellungsmodus (Taste (F8)). Wiederherstellen der Informationen aus den System- und Systemzustandsdaten. Zum Schluss Neustarten des Systems im Normalmodus, und die Replikation bringt das System auf den neuesten Stand. Durchführen einer maßgebenden Wiederherstellung. Diese wird nur eingesetzt, wenn ein gelöschtes Objekt mit seinen untergeordneten Objekten wiederhergestellt werden soll. In diesem Fall wird wiederhergestellt wie im vorangehenden Punkt, aber vor dem Neustart im Normalmodus wird NTDSUTIL ausgeführt, um das Objekt wiederherzustellen.
씰
Einen Betriebsmaster sollten Sie nur dann wiederherstellen, wenn die Sicherung erst vor kurzem durchgeführt wurde, weil andernfalls die Informationen veraltet sein könnten. In diesem Fall ist es besser, die Funktion zu entziehen. Sie sollten beim Betriebsmaster dadurch für Fehlertoleranz sorgen, dass ein zweiter Domänencontroller im selben Segment vorhanden ist, der die replizierten Änderungen unmittelbar empfängt.
씰
Der Knowledge-Konsistenzprüfer stellt automatisch die Verbindungen wieder her, wenn ein Domänencontroller vom Netz geht.
799
800
Kapitel 10
Gesamt- zusammenfassung
10.2 Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbehebung von DNS für Active Directory Wie in der Einleitung zu diesem Text erwähnt, stellt DNS die Hierarchie für Active Directory bereit. Sie müssen gewährleisten, dass DNS funktioniert. Ein guter Teil der Prüfung ist diesem Thema gewidmet.
10.2.1
Installation, Konfiguration und Fehlerbehebung von DNS für Active Directory
Im Allgemeinen ist die Installation einfach. Denken Sie daran, dass Sie über SOFTWARE in der Systemsteuerung zu Windows-Komponenten kommen. Von dort aus verwenden Sie das Element NETZWERKDIENSTE, um DNS zu installieren. Integrieren von Active-Directory-DNS-Zonen mit Nicht-Active-DirectoryDNS-Zonen Berücksichtigen Sie bei der Integration einer Active-Directory-DNS-Zone mit einer Nicht-Active-Directory-DNS-Zone Folgendes: 씰
Der Windows-2000-DNS-Server ist ein Standard-DNS-Server. Das bedeutet, es kann primäre und sekundäre Zonen geben. Es bedeutet außerdem, dass die anderen Server (sekundäre wie primäre) von beliebigem Typ sein können.
씰
Der DNS-Server sorgt für inkrementelle Übertragungen (IXFR), die RFCs sind und auf der Seriennummer der Zonendatei beruhen.
씰
Der DNS-Server kann so eingestellt werden, dass er Daten an jeden DNSServer, an die von Ihnen als Namensserver in der Domäne festgelegten Server oder an bestimmte von Ihnen angegebene Server sendet. Außerdem kann er veranlasst werden, diese Server bei Änderungen zu benachrichtigen.
씰
Der SOA-Datensatz (Autoritätsursprung) für eine Domäne gibt vor, wie häufig sekundäre Server aktualisieren müssen. Der Standardwert ist 15 Minuten, kann jedoch geändert werden.
씰
Wenn Sie eine Active Directory-integrierte Zone erstellen, gehört diese zu einer Domäne. Aus diesem Grund sollte sie im Strukturstamm erstellt werden.
씰
In Active Directory-integrierten Zonen kann jeder Domänencontroller, in den das DNS integriert ist, »primärer« Server sein. Es ist dann also möglich, einen Computer bei jedem Domänencontroller zu registrieren, statt nur beim einzigen primären Server.
10.2 Installation, Konfiguration...
씰
In Active Directory-integrierten Zonen werden die Daten für die Zone in Active Directory gespeichert, sind also Objekte. Das bedeutet, dass das Computerkonto berechtigt sein muss, dieses Objekt zu aktualisieren, damit es beim Start registriert werden kann.
씰
Um eine untergeordnete Nicht-AD-Domäne zu erstellen, können Sie einen Teil des Namespace an andere Server delegieren. Dadurch werden die erforderlichen NS-Datensätze (Namensserver) erstellt.
씰
Eine AD-integrierte Zone kann einen sekundären Standardserver enthalten.
Konfigurieren von Zonen für dynamische Aktualisierung Berücksichtigen Sie bei der Konfiguration von Zonen für dynamische Aktualisierung Folgendes: 씰
Sie können sowohl Standardzonen als auch AD-integrierte Zonen für Aktualisierung konfigurieren.
씰
Wenn die Zone AD-integriert ist, können Sie festlegen, dass die Aktualisierungen sicher sein sollen (prüfen Sie die Berechtigungen des Objekts).
씰
Der DNS-Server sorgt für inkrementelle Übertragungen (IXFR), die RFCs sind und auf der Seriennummer der Zonendatei beruhen.
씰
Aufräumen ist der Vorgang, bei dem Datensätze, die nicht aktualisiert wurden, aus der Zone des DNS-Servers entfernt werden. Dies ist bei beiden Zonenarten möglich. Die Zeiten können beim Serverobjekt und beim Zonenobjekt festgelegt werden.
씰
Der Client, der DHCP-Server oder beide können dynamische Aktualisierungen durchführen. Normalerweise registriert der Client den Forward-Zonennamen, und der DHCP-Server registriert den Namen der Reverse-Lookupzone.
씰
Denken Sie daran, dass der Domänencontroller oder jeder andere Server sich nicht bei DNS registriert, wenn der DNS-Server nicht in seinen TCP/IP-Einstellungen konfiguriert ist.
씰
Sie können nach wie vor einen Verweis auf WINS verwenden, um eine dynamische DNS-Umgebung für kompatible Clients und Server zu schaffen.
10.2.2
Verwaltung, Überwachung und Fehlerbehebung bei DNS
Sie sollten allgemein wissen, welche Optionen auf dem DNS-Server verfügbar sind, und wie Zonen erstellt werden. Dieses spezielle Ziel soll sicherstellen, dass Sie den Replikationsvorgang verstehen, aber es könnten auch Fragen gestellt werden, die nur mit der Serververwaltung zu tun haben.
801
802
Kapitel 10
Gesamt- zusammenfassung
Verwaltung der Replikation von DNS-Daten Berücksichtigen Sie bei der Verwaltung der Replikation von DNS-Daten Folgendes: 씰
In einer Active Directory-integrierten Zone wird die Replikation durch Active Directory abgewickelt. Das bedeutet, Sie können die Replikation steuern durch Standortverknüpfungen und Standortverknüpfungsbrücken, die Sie erstellen.
씰
Bei einem sekundären Server für eine Standardzone, eine Active Directoryintegrierten Zone oder eine Zone auf einem anderen Server wird die Aktualisierungshäufigkeit für diese Übertragung im SOA-Datensatz festgelegt.
씰
Zonenübertragungen können von einem primären, einem sekundären oder einem Active Directory-integrierten Server ausgeführt werden. Der Server, der die Datensätze zur Verfügung stellt, ist der Masterserver.
씰
Jeder DNS-Server, der SRV-Datensätze unterstützt, kann als sekundärer Server für eine Active Directory-integrierte Zone eingesetzt werden.
씰
Sie können Zonenübertragungen auf Server in der Seite NAMENSSERVER oder auf bestimmte Server einschränken, oder Sie können jedem Server die Zonenübertragung erlauben.
씰
Sie können den primären Server oder jeden Masterserver so konfigurieren, dass die sekundären Server von Änderungen benachrichtigt werden.
씰
Windows-2000-DNS-Server können IXFR (inkrementelle Zonenübertragungen) verwenden. Dabei werden auf Basis von Seriennummern alle Änderungen seit der letzten Version des sekundären Servers übertragen. Das bedeutet, dass der Masterserver die Änderungen zwischen den Aktualisierungen der Zonendatei verfolgen muss.
10.3 Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbehebung beim Änderungs- und Konfigurationsmanagement Ihnen sollte bekannt sein, was Gruppenrichtlinien sind und wie sie Ihnen helfen können, im gesamten Unternehmen einheitliche Standards zu implementieren. Mit Gruppenrichtlinien können Sie festlegen, wie ein Computer konfiguriert werden soll, ob Benutzer an bestimmten Computerkonfigurationen Änderungen vor-
10.3 Installation, Konfiguration...
nehmen dürfen oder nicht, welche Software automatisch oder optional auf den Computern der Benutzer installiert werden soll, und wie Sicherheitseinstellungen umgesetzt werden sollen. Auf Benutzer angewandt, fixieren Gruppenrichtlinien das Desktop und andere Merkmale der Benutzerumgebung, ganz gleich, von wo aus er bzw. sie sich bei der Domäne anmeldet: von der gewohnten Workstation, einem entfernten Computer über Wählleitung, einem anderen Knoten am selben Standort oder einem Computer am anderen Ende der Welt.
10.3.1
Implementierung und Fehlerbehebung von Gruppenrichtlinien
Sie sollten allgemein wissen, woraus Gruppenrichtlinien besteht, wie eine neue Gruppenrichtlinie erstellt wird, wie ein vorhandenes GPO mit einem Active Directory-Container verknüpft wird, wie ein GPO geändert wird, wie die GPO-Vererbung blockiert wird, wie die Anwendung von Gruppenrichtlinien mittels Berechtigungen gefiltert wird, und wie die Administration von Gruppenrichtlinien an Administratoren niedrigerer Ebene delegiert wird. Erstellung eines Gruppenrichtlinienobjekts Gruppenrichtlinienobjekte bestehen aus zwei Teilen: 씰
Gruppenrichtliniencontainer (GPCs). Dies sind Active Directory-Container, in denen Informationen zur GPO-Version und global eindeutige Kennzeichner (GUID) gespeichert werden, z.B. ein Standort, eine Domäne oder eine Organisationseinheit.
씰
Gruppenrichtlinienvorlagen (GPTs). Dies sind physische Dateien, die administrative Vorlagen und Skripte enthalten und auf Domänencontrollern im Container Richtlinien für die Freigabe SYSVOL gespeichert werden. Jede GPT ist in einem Ordner gespeichert, dessen Name der GUID des GPO entspricht, für das sie eine Vorlage ist.
Berücksichtigen Sie bei der Erstellung eines GPO Folgendes: 씰
Gruppenrichtlinien können auf Ebene des Standorts, der Domäne oder der Organisationseinheit erstellt werden.
씰
Nach der Erstellung werden GPO-Einstellungen mit dem MMC-Snap-In Gruppenrichtlinieneditor geändert.
씰
Nur Domänen-Admins oder Benutzer, die das Recht Gruppenrichtlinienobjekt erstellen besitzen, dürfen ein GPO auf beliebiger Ebene erstellen.
803
804
Kapitel 10
Gesamt- zusammenfassung
씰
Windows NT 4.0 Systemrichtlinien werden bei der Umstellung eines Domänencontrollers auf Windows 2000 nicht zu Gruppenrichtlinien migriert.
씰
Die Anwendung von Gruppenrichtlinien kann überwacht werden. Die Ergebnisse werden in der Ereignisanzeige angezeigt. Dies ist bei Bedarf ein gutes Tool zur Fehlersuche.
Verknüpfung eines vorhandenen GPO Berücksichtigen Sie bei der Verknüpfung eines vorhandenen GPO Folgendes: 씰
Durch Verknüpfung eines vorhandenen GPO mit einem Active DirectoryContainer können die GPO-Einstellungen auf Computer und Benutzer in der Organisationseinheit angewandt werden.
씰
Ein GPO kann mit beliebig vielen Active Directory-Containern verknüpft werden.
씰
Die GPT enthält eine gemeinsame Sammlung von Einstellungen, die auf alle Active Directory-Container angewandt werden, mit denen das GPO verknüpft ist.
Delegieren der administrativen Verantwortung für Gruppenrichtlinien. Berücksichtigen Sie beim Delegieren der administrativen Verantwortung für Gruppenrichtlinien Folgendes: 씰
Durch Delegieren der administrativen Verantwortung für Gruppenrichtlinien werden andere Benutzer in die Lage versetzt, die GPO-Einstellungen zu ändern.
씰
Damit einem Benutzer die administrative Verantwortung für Gruppenrichtlinien delegiert werden kann, muss er bzw. sie die Berechtigungen Lesen und Schreiben für das GPO besitzen, um es zu ändern.
씰
Das Delegieren der administrativen Verantwortung erfolgt über die Festlegung von geeigneten Berechtigungen in der Registerkarte SICHERHEIT unter Eigenschaften für das GPO.
Ändern der Gruppenrichtlinienvererbung Berücksichtigen Sie beim Ändern der Gruppenrichtlinienvererbung Folgendes: 씰
Gruppenrichtlinieneinstellungen auf höherer Ebene, z.B. Domäne oder Standort, werden automatisch an alle Active Directory-Objekte auf niederer Ebene vererbt, z.B. untergeordnete Domänen und Organisationseinheiten.
10.3 Installation, Konfiguration...
씰
Gruppenrichtlinien werden in folgender Reihenfolge abgearbeitet: Standort Domäne Organisationseinheit
씰
Ein lokaler Administrator, der für eine untergeordnete Domäne oder eine Organisationseinheit zuständig ist, kann die Vererbung von höheren Ebenen blockieren und damit sicherstellen, dass seine bzw. ihre GPOs verarbeitet werden.
씰
Administratoren auf höherer Ebene haben die Möglichkeit, das Blockieren der GPO-Anwendung auf unteren Ebenen zu umgehen und damit GPO-Einstellungen durchzusetzen, auch wenn sie auf unterer Ebene blockiert werden.
씰
Ein Gruppenrichtlinienkonflikt liegt vor, wenn dieselbe Einstellung auf unterschiedlichen Ebenen von Active Directory angewandt wird. Es gelten die Einstellungen des zuletzt stattgefundenen GPO-Vorgangs, es sei denn, in einem GPO höherer Ebene wurde die Option KEIN VORRANG aktiviert.
씰
Die Rangfolge der Gruppenrichtlinien in einem Container bestimmt, welche Einstellung bei einem Konflikt Vorrang hat. Diese Rangfolge wird in der Registerkarte GRUPPENRICHTLINIE für den Active Directory-Container festgelegt. Das erste GPO in der Liste gewinnt.
Filtern von Gruppenrichtlinieneinstellungen durch Verknüpfung von Sicherheitsgruppen mit GPOs Berücksichtigen Sie beim Filtern von Gruppenrichtlinieneinstellungen durch Verknüpfung von Sicherheitsgruppen mit GPOs Folgendes: 씰
Gruppenrichtlinienfilterung ist die Zuordnung von Berechtigungen für ein GPO, damit gewährleistet ist, dass es nur von den Benutzern verarbeitet werden kann, für die es vorgesehen ist. Auf diese Weise können Gruppenrichtlinien selektiv für eine Sicherheitsgruppe, einen Computer oder einen Benutzer implementiert werden.
씰
Die Benutzer- und die Computerkomponente eines GPO können deaktiviert werden über Eigenschaften in der Registerkarte GRUPPENRICHTLINIE.
씰
Damit das GPO angewandt wird, muss der Benutzer für das GPO die Berechtigungen LESEN UND GRUPPENRICHTLINIE ANWENDEN besitzen.
씰
Um die Gruppenrichtlinienverarbeitung zu verweigern oder so zu filtern, dass sie nicht auf den Benutzer, die Gruppe oder den Computer angewandt wird, wählen Sie die Option VERWEIGERN zum Privileg GRUPPENRICHTLINIE ANWENDEN für den Benutzer, die Gruppe oder den Computer.
805
806
Kapitel 10
Gesamt- zusammenfassung
Ändern von Gruppenrichtlinien Berücksichtigen Sie beim Ändern von Gruppenrichtlinien Folgendes: 씰
Ändern von Gruppenrichtlinien bedeutet Ändern ihrer Einstellungen mit Hilfe des MMC-Snap-Ins GRUPPENRICHTLINIENEDITOR.
씰
Nur Benutzer mit Lese- und Schreibberechtigung für ein GPO können dieses ändern.
씰
Nach der Änderung des GPO werden die neuen Einstellungen innerhalb von 5 Minuten an Domänencontroller repliziert und innerhalb von 90 Minuten bei Benutzern und Computern angewandt, aber diese Einstellung kann mit Gruppenrichtlinien geändert werden.
씰
Der Administrator kann den unbenutzten Teil eines GPO (entweder Benutzer- oder Computerteil) deaktivieren, um die Übertragung von GPO-Vorlagen an Computer zu beschleunigen. Bei Deaktivierung der Benutzer- und der Computerkonfiguration wird das gesamte GPO deaktiviert.
10.3.2
Verwaltung und Fehlersuche bei Benutzerumgebungen mittels Gruppenrichtlinien
Sie sollten allgemein mit dem Unterschied zwischen Skripte und administrativen Vorlagen vertraut sein. GPO-Einstellungen können durch administrative Vorlagen oder durch Skripte umgesetzt werden. Administrative Vorlagen und Skripte können für Computer und für Benutzer konfiguriert werden. Steuerung von Benutzerumgebungen mittels administrativer Vorlagen Berücksichtigen Sie bei der Steuerung von Benutzerumgebungen mittels administrativer Vorlagen Folgendes: 씰
Administrative Vorlagen ändern bei der Anwendung der Einstellungen die Registrierung für den Benutzer bzw. Computer.
씰
Einstellungen für administrative Vorlagen werden nach den Regeln der Gruppenrichtlinienvererbung umgesetzt, es sei denn, die Vererbung wurde blockiert oder KEIN VORRANG wurde aktiviert.
씰
Tritt bei der Anwendung der Einstellungen einer administrativen Vorlage ein Konflikt zwischen einem Benutzer und einem Computer auf, so haben die Computereinstellungen immer Vorrang vor den Benutzereinstellungen.
10.3 Installation, Konfiguration...
Zuordnung von Skriptrichtlinien an Benutzer und Computer Berücksichtigen Sie bei der Zuordnung von Skriptrichtlinien an Benutzer und Computer Folgendes: 씰
Skripte können BAT- oder CMD-Dateien sowie alle von Windows Scipting Host unterstützten Dateien sein.
씰
Mit Skripte werden Benutzer und/oder Einstellungen konfiguriert, die mit anderen Elementen von Gruppenrichtlinien nicht konfigurierbar sind.
씰
Wenn bei der Anwendung von Skripte ein Konflikt auftritt, werden die Einstellungen des zuletzt ausgeführten Skripte wirksam, ganz gleich, ob es sich um ein Benutzeranmeldeskript oder ein Systemstartskript handelt.
10.3.3
Verwaltung und Fehlerbehebung bei Software mittels Gruppenrichtlinien
Für diese Zielsetzung müssen Sie vertraut sein mit den Methoden zur Bereitstellung von Software für Benutzer und Computer (veröffentlichen und zuweisen), zur Aktualisierung von Softwarepaketen mittels Gruppenrichtlinien, zur erneuten Bereitstellung von Paketen mit gepatchten Dateien und zum Entfernen von Software mittels Gruppenrichtlinien. Bereitstellen von Software mittels Gruppenrichtlinien Berücksichtigen Sie bei der Bereitstellung von Software mittels Gruppenrichtlinien Folgendes: 씰
Die mittels Gruppenrichtlinien bereitzustellende Software muss in einem mit Windows Installer kompatiblen Format vorliegen, d.h. als Windows Installer-Paket oder als ZAP-Datei.
씰
Software kann mittels Gruppenrichtlinien durch Veröffentlichung oder durch Zuweisung an Benutzer geliefert werden.
씰
Bei Zuweisung eines Softwarepakets an einen Computer oder einen Benutzer wird das Paket automatisch installiert (im Falle des Computers) bzw. es werden Symbole auf dem Desktop hinterlegt, wenn das Paket installiert wurde (im Falle eines Benutzers).
씰
Durch Veröffentlichung wird die Anwendung dem Benutzer zur Verfügung gestellt, aber nicht sofort installiert. Die Installation erfolgt entweder über SYSTEMSTEUERUNG/SOFTWARE oder per Dokumentaktivierung.
씰
Bei der Dokumentaktivierung wird ein Softwarepaket installiert, wenn der Benutzer eine Datei öffnet, deren Erweiterung mit diesem Paket verknüpft ist.
807
808
Kapitel 10
Gesamt- zusammenfassung
씰
Nur MSI-Dateien (Windows-Installer-Paketdateien) können Benutzern zugewiesen oder veröffentlicht werden, weil sie die Informationen enthalten, die für die Installation der Anwendung ohne Benutzereingriff erforderlich sind.
씰
ZAP-Dateien können nur veröffentlicht werden, und der Benutzer muss den normalen Installationsprozess für die Softwareanwendung durchführen.
씰
Es gibt Tools von Drittanbietern zum Umpacken einer Anwendung, die nicht in einem MSI-Format (Windows-Installer-Paket) vorliegt. Veritas WinINSTALL LE befindet sich auf der Windows-2000-CD-ROM.
씰
Administratoren können Transformationsdateien (MST) einsetzen, um ein und dasselbe Softwarepaket mit unterschiedlichen Optionen für verschiedene Organisationseinheiten im Unternehmen bereitzustellen.
씰
Transformationsdateien (MST) ändern ein vorhandenes Paket, um bestimmte Anforderungen zu erfüllen, z.B. Sprache oder geografischer Standort.
씰
Mit Hilfe von Softwarekategorien können Administratoren die Software kategorisieren, um den Benutzern die Auswahl der zu installierenden Software über SYSTEMSTEUERUNG->SOFTWARE zu erleichtern.
Wartung von Software mittels Gruppenrichtlinien Berücksichtigen Sie bei der Wartung von Software mittels Gruppenrichtlinien Folgendes: 씰
Softwareaktualisierungen können mittels Gruppenrichtlinien bereitgestellt werden. Aktualisierungen können für eine vorhandene Anwendung obligatorisch oder optional sein.
씰
Obligatorische Aktualisierungen werden installiert, ohne den Benutzer an der Entscheidung zu beteiligen.
씰
Optionale Aktualisierungen überlassen dem Benutzer die Entscheidung, ob er bzw. sie auf die neueste Version aktualisieren möchte.
씰
Das Entfernen von Software kann ebenfalls durch Gruppenrichtlinien konfiguriert werden, und zwar zwangsweise oder wahlweise.
씰
Beim zwangsweisen Entfernen muss das Softwarepaket vom Computer des Benutzers entfernt werden, wogegen eine optionale Entfernung dem Benutzer die Möglichkeit lässt, die Software weiterhin zu benutzen, nachdem sie für die Entfernung vorgemerkt wurde.
Konfiguration von Bereitstellungsoptionen Berücksichtigen Sie bei der Konfiguration von Bereitstellungsoptionen Folgendes: 씰
Software kann mittels Gruppenrichtlinien entweder durch Veröffentlichung oder durch Zuweisung an Benutzer geliefert werden.
10.3 Installation, Konfiguration...
씰
Bei Zuweisung eines Softwarepakets an einen Computer oder einen Benutzer wird das Paket automatisch installiert (im Falle des Computers) bzw. es werden Symbole auf dem Desktop hinterlegt, wenn das Paket installiert wurde (im Falle eines Benutzers).
씰
Durch Veröffentlichung wird die Anwendung dem Benutzer zur Verfügung gestellt, aber nicht sofort installiert. Die Installation erfolgt entweder über SYSTEMSTEUERUNG/SOFTWARE oder per Dokumentaktivierung.
씰
Bei der Dokumentaktivierung wird ein Softwarepaket installiert, wenn der Benutzer eine Datei öffnet, deren Erweiterung mit diesem Paket verknüpft ist.
씰
Nur MSI-Dateien (Windows-Installer-Paketdateien) können Benutzern zugewiesen oder veröffentlicht werden, weil sie die Informationen enthalten, die für die Installation der Anwendung ohne Benutzereingriff erforderlich sind.
씰
ZAP-Dateien können nur veröffentlicht werden, und der Benutzer muss den normalen Installationsprozess für die Softwareanwendung durchführen.
Fehlersuche bei verbreiteten Problemen während der Softwarebereitstellung Berücksichtigen Sie bei der Fehlersuche bei verbreiteten Problemen während der Softwarebereitstellung Folgendes: 씰
Die meisten Probleme bei der Bereitstellung von Software mittels Gruppenrichtlinien sind auf Netzwerkfehler zurückzuführen, wie etwa Unerreichbarkeit des Softwareverteilungspunkts, oder haben mit der Anwendung von Gruppenrichtlinien zu tun.
씰
Beim Einkreisen des Problems müssen Sie sich nach wie vor an alle Regeln halten, die für Richtlinienvererbung, Filterung und andere Elemente gelten.
Verwaltung der Netzwerkkonfiguration mittels Gruppenrichtlinien Zur Prüfung Ihrer Kenntnisse über die Verwaltung der Netzwerkkonfiguration mittels Gruppenrichtlinien wird Microsoft den Computerteil von Gruppenrichtlinienvorlagen heranziehen. Außerdem sollten Sie damit vertraut sein, welche Typen von Einstellungen angewandt werden können und was bei einem Konflikt zwischen Benutzer- und Computereinstellungen passiert. Daneben werden Sie auch zu anderen Elementen von Gruppenrichtlinien (Vererbung, Filterung usw.) allgemein geprüft, was deren Anwendung auf Computer betrifft. 씰
Einstellungen, die für den Computer konfiguriert werden können, werden in der folgenden Tabelle umrissen.
809
810
Kapitel 10
Gesamt- zusammenfassung
Einstellungstyp
Zur Steuerung von
WindowsKomponenten
Teilen von Windows 2000 und seiner Hilfsprogramme. Hier können Sie das Verhalten von Teilen von Windows 2000 konfigurieren, darunter Internet Explorer, Microsoft NetMeeting, Windows Installer, Taskplaner. Zu den konfigurierbaren Dingen gehören u.a., ob das Programm installiert werden darf, die Konfiguration des Programms auf dem Computer, welche Teile des Programms benutzt werden dürfen und wie sich das Programm nach dem Start verhalten soll.
System
Betrieb von Teilen von Windows 2000, u.a. was geschieht nach Anoder Abmeldung, DNS-Clientsuffix-Konfiguration, ob Festplattenkontingente erzwungen werden sollen, und Merkmale von Gruppenrichtlinien, etwa interne Aktualisierung. Außerdem wird damit der Windows-Dateischutz sowie die Möglichkeit von Windows 2000 gesteuert, wichtige Systemdateien automatisch zu ersetzen, wenn sie von anderen Programmen überschrieben wurden.
Netzwerk
Attributen von Netzwerkverbindungen, z.B. ob gemeinsame Verbindungsnutzung auf dem Computer aktiviert werden soll, sowie das Verhalten von Offlinedateien, u.a. wie und wann die Synchronisierung stattfindet.
Drucker
Konfiguration von Druckern, z.B. ob sie in Active Directory veröffentlicht werden dürfen, ob Drucker automatisch veröffentlicht werden sollen, ob veröffentlichtes oder nicht-webgestütztes Drucken zulässig ist, sowie weitere Einstellungen wie Computerstandort, Abfragehäufigkeit für Drucker und andere.
씰
Bei einer Einstellung in einer administrativen Vorlage, die sowohl im Computerteil als auch im Benutzerteil von Gruppenrichtlinien vorkommt, wird immer die Einstellung des Computerteils angewandt.
10.3.4
Bereitstellung von Windows 2000 mittels Remoteinstallationsdiensten
Remoteinstallationsdienste (RIS) ist eine Komponente der Technologie IntelliMirror von Windows 2000, mit der Sie Windows-2000-Professional-Images während der Startphase auf einem Clientcomputer bereitstellen können. Microsoft testet Ihre Kenntnisse über Remoteinstallationsdienste während der Prüfung in mehreren Bereichen. Sie müssen die Voraussetzungen für die Konfiguration eines RIS-Servers, die Clientvoraussetzungen, das Vorgehen bei der Erstellung eines CD-basierten Image wie auch eines RIPrep-Image, sowie die Fehlerbehebung bei verbreiteten Problemen mit Remoteinstallationsdiensten kennen.
10.3 Installation, Konfiguration...
Installation eines Image auf einem RIS-Clientcomputer Berücksichtigen Sie bei der Installation eines Image auf einem RIS-Clientcomputer Folgendes: 씰
RIS unterstützt Clientcomputer, welche die NetPC-Spezifikation erfüllen, und Computer mit einer PXE-Netzwerkkarte (Pre-Boot Execution Environment) mit einem PXE-fähigen Boot-ROM der Version .99c oder höher.
씰
Clientcomputer, die keine PXE-fähige Netzwerkkarte enthalten, können dennoch mittels RIS und Erstellung einer Remotestartdiskette bereitgestellt werden. Diese Clients müssen eine von der Remotestartdiskette unterstützte Netzwerkkarte enthalten.
씰
Damit die Installation von Windows 2000 Professional mittels RIS gestartet werden kann, muss die PXE-fähige Netzwerkkarte, bzw. bei Verwendung der Remotestartdiskette das Diskettenkaufwerk, das erste Startgerät des Computers sein. Drücken Sie während der Startphase (F12), um einen gestaffelten Start anzukündigen, worauf der DHCP-Server aufgefordert wird, dem Computer eine IP-Adresse zuzuordnen und ihn mit einem RIS-Server zu verbinden.
Erstellung einer Remotestartdiskette Berücksichtigen Sie bei der Erstellung einer Remotestartdiskette Folgendes: 씰
Clientcomputer, die keine PXE-fähige Netzwerkkarte enthalten, können dennoch mittels RIS und Erstellung einer Remotestartdiskette bereitgestellt werden. Diese Clients müssen eine von der Remotestartdiskette unterstützte Netzwerkkarte enthalten.
씰
Die Remotestartdiskette wird erstellt durch Ausführung von RBFG.EXE im Ordner REMINST\ADMIN\i386 des RIS-Servers.
씰
Eine Remotestartdiskette kann für unterstützte PCI-Netzwerkkarten konfiguriert werden. Eine Liste der unterstützten Netzwerkkarten ist nach Ausführung des Programms RBFG.EXE verfügbar.
Konfiguration von Remoteinstallationsoptionen Berücksichtigen Sie bei der Konfiguration von Remoteinstallationsoptionen Folgendes: 씰
Der RIS-Server ist von anderen Windows-2000-Technologien abhängig, darunter Active Directory, DNS und DHCP.
811
812
Kapitel 10
Gesamt- zusammenfassung
씰
RIS muss auf einem Computer mit Windows 2000 Server, Advanced Server oder Data Center Server installiert werden. Es sind zwei Festplattenpartitionen erforderlich. Die Partition zum Speichern der Images muss mit NTFS formatiert sein und darf nicht die Systempartition sein.
씰
Die Installation eines RIS-Servers erfolgt über den Assistenten für die Konfiguration des Servers oder über WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN in der Systemsteuerung unter SOFTWARE. Bei der Installation von RIS werden alle von RIS benötigten Dateien installiert. Sie müssen den RISServer allerdings noch konfigurieren.
씰
Ein RIS-Server wird nach der Installation von RIS mit dem Assistenten zur Installation der Remoteinstallationsdienste konfiguriert. Dieser kann von der Befehlszeile mit dem Befehl risetup, über START/AUSFÜHREN oder über SOFTWARE gestartet werden.
씰
Bei der Konfiguration des RIS-Servers wird auf dem Server ein erstes CDbasiertes Image erstellt, und es werden alle von RIS benötigten Dienste gestartet, darunter Trivial File Transfer Protocol (TFTP), Single Instance Store (SIS) und der Boot Service Manager-Dienst (BINLSVC).
Fehlerbehebung bei RIS-Problemen Verbreitete RIS-Probleme werden in der folgenden Tabelle aufgeführt. Problem
Ursache und Lösung
Clientcomputer erhalten keine IP-Adresse. Beim Startvorgang wird keine DHCPMeldung angezeigt
Höchstwahrscheinlich ist ein Windows-2000-DHCPServer nicht verfügbar. Prüfen Sie zuerst, ob Nicht-RIS-Clients eine IP-Adresse von DHCP erhalten. Wenn nicht, prüfen Sie, ob Ihr DHCP-Server aktiv ist. Wenn ja, prüfen Sie, ob der DHCP-Server ein Windows-2000-DHCP-Server ist, d.h. in Active Directory autorisiert wurde, und dass es kein Windows-NT-4.0-DHCP-Server ist. Ist dies der Fall, so verifizieren Sie, dass sich Client und DHCP-Server in unterschiedlichen physischen Subnetzen befinden, und dass ein DHCP-Relay-Agent im gleichen Subnetz wie der RIS-Clientcomputer verfügbar ist und funktioniert. Stellen Sie schließlich sicher, dass dem DHCP-Server Adressen zum Verleasen zur Verfügung stehen, und dass der Gültigkeitsbereich von DHCP aktiviert wurde.
10.3 Installation, Konfiguration...
Problem
Ursache und Lösung
Clients erhalten eine IPAdresse, aber es wird keine BINL-Meldung angezeigt, die auf eine Verbindung mit dem RIS-Server hinweist.
Die wahrscheinlichste Ursache für dieses Problem ist, dass der RIS-Server nicht online ist. Eine weitere mögliche Ursache könnte sein, dass der RIS-Server zwar online ist, aber in Active Directory nicht autorisiert wurde. Bringen Sie den RIS-Server online und autorisieren Sie ihn.
Clientcomputer können die Übertragung von einem RISServer nicht starten.
Dies wird höchstwahrscheinlich von einem hängenden NetPC Boot Service Manager (BINLSVC) auf dem RISServer verursacht. In dieser Situation wird auf dem Client die BINL-Meldung angezeigt, die darauf hinweist, dass mit einem RIS-Server Kontakt aufgenommen wurde, aber weiter geschieht nichts. Stoppen Sie den NetPC Boot Service Manager Service, und starten Sie ihn neu, um das Problem zu korrigieren.
Clients, die eine Remotestartdiskette verwenden, können keine Verbindung mit dem RIS-Server herstellen.
Die wahrscheinlichste Ursache für dieses Problem ist, dass der Clientcomputer eine Netzwerkkarte enthält, die von der Remotestartdiskette nicht unterstützt wird. Prüfen Sie, ob die Netzwerkkarte in der Adapterliste des Programms Remotestart-Diskettenerstellung angezeigt wird. Wenn nicht, ersetzen Sie die Netzwerkkarte durch eine aus der Liste.
Durch Drücken auf (F12) wird ein Remotestart eingeleitet, aber der Client kann keine Verbindung mit dem RIS-Server herstellen.
Die wahrscheinlichste Ursache für dieses Problem ist, dass die PXE-fähige Netzwerkkarte ein Boot-ROM mit einer älteren Version als .99c enthält. Die Version des Boot-ROM für PXE muss .99c oder neuer sein. Bei einigen Netzwerkkarten kann Version .99i notwendig sein, damit sie richtig funktionieren. Wechseln Sie die Netzwerkkarte oder das Boot-ROM aus, um dieses Problem zu beheben. Dieses Problem kann auch auftreten, wenn der RISServer nicht in Betrieb ist. Stellen Sie sicher, dass ein RIS-Server betriebsbereit ist.
Installationsoptionen sind wider Erwarten für einen Benutzer nicht verfügbar.
Die wahrscheinlichste Ursache für dieses Problem sind Konflikte bei Gruppenrichtlinien. Wenn für den Benutzer ein GPO auf Organisationseinheitenebene definiert ist, könnte ein GPO auf höherer Ebene die Einstellung KEIN VORRANG aktiviert haben und ebenfalls Konfigurationseinstellungen für RIS enthalten. Überprüfen Sie die GPO-Rangfolge für den Benutzer.
813
814
Kapitel 10
Gesamt- zusammenfassung
Verwaltung von Images für die Durchführung von Remoteinstallationen Berücksichtigen Sie bei der Verwaltung von Images für die Durchführung von Remoteinstallationen Folgendes: 씰
Bei der Konfiguration des RIS-Servers wird auf dem Server ein erstes CDbasiertes Image erstellt, und es werden alle von RIS benötigten Dienste gestartet, darunter Trivial File Transfer Protocol, Single Instance Store und der Boot Service Manager-Dienst.
씰
Die zur Installation von Windows 2000 Professional mittels RIS verwendeten Images können CD-basierte Images oder RIPrep-Images (Remote Installation Preparation) sein.
씰
CD-basierte Images enthalten Kopien von Dateien, die zur Installation von Windows 2000 Professional benötigt werden, und der Ablauf entspricht genau einer unbeaufsichtigten Installation von der Windows-2000-Professional-CD.
씰
Bei RIPrep-Images können Sie Windows 2000 Professional sowie zusätzliche Anwendungen auf einem Quellcomputer konfigurieren, ein Image in einem gemeinsamen RIS-Ordner erstellen, das die gesamte Computerkonfiguration enthält, und dieses auf Zielcomputern bereitstellen. RIPrep-Images bieten die schnellste Möglichkeit zur Bereitstellung von Betriebssystem und Anwendungen.
씰
RIPrep-Images erfordern einen Referenzcomputer, auf dem Windows 2000 Professional und alle Anwendungen installiert sind, sowie das Programm SYSPREP zur Vorbereitung des Image.
씰
Alle Images sind mit einer Antwortdatei (SIF) verknüpft, die mit dem Programm Installations-Manager erstellt wird. Dieses Programm ist Bestandteil des Windows 2000 Resource Kit und befindet sich im Ordner TOOLS auf der CD-ROM von Windows 2000.
씰
Durch Zuordnung von Berechtigungen zur Antwortdatei (SIF) können Sie einschränken, wer ein bestimmtes Paket installieren darf.
씰
Ein RIS-Server kann mehrere Images enthalten. Images müssen in einer separaten Partition gespeichert werden, die mit NTFS formatiert wurde. Ein Netzwerk kann auch mehrere RIS-Server enthalten, von denen jeder dieselben oder unterschiedliche Images enthalten kann. Gebräuchliche Images sollten zwecks Lastausgleich auf mehrere Server kopiert werden.
10.3 Installation, Konfiguration...
10.3.5
Konfiguration der RIS-Sicherheit
Damit RIS funktioniert, müssen Sie den RIS-Server autorisieren und die Images mit geeigneten Berechtigungen versehen, sodass sie zu den Benutzern gefiltert werden, die sie benötigen. Microsoft wird Ihre Kenntnisse darüber testen, wie ein RIS-Server autorisiert wird, wie Berechtigungen für Images festgelegt werden und wie festgelegt wird, welche Benutzer Computerkonten in der Domäne erstellen dürfen. Autorisierung eines Servers Berücksichtigen Sie bei der Autorisierung eines Servers Folgendes: 씰
Ein RIS-Server muss in Active Directory autorisiert werden, damit er Clients, die Windows 2000 Professional installieren möchten, die Images zur Verfügung stellen kann.
씰
Die Autorisierung eines RIS-Servers erfolgt im MMC-Snap-In DHCP.
씰
Ist der RIS-Server zugleich ein DHCP-Server, so ist er automatisch autorisiert, weil bei DHCP-Servern der gleiche Vorgang notwendig ist, damit sie IP-Adressen ausgeben können.
Vergabe von Rechten zur Erstellung von Computerkonten Berücksichtigen Sie bei der Vergabe von Rechten zur Erstellung von Computerkonten Folgendes: 씰
Damit ein Benutzer, der mittels RIS ein Image für einen Computer bereitstellen möchte, ein Computerkonto erstellen kann, muss er bzw. sie die Berechtigung zum Erstellen von Computerobjekten innerhalb des Containers besitzen, in dem das Computerkonto erstellt werden soll.
씰
Benutzern können die erforderlichen Privilegien über die Registerkarte SICHERHEITSEINSTELLUNGEN des Dialogfelds EIGENSCHAFTEN FÜR DEN ACTIVE DIRECTORY-CONTAINER oder über den Assistenten zum Zuweisen der Objektverwaltung gewährt werden.
씰
Domänen-Admins und Organisations-Admins besitzen standardmäßig die Berechtigung zum Erstellen von Computerobjekten für alle Active DirectoryContainer.
씰
Benutzer, die Windows 2000 Professional auf einem Computer installieren, der nicht vorkonfiguriert wurde, müssen das Privileg zum Erstellen von Computerobjekten innerhalb des Containers besitzen, in dem das Computerkonto erstellt werden soll.
815
816
Kapitel 10
씰
Gesamt- zusammenfassung
Der Container, in dem das Computerkonto erstellt werden soll, kann unter ERWEITERTE EIGENSCHAFTEN des RIS-Servers in ACTIVE DIRECTORYBENUTZER UND -COMPUTER konfiguriert werden, ebenso wie das bei der Erstellung des Computerkontos zu verwendende Namensformat.
Vorkonfiguration von RIS-Clientcomputern für zusätzliche Sicherheit und Lastausgleich Berücksichtigen Sie bei der Vorkonfiguration von RIS-Clientcomputern für zusätzliche Sicherheit und Lastausgleich Folgendes: 씰
Clientcomputer können vorkonfiguriert werden. Dazu gehört die Erstellung des Clientcomputers im passenden Active Directory-Container mittels ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
씰
Der global eindeutige Kennzeichner (GUID) des Computers wird zur Vorkonfiguration benötigt und befindet sich im BIOS des Computers oder auf einem Aufkleber des Herstellers.
씰
Ein vorkonfigurierter Client kann so konfiguriert werden, dass er sein Image direkt von einem bestimmten RIS-Server erhält, damit gewährleistet ist, dass der Client das benötigte Image erhält.
씰
Computer, bei denen eine Remotestartdiskette erforderlich ist, können ebenfalls vorkonfiguriert werden, indem die MAC-Adresse durch Auffüllen mit führenden Nullen auf das GUID-Format gebracht wird.
10.4 Verwaltung, Überwachung und Optimierung der Komponenten von Active Directory In diesem Abschnitt kommen wir zu den Feinheiten der Verwaltung. Hier müssen Sie wissen, wie Objekte in Active Directory hinzugefügt werden. Die Aktionen sind zwar einfach, aber Microsoft wird Sie in der Prüfung mit einigen einzigartigen Situationen konfrontieren, und Sie sollten sich darauf vorbereiten, die Auswahl mit der Eliminationsmethode einzuengen.
10.4.1
Verwaltung von Active Directory-Objekten
Dies ist ein breit angelegtes Thema, weil es viele Objekttypen gibt und eine Reihe von Dingen, die Sie mit diesen anstellen können. Denken Sie jedoch daran, dass alle Dinge Objekte sind, damit Sie alle gleich behandeln können. Wenn daher in der Prüfung nach dem Verschieben eines Benutzers gefragt wird, denken Sie daran, dass es dasselbe ist wie das Verschieben eines Computers oder eines beliebigen anderen Objekts.
10.4 Verwaltung, Überwachung...
Verschieben von Active Directory-Objekten Berücksichtigen Sie beim Verschieben von Active Directory-Objekten Folgendes: 씰
Zum Verschieben gehört nicht nur das Verschieben innerhalb von Active Directory, sondern auch zwischen Active Directory und anderen Verzeichnisdiensten. Dazu gehört auch die Verwendung der Programme LDIFDE und CSVDE. Diese können zum Verschieben von Daten zwischen unterschiedlichen Arten von Systemen verwendet werden.
씰
Das Verschieben eines Objekts beschränkt sich in ACTIVE DIRECTORYBENUTZER UND -COMPUTER auf die Domäne, weil die eindeutige ID der Domäne den ersten Teil der SID des Objekts ausmacht. Um ein Objekt in eine andere Domäne zu verschieben, müssen Sie MOVETREE einsetzen, das für diesen Zweck mitgeliefert wird.
씰
Innerhalb einer Domäne können Sie den Befehl VERSCHIEBEN im Kontextmenü verwenden.
씰
Denken Sie beim Verschieben (oder Löschen) eines Containers, z.B. einer Organisationseinheit, daran, dass die von einem anderen Benutzer in dieser Zeit erstellten neuen Objekte in Lost and Found landen. Prüfen Sie diesen Container gelegentlich.
Veröffentlichen von Ressourcen in Active Directory Berücksichtigen Sie beim Veröffentlichen von Ressourcen in Active Directory Folgendes: 씰
Bedenken Sie, dass ein verteiltes Dateisystem (DFS) ein eigenständiges System oder ein fehlertolerantes System sein kann. Dieses wird nicht in Active Directory veröffentlicht. Bei der Veröffentlichung wird eine vorhandene Freigabe in Active Directory verfügbar gemacht.
씰
Windows-2000-Drucker werden standardmäßig veröffentlicht. Ob dies geschieht oder nicht, hängt von der Einstellung des Kontrollkästchens IN VERZEICHNISLISTE ANZEIGEN ab.
씰
Nicht-Windows-2000-Drucker können veröffentlicht werden durch Erstellung des Druckerobjekts mittels ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
씰
Ein Nicht-Windows-2000-Drucker kann außerdem veröffentlicht werden, indem Sie den Drucker als lokalen Drucker einem Windows-2000-Server hinzufügen und den Anschluss als Netzwerkadresse der aktuellen Freigabe konfigurieren. Bei Freigabe des Windows-2000-Druckers wird er dann standardmäßig in Active Directory aufgelistet.
817
10.4 Verwaltung, Überwachung...
씰
Freigaben werden mit dem Programm ACTIVE DIRECTORY-BENUTZER -COMPUTER zu Active Directory hinzugefügt.
UND
Auffinden von Objekten in Active Directory Berücksichtigen Sie beim Suchen von Objekten in Active Directory Folgendes: 씰
Sie sollten wissen, wo Administratoren und Benutzer suchen können. Administratoren können in der Konsolenstruktur von ACTIVE DIRECTORY-BENUTZER UND -COMPUTER suchen. Benutzer können in SUCHEN und in NETZWERKUMGEBUNG nach Objekten suchen.
씰
Sie sollten die Funktionen der Registerkarten für die wichtigsten Objekte kennen: Computer, Drucker und Gruppen. Es wird zwar eigentlich nicht erwartet, dass Sie sämtliche Optionen auswendig lernen, aber Sie sollten wissen, wo eine Option zu finden ist.
씰
Nachdem Sie ein Objekt bzw. eine Gruppe von Objekten gefunden haben, sollten Sie in der Lage sein, diese Objekte zu manipulieren, indem Sie sie in einer Liste auswählen und im Kontextmenü einen Befehl wählen.
Erstellen und Verwalten von Konten, manuell oder per Skript Berücksichtigen Sie beim Suchen von Objekten in Active Directory Folgendes: 씰
Sie sollten wissen, wie mit ACTIVE DIRECTORY-BENUTZER UND -COMPUTER sowie anderen AD-Tools ein Objekt erstellt wird.
씰
Sie sollten wissen, dass die Programmierschnittstelle ADSI heißt und mit einem COM-Objekt namens LDAP arbeitet. Mit diesem Objekt können Sie sich mit der Verzeichnisstruktur in Standorten mit unterschiedlicher Basis verbinden und Operationen ausführen.
씰
Denken Sie daran, dass LDIFDE und CSVDE zum Kopieren von Objekten in beiden Richtungen verwendet werden können. Die Datei kann außerhalb von Active Directory bearbeitet und dann wieder importiert werden.
씰
Sie können einen Microsoft Exchange-Connector zum Aufbau einer Verbindung mit Exchange Server 5.5 Service Pack 3 verwenden und Benutzer, Gruppen sowie Kontaktinformationen austauschen.
씰
Sie können nach wie vor die Befehle NET USER und NET GROUP zur Verwaltung von Benutzern verwenden.
818
10.4 Verwaltung, Überwachung...
Steuern des Zugriffs auf Active Directory-Objekte Berücksichtigen Sie beim Steuern des Zugriffs auf Active Directory-Objekte Folgendes: 씰
Denken Sie daran, dass eine der wichtigsten Eigenschaften jedes Objekts die Zugriffssteuerungsliste (ACL) ist. In dieser wird festgelegt, was Benutzer mit dem Objekt anstellen dürfen. Die Zugriffssteuerungsliste besteht aus Zugriffssteuerungseinträgen.
씰
Die innerhalb von Containerobjekten erstellten Objekte erben die Berechtigungen der betreffenden Containerobjekte. Diese Vererbung kann deaktiviert werden. In diesem Fall werden Sie gefragt, was mit den vorhandenen Berechtigungen geschehen soll: Beibehalten oder Entfernen.
씰
Die Berechtigungen des Benutzers sind an den Benutzerprozess gekoppelt. Wenn der Prozess einen Zugriff versucht, wird die SID aus den Berechtigungen (Zugriffstoken) mit den Einträgen in der Zugriffssteuerungsliste verglichen.
씰
Bei der Festlegung von Berechtigungen haben Sie in der Regel die Möglichkeit, diese auf ein Objekt, das Objekt und dessen untergeordnete Objekte oder nur auf untergeordnete Objekte anzuwenden.
Delegieren der administrativen Zuständigkeit für Objekte in Active Directory Berücksichtigen Sie beim Delegieren der administrativen Zuständigkeit für Objekte in Active Directory Folgendes: 씰
Wenn Sie die Zuständigkeit delegieren, legen Sie für das Objekt und untergeordnete Objekte Berechtigungen fest.
씰
Der Assistent zum Zuweisen der Objektverwaltung sollte verwendet werden, um das Delegieren zu vereinfachen. Er stellt die Berechtigungen einschließlich erweiterter Berechtigungen für Sie ein.
씰
Delegiert wird normalerweise an Organisationseinheiten. Dies ist deren Hauptzweck.
씰
Sie sollten wissen, welche die wichtigsten Berechtigungen sind und wofür sie vergeben werden. Denken Sie daran, dass Berechtigungen für Objekte und für Eigenschaften festgelegt werden können.
819
820
Kapitel 10
10.4.2
Gesamt- zusammenfassung
Management der Leistung von Active Directory
Für diese Zielsetzung müssen Sie sich in erster Linie merken, welche Programme zur Verwaltung von Servern und zur Beobachtung von Active Directory allgemein verwendet werden. Überwachung, Pflege und Korrektur der Leistung von Domänencontrollern Berücksichtigen Sie bei der Überwachung, Pflege und Korrektur der Leistung von Domänencontrollern Folgendes: 씰
Die wichtigsten Programme sind hier Systemmonitor, Netzwerkmonitor und Task-Manager.
씰
Der Systemmonitor kann jedes Detail über den Computer messen und die aktuelle Leistung protokollieren, damit die zeitliche Entwicklung verfolgt werden kann. Er wird auch zur Erstellung einer Leistungsübersicht verwendet.
씰
Im Systemmonitor sind Objekte die Teile des zu überwachenden Systems. Ein Objekt besitzt mehrere Datenquellen, welche die messbaren Aspekte des Objekts darstellen, und Instanzen stehen für jedes Vorkommen eines Objekts.
씰
Im Netzwerkmonitor können Sie Netzwerkverkehr abfangen und anzeigen, und er hilft Ihnen, den Datenverkehr in sinnvolle Informationen zu zerlegen. Dies kann bei Kommunikationsproblemen genutzt werden, um die Informationen auf der Leitung sichtbar zu machen.
씰
Task-Manager ist eine Möglichkeit, einen raschen Blick auf die aktuelle Systemleistung zu werfen, aber er verfolgt die Leistung nicht über die Zeit hinweg. Er kann außerdem verwendet werden, um die Priorität und Prozessoraffinität eines laufenden Programms zu ändern.
씰
Denken Sie daran, gelegentlich die Datenbank zu komprimieren. Dies wird mit NTDSUTIL erledigt.
Überwachung, Wartung und Korrektur von Active Directory-Komponenten Berücksichtigen Sie bei der Überwachung, Wartung und Korrektur von Active Directory-Komponenten Folgendes: 씰
Denken Sie an die weiter vorne erwähnten Informationen über Betriebsmaster.
씰
Denken Sie daran, dass alles voraussetzt, dass DNS betriebsbereit ist.
씰
Merken Sie sich die folgenden Programme:
10.4 Verwaltung, Überwachung...
ACLDiag. Mit diesem Programm können Sie feststellen, ob ein Benutzer Zugriff auf ein Verzeichnisobjekt hat. Es kann außerdem die Zugriffssteuerungsliste auf ihren Standardzustand zurücksetzen. ADSIEdit. Mit diesem MMC-Snap-In können Sie alle Objekte im Verzeichnis anzeigen und ändern oder Zugriffssteuerungslisten für sie festlegen. DNSCMD. Dieses Programm überprüft die dynamische Registrierung von DNS-Ressourcendatensätzen. DOMMAP. Dieses Programm prüft die Replikationstopologie und die Domänenbeziehungen. DSACLS. Damit können Sie die Zugriffssteuerungslisten von Verzeichnisobjekten überprüfen und bearbeiten. DSAStat. Damit werden Informationen über Domänencontroller verglichen, um Unterschiede zu ermitteln. ESEUtil. Dieses Programm arbeitet an der Komponente für erweiterbaren Hintergrundspeicher und kann Datenbankdateien reparieren, überprüfen, komprimieren, verschieben und abbilden. NTDSUTIL ruft diese Funktionen auf, um verschiedene Aufgaben zu erledigen. NETDOM5. Dieses Programm wickelt die Verwaltung von Vertrauensstellungen im Stapelbetrieb ab durch Aufnahme von Computern in Domänen und Überprüfung von Vertrauensstellungen und sicheren Kanälen. NETTest. Dieses Programm kann die Ende-zu-Ende-Netzwerkkonnektivität sowie Funktionen von verteilten Diensten überprüfen. NLTest. Dieses Programm prüft, ob der Locator-Dienst und der sichere Kanal funktionieren. NTDSUtil. Neben der Verwaltung von Betriebsmastern und der Zulassung von maßgebenden Wiederherstellungsvorgängen verwaltet dieses Programm die Datenbankdateien (mittels ESEUtil) und listet Standort-, Domänen- und Serverinformationen auf. REPAdmin. Damit werden die Replikationskonsistenz zwischen Replikationspartnern überprüft, der Replikationsstatus überwacht, Replikations-Metadaten angezeigt sowie Replikationsereignisse und Neuberechnungen des Knowledge-Konsistenzprüfers erzwungen. REPLMon. Dieses Programm zeigt die Replikationstopologie an, überwacht den Replikationsstatus und kann Replikationsereignisse und Neuberechnungen des Knowledge-Konsistenzprüfers erzwingen.
821
822
Kapitel 10
Gesamt- zusammenfassung
SDCheck. Mit diesem Tool kann ein Administrator feststellen, ob Zugriffssteuerungslisten korrekt vererbt werden, und ob Änderungen an Zugriffssteuerungslisten von einem Domänencontroller zu einem anderen korrekt repliziert werden. SIDWalker. Mit diesem Programm können Sie die ACL für Objekte einstellen, deren Eigentümerkonten verschoben bzw. gelöscht wurden oder verwaist sind.
10.4.3
Verwaltung und Fehlerbehebung der Active Directory-Replikation
Dieses Thema dreht sich im Grunde um die Funktionsweise von Verbindungen, Standortverknüpfungen und Standortverknüpfungsbrücken, sowie um die Programme, mit denen die Replikation überwacht werden kann. Das meiste davon wurde bereits wiederholt. Verwaltung der standortübergreifenden Replikation Berücksichtigen Sie bei der Verwaltung der standortübergreifenden Replikation Folgendes: 씰
Die standortübergreifende Replikation wird vom Knowledge-Konistenzprüfer (KCC) verwaltet. Sie sollten keine manuellen Verbindungen herstellen.
씰
KCC konfiguriert Server mit zwei Partnern im Standort und möglichst einem Partner in einem anderen Standort.
Verwaltung der standortinternen Replikation Berücksichtigen Sie bei der Verwaltung der standortinternen Replikation Folgendes: 씰
Die wichtigsten Programme sind REPAdmin und REPLMon. Mit dem Programm Admin können Sie die Replikation von der Befehlszeile aus verwalten, und mit dem Snap-In REPLMon können Sie die Replikation überwachen.
10.5 Konfiguration, Verwaltung, Überwachung und Fehlerbehebung von Active DirectorySicherheitslösungen Nach der Konfiguration von Gruppenrichtlinien und der Festlegung Ihrer Active Directory-Struktur müssen Sie für geeignete Vorbeugungsmaßnahmen sorgen, damit der unbefugte Zugriff auf Computer verhindert wird. Dazu müssen Sie wis-
10.5 Konfiguration, Verwaltung...
sen, wie Gruppenrichtlinien zur Konfiguration von Sicherheitseinstellungen für Benutzer und Computer verwendet werden können, und wie Überwachungsrichtlinien erstellt werden, mit denen Sie unbefugte Zugriffe aufspüren und verfolgen können.
10.5.1
Konfiguration und Fehlerbehebung der Sicherheit in einer Verzeichnisdienst-Infrastruktur
Bei dieser Zielsetzung testet Microsoft Ihre Kenntnisse über die Einrichtung und Analyse von Sicherheitseinstellungen für Active Directory-Komponenten. Es werden die Kenntnisse darüber geprüft, wie die Sicherheit auf Windows-2000-Computern mittels Sicherheitskonfiguration und -analyse analysiert wird, und wie mit dem selben Snap-In Vorlagen erstellt und geladen werden. Außerdem werden Ihre Kenntnisse darüber, wie eine Sicherheitsrichtlinie mittels Vorlagen konfiguriert wird, ebenfalls beurteilt. Schließlich prüft Microsoft Sie darüber, wie die Überwachung implementiert und konfiguriert wird, damit Informationen über unbefugte Zugriffsversuche auf Computer, Dateien, Drucker und andere Ressourcen verfügbar werden. Vorausgesetzt wird hier ein gründliches Verständnis der Gruppenrichtlinienvererbung, Filterung und Blockierung, die in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«, erläutert wurden. Umsetzung von Sicherheitsrichtlinien mittels Gruppenrichtlinien Berücksichtigen Sie bei der Umsetzung von Sicherheitsrichtlinien mittels Gruppenrichtlinien Folgendes: 씰
Zu den Sicherheitsrichtlinien, die über Gruppenrichtlinien verwaltet werden können, gehören u.a. folgende:
Einstellung
Beschreibung
Kontorichtlinien
Ermöglicht die Festlegung von Einstellungen für Kennwortrichtlinien und Richtlinien für die Kontosperrung. Zu den Einstellungen für Kennwortrichtlinien gehören das Kennwortalter (minimal und maximal), die Anzahl gemerkter Kennwörter, um die Wiederverwendung von Lieblingskennwörtern zu verhindern, die Mindestlänge für Kennwörter und die Kennwortkomplexität. Außerdem können Sie festlegen, ob das Kennwort mit Zweiwegverschlüsselung gespeichert werden soll. Zu den Einstellungen für Richtlinien zur Kontosperre gehören die Dauer der Kontosperre, die Anzahl fehlerhafter Versuche bis zur Auslösung der Sperre und das Kontosperrenintervall, d.h. die Zeit zwischen fehlerhaften Anmeldeversuchen, nach deren Ablauf der Zähler zurückgesetzt wird.
823
824
Kapitel 10
Gesamt- zusammenfassung
Einstellung
Beschreibung
Lokale Richtlinien
Ermöglicht die Festlegung von Einstellungen für lokale Computer zur Überwachung, Zuordnung von Benutzerrechten (z.B. Lokale Anmeldung, Als Dienst anmelden usw.) und bestimmte Computersicherheitsoptionen, z.B. Text der vor Anmeldung anzuzeigenden Meldung, ob der Name des zuletzt angemeldeten Benutzers bei der Anmeldung angezeigt werden soll, und andere.
Ereignisprotokoll
Ermöglicht die Konfiguration von Protokolldateigrößen für die drei wichtigsten Ereignisprotokolle (System, Sicherheit und Anwendung), die Festlegung, ob Protokolle überschrieben werden sollen, sowie ggf. die Einschränkung des Leserechts für Protokolldateien.
Eingeschränkte Gruppen
Ermöglicht die Einschränkung der Sicherheitsgruppenmitgliedschaft auf bestimmte Benutzer. Außerdem können Sie damit festlegen, welchen anderen Gruppen diese Gruppen angehören dürfen. Mit anderen Worten, mit dieser Einstellung können Sie die Gruppenmitgliedschaft mittels Sicherheitsrichtlinien konfigurieren, um sicherzustellen, dass nach der Anwendung der Richtlinien bestimmte Benutzer bzw. Gruppen immer Mitglieder bestimmter Gruppen sind.
Registrierung
Damit können Sie die Sicherheit für Registrierungsschlüssel konfigurieren. Über die Sicherheitsrichtlinie können Sie festlegen, wer Schlüssel in der Registrierung lesen, ändern oder hinzufügen darf.
Dateisystem
Mit dieser Sicherheitseinstellung können Sie Sicherheitsparameter des Dateisystems für Ordner und Dateien in NTFS-Partitionen festlegen und davon ausgehen, dass sie nach Inkrafttreten der Richtlinie wirksam werden.
Richtlinien öffentlicher Schlüssel
Damit können Sie festlegen, welche Benutzer Agenten für die Wiederherstellung von Daten in einem verschlüsselten Dateisystem (EFS) sein sollen. Wiederherstellungsagenten können Dateien entschlüsseln, wenn der Benutzer, der sie erstellt hat, nicht verfügbar ist oder gelöscht wurde. Hier können Sie außerdem Zertifikate von Stammzertifizierungsstellen importieren, denen Windows 2000 vertrauen soll. Diese konfigurieren Vertrauensstellungen für Stellen und von diesen herausgegebene Zertifikate und legen Parameter für die automatische Anforderung von Zertifikaten fest. In Windows 2000 wurde einiges getan, um zu gewährleisten, dass die Kommunikation sicher ist und dass nur solche Computer bzw. Benutzer Zugriff erhalten, die einen gültigen Authentizitätsnachweis erbringen, z.B. ein Zertifikat. Diese wichtigen Sicherheitsfunktionen werden mittels Gruppenrichtlinien implementiert.
10.5 Konfiguration, Verwaltung...
Einstellung
Beschreibung
IP-Sicherheitsrichtlinien Verzeichnisrichtlinien in Active Directory
Damit können Sie festlegen, wie Client, Server und Domänencontroller kommunizieren sollen, und welche Sicherheitsstufe angefordert, vorgeschrieben oder abgelehnt werden soll. Diese Einstellungen gelten für den TCP/IP-Verkehr zwischen den verschiedenen Arten von Windows-2000-Computern.
씰
Zur Verwaltung von Sicherheitsrichtlinien können zwei Pogramme eingesetzt werden: das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE und GRUPPENRICHTLINIE IN ACTIVE DIRECTORY.
씰
Zur gleichzeitigen Anwendung von Sicherheitsrichtlinien auf mehrere Computer können Sie Gruppenrichtlinien verwenden. Wie bei anderen Gruppenrichtlinieneinstellungen wird die Sicherheitsrichtlinie nach der Konfiguration auf allen Computern im Gültigkeitsbereich der Gruppenrichtlinie umgesetzt. Bei Verwendung von Gruppenrichtlinien zur Durchsetzung einer Sicherheitsrichtlinie gelten die gleichen Regeln für die Gruppenrichtlinienvererbung und Filterung wie sonst auch.
Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen Berücksichtigen Sie bei Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen Folgendes: 씰
Mit SICHERHEITSKONFIGURATION UND -ANALYSE können Sie die Sicherheitsrichtlininen für den lokalen Computer konfigurieren. Außerdem können Sie damit die aktuellen Sicherheitseinstellungen für den Computer abrufen und mit einer Sicherheitsvorlage vergleichen, die eine vorkonfigurierte Sammlung von Sicherheitseinstellungen enthält.
씰
Sicherheitsvorlagen sind Textdateien mit vordefinierten Informationen zur Sicherheitskonfiguration, die in SICHERHEITSKONFIGURATION UND -ANALYSE und/oder GRUPPENRICHTLINIEN importiert werden können. Windows 2000 wird mit einer Reihe von Standard-Sicherheitsvorlagen geliefert, die vorkonfigurierte Einstellungen für unterschiedliche Sicherheitsstufen von KEINE bis HOHE SICHERHEIT enthalten. Überlegen Sie bei der Auswahl einer Vorlage, ob Sie das gebotene Schutzniveau benötigen und warum Sie es einsetzen möchten. Die Sicherheit sollte nur so restriktiv sein wie nötig. Nicht mehr und nicht weniger.
825
826
Kapitel 10
Gesamt- zusammenfassung
Implementierung einer Überwachungsrichtlinie Berücksichtigen Sie bei der Implementierung einer Überwachungsrichtlinie Folgendes: 씰
Eine Überwachungsrichtlinie ist eine Teilmenge der Sicherheitsrichtlinie, wird mit den gleichen Tools konfiguriert und ermöglicht es Ihnen, die Nutzung von Privilegien in verschiedenen Bereichen des Systems zu verfolgen. Zu den überwachbaren Ereignissen gehören u.a. Datei- und Ordnerzugriff, An- und Abmeldungsaktivitäten sowie die Nutzung von Privilegien.
씰
Bei bestimmten Arten der Überwachung (wie etwa Datei- und Ordnerzugriff, Druckerzugriff und Active Directory-Objektzugriff) müssen Sie u.U. Objektberechtigungen ändern, um Ihre Überwachungsrichtlinie weiter zu verfeinern. Bei der Konfiguration der Überwachung für solche Objekte, aber auch ganz allgemein, gilt: überwachen Sie nur so viel wie nötig, damit kein allzu großer Overhead im System entsteht.
Überwachung und Analyse von Sicherheitsereignissen Berücksichtigen Sie bei der Überwachung und Analyse von Sicherheitsereignissen Folgendes: 씰
Die Ereignisanzeige ist das Programm, das zur Überwachung von sicherheitsbezogenen Ereignissen, wie etwa den durch die Überwachung konfigurierten, verwendet wird.
씰
Das Sicherheitsprotokoll der Ereignisanzeige enthält alle sicherheitsbezogenen Ereignisse.
씰
Durch Filtern des Protokolls sind interessante Ereignisse leichter zu finden.
씰
Für den Fall, dass das Sicherheitsprotokoll voll ist, kann der Administrator festlegen, dass der Computer heruntergefahren wird. Damit ist gewährleistet, dass keine sicherheitsrelevanten Informationen verloren gehen.
Tipps zur Prüfungsvorbereitung
11
Dieser Teil des Buches gibt Ihnen einige allgemeine Richtlinien für die Vorbereitung auf ein Zertifizierungsexamen. Er gliedert sich in vier Abschnitte: Der erste behandelt die Lernstile und ihren Einfluss auf die Prüfungsvorbereitung. Im zweiten Abschnitt geht es um Ihre Aktivitäten bei der Prüfungsvorbereitung und um allgemeine Studientipps. Daran schließt sich ein Überblick über die MCP-Examen an, einschließlich einer Reihe spezieller Tipps, die sich auf die verschiedenen Prüfungsformate und Fragetypen von Microsoft beziehen. Der letzte Abschnitt erläutert Änderungen gegenüber den bisherigen Prüfungsrichtlinien von Microsoft und deren Auswirkungen auf Sie.
11.1 Lernstile Damit Sie sich optimal auf die Prüfungen vorbereiten können, müssen Sie das Lernen als Prozess begreifen. Vielleicht wissen Sie bereits, wie Sie sich neues Material am besten erarbeiten. Für den einen sind Gliederungen des Stoffes wichtig, während es für einen »visuellen Typ« besser ist, die Dinge »zu sehen«. Welchen Stil Sie auch bevorzugen, an der Prüfungsvorbereitung führt kein Weg vorbei. Natürlich sollten Sie mit dem Studium für die Prüfungen nicht erst einen Tag vorher beginnen. Lernen ist ein Entwicklungsprozess! Wenn Sie das verstanden haben, können Sie sich darauf konzentrieren, was Sie bereits wissen und was Sie noch lernen müssen. Der Lernprozess beruht unter anderem darauf, neue Informationen mit vorhandenem Wissen zu verknüpfen. Sie verfügen bereits über Erfahrung im Umgang mit Computern und Netzwerken. Nun bereiten Sie sich für das Zertifizierungsexamen vor. Mit diesem Buch, der geeigneten Software und entsprechendem Ergänzungsmaterial erweitern Sie aber Ihr Wissen nicht einfach inkrementell; während des Studiums bauen Sie sich neue gedankliche Strukturen auf. Das führt zu einem umfassenderen Verständnis der Aufgaben und Konzepte, die in den Lernzielen umrissen sind und die für die Computertechnik im Allgemeinen gelten. Auch das ist ein sich wiederholender Prozess und kein Einzelereignis. Behalten Sie dieses Lernmodell im
828
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Auge, während Sie sich auf die Prüfungen vorbereiten – Sie können dann besser einschätzen, über welche Kenntnisse Sie bereits verfügen und wie viel Sie noch lernen müssen.
11.2 Studienhinweise Es gibt viele Ansätze zum Studieren und ebenso viele Arten von Studienmaterial. Die folgenden Tipps beziehen sich speziell auf das in den Zertifizierungsexamen behandelte Material.
11.2.1
Lernstrategien
Auch wenn jeder seinen eigenen Lernstil hat, gibt es einige allgemein gültige Lernprinzipien. Deshalb sollten Sie bestimmte Lernstrategien übernehmen, die sich auf diese Prinzipien stützen. Dazu gehört unter anderem, dass sich das Lernen in verschiedene Ebenen gliedern lässt. Die Wiedererkennung (zum Beispiel von Begriffen) veranschaulicht eine oberflächliche Lernebene, bei der Sie auf abrufbereites Wissen zurückgreifen. Das Erkennen bzw. Verstehen (zum Beispiel von Konzepten hinter den Begriffen) stellt eine tieferliegende Lernebene dar. Die Fähigkeit, ein Konzept zu analysieren und die daraus gewonnenen Erkenntnisse in neuer Form anzuwenden, repräsentiert eine noch tiefere Lernebene. Ihre Lernstrategie sollte Sie dahin bringen, dass Sie den Stoff eine oder zwei Ebenen unter der reinen Wiedererkennung beherrschen. Damit können Sie sich optimal auf die Prüfungen vorbereiten; Sie verstehen das Material so umfassend, dass Sie auch mit Fragen vom Typ Multiple Choice problemlos umgehen können. Außerdem sind Sie in der Lage, Ihr Wissen bei der Lösung neuer Probleme anzuwenden. Lernstrategien en gros und en détail Bei einer Strategie für dieses vertiefende Lernen bereiten Sie zunächst eine Gliederung mit allen Lernzielen und Teilzielen für die jeweilige Prüfung vor. Dringen Sie dabei etwas tiefer in den Stoff ein und schließen Sie eine oder zwei Detailebenen unterhalb der für die Prüfung festgelegten Lernziele und Teilziele ein. Dann erweitern Sie die Gliederung, bis Sie bei einer Definition oder Zusammenfassung für jeden Punkt Ihrer Gliederung angelangt sind. Eine Gliederung liefert zwei Ansätze zum Studium. Erstens können Sie sich anhand der Gliederung auf die Organisation des Materials konzentrieren. Arbeiten Sie die Punkte und Unterpunkte Ihrer Gliederung durch und stellen Sie dabei Querverbindungen zwischen den einzelnen Punkten her. Zum Beispiel sollten Sie erkennen, worin sich die Hauptlernziele ähneln bzw. sich unterscheiden. Dann fahren Sie in gleicher Weise mit den Teilzielen fort; beachten Sie dabei, welche Teilziele sich auf welche Lernziele beziehen und wie die Teilziele zueinander in Beziehung stehen.
11.2 Studienhinweise
Als Nächstes arbeiten Sie die Gliederung durch und konzentrieren sich dabei auf die Details. Prägen Sie sich die Begriffe und deren Definitionen, Fakten, Regeln und Strategien, Vorteile und Nachteile usw. ein. Bei diesem Durchgang durch die Gliederung lernen Sie Details und nicht nur die Hauptpunkte – die organisatorischen Informationen, die Sie sich im ersten Durchlauf durch die Gliederung erarbeitet haben. Untersuchungen haben gezeigt, dass es dem Lernprozess als Ganzes nicht zuträglich ist, beide Arten von Informationen gleichzeitig aufzunehmen. Trennen Sie Ihr Studium in die beiden Ansätze – und Sie sind besser auf die Prüfung vorbereitet. Aktive Lernstrategien Wenn Sie sich Ziele, Teilziele, Begriffe, Fakten und Definitionen notieren, beschäftigen Sie sich aktiv mit dem Stoff und nehmen ihn wahrscheinlich besser auf, als wenn Sie ihn lediglich lesen und damit nur passiv verarbeiten. Als Nächstes testen Sie, ob Sie die gelernten Informationen anwenden können. Versuchen Sie deshalb, selbstständig Beispiele und Szenarios zu erzeugen. Denken Sie darüber nach, wie und wo Sie die gelernten Konzepte anwenden können. Schreiben Sie auch hier die gewonnenen Ergebnisse nieder, um die Fakten und Konzepte aktiv zu verarbeiten. Die praxisbezogenen Schritt-für-Schritt-Anleitungen und Übungen am Ende der Kapitel bieten weiter Gelegenheit zum aktiven Lernen, was die Konzepte ebenfalls vertieft. Vernünftige Strategien Schließlich sollten Sie beim Lernen auch den gesunden Menschenverstand einsetzen. Studieren Sie, wenn Sie aufnahmebereit sind, vermeiden Sie Ablenkungen und machen Sie Pausen, wenn Sie abgespannt sind.
11.2.2
Trockentraining
Mit einem Trockentraining können Sie abschätzen, wie weit Sie vorangekommen sind. Einer der wichtigsten Lernaspekte ist das so genannte »Meta-Lernen«. Dabei erkennen Sie, wann Sie ein Thema beherrschen und wo Sie weitere Anstrengungen unternehmen müssen. Mit anderen Worten: Sie erkennen, wie gut oder wie schlecht Sie das Studienmaterial aufgenommen haben. Für viele Leute ist es schwierig, selbstständig objektive Einschätzungen vorzunehmen. Praktische Tests sind nützlich, da sie objektiv aufdecken, was Sie gelernt haben und was noch fehlt. Anhand dieser Informationen legen Sie fest, was Sie wiederholen müssen und wie Sie weiter lernen. In diesem Lernprozess durchlaufen Sie
829
830
Kapitel 11
Tipps zur Prüfungs- vorbereitung
mehrere Zyklen, wobei Sie Ihren Kenntnisstand einschätzen, den Stoff wiederholen und eine erneute Einschätzung vornehmen, bis Sie sich schließlich für die Prüfung fit fühlen. Sicherlich haben Sie schon das Praxisexamen in diesem Buch bemerkt. Verwenden Sie es als Teil des Lernprozesses. Die auf der CD enthaltene Software zur Testsimulation ExamGear, Training Guide Edition bietet Ihnen eine hervorragende Gelegenheit, Ihr Wissen zu testen. Für das Trockentraining sollten Sie sich ein Ziel setzen. Dabei ist ein Punktestand sinnvoll, der kontinuierlich bei etwa 90 Prozent liegt. Im Anhang C finden Sie weitere Erläuterungen zur Software für die Testsimulation.
11.3 Tipps zur Prüfungsvorbereitung Wenn Sie Ihr Prüfungsthema beherrschen, müssen Sie schließlich noch verstehen, wie die Prüfung abläuft. Machen Sie keinen Fehler: Ein MCP-Examen fordert sowohl Ihr Wissen als auch Ihre Prüfungsfähigkeiten heraus. Dieser Abschnitt beginnt mit den Grundlagen des Prüfungsaufbaus, bringt einen Überblick über ein neues Examensformat und schließt mit Hinweisen, die sich auf die einzelnen Examensformate beziehen.
11.3.1
Die MCP-Prüfung
Jede MCP-Prüfung wird in einem von drei Basisformaten freigegeben. Unter einem Examensformat ist dabei die Kombination aus Gesamtprüfungsstruktur und Präsentationsmethode für Examensfragen zu verstehen. Die Kenntnis der Examensformate ist ein Schlüssel zur guten Vorbereitung, denn das Format bestimmt die Anzahl der präsentierten Fragen, den Schwierigkeitsgrad dieser Fragen und die Zeit, die Ihnen für das Examen zur Verfügung steht. Die einzelnen Prüfungsformate verwenden viele Fragen des gleichen Typs. Dazu gehören die herkömmlichen Multiple-Choice-Fragen, Multiple-Rating- (oder szenariobasierte) Fragen und simulationsbasierte Fragen. In einigen Prüfungen finden Sie Fragen, bei denen Objekte per Drag&Drop auf dem Bildschirm zu verschieben, Listen neu zu ordnen oder Elemente zu kategorisieren sind. Andere Prüfungen enthalten Fragen, die Sie als Ergebnis einer präsentierten Fallstudie beantworten müssen. Es ist wichtig, die Arten der gestellten Fragen zu verstehen, um sie in der richtigen Weise beantworten zu können.
11.3 Tipps zur Prüfungsvorbereitung
Der Rest dieses Abschnitts erläutert die einzelnen Examensformate und geht dann die Fragetypen durch. Das Verständnis der Formate und Fragetypen hilft Ihnen, sich sicherer zu fühlen, wenn Sie die eigentliche Prüfung absolvieren.
11.3.2
Prüfungsformat
Wie bereits erwähnt, gibt es drei grundsätzliche Formate für die MCP-Examen: das herkömmliche Examen mit festem Format, die adaptive Testmethode und die Fallstudien. Wie die Bezeichnung vermuten lässt, präsentiert das erste Format einen feststehenden Satz von Fragen während der Examenssitzung. Das adaptive Format verwendet dagegen nur eine Teilmenge der Fragen, die während einer bestimmten Prüfung aus einem größeren Pool herausgezogen werden. Das letzte Format umfasst Fallstudien, die als Grundlage für die Beantwortung der verschiedenen Fragetypen dienen. Festes Format Ein computerunterstütztes Examen mit festem Format basiert auf einem feststehenden Satz von Prüfungsfragen. Die einzelnen Fragen werden während einer Prüfungssitzung in zufälliger Reihenfolge präsentiert. Wenn Sie das gleiche Examen mehrfach absolvieren, erhalten Sie nicht unbedingt jedes Mal dieselben Fragen. Das hängt damit zusammen, dass die Fragen für ein Examen aus zwei oder drei Formularen stammen. Diese Formulare sind gewöhnlich mit den Buchstaben A, B und C bezeichnet. Die endgültigen Formulare einer Prüfung mit festem Format decken zwar den gleichen Inhalt ab, bestehen aus der gleichen Anzahl von Fragen und stellen die gleiche Zeit zur Verfügung; sie unterscheiden sich aber in den Fragen selbst. Allerdings können die gleichen Fragen auch auf verschiedenen endgültigen Formularen auftauchen. Der Anteil der gemeinsam verwendeten Fragen ist im Allgemeinen aber sehr gering. Viele endgültige Formulare haben überhaupt keine Fragen gemeinsam, bei älteren Prüfungen sind auf den endgültigen Formularen etwa 10 bis 15 Prozent gemeinsam verwendete Fragen zu finden. Bei Prüfungen mit festem Format ist auch das Zeitlimit gleich, in dem die Prüfungen zu absolvieren sind. Die Software ExamGear, Training Guide Edition auf der Begleit-CD zum Buch enthält Prüfungen des festen Formats. Schließlich basiert die Punktzahl für eine feste Prüfung auf der Anzahl der richtig beantworteten Fragen. Für MCP-Prüfungen liegt die erreichbare Punktzahl zwischen 0 und 1000. Die Bestehensgrenze ist für alle endgültigen Formulare einer bestimmten festen Prüfung gleich.
831
832
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Der typische Aufbau sieht hier folgendermaßen aus: 씰
50 bis 60 Fragen
씰
75 bis 90 Minuten Prüfungszeit
씰
Die Fragen müssen nicht unbedingt der Reihe nach beantwortet werden und man hat auch die Möglichkeit, Antworten zu ändern
Adaptives Format Eine adaptive Prüfung hat die gleiche Erscheinung wie eine feststehende Prüfung, wobei sich aber die Fragen hinsichtlich des Umfangs und des Auswahlverfahrens unterscheiden. Auch wenn die Auswertung eines adaptiven Tests recht kompliziert erscheint – im Verlauf der Prüfung geht es darum, das Niveau der Fertigkeiten und Fähigkeiten im Umgang mit dem Prüfungsthema zu bestimmen. Diese Einschätzung beginnt damit, dass Sie Fragen mit unterschiedlichen Schwierigkeitsgraden erhalten. Aus Ihren Antworten geht dann hervor, auf welcher Schwierigkeitsstufe Sie die Fragen zuverlässig beantworten können. Schließlich bestimmt diese Einschätzung, ob die Fähigkeitsebene über oder unter dem Niveau liegt, das für ein Bestehen der Prüfung erforderlich ist. Prüfungsteilnehmer mit verschiedenen Fähigkeitsebenen erhalten auch unterschiedliche Sätze von Fragen. Teilnehmer, die wenig Fachkenntnis in Bezug auf das jeweilige Prüfungsthema erkennen lassen, setzen die Prüfung mit relativ leichten Fragen fort. Teilnehmer mit einem hohen Wissensstand bekommen zunehmend schwierigere Fragen. Verschiedene Teilnehmer können zwar die gleiche Anzahl von Fragen richtig beantworten, da aber die Teilnehmer mit höheren Fachkenntnissen mehr schwierige Fragen richtig beantworten können, erreichen sie damit einen höheren Punktestand und bestehen die Prüfung mit höherer Wahrscheinlichkeit. Der typische Entwurf für die adaptive Prüfung sieht folgendermaßen aus: 씰
20 bis 25 Fragen
씰
90 Minuten Prüfungszeit (die sich wahrscheinlich in Zukunft auf 45 bis 60 Minuten reduzieren wird)
씰
Die Wiederholung von Fragen ist nicht erlaubt; damit gibt es auch keine Möglichkeit, Antworten zu ändern
11.3 Tipps zur Prüfungsvorbereitung
Der adaptive Prüfungsvorgang Ihre erste adaptive Prüfung unterscheidet sich höchstwahrscheinlich von anderen Prüfungen, die Sie bisher abgelegt haben. In der Tat haben viele Prüfungsteilnehmer Schwierigkeiten mit dem adaptiven Prüfungsverfahren. Sie befürchten, dass sie keine Möglichkeit erhalten, ihre vollen Fachkenntnisse adäquat zu demonstrieren. Sie können beruhigt annehmen, dass adaptive Prüfungen nach umfangreichen Datensammlungen und Analysen sorgfältigst zusammengestellt werden und dass adaptive Prüfungen genauso gültig sind wie Prüfungen im festen Format. Die durch die adaptive Trainingsmethode eingeführte Strenge bedeutet, dass die in einer Prüfung präsentierten Elemente nicht willkürlich erscheinen. Außerdem stellt diese Methode ein effizienteres Testverfahren dar, das weniger Zeit als herkömmliche feste Prüfungen erfordert. Wie Abbildung 11.1 zeigt, wird der Ablauf einer adaptiven Prüfung durch eine Reihe statistischer Maße bestimmt. Für Sie ist vor allem die Fähigkeitsbewertung (Ability) relevant. Zu den statistischen Maßen gehören auch der Standardfehler (Std. Error of Measurement), die charakteristische Elementkurve (Item Characteristic Curve) und die Testinformationskurve (Test Information). Abbildung 11.1 Demoprogramm von Microsoft für einen adaptiven Test
Der Standardfehler ist ein Schlüsselfaktor, der bestimmt, wann das Ende der adaptiven Prüfung erreicht ist. Er gibt die Größe des Fehlers in der Fähigkeitsbewertung an. Die charakteristische Elementkurve spiegelt die Wahrscheinlichkeit einer richtigen Antwort in Bezug zur Fähigkeit des Prüfungsteilnehmers wider. Die Kurve der Testinformationen liefert schließlich ein Maß für den Informationsgehalt des Fragenkomplexes, den der Teilnehmer beantwortet hat. Dieser Wert ist ebenfalls auf das Fähigkeitsniveau des Teilnehmers bezogen. Zu Beginn einer adaptiven Prüfung ist der Standardfehler auf einen Zielwert voreingestellt. Unter diesen Wert muss der Standardfehler im Verlauf der Prüfung fallen, um die Prüfung abzuschließen. Der Zielwert spiegelt ein bestimmtes Konfidenzintervall im Prozess wider. Die Fähigkeit des Prüfungsteilnehmers wird anfangs auf den Mittelwert des möglichen Punktestandes gesetzt (500 bei MCP-Prüfungen).
833
834
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Im Verlauf einer adaptiven Prüfung erhält der Teilnehmer Fragen mit unterschiedlichen Schwierigkeitsgraden. Basierend auf dem Muster, das sich aus der Beantwortung der Fragen ergibt, wird die Fähigkeitseinschätzung neu berechnet und gleichzeitig die Standardfehlereinschätzung vom anfänglich festgelegten Wert in Richtung Zielwert angepasst. Wenn der Standardfehler seinen Zielwert erreicht, ist die Prüfung beendet. Je beständiger Sie die Fragen der gleichen Schwierigkeitsstufe beantworten, desto schneller fällt der Standardfehler und desto weniger Fragen müssen Sie letztendlich während der Prüfungssitzung beantworten. Abbildung 11.2 zeigt eine derartige Prüfungssituation. Abbildung 11.2 Die statistischen Werte im Verlauf einer adaptiven Prüfung
Wie Sie aus den bisherigen Erläuterungen ableiten können, sollte man in einer adaptiven Prüfung jede Frage so behandeln, als wäre sie die wichtigste Frage. Der Bewertungsalgorithmus einer adaptiven Prüfung versucht, ein Muster der Antworten zu entdecken, das eine bestimmte Ebene der Sachkenntnis mit dem Prüfungsgegenstand widerspiegelt. Falsche Antworten garantieren fast immer, dass zusätzliche Fragen zu beantworten sind (sofern Sie natürlich nicht jede Frage falsch beantworten). Das hängt damit zusammen, dass sich der Bewertungsalgorithmus an Informationen, die nicht mit dem entstehenden Muster konsistent sind, anpassen muss. Fallstudienformat Das Format der Fallstudien erschien erstmals mit der Prüfung 70-100 (Solution Architectures). Die Fragen bei einer Fallstudie sind keine unabhängigen Einheiten, wie in den festen und adaptiven Formaten. Stattdessen sind die Fragen an die Fallstudie – eine längere szenarioartige Beschreibung einer Informationstechnologiesituation – gebunden. Als Testteilnehmer müssen Sie aus der Fallstudie die Informationen herausziehen, die zum Fragenkomplex der jeweiligen Microsoft-Technologie gehören. Eine Fallstudie beschreibt eine Situation, die mehr praxisorientiert ist, als es die Fragen bei anderen Prüfungsformaten sind. Die Fallstudien werden als »Testlets« präsentiert. Das sind Abschnitte innerhalb der Prüfung, in der Sie die Fallstudie lesen und dann 10 bis 15 Fragen bezüglich der Fallstudie beantworten. Wenn Sie diesen Abschnitt beendet haben, kommen Sie zu einem anderen Testlet mit einer anderen Fallstudie und den damit verbundenen Fragen. Ein Examen kann sich aus bis zu fünf Testlets zusammensetzen. Das Zeitkontingent in derartigen Prüfungen ist größer, weil Sie die Fälle durchlesen und analysieren müssen. Insgesamt stehen Ihnen für die Prüfung drei Stunden zur Verfügung
11.3 Tipps zur Prüfungsvorbereitung
– und Sie werden diese Zeit komplett brauchen. Während Sie in einem Testlet arbeiten, sind die Fallstudien jederzeit über eine Verknüpfung verfügbar. Nachdem Sie jedoch ein Testlet verlassen haben, können Sie nicht mehr zu ihm zurückkehren. Abbildung 11.3 zeigt einen Teil einer Fallstudie. Abbildung 11.3 Beispiel einer Fallstudie
11.3.3
Fragetypen
In MCP-Prüfungen kann eine Vielzahl verschiedener Fragetypen erscheinen. Beispiele für diese Typen finden Sie in diesem Buch und in der Software ExamGear, Training Guide Edition. Wir haben versucht, alle bei Manuskripterstellung verfügbaren Fragetypen abzudecken. Die meisten Fragetypen, die die folgenden Abschnitte behandeln, können in jedem der drei Prüfungsformate erscheinen. Die typische MCP-Prüfungsfrage basiert auf dem Konzept, Fertigkeiten und Fähigkeiten für die Realisierung einer Aufgabe zu messen. Demzufolge präsentieren die meisten Fragen eine Situation, die eine Rolle (beispielsweise ein Systemadministrator oder ein Techniker), eine Technologieumgebung (100 Computer, die unter Windows 98 in einem Windows-2000-Server-Netzwerk laufen) und ein zu lösendes Problem (der Benutzer kann eine Verbindung zu Diensten im LAN, nicht aber zum Intranet herstellen) umfassen. Die Antworten nennen Aktionen, mit denen Sie die Probleme lösen können, oder Sie müssen Setups bzw. Umgebungen erstellen, die von Beginn an korrekt funktionieren. Berücksichtigen Sie diese Hinweise, wenn Sie sich die Prüfungsfragen durchlesen. Gelegentlich treffen Sie auf einige Fragen, die lediglich die Wiedergabe von Fakten verlangen – das ist aber die Ausnahme. Die folgenden Abschnitte zeigen die verschiedenen Fragetypen.
835
836
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Multiple-Choice-Fragen Trotz der Verschiedenartigkeit der Fragetypen, die jetzt in verschiedenen MCPExamen erscheinen, bleiben die Multiple-Choice-Fragen die Grundbausteine der Prüfungen. Die Multiple-Choice-Fragen gibt es in drei Varianten: 씰
Reguläre Multiple-Choice-Fragen: Auch als alphabetische Fragen bezeichnet. Hier müssen Sie genau eine Antwort als die Richtige auswählen.
씰
Multiple-Choice-Fragen mit mehreren richtigen Antworten: Auch als multialphabetische Fragen bezeichnet. Bei dieser Variante einer MultipleChoice-Frage müssen Sie zwei oder mehr Antworten als richtig auswählen. Normalerweise ist die Anzahl der als richtig auszuwählenden Antworten in der Fragestellung enthalten.
씰
Erweiterte Multiple-Choice-Fragen: Das ist eine reguläre Frage oder eine Frage mit mehreren Antworten, zu denen eine Grafik oder eine Tabelle gehört. Für die Beantwortung der Frage müssen Sie sich auf die Grafik oder die Tabelle beziehen.
Am Ende dieses Kapitels finden Sie Beispiele für derartige Fragen. Multiple-Rating-Fragen Diese Fragen bezeichnet man auch als Szenariofragen. Ähnlich den MultipleChoice-Fragen bieten sie erweiterte Beschreibungen der Computerumgebung und ein Problem, das zu lösen ist. Es werden erforderliche und optionale Ergebnisse der Problemlösung sowie eine Lösung spezifiziert. Dann sollen Sie beurteilen, ob die in der Lösung genannten Aktionen zum Teil oder insgesamt zu den erforderlichen und optionalen Ergebnissen führen. In der Regel gibt es nur eine korrekte Antwort. Bei Multiple-Rating-Fragen kann die gleiche Frage mehrfach in der Prüfung erscheinen, wobei durch Variationen in den geforderten Ergebnissen, den optionalen Ergebnissen oder der eingeführten Lösung eine »neue« Frage entsteht. Lesen Sie die unterschiedlichen Versionen sehr sorgfältig durch; die Unterschiede sind oft nicht auf den ersten Blick zu erkennen. Beispiele dieser Fragetypen erscheinen am Ende des Kapitels. Simulationsfragen Simulationsbasierte Fragen reproduzieren das Erscheinungsbild wesentlicher Teile von Microsoft-Produkten für einen Test. Die in MCP-Prüfungen verwendete Simulationssoftware ist so konzipiert, dass sie dem tatsächlichen Produkt soweit wie möglich entspricht. Zur Beantwortung von Simulationsfragen in einer MCP-Prü-
11.3 Tipps zur Prüfungsvorbereitung
fung gehört demnach auch, dass Sie eine oder mehrere Aufgaben lösen, die den Abläufen im eigentlichen Produkt entsprechen. Das Format einer typischen Microsoft-Simulationsfrage besteht aus einer kurzen Szenario- oder Problembeschreibung zusammen mit einer oder mehreren Aufgaben, die für die Lösung des Problems vollständig zu realisieren sind. Der folgende Abschnitt zeigt ein Beispiel einer Simulationsfrage für MCP-Prüfungen. Eine typische Simulationsfrage Auch wenn es auf der Hand zu liegen scheint, sei besonders darauf hingewiesen, dass Sie eine Simulationsfrage zuallererst sorgfältig lesen sollten (siehe dazu Abbildung 11.4). Gehen Sie nicht direkt in die Simulationsanwendung! Sie müssen das vorgestellte Problem einschätzen und die Bedingungen identifizieren, aus denen das Problemszenario besteht. Beachten Sie die durchzuführenden Aufgaben oder die Ergebnisse, die zu erreichen sind, um die Frage zu beantworten. Wiederholen Sie dann alle Instruktionen, die Ihnen sagen, wie zu verfahren ist. Abbildung 11.4 Eine typische Simulationsfrage in einer MCP-Prüfung mit Instruktionen
Im nächsten Schritt starten Sie den Simulator über die vorhandene Schaltfläche. Nachdem Sie auf die Schaltfläche SHOW SIMULATION geklickt haben, erscheint ein Merkmal des Produkts, wie es das Dialogfeld in Abbildung 11.5 zeigt. Auf den Computern des Testcenters verdeckt die Simulationsanwendung teilweise den Fragetext. Positionieren Sie ruhig den Simulator neu und wechseln Sie zwischen den Bildschirmen für den Fragetext und dem Simulator mit Tastenkombinationen, mit der Maus oder indem Sie einfach erneut auf die Startschaltfläche des Simulators klicken.
837
838
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Abbildung 11.5 Die gestartete Simulationsanwendung
Wichtig ist, dass Ihre Antwort auf die Simulationsfrage erst dann aufgezeichnet wird, wenn Sie zur nächsten Prüfungsfrage übergehen. Damit erhalten Sie die Möglichkeit, die Simulationsanwendung zu schließen und für dieselbe Frage erneut (über die Startschaltfläche) zu öffnen, ohne dass Sie eine Teilantwort verlieren, die Sie bereits gegeben haben. Im dritten Schritt verwenden Sie den Simulator wie das eigentliche Produkt, um das Problem zu lösen oder die definierten Aufgaben durchzuführen. Auch hier ist die Funktionalität der Simulationssoftware – innerhalb eines sinnvollen Bereichs – so ausgelegt wie beim eigentlichen Produkt. Erwarten Sie aber nicht, dass der Simulator ein perfektes Verhalten oder ein identisches Erscheinungsbild des Produkts reproduziert. Abbildung 11.6 zeigt die Lösung zum Beispiel des Simulationsproblems. Zwei abschließende Punkte sollen Ihnen helfen, Simulationsfragen zu lösen. Zuerst beantworten Sie nur das, worauf sich die Frage bezieht; lösen Sie keine Probleme, zu deren Lösung Sie nicht aufgefordert werden! Weiterhin sollten Sie die Frage widerspruchslos akzeptieren. Es kann durchaus sein, dass Sie zu den Bedingungen in der Problembeschreibung, der Qualität der gewünschten Lösung oder der Vollständigkeit der definierten Aufgaben eine andere Ansicht vertreten, um das Problem adäquat zu lösen. Denken Sie aber immer daran, dass sich der Test auf Ihre Fähigkeit bezieht, ob Sie das Problem so lösen können, wie es die Frage vorstellt.
11.3 Tipps zur Prüfungsvorbereitung
Abbildung 11.6 Die Lösung zum Simulationsbeispiel
Die Lösung zum Simulationsproblem, die Abbildung 11.6 zeigt, illustriert perfekt beide Punkte. Wie aus dem Frageszenario (siehe dazu Abbildung 11.4) ersichtlich ist, sollten Sie einem neuen Benutzer, FridaE, passende Berechtigungen zuweisen. Darüber hinaus sollten Sie keine weiteren Änderungen an den Berechtigungen vornehmen. Wenn Sie also die Berechtigungen des Administrators modifizieren oder entfernen, zählt das in einer MCP-Prüfung als falsch. Hot-Area-Fragen Hot-Area-Fragen verlangen, dass Sie auf eine Grafik oder ein Diagramm klicken, um eine bestimmte Aufgabe zu realisieren. Die Fragestellung unterscheidet sich kaum von einer normalen Frage, hier aber klicken Sie kein Optionsfeld oder Kontrollkästchen neben einer Frage an, sondern klicken auf das relevante Element in einem Screenshot oder einer Zeichnung. Abbildung 11.7 zeigt ein Beispiel für ein derartiges Element. Drag&Drop-Fragen Microsoft verwendet in Prüfungen zwei verschiedene Arten von Drag&Drop-Fragen. Die erste ist eine Select & Place-Frage (Auswählen und Platzieren), die andere eine Drop&Connect-Frage (Ablegen und Verbinden). Die folgenden Abschnitte gehen auf beide Typen ein. Select&Place Fragen dieses Typs erfordern in der Regel, dass Sie Beschriftungen auf ein Bild oder eine Zeichnung ziehen und dort ablegen – zum Beispiel, um einen Teil eines Netzwerks zu kennzeichnen. Abbildung 11.8 zeigt den Frageteil eines Select&Place-Elements.
839
840
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Abbildung 11.7 Eine typische HotArea-Frage
Abbildung 11.8 Eine Select&PlaceFrage
Nachdem Sie auf SELECT AND PLACE geklickt haben, erscheint das in Abbildung 11.9 gezeigte Fenster. Es enthält die eigentliche Zeichnung, in der Sie die Kästchen mit den verschiedenen Serverrollen auswählen und auf die bezeichneten Felder der betreffenden Computer ziehen. Drop&Connect Eine andere Version der Drag&Drop-Fragen sind die Drop&Connect-Fragen. Hier erstellen Sie Felder mit Beschriftungen und erzeugen verschiedenartige Verbindungslinien, mit denen Sie die Beziehungen zwischen den Feldern herstellen.
11.3 Tipps zur Prüfungsvorbereitung
Abbildung 11.9 Das Fenster mit der Zeichnung
Praktisch erzeugen Sie ein Modell oder ein Diagramm, um die Frage zu beantworten. Beispiele dafür sind ein Netzwerkdiagramm oder ein Datenmodell für ein Datenbanksystem. Abbildung 11.10 zeigt das Konzept einer Drop&Connect-Frage. Abbildung 11.10 Eine Drop&Connect-Frage
841
842
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Fragen mit einer geordneten Liste Bei Fragen mit einer geordneten Liste müssen Sie sich lediglich die Liste der Elemente ansehen und die Elemente in der passenden Reihenfolge anordnen. Sie markieren Elemente und verwenden dann eine Schaltfläche, um sie in eine neue Liste in der richtigen Reihenfolge einzutragen. Mit einer anderen Schaltfläche können Sie Elemente aus der neuen Liste entfernen, falls Sie Ihre Meinung geändert haben und die Dinge neu ordnen möchten. Abbildung 11.11 zeigt eine Frage mit einer derartigen Liste. Abbildung 11.11 Eine Frage, die als geordnete Liste zu beantworten ist
Strukturfragen Bei Strukturfragen müssen Sie in Hierarchien und Kategorien denken. Derartige Fragen fordern Sie dazu auf, Elemente aus einer Liste in Kategorien einzuordnen, die als Knoten in einer Baumstruktur erscheinen. Zum Beispiel müssen Sie Beziehungen zwischen übergeordneten und untergeordneten Elementen in Prozessen oder die Struktur der Schlüssel in einer Datenbank identifizieren. Manchmal ist auch die Reihenfolge innerhalb der Kategorien anzugeben – wie bei einer Frage mit geordneter Liste. Abbildung 11.12 zeigt eine typische Strukturfrage. Wie Sie sehen, verwendet Microsoft Fragetypen, die über das einfache Abrufen von gelernten Fakten hinausgehen. Bei diesen Fragen müssen Sie wissen, wie Sie Aufgaben realisieren, und Sie müssen Konzepte und Beziehungen verstehen. Richten Sie Ihre Prüfungsvorbereitungen vor allem auf diese Fragen aus und nicht nur auf die einfachen Fragen, die Fakten abrufen.
11.3 Tipps zur Prüfungsvorbereitung
Abbildung 11.12 Eine Strukturfrage
11.3.4
Zusammenfassung
Die folgenden Abschnitte bieten eine Reihe von Tipps, die Ihnen helfen sollen, die verschiedenen Arten von MCP-Prüfungen zu bestehen. Weitere Tipps zur Prüfungsvorbereitung Einige allgemeine Hinweise zur Prüfungsvorbereitung sind immer nützlich. Zu diesen Tipps gehören: 씰
Machen Sie sich mit dem Produkt vertraut. Praktische Erfahrung ist für jedes MCP-Examen einer der Schlüssel zum Erfolg. Wiederholen Sie die Übungen und schrittweisen Anleitungen im Buch.
씰
Machen Sie sich mit dem aktuellen Führer zur Prüfungsvorbereitung auf der MCP-Website von Microsoft (www.microsoft.com/mcp/examinfo/exams.htm) vertraut. Die Dokumentation, die Microsoft über das Web verfügbar macht, nennt auch die Fähigkeiten, die jede Prüfung testen soll.
씰
Merken Sie sich grundsätzliche technische Details, aber denken Sie daran, dass MCP-Prüfungen im Allgemeinen mehr auf die Problemlösung ausgerichtet sind. Im Vordergrund steht anwendungsbereites Wissen und nicht das Wiedergeben von auswendig gelernten Fakten.
씰
Nutzen Sie alle verfügbaren Praxistests. Absolvieren Sie den zum Buch gehörenden Test und die Tests, die Sie mit dem ExamGear auf der CD-ROM erstellen können. Als Ergänzung zum Material dieses Buches sollten Sie auch versuchen, die frei verfügbaren Praxistests auf der MCP-Website von Microsoft zu praktizieren.
843
844
Kapitel 11
씰
Tipps zur Prüfungs- vorbereitung
Sehen Sie sich auf der Website von Microsoft nach Beispielen und Demonstrationselementen um. Diese Beispiele machen Sie mit neuen Testverfahren bekannt, bevor sie Ihnen in MCP-Prüfungen begegnen.
Während der Prüfungssitzung Die folgende Übersicht bringt bewährte Tipps, die Sie während der MCP-Prüfung beherzigen sollten: 씰
Atmen Sie tief durch und entspannen Sie sich, wenn Sie eine Prüfungssitzung beginnen. Es ist sehr wichtig, dass Sie den Druck steuern, den Sie (naturgemäß) fühlen, wenn Sie Prüfungen ablegen.
씰
Sie erhalten Notizzettel. Nehmen Sie sich einen Moment Zeit, um alle sachlichen Informationen und technischen Details zu notieren, die Sie noch in Ihrem Kurzzeitgedächtnis haben.
씰
Lesen Sie sorgfältig alle Informations- und Anweisungsbildschirme. Diese Anzeigen geben Ihnen Informationen, die für die von Ihnen abgelegte Prüfung relevant sind.
씰
Nehmen Sie die Vertraulichkeitsvereinbarung und die Vorprüfung als Teil des Prüfungsprozesses an. Füllen Sie die Formulare genau aus und fahren Sie dann zügig fort.
씰
Lesen Sie die Prüfungsfragen genau. Lesen Sie jede Frage erneut, um alle relevanten Details zu erfassen.
씰
Beantworten Sie die Fragen in der Reihenfolge, in der sie präsentiert werden. Herumspringen stärkt nicht Ihr Selbstvertrauen – die Zeit läuft!
씰
Hetzen Sie nicht, halten Sie sich aber auch nicht zu lange bei schwierigen Fragen auf. Die Fragen variieren im Schwierigkeitsgrad. Lassen Sie sich nicht durch eine besonders schwere oder wortreiche Frage aus der Fassung bringen.
Prüfungen im festen Format Aufbauend auf diesen grundlegenden Vorbereitungen und Teilnahmehinweisen müssen Sie auch die Herausforderungen betrachten, die sich durch die unterschiedliche Prüfungsgestaltung ergeben. Da eine Prüfung mit festem Format aus einer festgelegten und begrenzten Menge von Fragen besteht, sollten Sie die folgenden Tipps in Ihrer Strategie für das Ablegen einer Prüfung mit festem Format berücksichtigen: 씰
Notieren Sie sich die verfügbare Zeit und die Anzahl der Fragen der zu absolvierenden Prüfung. Überschlagen Sie grob, wie viele Minuten Sie mit jeder Frage zubringen können und orientieren Sie daran Ihr Tempo durch die Prüfung.
11.3 Tipps zur Prüfungsvorbereitung
씰
Nutzen Sie die Möglichkeit, dass Sie zu Fragen zurückkehren können, die Sie übersprungen haben oder die Sie noch einmal überprüfen wollen. Notieren Sie sich die Fragen, die Sie nicht schlüssig beantworten können, auf dem Notizzettel und schreiben Sie sich auch den relativen Schwierigkeitsgrad jeder Frage auf. Am Ende der Prüfung können Sie zu den schwierigen Fragen zurückkehren.
씰
Wenn Sie alle Fragen beantwortet haben und Ihnen am Ende der Prüfungssitzung noch Zeit bleibt (und Sie nicht zu abgespannt sind!), überprüfen Sie Ihre Antworten. Achten Sie besonders auf Fragen, die viele Details enthalten oder die Grafiken erfordern.
씰
Hinsichtlich der Änderung von Antworten gilt die Faustregel: besser nicht! Wenn Sie die Frage sorgfältig und vollständig gelesen und die Antwort mit sicherem Gefühl gegeben haben, dann sollten Sie auch bei Ihrer Meinung bleiben. Stellen Sie sich nicht selbst infrage. Wenn sich bei der Überprüfung deutlich zeigt, dass etwas falsch ist, können Sie die Antwort natürlich ändern. Falls Sie aber generell unsicher sind, bleiben Sie bei Ihrer ersten Entscheidung.
Adaptive Prüfungen Wenn Sie an einer adaptiven Prüfung teilnehmen, sollten Sie folgende Zusatztipps beherzigen: 씰
Lesen und beantworten Sie jede Frage mit großer Sorgfalt. Wenn Sie eine Frage lesen, identifizieren Sie jedes relevante Detail, jede Anforderung oder Aufgabe, die Sie durchführen müssen, und prüfen Sie doppelt und dreifach Ihre Antwort, um sicher zu sein, dass Sie sich allen Einzelheiten angenommen haben.
씰
Wenn Sie eine Frage nicht beantworten können, schränken Sie die Anzahl der möglichen Antworten schrittweise ein und nehmen dann Ihre beste Schätzung. Dumme Fehler bedeuten unausweichlich, dass Sie zusätzliche Fragen erhalten.
씰
Zurückliegende Fragen können Sie sich nicht erneut ansehen und die Antworten ändern. Es gibt kein Zurück, sobald Sie eine Frage verlassen haben – ob Sie die Frage nun beantwortet haben oder nicht. Überspringen Sie keine Frage; wenn Sie es dennoch tun, zählt es als Fehler.
Prüfungen mit Fallstudien Dieses neue Prüfungsformat verlangt nach speziellen Studien- und Absolvierungsstrategien. Denken Sie bei derartigen Examen daran, dass Sie mehr Zeit haben als in einer herkömmlichen Prüfung. Nehmen Sie sich die Zeit und lesen Sie die Fallstudie gründlich durch. Verwenden Sie die Notizzettel oder das jeweils bereitgestellte
845
846
Kapitel 11
Tipps zur Prüfungs- vorbereitung
Medium, um sich Notizen zu machen, Prozesse zu skizzieren und aktiv die wichtigen Informationen herauszusuchen. Arbeiten Sie jedes Testlet wie eine unabhängige Prüfung durch. Denken Sie daran, dass Sie nicht zurückgehen können, nachdem Sie ein Testlet verlassen haben. Beziehen Sie sich auf die Fallstudie so oft wie nötig, aber missbrauchen Sie diese Möglichkeit nicht als Ersatz dafür, die Fragestellung bereits zu Anfang sorgfältig durchzulesen und sich Notizen zu machen.
11.4 Schlussbemerkungen Schließlich hat eine Reihe von Änderungen im MCP-Programm darauf Einfluss, wie oft man eine Prüfung wiederholen kann und welches Prüfungsformat man in diesen Fällen zu erwarten hat. 씰
Microsoft hat eine neue Wiederaufnahmerichtlinie für Prüfungen herausgegeben. Die neue Regel lautet »zwei und zwei, dann eine und zwei«. Das heißt, man kann jede Prüfung zweimal versuchen, ohne zeitliche Beschränkung zwischen den Versuchen. Nach dem zweiten Versuch muss man jedoch zwei Wochen warten, bevor man an dieser Prüfung erneut teilnehmen kann. Danach muss man zwei Wochen zwischen aufeinander folgenden Versuchen warten. Streben Sie an, die Prüfungen in maximal zwei Anläufen zu bestehen, oder kalkulieren Sie von vornherein mehr Zeit ein, um das MCP-Zertifikat zu erhalten.
씰
In die MCP-Prüfungen fließen ständig neue Fragen ein. Nachdem Leistungsdaten zu den neuen Fragen gesammelt wurden, wird die Prüfungskommission auf allen Prüfungsformularen die älteren Fragen ersetzen. Das bedeutet, dass sich die Fragen in den Prüfungen regelmäßig ändern.
씰
Viele der aktuellen MCP-Prüfungen werden im adaptiven Format erneut veröffentlicht. Bereiten Sie sich auf diese bedeutende Änderung im Testverfahren vor; es ist durchaus möglich, das dies das bevorzugte MCP-Prüfungsformat für die meisten Prüfungen wird. Die Prüfungen mit Fallstudien bilden hierbei die Ausnahme, da die adaptive Lösung nicht mit diesem Format in Einklang zu bringen ist.
Diese Änderungen bedeuten, dass die »gewaltsamen« Strategien für das Absolvieren von MCP-Prüfungen bald ihre Daseinsberechtigung verlieren werden. Wenn Sie also eine Prüfung nicht beim ersten oder zweiten Versuch bestehen, ist es wahrscheinlich, dass sich das Format der Prüfung bis zu Ihrem nächsten Versuch beträchtlich geändert hat. Microsoft könnte die Prüfung von einem festen Format zu einem adaptiven aktualisiert oder eine andere Gruppe von Fragen oder Fragetypen festgelegt haben.
11.4 Schlussbemerkungen
Die Absicht von Microsoft besteht nicht darin, die Prüfungen mit unerwünschten Änderungen schwieriger zu gestalten, sondern einen gültigen Maßstab für das erforderliche Wissen und die technischen Fertigkeiten eines MCP zu schaffen und aufrechtzuerhalten. Die Vorbereitungen für eine MCP-Prüfung betreffen nicht nur den Lerngegenstand an sich, sondern auch die Planung für den Testablauf. Mit den jüngsten Änderungen gilt dies mehr als sonst.
847
Musterprüfung
12
Diese Prüfung besteht aus 65 Fragen, die das Material abdecken, das Sie in den Kapiteln durchgearbeitet haben. Diese Fragen sind repräsentativ für die Art von Fragen, die Sie in der eigentlichen Prüfung erwarten können. Es ist dringend zu empfehlen, dass Sie diese Prüfung so bearbeiten, als ob sie wie eine echte Prüfung im Prüfungszentrum stattfinden würde. Setzen Sie sich Zeitgrenzen, lesen Sie sorgfältig und beantworten Sie alle Fragen nach bestem Wissen. Bei den meisten Fragen werden nicht nur Fakten abgefragt. Sie erfordern Denkarbeit auf Ihrer Seite, damit Sie die beste Antwort finden. Viele Fragen sind nicht ganz eindeutig und müssen sorgfältig und gründlich durchgelesen werden, bevor Sie versuchen, sie zu beantworten. Arbeiten Sie die Prüfung durch. Wenn Sie bei einer Frage daneben liegen, gehen Sie das zugehörige Material noch einmal durch.
12.1 Prüfungsfragen 1. Sabine arbeitet derzeit bei der Schreibwerk GmbH an der Konfiguration von DNS für die Kompatibilität mit Windows 2000. Auf dem Server läuft Windows 2000 Advanced Server, und Sabine will diesen Server für die Erstinstallation der Active Directory-Infrastruktur verwenden. Nach der Konfiguration des Servers versucht sie, den ersten Domänencontroller zu installieren. Während der Installation wird sie gefragt, ob ein DNS-Server installiert werden soll. Sie entscheidet sich dagegen. Nach dem Neustart des Systems erhält sie Fehlermeldungen, dass der Netlogon-Dienst nicht gestartet werden kann. Was sollte sie tun, um dieses Problem zu beheben? A. Einen DNS-Server auf dem Domänencontroller installieren. B. Die TCP/IP-Eigenschaften konfigurieren. C. Mit DCPROMO den Server herabstufen und dann mit DCPROMO wieder heraufstufen und dieses Mal die Installation des DNS-Servers akzeptieren.
850
Kapitel 12
Musterprüfung
D. Sie muss den DNS-Dienst manuell auf dem neuen Domänencontroller starten, weil er standardmäßig für den manuellen Start konfiguriert ist. 2. Johanna ist Consultant und hilft der Weingärtnergenossenschaft Beutelsberg bei der Aktualisierung des Netzwerks von Windows NT 4.0 auf Windows 2000. Das Netzwerk besteht aus 70 Domänencontrollern und 3400 Clients. Die Clients wurden auf Windows 2000 Professional aktualisiert, und die Mitgliedsserver einschließlich der DNS- und WINS-Server wurden auf Windows 2000 Server oder Windows 2000 Advanced Server aktualisiert. Der Prozess ist bisher gut gelaufen, und der letzte Schritt ist die Aktualisierung der Domänencontroller, wofür etwa 10 Tage veranschlagt sind. Johanna startet den Vorgang an einem Samstagmorgen durch Aktualisierung des PDC. Nach dem Neustart des Systems kann der Netlogon-Dienst nicht gestartet werden. Johanna prüft alle Einstellungen im System, und alles ist in Ordnung. Was sollte sie als Nächstes prüfen? A. Sie muss prüfen, ob der DNS-Server Aktualisierungen zulässt. B. Sie muss den DNS-Dienst auf dem Domänencontroller installieren. C. Sie hätte die Aktualisierung mit einem BDC beginnen sollen. D. Sie muss das Programm SYSPREP ausführen, bevor sie die Aktualisierung durchführt. 3. Die Firma Factron Inc. ist dabei, ihr Netzwerk auf Windows 2000 zu aktualisieren. Es wurde begonnen, die DNS-Server, eine Mischung aus BIND- und Windows-NT-basierten DNS-Servern, auf Windows-2000-basierte DNS-Server zu aktualisieren. Die Firma hat sieben Standorte in ganz Nordamerika, und der Haupt-DNS-Server steht in der Zweigstelle Vancouver. Die anderen Standorte sind in Calgary und Toronto. Es gibt drei DNS-Server in der Zweigstelle Vancouver, zwei in Calgary und vier in Toronto. Derzeit erhalten alle sekundären Server die Zonendatei vom primären. Die DNS-Server sollen auf Active Directory-integriert umgestellt werden, sobald in allen drei Büros Domänencontroller stehen. Bis dahin wird jedoch die primäre Standardzone benutzt. Der Administrator von Factron Inc. fragt Sie, was zu tun ist, um während der Aktualisierung auf Windows 2000 die Anzahl von Aktualisierungen über WAN-Verbindungen zu verringern. Was empfehlen Sie? A. Einen sekundären Server an jedem Standort als Master konfigurieren. B. Die Lebensdauer der Einträge ändern. C. Alle Systeme im Netzwerk so konfigurieren, dass sie einen zentralen Server verwenden.
12.1 Prüfungsfragen
D. Es ist nichts zu machen, bis die Zone als Active Directory-integriert konfiguriert ist. 4. Bärbel entwirft die DNS-Struktur zur Unterstützung der Umstellung von Windows NT 4.0 und Solaris 2.7 auf eine reine Windows-2000-Umgebung. Derzeit befinden sich die DNS-Server auf einem Solaris-2.7-System mit einer BIND-Version, die SRV-Datensätze und dynamische Aktualisierungen unterstützt. Sie plant den Einsatz der vorhandenen DNS-Server während der Aktualisierung, und danach den Umstieg auf die Windows-2000-Server-Version von DNS. Sie möchte eine Active Directory-integrierte Zone auf den DNS-Servern einsetzen, wenn die Windows-2000-Domänencontroller vollständig bereitgestellt sind. Sie konfiguriert die DNS-Server so, dass die Zonendatei alle zwei Stunden statt der standardmäßigen 15 Minuten übertragen wird. Später, nachdem die Domänencontroller aktualisiert wurden und sie die Zone auf Active Directory-integriert umgestellt hat, stellt sie fest, dass die Aktualisierungen in den Zonendateien in kürzeren Abständen als zwei Stunden übertragen werden. In manchen Fällen scheinen die Änderungen schon nach weniger als 5 Minuten anzukommen. Was soll sie tun? A. Beim Konfigurieren der Zone als Active Directory-integriert wurde der Standardzeitplan für die Übertragungen zurückgesetzt. Sie braucht nur diese Informationen erneut zu ändern. B. Weil die Zone Active Directory-integriert ist, wird die Replikation nun von Active Directory durchgeführt. Deshalb braucht sie nichts zu tun. C. Weil die Zone nun Active Directory-integriert ist, muss sie die Replikationszeit für die DNS-Datensätze über NTDS-Einstellungen im Snap-In ACTIVE DIRECTORY-STANDORTE UND -DIENSTE einstellen. D. Weil die Zone nun Active Directory-integriert ist, muss sie die Replikationszeit für die DNS-Datensätze über NTDS-Einstellungen im Snap-In ACTIVE DIRECTORY-BENUTZER UND -COMPUTER einstellen. 5. Sie sind Consultant bei Gimmick Import. Sie haben während der Umstellung auf Windows 2000 in der Administration gearbeitet. Das Netzwerk ist in geografische Bereiche aufgeteilt, und gelegentlich werden Benutzer von einem Büro in ein anderes versetzt. Im alten Netzwerk wäre der Benutzer mit Hilfe eines Programms von einem Drittanbieter in einer Domäne gelöscht und in einer anderen Domäne hinzugefügt worden. Heidi, eine der Netzwerkadministratorinnen, hat soeben den Auftrag erhalten, einen Benutzer vom Berliner Büro in das Münchner Büro zu versetzen. Dazu muss der Benutzer von der Domäne DEOst in die Domäne DESued versetzt werden. Heidi hat Sie um Hilfe gebeten, weil sie anscheinend nicht in der Lage ist, dies in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER durchzuführen. Was sollten Sie ihr empfehlen?
851
852
Kapitel 12
Musterprüfung
A. Sie muss sich die Aktualisierung des vorher benutzten Programms vom Drittanbieter besorgen. B. Sie muss im Dialogfeld VERSCHIEBEN als neuen Pfad den vollständig angezeigten Namen eingeben. C. Sie muss das Programm MOVETREE zum Verschieben des Benutzers verwenden. D. Sie muss den Benutzer löschen und in der anderen Domäne neu erstellen. 6. Jenny hat soeben einen neuen Standort erstellt und die Subnetze zu dem Standort im Netzwerk von Wackelzahn-Spielwaren hinzugefügt. Die Benutzer beschweren sich, dass der Anmeldevorgang nun länger dauert als normal. Was soll Jenny tun, um das Problem zu beheben? A. Sie muss dem neuen Standort einen DNS-Server hinzufügen. B. Sie muss dem neuen Standort einen DC hinzufügen. C. Sie muss dem Standort einen Anmeldungs-Proxy hinzufügen. D. Sie muss gar nichts tun. Dies ist eine Folge der Verwendung von Standorten. 7. Sie haben ein Problem mit einem Computer im Netzwerk, der sich nicht beim DNS-Server registrieren lässt. Das System ist Bestandteil einer Organisationseinheit, und Sie arbeiten mit einem Benutzer zusammen, der Administratorrechte für die Organisationseinheit erhalten hat, um das Problem zu lösen. Wenn der Computer beim Start versucht, seinen Namen beim DNS-Server registrieren zu lassen, erhalten Sie einen Berechtigungsfehler im Ereignisprotokoll auf dem DNS-Server und einen Fehler in der Liste der Ereignisanzeige auf dem System. Wenn Sie sich jedoch anmelden und das Programm IPCONFIG zum Registrieren des Namens verwenden, funktioniert es. Was sollten Sie als Nächstes prüfen? A. Sie sollten prüfen, ob das System ein DHCP-Client ist. B. Sie sollten die Berechtigungen für das Active Directory-Objekt prüfen. C. Sie sollten prüfen, ob der DNS-Server für das Akzeptieren von Aktualisierungen konfiguriert ist. D. Sie sollten prüfen, ob das Computerkonto in Active Directory existiert. 8. Sie sind Administrator des Netzwerks der Schreibwerk GmbH. Sie haben eben den Austausch eines Systems abgeschlossen, das wegen eines Festplattenfehlers abgestürzt war. Sie haben das System ausgewechselt und mit
12.1 Prüfungsfragen
DCPROMO wieder zum Domänencontroller gemacht. Im Laufe des Tages versuchen Sie, ein neues Personalmanagementsystem zu installieren, und die Installation schlägt fehl. Es wird gemeldet, dass eine Klasse nicht erstellt werden konnte, die zur Ausführung der Software im Netzwerk vorhanden sein muss. Was sollten Sie tun, damit Sie die Software installieren können? (Wählen Sie zwei.) A. Sie sollten sich unter dem lokalen Systemkonto auf dem Computer anmelden, auf dem Sie die Software installieren möchten. B. Sie sollten sich unter einem Konto von Organisations-Admins anmelden, um die Software zu installieren. C. Sie sollten sicherstellen, das der Schemamaster verfügbar ist und Modifikationen erlaubt. D. Sie sollten die Funktion Schema-Master entziehen, weil das abgestürzte System Schema-Master gewesen sein muss. E. Sie sollten sich als Organisations-Admin anmelden und die Berechtigungen überprüfen. 9. Sie sind Administrator eines Windows-2000-Netzwerks. Es ist ein kleines Netzwerk mit fünf Domänencontrollern und einem Dutzend Windows-2000basierten Servern. Es gibt 400 Clients im Netzwerk, alle mit Windows 2000 Professional. Die Benutzer beschweren sich, dass Anmeldungen länger dauern als gewöhnt, und dass der Zugriff auf Netzwerkserver zeitweise ebenfalls langsam ist. Sie müssen diese Probleme beheben, und Sie haben die Replikation in Verdacht. Was sollten Sie tun, um das Problem zu beheben? A. Das Netzwerk in zwei oder mehr Standorte aufteilen. B. Das Netzwerk in zwei oder mehr Domänen aufteilen. C. Das Netzwerk in zwei oder mehr Organisationseinheiten aufteilen. D. Die Anzahl von Servern um zwei verringern. 10. Sie müssen den Server offline nehmen, der momentan Schema- und Domänennamen-Betriebsmaster ist. Das System wird längere Zeit offline sein, und Sie möchten die Betriebsmasterfunktionen auf einen anderen Computer übertragen. Welche der folgenden Programme werden Sie dazu benötigen? (Wählen Sie alle zutreffenden aus.) A. ACTIVE DIRECTORY-BENUTZER UND -COMPUTER B. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE
853
854
Kapitel 12
Musterprüfung
C. ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN D. ACTIVE DIRECTORY-SCHEMA E. Das Befehlszeilenprogramm NTDSUTIL F. Das Snap-In COMPUTERVERWALTUNG G. Das Snap-In DNS 11. Nach mehreren Meetings mit der Abteilung Engineering bei Weisnix Research hat das Management beschlossen, der Engineeringabteilung die Verantwortung für die Computer und Benutzer dieser Abteilung zu übertragen. Es gibt 280 Computer und Benutzer, die alle am Engineering-Standort untergebracht sind, und die Sie nun in eine neu erstellte Organisationseinheit überführen müssen. Dazu haben Sie das ganze Wochenende Zeit. Wie sollten Sie es angehen? A. Die Benutzer per Drag&Drop in die neue Organisationseinheit ziehen. B. Den Befehl VERSCHIEBEN im Kontextmenü verwenden. C. Eine Gruppe erstellen, die alle Engineering-Mitarbeiter enthält, und diese in die neue Organisationseinheit verschieben. D. Mit dem Befehl SUCHEN die Benutzer am Engineering-Standort suchen, die Namen überprüfen und dann mit dem Befehl VERSCHIEBEN im Kontextmenü verschieben. 12. Sie fahren Ihre Windows-2000-Domäne im gemischten Modus, weil Sie immer noch etliche Domänencontroller mit Windows NT 4.0 haben. Derzeit gibt es in der Domäne acht Windows-2000-Domänencontroller und vier Reservedomänencontroller mit Windows NT 4.0. Viele Systeme, darunter Mitgliedsserver und Client-Workstations, wurden in den letzen Tagen auf Windows 2000 aktualisiert. Ein Benutzer beschwert sich telefonisch, dass er sich nicht bei der Domäne anmelden kann. Er hat vor 10 Minuten sein Kennwort geändert, und dann fiel im Büro der Strom aus. Der Benutzer muss in das Netzwerk, weil er eine wichtige Nachricht vom Athener Büro erwartet. Der Benutzer befindet sich in einem Segment, das nicht aktualisiert wurde, d.h. der nächste Domänencontroller ist ein Windows-NT-4.0-Computer, und der Client hat Windows 98. Was sollten Sie als Nächstes tun, damit der Benutzer sich beim Netzwerk anmelden kann? A. Die Replikation in der gesamten Domäne mittels ACTIVE DIRECTORYSTANDORTE UND -DIENSTE erzwingen.
12.1 Prüfungsfragen
B. Die Windows-NT-4.0-Domänencontroller mit Hilfe des globalen Katalogs zur Replikation zwingen. C. Die Replikation zwischen den Domänencontrollern und dem PDC-Emulator erzwingen. D. Mit Hilfe von ACTIVE DIRECTORY-STANDORTE kation über Standortverknüpfungen erzwingen.
UND
-DIENSTE die Repli-
13. Sie sind Administrator in einem Netzwerk, und Ihr Vorgesetzter hat Sie gebeten, einen Computer von der Domäne Engineering im Standort West7 zu einem Server für den globalen Katalog heraufzustufen. Was müssen Sie tun? A. Die NTDS-Einstellungen für einen geeigneten Controller bearbeiten. B. Die Gruppenrichtlinien für die Organisationseinheit Engineering bearbeiten und diesem einen Computer nur die Berechtigung Anwenden gewähren. C. Dies muss in der Registrierung erledigt werden. D. Sie müssen das System neu installieren. 14. Das Netzwerk war in den letzten drei Tagen langsam. Zunächst dachten Sie, dass dies an dem von den Aktualisierungen verursachten Datenverkehr lag. Sie haben jedoch heute keine Aktualisierung durchgeführt, und trotzdem ist das Netzwerk langsam. Welches Tool sollten Sie verwenden, um die Ursache des Problems zu ermitteln? A. Systemmonitor auf den Servern für den globalen Katalog einsetzen. B. Systemmonitor auf den Domänencontrollern einsetzen. C. Netzwerkmonitor auf irgendeinem System einsetzen. D. Netzwerkmonitor auf einem Domänencontroller einsetzen. 15. Ihre Firma ist an fünf Standorten in ganz Deutschland vertreten. Es gibt eine Zentrale, in der die IT-Abteilung angesiedelt ist, und vier Zweigstellen, die sich um Verkauf und Lieferung kümmern. Die Firma möchte die zentrale Kontrolle über die Ressourcen und Benutzer in der Zentrale behalten, aber in jeder Zweigstelle soll es Benutzer geben, die Kontrolle über die Kennwortänderungen haben und sich um Drucker- und Freigabeprobleme kümmern sollen. Was ist die beste Möglichkeit, dies zu implementieren? A. Erstellung einer Stammdomäne in der Zentrale mit einer untergeordneten Domäne für jede Zweigstelle.
855
856
Kapitel 12
Musterprüfung
B. Erstellung einer Stammdomäne in der Zentrale und einer weiteren Stammdomäne in jeder Zweigstelle in einer jeweils eigenen Gesamtstruktur. C. Erstellung einer Stammdomäne in der Zentrale und jeweils einer weiteren für jede Zweigstelle. Dann wird für jede Zweigstelle in der Zweigstellendomäne eine Organisationseinheit erstellt. Ein Teil der Kontrolle über die Organisationseinheit wird jeweils an einen Mitarbeiter in den Zweigstellen delegiert. D. Erstellung einer Stammdomäne in der Zentrale und eines Standorts für jede Zweigstelle. Die Kontrolle über einen Standort wird nach Bedarf delegiert. 16. Während einer kürzlich durchgeführten Bereinigung alter Konten hat ein junger Administrator versehentlich eine ganze Organisationseinheit gelöscht, welche die Konten für Benutzer enthielt, die für längere Zeit außer Haus sind, aber zurückkommen. Sie wissen, dass einige der Benutzer EFS verwendet haben, und andere über sehr spezielle Berechtigungen verfügt haben, sodass die Neuerstellung der Konten lange dauern würde und u.U. nicht praktikabel ist. Sie möchten die Konten wieder herstellen. Was sollten Sie tun? (Wählen Sie zwei.) A. Eine Wiederherstellung aus einer Systemsicherung durchführen. B. Eine Wiederherstellung aus einer Systemstatussicherung durchführen. C. Mit dem Verzeichnisdienste-Programm die USN für das Objekt erhöhen. D. Vor der Wiederherstellung mit ACTIVE DIRECTORY-BENUTZER -COMPUTER die Organisationseinheit erneut erstellen.
UND
E. Mit dem Verzeichnisdienste-Programm die erneut erstellte Organisationseinheit speichern. 17. Ihr Netzwerk ist in 12 verschiedene Standorte aufgeteilt. Von den 12 Standorten sind 11 im selben Netzwerk an einem Standort, und einer befindet sich an einem entfernten Standort, der mittels RRAS und bei Bedarf wählendem Routing über ein VPN im Internet Zugang zum Zentralstandort hat. Sie möchten gewährleisten, dass die Replikation zwischen allen Standorten funktioniert. Was sollten Sie tun? A. In jedem Standort Verbindungsobjekte zwischen Controllern erstellen. B. Die Standortverknüpfungen erstellen und die korrekten Werte für Kosten und Verfügbarkeit zuordnen.
12.1 Prüfungsfragen
C. Die nötigen Standortverknüpfungen und Standortverknüpfungsbrücken erstellen. D. Die nötigen Standortverknüpfungen und Standortverknüpfungsbrücken erstellen und dann Verbindungen zwischen Servern an unterschiedlichen Standorten herstellen. 18. Sie haben in Ihrem Netzwerk ein entferntes Büro, das mit der Zentrale über eine Frame-Relay-Verbindung mit 256 Kb/s verbunden werden soll, bevor Sie Windows 2000 einführen. Sie planen die Verbindungen mit diesem Büro über Active Directory. Nach dem aktuellen Datenverkehr zwischen den Büros zu urteilen, erwarten Sie, dass der Datenverkehr tagsüber 90% und nachts (18 Uhr bis 6 Uhr) 20% der Bandbreite konsumiert. Sie möchten sicherstellen, dass Ihre Benutzer die Bandbreite bekommen, die sie brauchen. Was sollten Sie konfigurieren? A. Ein Skript erstellen, welches das Verbindungsobjekt abends hinzufügt und morgens entfernt. Das Skript mit Hilfe des Taskplaners ausführen. B. Eine Standortverknüpfung erstellen und mit zwei Zeitplänen konfigurieren. C. Eine Standortverknüpfungsbrücke erstellen und den betreffenden Standort jeden Morgen und jeden Abend ändern. D. Zwei Standortverknüpfungen mit unterschiedlichen Zeitplänen erstellen. 19. Ein Domänencontroller in Ihrem Netzwerk ist soeben abgestürzt. Er war Bestandteil des Standorts »Produktion« in der Domäne Bremen. Zum Glück war er kein Betriebsmaster. Sie haben einen anderen Server mit der gleichen Konfiguration und müssen den Domänencontroller schnell wiederherstellen, weil er nur einer von zweien an diesem Standort war. Sie bringen den Server zum Standort und installieren Windows 2000 Server. Was müssen Sie tun, um den Server wiederherzustellen? A. Mit DCPROMO den Server zum Domänencontroller heraufstufen. B. Mit DCPROMO den Server zum Domänencontroller heraufstufen und dann eine Wiederherstellung von einer Datensicherung durchführen. C. Den Modus VERZEICHNISDIENSTE WIEDERHERSTELLEN im (F8)-Menü aktivieren und dann den Domänencontroller von einer Sicherung auf Band wiederherstellen. D. Den Modus VERZEICHNISDIENSTE WIEDERHERSTELLEN im (F8)-Menü aktivieren und dann eine nachdrückliche Wiederherstellung durchführen.
857
858
Kapitel 12
Musterprüfung
20. Sie sind Administrator im Netzwerk der Schreibwerk GmbH. Sie sind für einen Bereich des physischen Netzwerks verantwortlich, das 10 Standorte umfasst. Die Benutzer in einem der Standorte beschweren sich, dass der Anmeldevorgang viel länger dauert als normal. Es gibt zwei Domänencontroller in diesem Standort: einen für die Stammdomäne, die in erster Linie für DNS und den globalen Katalog verwendet wird, und einen für die Domäne Human Resources. Was sollten Sie als Nächstes tun, um das Problem einzukreisen? A. Mit dem Systemmonitor die Domänencontroller überprüfen. B. Mit dem Netzwerkmonitor nachsehen, wie viel Datenverkehr auf dem Netzwerk herrscht. C. Mit dem Befehlszeilenprogramm NBTSTAT den Serverstatus überprüfen. D. Die beiden Server neu aufbauen. 21. Sie versuchen, im Rahmen Ihrer Einführung von Windows 2000 den ersten Domänencontroller in der ersten Domäne zu installieren. Derzeit gibt es eine Windows-NT-4.0-Domäne namens ScribercoNT. Im Laufe der Jahre hat diese Domäne jedoch etliche Administratoren über sich ergehen lassen, und Sie beschließen, jetzt reinen Tisch zu machen und mit Ihrer Organisation von 100 Leuten von vorne anzufangen. Sie starten das Programm DCPROMO und beginnen mit der Installation der Domäne, nachdem Sie Scriberco.lokal als Domänennamen eingegeben haben. Das System pausiert längere Zeit und kommt dann mit einer Warnung, dass der kompatible Domänenname Scriberco0 ist, weil eine Domäne Scriberco bereits im Netzwerk existiert. Was sollten Sie tun, um dies zu korrigieren? A. Den Namen der neuen Domäne ändern. B. Die Protokolle ändern, die Sie in der NT-4.0-Domäne installiert haben, damit sie nicht TCP/IP benutzt. C. Die Domänencontroller für die Domäne Scriberco suchen und offline nehmen. D. Den vorgeschlagenen Namen akzeptieren. 22. Sie möchten die Hardware eines Domänencontrollers aktualisieren, der in einer von Ihnen verwalteten Domäne eingesetzt wird. Sie erhalten die Teile und führen die Aktualisierung am Wochenende durch. Danach bittet Ihr Chef Sie, den Wert der Aktualisierung zu beziffern. Welches Tool sollten Sie verwenden?
12.1 Prüfungsfragen
A. Sie sollten das Programm Systemmonitor verwenden. B. Sie sollten den Netzwerkmonitor verwenden. C. Sie sollten die Registerkarte ÜBERWACHEN im Dialogfeld EIGENSCHAFTEN für den Server verwenden. D. Sie sollten den Task-Manager verwenden. 23. Sie sind dabei, die Leistung eines Domänencontrollers zu überwachen. Dieser war in letzter Zeit langsam, und die Festplattenanzeige leuchtet die meiste Zeit. Welche Leistungsindikatoren sollten Sie im Systemmonitor berücksichtigen? (Wählen Sie zwei.) A. Speicher B. CPU C. Physische Festplatte D. Netzwerksegment E. Task-Manager 24. Sie versuchen, im Snap-In ACTIVE DIRECTORY-STANDORTE UND -DIENSTE einen Standort zu erstellen. Der zu erstellende Standort soll Minn heißen. Welche Information außer dem Namen benötigen Sie noch? A. Sie benötigen die Standortverknüpfung, zu der er gehören soll. B. Sie benötigen die Informationen über das erste Subnetz, das zu diesem Standort gehören soll. C. Sie benötigen den Namen eines Domänencontrollers, der zu diesem Standort gehören soll. D. Sie brauchen außer dem Namen nichts zu wissen. 25. Sie sollen Ihr Netzwerk in den nächsten Monaten auf Windows 2000 aktualisieren. Sie studieren die Anforderungen an den DNS-Server, der für die Windows-2000-Domäne benutzt werden soll, weil Sie immer noch mehrere Server mit UNIX haben. Sie möchten wissen, ob Sie die DNS-Server auf das System Windows 2000 umstellen müssen, oder ob diese weiterhin unter UNIX einsetzbar sind. Welche sind die Anforderungen an DNS, damit es mit Active Directory funktioniert? A. Der DNS-Server muss SRV-Datensätze unterstützen. B. Der DNS-Server muss inkrementelle Übertragungen unterstützen.
859
860
Kapitel 12
Musterprüfung
C. Der DNS-Server muss Aktualisierungen unterstützen. D. Der DNS-Server muss sichere Aktualisierungen unterstützen. 26. Sie haben zu einem vor kurzem von Windows NT 4.0 Server auf Windows 2000 Server aktualisierten Druckserver Drucker hinzugefügt. Die soeben hinzugefügten fünf neuen Drucker funktionieren, und wenn Sie in Active Directory prüfen, sind sie alle aufgelistet. Sie bemerken, dass die anderen beiden Drucker am System nicht aufgelistet sind. Was sollten Sie tun, damit diese Drucker in Active Directory angezeigt werden? A. Im Dialogfeld EIGENSCHAFTEN für die Drucker auf der Registerkarte ACTIVE DIRECTORY sicherstellen, dass die Option IM VERZEICHNIS ANZEIGEN aktiviert ist. B. Im Dialogfeld EIGENSCHAFTEN für die Drucker auf der Registerkarte FREIGABE sicherstellen, dass die Option IM VERZEICHNIS ANZEIGEN aktiviert ist. C. Sie müssen den Drucker in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER installieren. D. Sie müssen die Drucker entfernen und wieder hinzufügen. 27. Ein älteres Windows-98-System läuft auf einem Pentium 133, d.h. Sie können das System nicht auf Windows 2000 aktualisieren. Sie möchten sicherstellen, dass vorhandene Benutzer den angeschlossenen Drucker während des mehrmonatigen Aktualisierungsprozesses benutzen können. Sie möchten aber auch, dass Windows-2000-Benutzer damit arbeiten können. Was sollten Sie unternehmen? A. Den Drucker als lokalen Drucker auf einem Windows-2000-Server erstellen und als Anschluss den Netzwerknamen des vorhandenen Druckers einstellen. B. Den Drucker als Netzwerkdrucker auf einem Windows-2000-Server erstellen und als Netzwerkadresse den Netzwerknamen des vorhandenen Druckers einstellen. C. Das Druckerobjekt in Windows 2000 Active Directory erstellen. D. Sie können den Drucker auf einem Windows-98-System nicht freigeben und müssen ihn mindestens zu einem Windows-NT-4.0 Server verschieben.
12.1 Prüfungsfragen
28. Sie konfigurieren den Sicherungszeitplan für einen Windows-2000-Server. Sie wollen alle Daten einschließlich der Systemstatusdaten auf einem Remoteserver mit genügend Speicherplatz sichern. Laut Richtlinien müssen Sie wöchentlich eine Vollsicherung und montags bis freitags jeweils eine differenzielle Sicherung durchführen. Sie konfigurieren die Vollsicherung für wöchentliche Ausführung mit Überschreiben der Sicherung der letzen Woche. Dann testen Sie, und alles läuft einwandfrei. Nun konfigurieren Sie die differenziellen Sicherungen. Wie viele Tasks sollten Sie konfigurieren? A. 1 B. 2 C. 5 D. 260 29. Es ist Donnerstag, und einer der Mitgliedsserver in Ihrem Netzwerk ist abgestürzt. Sie müssen den Server von der Sicherung wiederherstellen. Sie haben die Laufwerke ersetzt und Windows 2000 Advanced Server neu geladen. Sie nehmen den Server in die Domäne auf und sind nun so weit, von Band wieder herzustellen. Es gibt eine normale Sicherung von Sonntagmorgen und differenzielle Sicherungen von Montag, Dienstag und Mittwochnacht. Welche sollten Sie laden? (Wählen Sie zwei.) A. Sie sollten die normale Sicherung laden. B. Sie sollten die differenzielle Sicherung vom Montag laden. C. Sie sollten die differenzielle Sicherung vom Dienstag laden. D. Sie sollten die differenzielle Sicherung vom Mittwoch laden. 30. Ihre Firma hat derzeit DNS-Server im Einsatz, die mit den in der gesamten Organisation verwendeten UNIX-Servern und -Workstations verwendet werden. Sie werden in Kürze Windows 2000 mit Active Directory zum Netzwerk hinzufügen, und Sie müssen neben der Möglichkeit, mit Windows 2000 zu arbeiten, eine Lösung für die derzeitigen UNIX-Server und -Workstations anbieten. Sie wissen bereits, dass die verwendete BIND-Version keine SRVDatensätze unterstützt und mit Active Directory nicht funktioniert. Was ist die einfachste Möglichkeit, dieses Problem zu lösen? A. Windows-2000-Server als DNS-Server in Ihrem Unternehmen einsetzen. B. Die BIND-Version aktualisieren, damit sie in Active Directory benutzt werden kann.
861
862
Kapitel 12
Musterprüfung
C. Eine sekundäre Zonendatei für die existierende Zone auf den Windows2000-Servern erstellen. Die anderen Windows-2000-DNS-Server sollen diese als Masterserver benutzen. D. Den Windows-2000-DNS-Server so konfigurieren, dass er den UNIXServer als Weiterleiter verwendet. 31. Sie stellen fest, dass Sie häufig (etwa ein- bis zweimal die Woche) neue Benutzer für die Verkaufsabteilung erstellen müssen. Sie möchten die Erstellung der Konten so einfach wie möglich machen. Was sollten Sie tun? A. Eine Textdatei mit allen Einstellungen für den Verkauf erstellen und, nach Bearbeitung für jedes neue Konto, in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER importieren. B. Ein Pseudokonto für den Verkauf erstellen, das deaktiviert ist. Dieses Konto kopieren, wenn ein neuer Benutzer erstellt werden soll. C. Mittels Gruppenrichtlinien die Kontoinformationen für die gesamte Organisationseinheit festlegen und dann nur elementare Benutzer erstellen. D. Mit Hilfe des Befehls net user eine Stapeldatei erstellen. 32. Sie möchten die von einem Prozess verbrauchte CPU-Zeit sehen. Welche ist die schnellste Möglichkeit zur Ermittlung dieses Werts? A. Verwendung des Programms Systemmonitor. B. Verwendung des Befehls NET STATISTICS. C. Verwendung von Task-Manager. D. Verwendung des Tools Systeminformationen. 33. Einer der jüngeren Systemadministratoren hat erfolglos versucht, ein Schema zu ändern. Er hatte vermutet, dass der Schema-Master ausgefallen war, und dachte, es wäre besser, die Funktion Schema-Master zu entziehen. Sie finden das heraus, geben dem Jungoperator 80.000 Disketten zum Formatieren und machen sich an die Lösung des Problems. Was müssen Sie tun? A. Sie müssen den ehemaligen Schema-Master offline nehmen und das Laufwerk neu formatieren. Dann müssen Sie das Schema überprüfen. B. Sie müssen die Änderung des jungen Operators rückgängig machen und dann die Funktion wieder auf den Schema-Master ziehen. Danach müssen Sie die ursprünglich geplante Änderung vornehmen.
12.1 Prüfungsfragen
C. Sie müssen die Funktion auf dem ehemaligen Schema-Master an sich ziehen und dann das Laufwerk auf dem System formatieren, das die Funktion entzogen hatte. D. Sie müssen das gesamte Active Directory neu installieren. 34. Sie haben soeben den ersten Domänencontroller in Ihrer Active DirectoryGesamtstruktur installiert. Nach dem Neustart des Systems überprüfen Sie, ob die Active Directory-Tools im Menü VERWALTUNG angezeigt werden, und ob Ihr Computer im Container DOMÄNENCONTROLLER von Active Directory zu finden ist. Sie öffnen die DNS-Konsole und erweitern Ihren Server, der in der Liste aufgeführt ist. Sie sehen den Namen Ihrer Forward-Lookupzone und erweitern diese. Es gibt zwei Einträge, aber die Active Directory-Einträge sind nicht aufgeführt. Was sollten Sie tun? (Wählen Sie alle zutreffenden.) A. Mit dem Befehl IPCONFIG /REGISTERDNS Ihren Computer registrieren. B. Den DNS-Serverdienst stoppen und wieder starten. C. Den Serverdienst stoppen und wieder starten. D. Den Netlogon-Dienst stoppen und wieder starten. E. Ihre Netzwerkidentifikation überprüfen. F. Ihre TCP/IP-Einstellungen überprüfen und auf sich selbst als DNS-Server verweisen. G. Mit dem Befehl NSLOOKUP/REGISTERDNS Ihre Domäne registrieren. 35. Sie sind dabei, die administrative Verantwortung für eine Organisationseinheit an eine Benutzerin namens Sandra zu delegieren, die bei der Verwaltung von Benutzerkonten in der Domäne helfen soll. Mit Hilfe des Assistenten zum Zuweisen der Objektverwaltung erlauben Sie der Benutzerin, Kennwörter zurückzusetzen und Benutzerattribute zu ändern. Als Sandra später versucht, ein Kennwort zurückzusetzen, ist dies nicht möglich, obwohl sie bei anderen Benutzern erfolgreich war. Sie erzählt Ihnen dies am Telefon und bittet Sie, das Kennwort zurückzusetzen. Dies gelingt Ihnen, und Sie sagen ihr, Sie werden sich das genauer ansehen. Was sollten Sie überprüfen? A. Sie sollten die Berechtigungen an der delegierten Organisationseinheit überprüfen. B. Sie sollten die Berechtigungen für Sandras Konto überprüfen.
863
864
Kapitel 12
Musterprüfung
C. Sie sollten die Berechtigungen für das Konto Benutzer überprüfen. D. Sie sollten den Assistenten zum Zuweisen der Objektverwaltung erneut ausführen. 36. Sie sind dabei, in der Domäne Computerobjekte zu erstellen, damit die jüngeren Techniker Systeme installieren können. Beim Hinzufügen eines Computerkontos kommen Sie an einen Punkt, an dem Sie keine neuen Computer hinzufügen können. Was könnte das Problem sein? A. Sie haben das Limit für die Anzahl von Objekten in Active Directory erreicht. B. Sie haben das Limit für die Anzahl von Objekten in einer Organisationseinheit erreicht. C. Ihnen sind die relativen Kennungen ausgegangen, und Sie sollten den Betriebsmaster überprüfen. D. Ihre Sitzung auf dem Domänencontroller wurde abgebrochen. 37. Sie versuchen, Remote-Installationsdienste auf Ihrem Windows-2000-Server-Computer zu installieren, und erhalten eine Fehlermeldung, die besagt, dass RIS auf dem Computer nicht installiert werden kann. Was ist die wahrscheinlichste Ursache des Problems? A. DHCP ist nicht auf dem Server installiert. B. Der Computer gehört nicht zu einer Active Directory-Domäne. C. DNS ist nicht auf dem Computer installiert. D. Der Computer gehört nicht zu einer Arbeitsgruppe. E. Der Computer enthält keine PXE-fähige Netzwerkkarte. 38. Sie entwerfen eine Gruppenrichtlinienstruktur mit zwei GPOs, eine auf Domänenebene und die andere auf Ebene der Organisationseinheit Verkauf. 씰
Auf Domänenebene legen Sie ein Hintergrundbild fest und ordnen die Richtlinie der Gruppe Authentifizierte Benutzer zu.
씰
Auf Ebene der OU Verkauf deaktivieren Sie die Systemsteuerung und ordnen die Richtlinie der Sicherheitsgruppe VerkaufsPersonal zu.
씰
Auf Ebene der OU Verkauf legen Sie ein Hintergrundbild fest und ordnen es der Sicherheitsgruppe VerkaufsPersonal zu.
12.1 Prüfungsfragen
씰
Auf Domänenebene legen Sie fest, dass Benutzer in der Systemsteuerung nur die Komponenten Software und Anzeige benutzen dürfen.
씰
Sie konfigurieren das GPO der OU Verkauf so, dass die Richtlinienvererbung blockiert ist.
씰
Sie konfigurieren das GPO auf Domänenebene mit Kein Vorrang.
Nachdem Sie Ihre Änderungen gespeichert haben und auf allen betroffenen Domänencontrollern eine Aktualisierung des GPO stattgefunden hat, meldet sich ein Benutzer der OU Verkauf beim Netzwerk an. Welches Ergebnis zeigen Ihre GPO-Einstellungen auf dem Desktop des Benutzers? (Wählen Sie alle korrekten Antworten.) A. Die Systemsteuerung ist für den Benutzer deaktiviert. B. In der Systemsteuerung sind nur die Komponenten Software und Anzeige verfügbar. C. Das Hintergrundbild auf Domänenebene wird angezeigt. D. Das im GPO der OU Verkauf festgelegte Hintergrundbild wird angezeigt. 39. Sie haben auf einem Windows-2000-Mitgliedsserver in Ihrer Domäne, der zugleich DHCP-Server ist, Remote-Installationsdienste installiert. Der DHCP-Server wurde in Active Directory autorisiert. Welche zusätzlichen Aufgaben müssen Sie mindestens noch erledigen, damit der Server RIS-Anforderungen von Clients bedienen kann? (Wählen Sie zwei.) A. Den RIS-Server in Active Directory autorisieren. B. Sicherstellen, dass die Netzwerkkarte im RIS-Server PXE-fähig ist. C. Ein erstes CD-basiertes Image auf dem RIS-Server installieren. D. Das Programm RISETUP ausführen. E. Ein erstes RIPrep-Image auf dem RIS-Server installieren. F. Den RIS-Server vorkonfigurieren. 40. Sie haben die Softwarebereitstellung mittels Gruppenrichtlinien auf Domänenebene auf einem Domänencontroller in der Domäne schreibwerk.com folgendermaßen konfiguriert: 씰
Sie weisen den Computern in der Domäne Adobe Acrobat zu.
씰
Sie veröffentlichen Microsoft Office 2000 für Benutzer in der Domäne.
865
866
Kapitel 12
Musterprüfung
씰
Sie weisen den Computern in der Domäne Microsoft Word 2000 zu.
씰
Bei den Berechtigungen für das GPO werden die Standardeinstellungen beibehalten.
RobS, ein Mitglied der Gruppe Domänen-Admins, meldet sich nach der Installation von Windows 2000 Professional auf einem nagelneuen Computer bei der Domäne an. Welche Softwarekonfiguration findet als Ergebnis der GPO-Einstellungen statt? (Wählen Sie alle korrekten Antworten.) A. Adobe Acrobat wird auf dem Computer installiert. B. Microsoft Office 2000 wird auf dem Computer installiert. C. Microsoft Word 2000 wird auf dem Computer installiert. D. Adobe Acrobat wird in Software aufgelistet. E. Microsoft Office 2000 wird in Software aufgelistet. F. Microsoft Word 2000 wird in Software aufgelistet. G. Auf dem Computer wird keine Software installiert. 41. Welche Standardeinstellungen gelten für die Aktualisierung von Gruppenrichtlinien in der Domäne? (Wählen Sie zwei richtige Antworten.) A. Auf Domänencontrollern werden Gruppenrichtlinien alle 15 Minuten aktualisiert. B. Auf Mitgliedsservern und Workstations werden Gruppenrichtlinien alle 15 Minuten aktualisiert. C. Auf Mitgliedsservern und Workstations werden Gruppenrichtlinien alle 90 Minuten aktualisiert. D. Auf Domänencontrollern werden Gruppenrichtlinien alle 90 Minuten aktualisiert. E. Auf Mitgliedsservern und Workstations werden Gruppenrichtlinien alle 5 Minuten aktualisiert. F. Auf Domänencontrollern werden Gruppenrichtlinien alle 5 Minuten aktualisiert. 42. Sie haben die Softwarebereitstellung mittels Gruppenrichtlinien auf Domänenebene auf einem Domänencontroller in der Domäne schreibwerk.com folgendermaßen konfiguriert:
12.1 Prüfungsfragen
씰
Sie weisen den Computern in der Domäne Adobe Acrobat zu.
씰
Sie veröffentlichen Microsoft Office 2000 für Benutzer in der Domäne.
씰
Sie weisen den Computern in der Domäne Microsoft Word 2000 zu.
씰
Bei den Berechtigungen für das GPO werden die Standardeinstellungen beibehalten.
RudiM, ein Mitglied der Gruppe Entwickler, meldet sich nach der Installation von Windows 2000 Professional auf einem nagelneuen Computer bei der Domäne an. Welche Softwarekonfiguration findet als Ergebnis der GPO-Einstellungen statt? (Wählen Sie alle korrekten Antworten.) A. Adobe Acrobat wird auf dem Computer installiert. B. Microsoft Office 2000 wird auf dem Computer installiert. C. Microsoft Word 2000 wird auf dem Computer installiert. D. Adobe Acrobat wird in Software aufgelistet. E. Microsoft Office 2000 wird in Software aufgelistet. F. Microsoft Word 2000 wird in Software aufgelistet. G. Auf dem Computer wird keine Software installiert. 43. Sie ändern die Einstellungen des Ordners OFFLINE FÜR BENUTZER in einem vorhandenen GPO, das der Sicherheitsgruppe VerkaufsPersonal zugeordnet ist. NataschaR, ein Mitglied der Sicherheitsgruppe VerkaufsPersonal, ist bereits auf einem Windows-2000-Professional-Computer bei der Domäne angemeldet. Wann werden die aktualisierten Einstellungen für Offline-Ordner auf ihrem Computer wirksam? A. Wenn sie sich zum nächsten Mal bei der Domäne anmeldet. B. Innerhalb von 5 Minuten. C. Innerhalb von 90 Minuten. D. Innerhalb von 15 Minuten. E. Beim nächsten Neustart des Computers. F. Die neuen Einstellungen treten nicht in Kraft.
867
868
Kapitel 12
Musterprüfung
44. Es liegt eine Gruppenrichtlinie namens Desktoprichtlinie Verkauf vor, die in der Organisationseinheit Verkauf der Domäne faxnix.com erstellt wurde. Sie möchten die gleichen Einstellungen auf die OU Verkauf der Domäne schreibwerk.com anwenden, die zur selben Gesamtstruktur gehört wie die Domäne faxnix.com. Auf welche Weise wäre dies am einfachsten zu erreichen? A. Desktoprichtlinie Verkauf in die OU Verkauf der Domäne schreibwerk.com kopieren. B. Eine neue Richtlinie namens Desktoprichtlinie Schreibwerk in der OU Verkauf der Domäne schreibwerk.com erstellen und manuell die Einstellungen der Desktoprichtlinie Verkauf aus der Domäne faxnix.com kopieren. C. Eine neue Richtlinie namens Desktoprichtlinie Schreibwerk in der OU Verkauf der Domäne schreibwerk.com erstellen und mit der Gruppenrichtlinienvorlage von Desktoprichtlinie Verkauf in der Domäne faxnix.com verknüpfen. D. Desktoprichtlinie Verkauf mit der OU Verkauf der Domäne schreibwerk.com verknüpfen. 45. Sie sind Administrator der Domäne faxnix.com. Sie haben folgende Active Directory-Container erstellt: 씰
Eine Organisationseinheit Verkauf
씰
Eine Organisationseinheit Entwicklung
씰
Eine Organisationseinheit Finanzen
In welchen Active Directory-Containern können Sie keine Gruppenrichtlinie erstellen? (Wählen Sie alle zutreffenden.) A. Benutzer B. OU Verkauf C. OU Finanzen D. Computer E. OU Entwicklung F. Domäne faxnix.com G. Domänencontroller
12.1 Prüfungsfragen
46. Sie haben in der Domäne schreibwerk.com eine Gruppenrichtlinie auf Domänenebene mit folgenden Einstellungen konfiguriert: 씰
Sie haben die Windows-Installer-Einstellung IMMER MIT ERHÖHTEN RECHTEN INSTALLIEREN für die Computerkonfiguration in der Domäne aktiviert.
씰
Sie haben die Tools zur Bearbeitung der Registrierung für Benutzer in der Domäne deaktiviert.
씰
Sie haben die Erstellung neuer Aufgaben im Taskplaner für Benutzer in der Domäne deaktiviert.
씰
Sie haben die Windows Installer-Einstellung IMMER MIT ERHÖHTEN RECHTEN INSTALLIEREN für die Benutzerkonfiguration in der Domäne deaktiviert.
씰
Sie haben DRAG&DROP beim Taskplaner für Computer in der Domäne aktiviert.
NataschaR meldet sich auf einem Windows-2000-Professional-Computer in der Domäne an. Welche Einstellungen werden als Ergebnis Ihrer Gruppenrichtlinienkonfiguration für sie wirksam? (Wählen Sie alle zutreffenden aus.) A. Windows Installer installiert Anwendungen mit erhöhten Privilegien. B. Windows Installer installiert Anwendungen mit den Privilegien des angemeldeten Benutzers. C. Die Tools zur Bearbeitung der Registrierung sind aktiviert. D. Die Tools zur Bearbeitung der Registrierung sind deaktiviert. E. Sie kann per Drag&Drop eine Aufgabe im Taskplaner erstellen. F. Sie kann per Drag&Drop keine Aufgaben im Taskplaner erstellen. 47. Sie ändern die Einstellungen des Ordners OFFLINE für Benutzer in einem vorhandenen GPO, das der Sicherheitsgruppe VerkaufsPersonal zugeordnet ist. NataschaR, ein Mitglied der Sicherheitsgruppe VerkaufsPersonal, ist bereits auf einem Windows-NT-4.0-Computer bei der Domäne angemeldet. Wann werden die aktualisierten Einstellungen für Offline-Ordner auf ihrem Computer wirksam? (Wählen Sie die beste Antwort aus.) A. Wenn sie sich zum nächsten Mal bei der Domäne anmeldet. B. Innerhalb von 5 Minuten. C. Innerhalb von 90 Minuten.
869
870
Kapitel 12
Musterprüfung
D. Innerhalb von 15 Minuten. E. Beim nächsten Neustart des Computers. F. Die neuen Einstellungen treten nicht in Kraft. 48. Bei welchen der folgenden Einstellungen für Überwachungsrichtlinien ist nach der Aktivierung keine weitere Aktion Ihrerseits erforderlich, damit die Überwachung beginnt? (Wählen Sie alle korrekten Antworten aus.) A. Objektzugriffsversuche überwachen B. Anmeldeereignisse überwachen C. Systemereignisse überwachen D. Active Directory-Zugriff überwachen E. Anmeldeversuche überwachen F. Datei- und Druckerzugriff überwachen G. Benutzernamen überwachen 49. Welche der folgenden Tags sind im Abschnitt APPLICATION einer ZAP-Datei obligatorisch? (Wählen Sie zwei korrekte Antworten aus.) A. DisplayVersion B. ApplicationName C. FriendlyName D. Publisher E. URL F. SetupCommand 50. In schreibwerk.com wurden in großem Umfang Gruppenrichtlinien zur Veröffentlichung und Zuweisung von Software an Benutzer und Computer im gesamten Unternehmen eingesetzt. In letzter Zeit haben sich Benutzer beschwert, dass die Liste von Anwendungen in der Systemsteuerung unter Software so lang ist, dass sie beim Installieren von Anwendungen das gewünschte Softwarepaket nicht mehr ohne weiteres finden. Wie können Sie den Benutzern das Auffinden der zu installierenden Anwendungen erleichtern? A. Anwendungen bestimmten Benutzern zuweisen. B. Anwendungen für bestimmte Benutzer veröffentlichen.
12.1 Prüfungsfragen
C. Anwendungen mit bestimmten Dateierweiterungen verknüpfen, und Benutzer über die Dateierweiterung nach Anwendungen suchen lassen. D. Softwarekategorien für die veröffentlichten Anwendungen erstellen. E. Die Anzahl der verfügbaren Anwendungen verringern. F. Nichts tun. So funktioniert es eben. 51. Sie müssen Benutzern in Ihrer Verkaufsabteilung eine Softwareanwendung zur Verfügung stellen. Die Anwendung liegt nicht in einem Windows-Installer-Dateiformat vor. Benutzer können entscheiden, ob sie die Anwendung auf ihrem Computer installieren möchten. Was ist die beste Methode zur Bereitstellung dieser Anwendung mittels Gruppenrichtlinien? A. Die Anwendung mit WinINSTALL LE umpacken und den Benutzern zuweisen. B. Die Anwendung mit WinINSTALL LE umpacken und für die Benutzer veröffentlichen. C. Eine ZAP-Datei für die Anwendung erstellen und den Benutzern zuweisen. D. Eine ZAP-Datei für die Anwendung erstellen und für die Benutzer veröffentlichen. E. Software kann nur dann mittels Gruppenrichtlinien bereitgestellt werden, wenn sie als Windows-Installer-Paketdatei vorliegt. 52. Das Management von schreibwerk.com hat beschlossen, dass für alle Benutzer im Unternehmen eine einheitliche Kennwortrichtlinie gelten soll. Die Richtlinie soll eine minimale Kennwortlänge von 6 Zeichen, ein maximales Kennwortalter von 30 Tagen, ein minimales Kennwortalter von einem Tag und eine Kennwortchronik von 12 Tagen durchsetzen. Die Active Directory-Struktur von schreibwerk.com umfasst vier weitere untergeordnete Domänen. Diese wurden für Verwaltungszwecke erstellt und heißen europa.schreibwerk.com, namerika.schreibwerk.com, samerika. schreibwerk.com und spezial.schreibwerk.com. Da die Migration zu Windows 2000 erst vor kurzem abgeschlossen wurde, sind bisher noch keine neuen Gruppenrichtlinienobjekte erstellt worden. Was wäre die einfachste Möglichkeit, die Einstellungen der Kennwortrichtlinie im gesamten Unternehmen durchzusetzen?
871
872
Kapitel 12
Musterprüfung
A. Die Standardrichtlinie der Domäne mit den Kennworteinstellungen ändern. B. In jeder Domäne ein GPO mit den Einstellungen der Kennwortrichtlinie erstellen. C. In der Domäne schreibwerk.com ein GPO namens Kennwortrichtlinieneinstellungen mit den Einstellungen der Kennwortrichtlinie erstellen. D. Das GPO Kennwortrichtlinieneinstellungen aus der Domäne schreibwerk.com mit jeder untergeordneten Domäne verknüpfen. E. Alle Benutzer der untergeordneten Domänen in den Container Benutzer der Domäne schreibwerk.com verschieben. 53. Durch eine Übernahme wurden schreibwerk.com und faxnix.com in einer neuen Firma SchreibNix International GmbH zusammengeführt. Sowohl bei schreibwerk.com als auch bei faxnix.com ist eine Windows-2000-Active-Directory-Struktur in der jeweiligen Gesamtstruktur vorhanden. Die Active Directory-Struktur von schreibwerk.com enthält vier untergeordnete Domänen. Diese heißen europa.schreibwerk.com, namerika.schreibwerk.com, samerika.schreibwerk.com und spezial.schreibwerk.com und wurden für Verwaltungszwecke erstellt. Die Active Directory-Struktur von faxnix.com enthält keine zusätzlichen untergeordneten Domänen. Das neue Management von SchreibNix International GmbH hat beschlossen, dass für alle Benutzer im Unternehmen eine einheitliche Kennwortrichtlinie gelten soll. Die Richtlinie soll eine minimale Kennwortlänge von 6 Zeichen, ein maximales Kennwortalter von 30 Tagen, ein minimales Kennwortalter von einem Tag und eine Kennwortchronik von 12 Tagen durchsetzen. Welche Aufgaben müssen erledigt werden, um in allen Active Directory-Domänen, die zu SchreibNix International GmbH gehören, eine einheitliche Kennwortrichtlinie durchzusetzen? (Wählen Sie zwei richtige Antworten aus.) A. Die Standardrichtlinie der Domäne schreibwerk.com mit den Kennworteinstellungen ändern. B. In jeder Domäne ein GPO mit den Einstellungen der Kennwortrichtlinie erstellen. C. In der Domäne schreibwerk.com ein GPO namens Kennwortrichtlinieneinstellungen mit den Einstellungen der Kennwortrichtlinie erstellen.
12.1 Prüfungsfragen
D. Das GPO Kennwortrichtlinieneinstellungen aus der Domäne schreibwerk.com mit jeder untergeordneten Domäne und der Domäne faxnix.com verknüpfen. E. Ein explizites wechselseitiges Vertrauensverhältnis zwischen schreibwerk.com und faxnix.com erstellen. F. Die Standardrichtlinie der Domäne faxnix.com mit den Kennworteinstellungen ändern. 54. In welcher Reihenfolge werden Gruppenrichtlinien in der Struktur von Active Directory angewandt? A. OU, Standort, Domäne B. Standort, Domäne, OU C. Computer, Benutzer D. OU, Domäne, Standort E. Domäne, Standort, OU F. Asynchron 55. Wo werden Einstellungen von Gruppenrichtlinienvorlagen gespeichert? A. Im Ordner %SYSTEMROOT%\GPO jedes Windows-2000-Computers B. Im Ordner %SYSTEMROOT%\GPO jedes Domänencontrollers C. In einem Ordner gleichen Namens wie das GPO in der Freigabe SYSVOL jedes Domänencontrollers D. In einem Ordner gleichen Namens wie die GUID des GPOs in der Freigabe SYSVOL jedes Domänencontrollers E. In einem Ordner gleichen Namens wie das GPO in der Freigabe SYSVOL jedes Windows-2000-Computers F. In einem Ordner gleichen Namens wie die GUID des GPOs in der Freigabe SYSVOL jedes Windows-2000-Computers 56. Sie haben den Verdacht, dass Benutzer auf Ebene der OU Operations, an welche die Verwaltungsrechte für die OU delegiert wurden, zulassen, dass Benutzer Administratoren ihrer eigenen Computer werden. Die Sicherheitsrichtlinien des Unternehmens schreiben vor, dass nur Domänen-Admins und Mitglieder der Sicherheitsgruppe ComputerAdmins administrative Rechte für
873
874
Kapitel 12
Musterprüfung
Benutzercomputer erhalten dürfen. Welche Schritte würden Sie unternehmen, um die Sicherheitsrichtlinien des Unternehmens durchzusetzen? (Wählen Sie alle zutreffenden aus.) A. Ein GPO auf Domänenebene erstellen. B. Ein GPO auf Ebene der OU Operations erstellen. C. Für das GPO Kein Vorrang festlegen. D. Für das GPO Richtlinienvererbung deaktivieren festlegen. E. Administratoren im GPO als eingeschränkte Gruppe konfigurieren. F. Domänen-Admins und ComputerAdmins zur eingeschränkten Gruppe Administratoren hinzufügen. G. Gruppen-Admins und ComputerAdmins zur eingeschränkten Gruppe Administratoren hinzufügen. H. Eine neue Gruppe für Sicherheitszwecke erstellen. 57. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstellungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne besteht aus folgenden Organisationseinheiten: 씰
Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwicklung und Netzwerk Admin
씰
Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen und Operations
씰
Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰
Geschäftsleitung
Auf Domänenebene existiert ein GPO, das von allen Benutzern alle 30 Tage die Änderung des Kennworts verlangt. Auf Ebene der OU Verkauf existiert ein GPO, das den Befehl AUSFÜHREN vom Desktop entfernt und ein Hintergrundbild mit den Beförderungen des Monats auf den Computern installiert. Auf Ebene der OU Geschäftsleitung existiert ein GPO, das allen Benutzern im Gültigkeitsbereich des GPO Microsoft Office 2000 zuweist. Auf Ebene der OU Finanz existiert ein GPO, das allen Computern im Gültigkeitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwendung des Unternehmens zuweist.
12.1 Prüfungsfragen
Was müsste Benutzer BerndT, dessen Benutzerkonto in der OU Geschäftsleitung erstellt wird, tun, um zum ersten Mal Microsoft Word 2000 zu starten? (Wählen Sie zwei korrekte Antworten aus.) A. Microsoft Office 2000 installieren, wenn er dazu aufgefordert wird. B. Auf eine Datei mit der Erweiterung .XLS doppelklicken. C. Eine Verbindung mit der Netzwerkfreigabe herstellen, auf der Microsoft Word 2000 installiert ist, und das Installationsprogramm starten. D. Im Menü START unter PROGRAMME auf das Symbol MICROSOFT WORD klicken. E. Auf eine Datei mit der Erweiterung .DOC doppelklicken. 58. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstellungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne besteht aus folgenden Organisationseinheiten: 씰
Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwicklung und Netzwerk Admin
씰
Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen und Operations
씰
Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰
Geschäftsleitung
Auf Domänenebene existiert ein GPO, das von allen Benutzern alle 30 Tage die Änderung des Kennworts verlangt. Auf Ebene der OU Verkauf existiert ein GPO, das den Befehl AUSFÜHREN vom Desktop entfernt und ein Hintergrundbild mit den Beförderungen des Monats auf den Computern installiert. Auf Ebene der OU Geschäftsleitung existiert ein GPO, das allen Benutzern im Gültigkeitsbereich des GPO Microsoft Office 2000 zuweist. Auf Ebene der OU Finanzen existiert ein GPO, das allen Computern im Gültigkeitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwendung des Unternehmens zuweist. Vor kurzem wurden Sie gebeten, folgende Anforderungen zu erfüllen: 씰
Der Vorstandsvorsitzende hat beschlossen, dass auf den Computern aller Benutzer das gleiche Hintergrundbild installiert werden soll.
875
876
Kapitel 12
Musterprüfung
씰
Der Informationsvorstand möchte Domänen-Admins verfolgen, die ihre geerbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf Computern zu löschen, die zur Geschäftsleitung gehören.
씰
Der Verkaufsvorstand möchte sicherstellen, dass die im Ordner EIGENE DATEIEN gespeicherten Dokumente von Mitgliedern der OU Verkauf während der normalen Sicherungszyklen mitgesichert werden.
씰
Der Verkaufsvorstand möchte sicherstellen, dass alle Änderungen, die Verkaufsleute an Dokumenten auf ihren Notebooks vornehmen, sich in der Netzwerkversion der Datei niederschlagen.
씰
In der Abteilung Operations soll kein Benutzer Zugriff auf die Systemsteuerung haben.
Zur Erfüllung dieser Anforderungen erledigen Sie folgende Aufgaben: 씰
Erstellung eines GPO auf Domänenebene, das ein Hintergrundbild mit dem Firmenlogo als Standard für alle Benutzer konfiguriert. Die Gruppe Authentifizierte Benutzer erhält die Berechtigungen Lesen und Gruppenrichtlinien übernehmen für das GPO. Konfiguration von Kein Vorrang für das GPO.
씰
Erstellung einer Sicherheitsgruppe namens VerkaufsComputer in der OU Verkauf und Aufnahme aller Computer der OU Verkauf in diese Sicherheitsgruppe.
씰
Erstellung eines GPO auf Domänenebene, welches die Inhalte der Ordner EIGENE DATEIEN von jedem Computer, auf dem die Richtlinie umgesetzt wurde, mit Hilfe eines bei Anmeldung und Abmeldung ausgeführten Skripts in eine Netzwerkfreigabe kopiert.
씰
Erstellung eines GPO auf Ebene der OU Informationsdienste, das die Optionen RECHTEVERWENDUNG ÜBERWACHEN und SYSTEMEREIGNISSE ÜBERWACHEN aktiviert. Gewährung der Rechte Lesen und Gruppenrichtlinien übernehmen.
씰
Erstellung eines GPO auf Ebene der OU Operations, das die Systemsteuerung für alle authentifizierten Benutzer deaktiviert.
Welche der erwähnten Anforderungen wurden von Ihrer Lösung erfüllt? (Wählen Sie alle zutreffenden aus.) A. Auf den Computern aller Benutzer wird das gleiche Hintergrundbild installiert.
12.1 Prüfungsfragen
B. Der Informationsvorstand kann Domänen-Admins verfolgen, die ihre geerbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf Computern zu löschen, die zur Geschäftsleitung gehören. C. Die im Ordner EIGENE DATEIEN gespeicherten Dokumente von Mitgliedern der OU Verkauf werden während der normalen Sicherungszyklen mitgesichert. D. Alle Änderungen, die Verkaufsleute an Dokumenten auf ihren Notebooks vornehmen, schlagen sich in der Netzwerkversion der Datei nieder. E. In der Abteilung Operations hat kein Benutzer Zugriff auf die Systemsteuerung. 59. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstellungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne besteht aus folgenden Organisationseinheiten: 씰
Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwicklung und Netzwerk Admin
씰
Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen und Operations
씰
Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰
Geschäftsleitung
Auf Domänenebene existiert ein GPO, das von allen Benutzern alle 30 Tage die Änderung des Kennworts verlangt. Auf Ebene der OU Verkauf existiert ein GPO, das den Befehl AUSFÜHREN vom Desktop entfernt und ein Hintergrundbild mit den Beförderungen des Monats auf den Computern installiert. Auf Ebene der OU Geschäftsleitung existiert ein GPO, das allen Benutzern im Gültigkeitsbereich des GPO Microsoft Office 2000 zuweist. Auf Ebene der OU Finanzen existiert ein GPO, das allen Computern im Gültigkeitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwendung des Unternehmens zuweist. Vor kurzem wurden Sie gebeten, folgende Anforderungen zu erfüllen: 씰
Der Vorstandsvorsitzende hat beschlossen, dass auf den Computern aller Benutzer das gleiche Hintergrundbild installiert werden soll.
877
878
Kapitel 12
Musterprüfung
씰
Der Informationsvorstand möchte Domänen-Admins verfolgen, die ihre geerbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf Computern zu löschen, die zur Geschäftsleitung gehören.
씰
Der Verkaufsvorstand möchte sicherstellen, dass die im Ordner EIGENE DATEIEN gespeicherten Dokumente von Mitgliedern der OU Verkauf während der normalen Sicherungszyklen mitgesichert werden.
씰
Der Verkaufsvorstand möchte sicherstellen, dass alle Änderungen, die Verkaufsleute an Dokumenten auf ihren Notebooks vornehmen, sich in der Netzwerkversion der Datei niederschlagen.
씰
In der Abteilung Operations soll kein Benutzer Zugriff auf die Systemsteuerung haben.
Zur Erfüllung dieser Anforderungen erledigen Sie folgende Aufgaben: 씰
Erstellung eines GPO auf Domänenebene, das ein Hintergrundbild mit dem Firmenlogo als Standard für alle Benutzer konfiguriert. Die Gruppe Authentifizierte Benutzer erhält die Berechtigungen Lesen und Gruppenrichtlinien übernehmen für das GPO. Konfiguration von Kein Vorrang für das GPO.
씰
Erstellung eines GPO auf Ebene der OU Verkauf, welches die Inhalte der Ordner EIGENE DATEIEN von jedem Computer, auf dem die Richtlinie umgesetzt wurde, mit Hilfe eines bei Anmeldung und Abmeldung ausgeführten Skripts in eine Netzwerkfreigabe kopiert.
씰
Aktivieren von Offlinedateien in dem GPO, das in der OU Verkauf erstellt wurde, sodass für wichtige Ordner auf dem Verkaufsserver automatisch Offlinedateien erstellt werden.
씰
Erstellung eines GPO auf Ebene der OU Geschäftsleitung, das die Optionen RECHTEVERWENDUNG ÜBERWACHEN und SYSTEMEREIGNISSE ÜBERWACHEN aktiviert. Gewährung der Rechte Lesen und Gruppenrichtlinien übernehmen für die Sicherheitsgruppe Geschäftsleitung. Entfernen der Gruppe Authentifizierte Benutzer aus der Liste der Gruppen, auf die diese GPO-Einstellungen angewandt werden.
씰
Erstellung eines GPO auf Ebene der OU Operations, das die Systemsteuerung für alle authentifizierten Benutzer deaktiviert.
Welche der erwähnten Anforderungen wurden von Ihrer Lösung erfüllt? (Wählen Sie alle zutreffenden aus.) A. Auf den Computern aller Benutzer wird das gleiche Hintergrundbild installiert.
12.1 Prüfungsfragen
B. Der Informationsvorstand kann Domänen-Admins verfolgen, die ihre geerbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf Computern zu löschen, die zur Geschäftsleitung gehören. C. Die im Ordner EIGENE DATEIEN gespeicherten Dokumente von Mitgliedern der OU Verkauf werden während der normalen Sicherungszyklen mitgesichert. D. Alle Änderungen, die Verkaufsleute an Dokumenten auf ihren Notebooks vornehmen, schlagen sich in der Netzwerkversion der Datei nieder. E. In der Abteilung Operations hat kein Benutzer Zugriff auf die Systemsteuerung. 60. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstellungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne besteht aus folgenden Organisationseinheiten: 씰
Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwicklung und Netzwerk Admin
씰
Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen und Operations
씰
Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰
Geschäftsleitung
Nachdem Sie Gruppenrichtlinien zur Erfüllung verschiedener Anforderungen des Managements konfiguriert haben, beschweren sich Benutzer in der OU Finanzen, dass die Anmeldung bei der Domäne erheblich länger dauert. Was ist die wahrscheinlichste Ursache des Problems? A. Die Computer in der Finanzabteilung sind zu langsam für die Verarbeitung von Gruppenrichtlinien. B. Auf den Computern in der Finanzabteilung wird Windows NT 4.0 eingesetzt, das Zeit braucht, um Gruppenrichtlinien in Systemrichtlinien zu konvertieren. C. Sie verwenden Anmeldeskripts, die erst nach Anwendung aller Richtlinien verarbeitet werden. D. Die Computer in der Finanzabteilung haben eine große Anzahl von GPOs zu verarbeiten, weil diese OU auf unterster Ebene liegt. E. Die Computer in der Finanzabteilung müssen Gruppenrichtlinien und Systemrichtlinien verarbeiten, weil die Domäne im gemischten Modus ist.
879
880
Kapitel 12
Musterprüfung
61. Wie würden Sie eine Anwendung in Gruppenrichtlinien konfigurieren, wenn Sie sicherstellen möchten, dass sie allen Benutzern im Unternehmen zur Verfügung steht? A. Veröffentlichung der Anwendung für Computer. B. Zuweisung der Anwendung an Computer. C. Veröffentlichung der Anwendung für Benutzer. D. Zuweisung der Anwendung an Benutzer. E. Es ist nicht möglich, mit Gruppenrichtlinien zu gewährleisten, dass eine Anwendung für alle Benutzer verfügbar ist. 62. Sie konfigurieren ein Startskript in einem GPO für die OU Verkauf, das LPT1 auf den Drucker \\Salesserver\HPLaser abbildet. Sie konfigurieren ein Anmeldeskript, das LPT1 für den Benutzer HeesH, dessen Benutzerkonto zur OU Verkauf gehört, auf den Drucker \\Salesserver\Lexmark abbildet. Im gleichen GPO deaktivieren Sie den Zugriff auf die Systemsteuerung für alle authentifizierten Benutzer. Welche Drucker sind für HeesH verfügbar und auf welchen Druckeranschluss werden sie abgebildet? A. Der Drucker \\Salesserver\HPLaser wird auf LPT1 abgebildet und ist für HeesH verfügbar. B. Der Drucker \\Salesserver\Lexmark wird auf LPT1 abgebildet und ist für HeesH verfügbar. C. Der Drucker \\Salesserver\HPLaser wird auf LPT2 abgebildet und ist für HeesH verfügbar. D. Der Drucker \\Salesserver\Lexmark wird auf LPT2 abgebildet und ist für HeesH verfügbar. E. HeesH kann auf keinen Drucker zugreifen. 63. Microsoft Office 97 wurde mittels Gruppenrichtlinien für Benutzer bereitgestellt. Nun müssen Sie bei allen Benutzern im Unternehmen Microsoft Office 97 auf Microsoft Office 2000 aktualisieren. Benutzer sollten jedoch in der Lage sein, Microsoft Office 97 30 Tage lang weiter zu benutzen. Danach müssen sie auf Microsoft Office 2000 aktualisieren. Wie können Sie dies mit Gruppenrichtlinien bewerkstelligen? (Wählen Sie zwei richtige Antworten aus.) A. Microsoft Office 2000 als obligatorische Aktualisierung konfigurieren. B. Microsoft Office 2000 als obligatorische Aktualisierung mit 30 Tagen Verzögerung konfigurieren.
12.1 Prüfungsfragen
C. Microsoft Office 2000 als optionale Aktualisierung konfigurieren. D. Microsoft Office 2000 als optionale Aktualisierung mit 30 Tagen Umstellungsfrist konfigurieren. E. Nach 30 Tagen den Aktualisierungstyp für Microsoft Office 2000 von OPTIONAL zu OBLIGATORISCH ändern. F. Nach 30 Tagen den Aktualisierungstyp für Microsoft Office 2000 von OBLIGATORISCH zu OPTIONAL ändern. 64. Welche Vorteile hat die Verwendung eines RIPrep-Image gegenüber einem CD-basierten Image? (Wählen Sie zwei korrekte Antworten aus.) A. RIPrep-Images können neben dem Betriebssystem auch Anwendungen enthalten. B. RIPrep-Images können auf Computern bereitgestellt werden, deren HAL sich von der des Quellcomputers unterscheidet. C. Bei RIPrep-Images ist eine vollständige Betriebssysteminstallation notwendig, sodass der Benutzer alle Einstellungen festlegen kann. D. RIPrep-Images können leicht aktualisiert werden, indem nur geänderte Dateien in den Image-Ordner kopiert werden. E. RIPrep-Images werden schneller installiert als CD-basierte Images. 65. Sie müssen 150 Computer mittels Remoteinstallationsdienste bereitstellen. Die bereitzustellenden Computer weisen folgende Konfigurationen auf: 씰
10 Notebooks mit Pentium II 600 MHz, integrierter PCI-Netzwerkkarte mit PXE-Boot-ROM, 10-GB-Festplatte und 128 MB RAM
씰
20 Desktopcomputer mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-GBFestplatte und 32 MB RAM
씰
50 Desktopcomputer mit Pentium III 800 MHz, PCI-Netzwerkkarte, 20GB-Festplatte und 32 MB RAM
씰
5 Desktopcomputer mit Doppelprozessor Pentium Pro 200 MHz, PCINetzwerkkarte, 4-GB-Festplatte und 256 MB RAM
씰
65 Desktopcomputer mit Athlon 800 MHz, PXE-fähiger Netzwerkkarte, 8-GB-Festplatte und 64 MB RAM
881
882
Kapitel 12
Musterprüfung
Welche Computer können mit RIS ohne Startdiskette bereitgestellt werden? (Wählen Sie zwei korrekte Antworten aus.) A. 10 Notebooks mit Pentium II 600 MHz, integrierter PCI-Netzwerkkarte mit PXE-Boot-ROM, 10-GB-Festplatte und 128 MB RAM B. 20 Desktopcomputer mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-GBFestplatte und 32 MB RAM C. 50 Desktopcomputer mit Pentium III 800 MHz, PCI-Netzwerkkarte, 20GB-Festplatte und 32 MB RAM D. 5 Desktopcomputer mit Doppelprozessor Pentium Pro 200 MHz, PCINetzwerkkarte, 4-GB-Festplatte und 256 MB RAM E. 65 Desktopcomputer mit Athlon 800 MHz, PXE-fähiger Netzwerkkarte, 8-GB-Festplatte und 64 MB RAM
12.2 Antworten auf die Prüfungsfragen 1. B. Der DNS-Dienst ist standardmäßig so konfiguriert, dass er auf einem Windows-2000-Server automatisch gestartet wird, deshalb ist Antwort D falsch. Der DNS-Dienst kann sich auf jedem Windows-2000-Server beliebiger Konfiguration oder sogar auf einem BIND-Server befinden, so lange er SRV-Datensätze unterstützt, sodass Antwort A falsch ist. Antwort C macht einfach keinen Sinn. Es wäre sehr schlecht, wenn Sie ständig per DCPROMO herabund heraufstufen müssten, um die Dienste zu registrieren, d.h. Antwort C ist auch aus dem Rennen. Damit verbleibt Antwort B. Dies könnte das Problem sein, wenn der DNS-Eintrag nicht auf den von Sabine erstellten Server verweisen würde. Zusätzlich würde sie prüfen, ob der DNS-Server Aktualisierungen zulässt. Siehe Abschnitt »Dynamische Einträge können nicht erstellt werden« in Kapitel 2, »DNS für Active Directory konfigurieren«. 2. A. In dieser Frage kann der DNS-Server wie bei der letzten Frage ein beliebiger DNS-Server sein, der SRV-Datensätze unterstützt. DNS muss nur dann auf einem Domänencontroller laufen, wenn die Zone Active Directory-integriert ist, Antwort B ist also falsch. Antwort C ist definitiv falsch, weil sich unter Windows NT die einzige beschreibbare Kopie der Domänendatenbank auf dem PDC befindet. Antwort D hat nichts mit dem DCPROMO-Verfahren zu tun. Dieses wird eingesetzt, damit Programme zur Erstellung von Festplatten-Images mit Windows 2000 Professional arbeiten können. A ist die richtige Antwort, weil der Netlogon-Dienst zum ordnungsgemäßen Start seine Datensätze registrieren muss. Wenn der DNS-Server keine dynamischen Aktualisierungen unterstützen würde, müssten die SRV-Datensätze aus der Da-
12.2 Antworten auf die Prüfungsfragen
tei NETLOGON.DNS manuell hinzugefügt werden. Siehe Abschnitt »DNS und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«. 3. A. Durch Festlegung jeweils eines lokalen Masterservers in Calgary und Toronto, von dem die anderen lokalen Server die Zonendatei erhalten, verringern Sie den WAN-Datenverkehr. Der sekundäre Server, den Sie an jedem Standort festlegen, erhält die Datei vom primären Server in Vancouver, und die anderen lokalen sekundären Server erhalten die Datei dann vom lokalen Master. Anwort B würde helfen, wenn die Datensätze anderer Firmen das Problem wären, weil die Lebensdauer die minimale Zeitspanne betrifft, für die ein Eintrag zwischengespeichert wird. Antwort C verringert den von Zonendateien verursachten Datenverkehr auf den WAN-Verbindungen, führt aber mit großer Wahrscheinlichkeit zu drastisch erhöhtem Auflösungsdatenverkehr auf der Verbindung, sodass im Endeffekt ein Typ von Datenverkehr gegen einen anderen ausgetauscht wird. Antwort D fällt aus, weil Antwort A richtig ist. Weitere Informationen finden Sie im Abschnitt »Zoneninformationen übertragen« in Kapitel 2, »DNS für Active Directory konfigurieren«. 4. B. In diesem Fall ist das kein Problem, weil die Active Directory-Zone die Active Directory-Replikation verwendet. Damit erhält Bärbel Tools zur Steuerung der Replikation, wie etwa Standortverknüpfungen. Wenn eine Zone in eine Active Directory-integrierte konvertiert wird, gilt für sie kein Zeitplan Zonenübertragungen mehr und kann daher auch nicht neu eingestellt werden. Deshalb ist Antwort A falsch. Es ist zwar richtig, dass nun die Active Directory-Replikation verwendet wird, aber Sie können keine Werte in den NTDSEinstellungen festlegen. Die einzigen Einstellungen, die Sie ändern können, sind die der Standortverknüpfungen, sodass die Antworten C und D ebenfalls falsch sind. Weitere Informationen finden Sie im Anschnitt »DNS und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«. 5. C. In diesem Fall kann Heidi den Benutzer nicht mittels ACTIVE DIRECTORYBENUTZER UND -COMPUTER verschieben, sodass Antwort B falsch ist. In diesem Fall wird das Objekt zwischen Domänen verschoben, sie benötigt also das Programm MOVETREE. Sie könnte ein Programm von einem Drittanbieter verwenden, wenn sie wollte, aber dies ist nicht nötig, und sie braucht ganz bestimmt auf keines zu warten. Das bedeutet, Antwort A ist falsch. Ein Programm von einem Drittanbieter wäre nötig, wenn der Benutzer gelöscht und neu erstellt werden müsste. Da dies jedoch nicht der Fall ist, ist Antwort D ebenfalls falsch. Siehe Abschnitt »Objekte im Verzeichnis verschieben« in Kapitel 4, »Active Directory-Dienste verwalten«.
883
884
Kapitel 12
Musterprüfung
6. B. Die Clients fragen zuerst den DNS-Server nach einem Anmeldeserver im lokalen Standort und warten, bis diese Anfrage fehlschlägt, bevor sie in der Domäne nach einem Anmeldeserver suchen. Da der Domänencontroller sich nun irgendwo im Netzwerk befinden könnte, muss die Anmeldeanforderung u.U. mehrere Router durchqueren. In diesem Fall ist die beste Lösung ein lokaler Domänencontroller, der diese beiden Probleme löst. Ein zusätzlicher DNS-Server würde vielleicht die Auflösung beschleunigen, aber nicht die anderen Probleme lösen. Es gibt einen DHCP-Relay-Agent und einen WINSProxy, aber es gibt keinen Anmeldungs-Proxy, deshalb ist Antwort C falsch. Standorte sollten einen Domänencontroller und einen Server für den globalen Katalog enthalten, um alle Formen der Anmeldung zu unterstützen und zu gewährleisten, dass die Verwendung von Standorten keine Nebenwirkungen hat, deshalb ist Antwort D falsch. Bedenken Sie, dass Standorte eingesetzt werden, um die Replikation zu steuern, nicht um Anmeldungen oder anderen Datenverkehr abzubremsen. Weitere Informationen finden Sie im Abschnitt »Im physischen Netzwerk« in Kapitel 3, »Active Directory-Struktur aufbauen«. 7. B. In diesem Fall ist die Tatsache aufschlussreich, dass der Benutzer den Eintrag registrieren kann, nicht aber der Computer (oder eigentlich dessen Konto). Die Tatsache, dass Sie selbst das Konto registrieren lassen können, bedeutet, dass Antwort C falsch ist. Wenn es ein DHCP-Problem wäre, wäre es um einige Nummern umfangreicher und nicht auf diesen einen Computer beschränkt. Das Computerkonto muss vorhanden sein, weil Sie den Datensatz aktualisieren konnten, also ist Antwort D falsch. Siehe Abschnitt »DNS und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«. 8. B, C. Das lokale Systemkonto hätte nicht die Berechtigung zum Ändern des Schemas auf dem Schema-Master und wahrscheinlich überhaupt keine Berechtigung außerhalb des lokalen Computers. Das bedeutet, Antwort A ist falsch. Antwort D könnte als allerletzter Ausweg nötig sein, aber es gibt viele andere Möglichkeiten, die Sie kennen müssen und die zuerst geprüft werden sollten. Antwort E ist sinnlos. Antwort B könnte das Problem sein, weil Sie Organisations-Admin oder Schema-Admin sein müssen, um das Schema zu ändern, und Antwort C ist möglich, weil Schemaänderungen normalerweise nicht aktiviert sein sollten. Weitere Informationen finden Sie im Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«. 9. A. Standorte werden zur Steuerung des Replikationsverkehrs in Active Directory eingesetzt. In diesem Fall ist es nicht angebracht, zu einem Domänenmodell zu wechseln, weil es nicht genügend Systeme gibt, um dies zu rechtfertigen. Deshalb ist Antwort B falsch. Die Aufteilung des Netzwerks in verschiedene Organisationseinheiten erleichtert dessen Verwaltung. Dies ist jedoch eine logische Konstruktion, die in der physischen Welt nichts bewegt. Die Verringerung der Serveranzahl kann helfen, aber wenn die Server da
12.2 Antworten auf die Prüfungsfragen
sind, dann hat das offensichtlich einen Grund. Die Entfernung von Servern zur Senkung der Bandbreitennutzung würde wahrscheinlich andere Probleme nach sich ziehen. Weitere Informationen finden Sie im Abschnitt »Im physischen Netzwerk« in Kapitel 3, »Active Directory-Struktur aufbauen«. 10. C, D, E. Sie können die Funktionen per grafischer Schnittstelle übertragen, indem Sie das Active Directory-Schema zur Übertragung der Funktion Schema-Master und Active Directory-Domänen und -Vertrauensstellungen zur Übertragung der Funktion Domänennamen-Master verwenden. Sie könnten auch das Programm NTDSUTIL zur Übertragung der Funktionen verwenden. ACTIVE DIRECTORY-BENUTZER UND -COMPUTER kann zur Übertragung der anderen Funktionen per grafischer Schnittstelle verwendet werden, aber nicht der in der Frage angesprochenen. Das bedeutet, dass Antwort A falsch ist. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE dient zwar zur Verwaltung von Active Directory, kann aber keine Funktionen übertragen. Deshalb ist Antwort B ebenfalls unkorrekt. Die Snap-Ins COMPUTERVERWALTUNG und DNS dienen nicht zur Verwaltung von Active Directory, sodass die Antworten F und G falsch sind. Weitere Informationen finden Sie im Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«. 11. D. Leider gibt es in MMC keine Drag&Drop-Funktionalität zum Verschieben von Computern, Antwort A ist also falsch. Der Befehl VERSCHIEBEN im Kontextmenü verschiebt die Benutzer. Sie müssen allerdings jeden einzeln verschieben. Deshalb ist B nicht die beste Antwort. Die Benutzer in eine Gruppe aufzunehmen, ist wahrscheinlich ohnehin sinnvoll. Dadurch werden jedoch keine Benutzerkonten verschoben. Die beste Wahl ist die Verwendung des Befehls SUCHEN und Überprüfung der gefundenen Systeme und Benutzer. Nach Überprüfung der Benutzer und Computer können Sie diese en masse verschieben. Weitere Informationen finden Sie im Abschnitt »Objekte im Verzeichnis verschieben« in Kapitel 4, »Active Directory-Dienste verwalten«. 12. C. In diesem Fall konnte, wie bei Windows NT 4.0, die Kennwortänderung, die auf dem PDC-Emulator ausgeführt werden musste, noch nicht zum Reservedomänencontroller in der Nähe des Clients repliziert werden. In solchen Fällen sollten Sie die Replikation des Reservedomänencontrollers in der Nähe des Clients mit dem PDC-Emulator erzwingen. Dies ist in Windows 2000 möglich, aber es wird immer ein Computer gezwungen, mit einem anderen zu replizieren. Um die flächendeckende Replikation zu erzwingen, wie in Antwort A vorgeschlagen, müssten Sie sehr viel Zeit damit verbringen, die Replikation für jeden Server über jede Verbindung zu erzwingen. Der Server für den globalen Katalog enthält zwar zusätzliche Informationen und ist standardmäßig der PDC-Emulator, aber da der PDC-Emulator in einer separaten Frage angesprochen wird, ist dies nicht die beste Antwort. Der PDC-Emulator ist das System, das die NT-Domänencontroller in Trab versetzt. D würde
885
886
Kapitel 12
Musterprüfung
zwar helfen, wenn der Server, den der Benutzer verwenden wollte, ein Windows-2000-Domänencontroller wäre, aber weil dies nicht der Fall ist, ist diese Antwort falsch. Siehe Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«. 13. A. Das ist keine schwere Aufgabe, aber Sie sollten sich merken, dass sie durch Bearbeitung der NTDS-Einstellungen und Aktivierung des globalen Katalogs auf dem Server erledigt wird. Diese Aufgabe könnte zwar auch per Gruppenrichtlinien erledigt werden, weil diese die Möglichkeit bieten, die Registrierung des Domänencontrollers zu ändern, aber Gruppenrichtlinien sind nicht für einzelne Benutzer oder Computer vorgesehen. Das bedeutet, dass Antwort B falsch ist. Da dies nicht in der Registrierung erledigt werden muss, ist Antwort C falsch. Antwort D ist offensichtlich ein Overkill. Siehe Abschnitt »Server für den globalen Katalog« in Kapitel 3, »Active DirectoryStruktur aufbauen«. 14. C. In diesem Fall sollten Sie den Datenverkehr im Netzwerk unter die Lupe nehmen. Der Systemmonitor zeigt Ihnen, wie stark das Netzwerk ausgelastet ist, aber er kann Ihnen eigentlich nicht sagen, welche Protokolle im Netzwerk verwendet werden, deshalb sind die Antworten A und B falsch. Antwort D bedeutet, Sie müssen Netzwerkmonitor einsetzen, aber dies ist auf jedem Windows-2000-Computer möglich, nicht nur auf Domänencontrollern. Dies bedeutet, Antwort D ist falsch. Siehe Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwalten«. 15. D. In diesem Fall liegt kein Grund vor, mehrere Domänen einzuführen. Um die Kontrolle in der Zentrale zu halten und zugleich den Zweigstellen etwas Selbstständigkeit zu geben, ist eine Domäne mit freien Organisationseinheiten die beste Lösung. Alle anderen Antworten sehen das Zerlegen des Netzwerks in Domänen vor. Bei NT 4.0 hätte man dies getan, aber Microsoft legt Wert auf die Tatsache, dass dies nicht mehr erforderlich ist. Siehe Abschnitt »Organisationseinheit erstellen« in Kapitel 4, »Active Directory-Dienste verwalten«. 16. B, C. In diesem Fall werden Sie gefragt, wie eine nachdrückliche Wiederherstellung auszuführen ist. Dazu gehört natürlich der Neustart des Systems im Wiederherstellungsmodus der Verzeichnisdienste, die Wiederherstellung der Systemstatusdaten, die nachdrückliche Wiederherstellung mit NTDSUTIL (dem Verzeichnisdienste-Programm) und dann der Neustart des Servers im Normalmodus. Der Trick bei dieser Frage ist, Ihnen die Ergebnisse einer nachdrücklichen Wiederherstellung (Erhöhung der USN) vorzusetzen, statt nach dieser selbst zu fragen. Antwort A ist offensichtlich falsch, weil eine Systemsicherung nicht unbedingt das Active Directory enthält, und Antwort D macht keinen Sinn, weil Sie die OU bei der Wiederherstellung überschreiben. Weitere Informationen finden Sie im Abschnitt »Server sichern und wiederherstellen« in Kapitel 5, »Server verwalten«.
12.2 Antworten auf die Prüfungsfragen
17. B. Sie brauchen nur die Standortverknüpfungen zu erstellen, und der KCC stellt die Verbindungen her. Der KCC verwendet transitive Überbrückung (automatische Überbrückung) zur Verbindung aller Standorte. Sie könnten zwar eine Standortverknüpfungsbrücke erstellen und die transitive Überbrückung deaktivieren, aber die Frage gibt dafür keine Begründung her. Dies bedeutet, dass die Antworten C und D falsch sind. Antwort A ist ebenfalls nicht korrekt, weil Sie dies dem KCC überlassen möchten, damit er die Verbindungen an Netzwerkbedingungen anpassen kann. Siehe Abschnitt »Informationen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur aufbauen«. 18. D. Die beste Möglichkeit ist die Erstellung einer Standortverknüpfung, die tagsüber aktiv ist, mit einem großen Abstand zwischen Replikationen. Dann erstellen Sie eine zweite Standortverknüpfung, die nachts aktiv ist, mit einem kurzen Replikationsintervall. Antwort A funktioniert vielleicht in der Theorie, ist aber sicher nicht die beste Lösung. Antwort B wäre o.k., wenn Sie für eine Standortverknüpfung zwei Zeitpläne erstellen könnten, aber das geht nicht. Antwort C würde schlicht nicht funktionieren, weil es nur zwei Standorte gibt und die beiden Verknüpfungen zwischen den gleichen Standorten automatisch überbrückt würden. Weitere Informationen finden Sie im Abschnitt »Informationen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur aufbauen«. 19. A. Weil der Server kein Betriebsmaster war und kein anderer spezieller Dienst als schnellste Möglichkeit erwähnt wird, den anderen Server wiederherzustellen, wird er hierdurch gezwungen, alle Informationen vom verbleibenden Server zu replizieren. Wenn der abgestürzte Server Betriebsmaster gewesen wäre, hätten Sie die Funktion entziehen können, vorausgesetzt, er war nicht unmittelbar nach einer Sicherung abgestürzt. Alle anderen Möglichkeiten sind umständlicher und deshalb nicht die beste Lösung. Weitere Informationen finden Sie in »Server sichern und wiederherstellen« in Kapitel 5, »Server verwalten«. 20. A. Die nächste Prüfung würde die Ereignisprotokolle auf den beiden Systemen betreffen. Dann würden Sie prüfen, ob die Domänencontroller Anmeldeanforderungen annehmen und in welchem Zustand die vier Hauptressourcen sind. Diese sind Speicher, Festplatte, CPU und Netzwerk. Dafür sollten Sie den Systemmonitor verwenden. Falls diese in Ordnung sind, würden Sie das Netzwerk unter die Lupe nehmen und feststellen, welche Anforderungen im lokalen Netzwerk gesendet werden. Dies könnte etwas so Dummes sein wie ein Domänencontroller für die lokale Domäne, der nicht mit der richtigen IPAdresse für einen DNS-Server konfiguriert und daher als solcher nicht registriert ist. Antwort B ist wahrscheinlich in manchen Fällen erwägenswert, aber nicht ganz oben auf dieser Liste. Antwort C könnte nützlich sein, wenn dies ein TCP/IP-Problem wäre, aber das ist nicht der Fall. Antwort D ist ein Over-
887
888
Kapitel 12
Musterprüfung
kill, sehr zeitraubend und hilft nicht, wenn das Problem erneut auftritt. Weitere Informationen finden Sie im Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwalten«. 21. C. Hier passiert Folgendes: Bei der Installation wird auf Namen von kompatiblen Domänen geprüft, in diesem Fall Scriberco. Weil dieser Name im Netzwerk vorhanden ist, wird Ihnen der Name Scriberco1 angeboten, den Sie akzeptieren könnten. Es wäre aber besser, den Ausreißer im Netzwerk aufzuspüren und vom Netz zu nehmen. Antwort A kommt nicht in Frage, weil Sie den Domänennamen benutzen möchten. Antwort B würde funktionieren, aber der Aufwand für die Änderung der Protokolle auf allen Computern in der Domäne, nur um mit dem kompatiblen Namen fertig zu werden, steht in keinem Verhältnis zum Schaden auf Grund der fehlenden Kommunikation zwischen der alten und der neuen Domäne. Antwort D funktioniert ebenfalls. Die beste Antwort ist jedoch, den wild gewordenen Domänencontroller und den Benutzer zu finden, der ihn installiert hat. Siehe Abschnitt »Die erste Domäne erstellen« in Kapitel 3, »Active Directory-Struktur aufbauen«. 22. A. Das beste Tool zur Messung der Systemleistung ist Systemmonitor. Damit können Sie die vier wichtigsten Systemressourcen überwachen: Festplatte, CPU, Speicher und Netzwerksubsystem. Der Netzwerkmonitor kümmert sich nur um Netzwerkverkehr und wäre in diesem Fall nicht übermäßig nützlich. Deshalb ist Antwort B falsch. Es gibt keine Registerkarte ÜBERWACHUNG im Dialogfeld EIGENSCHAFTEN des Servers (wohl aber für den DNS-Dienst), sodass Antwort C falsch ist. Task-Manager könnte eingesetzt werden, bietet aber nicht so viele Informationen wie ein Protokoll von Systemindikatoren, deshalb ist Antwort D falsch. Weitere Informationen finden Sie im Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwalten«. 23. A, C. In diesem Fall sollten Sie nachsehen, mit welcher Art von Lese- und Schreiboperationen das System beschäftigt ist und wie die Speicherauslastung aussieht. Die häufigste Ursache für eine ständig blinkende Festplattenanzeige ist ein Speicherproblem, das übermäßige Auslagerung verursacht. Dies hat eine drastische Verschlechterung der Systemantwortzeiten zur Folge, weil sowohl Befehle als auch Daten zwischen RAM und Festplatte hinund herbewegt werden müssen. Sicher lohnt es sich, die CPU zu überwachen, aber der Hinweis auf die Festplattenanzeige in der Frage deutet auf Speicher und Festplatte hin. Dasselbe gilt für das Netzwerksegment, sodass die Antworten B und D falsch sind. Antwort E ist sinnlos. Weitere Informationen finden Sie im Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwalten«. 24. A. Zum Erstellen eines Standorts benötigen Sie dessen Namen und die zu verwendende Standortverknüpfung. Nach Erstellung des Standorts können Sie Subnetze in diesen verschieben oder darin erstellen. Das bedeutet, Ant-
12.2 Antworten auf die Prüfungsfragen
wort B ist falsch. Nach den Subnetzen können Sie einen Domänencontroller in den Standort verschieben. Das bedeutet, Antwort C ist falsch. Weil Antwort A richtig ist, muss Antwort D falsch sein. Siehe Abschnitt »Informationen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur aufbauen«. 25. A. Die einzige echte Anforderung ist, dass der DNS-Server SRV-Datensätze unterstützen muss. Die Unterstützung für inkrementelle Übertragungen (Antwort B) und Aktualisierungen aller Art (Antworten C und D) ist nicht erforderlich. Sie sollten jedoch in der realen Welt die Möglichkeit dynamischer Aktualisierungen in Erwägung ziehen. Siehe Abschnitt »DNS und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«. 26. B. Sie brauchen nur in der Registerkarte FREIGABE die Option IM VERZEICHNIS ANZEIGEN zu aktivieren, damit ein Drucker von einem Windows-2000Computer aufgelistet wird. Antwort A ist falsch, weil es im Dialogfeld DRUCKER kein Register ACTIVE DIRECTORY gibt. Sie müssen einen Drucker nur dann in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER hinzufügen, wenn er von einem Nicht-Windows-2000-Computer freigegeben wird. Weil Antwort B richtig ist, brauchen Sie nicht, wie Antwort D vorschlägt, den Drucker zu entfernen und wieder hinzuzufügen. Weitere Informationen finden Sie im Abschnitt »Drucker veröffentlichen« in Kapitel 4, »Active Directory-Dienste verwalten«. 27. C. Antwort A kommt zwar nahe, aber dort wird der Drucker nach der Erstellung nicht freigegeben. In der realen Welt würden Sie dies tun und den Drucker dann erst freigeben, damit der Druckertreiber allen interessierten Benutzern zur Verfügung steht. Antwort B ist falsch, weil nur eine Verbindung mit einem Netzwerkdrucker hergestellt wird, der Drucker danach aber nicht mehr freigegeben werden kann. Antwort D ist falsch, weil Sie den Drucker zu Active Directory hinzufügen können. Weitere Informationen finden Sie im Abschnitt »Drucker veröffentlichen« in Kapitel 4, »Active DirectoryDienste verwalten«. 28. A. Mit den neuen Zeitplanungsfunktionen in Windows 2000 können Sie einen einzigen Task erstellen, der an den erforderlichen Tagen ausgeführt wird, statt für jede Sicherung einen eigenen Task zu erstellen. Weitere Informationen finden Sie im Abschnitt »Server sichern und wiederherstellen« in Kapitel 5, »Server verwalten«. 29. A, D. Weil eine differenzielle Sicherung alle geänderten Informationen seit der letzten normalen (Voll-) Sicherung kopiert, brauchen Sie lediglich die Vollsicherung und die letzte differenzielle wiederherzustellen. Weitere Informationen finden Sie im Abschnitt »Server sichern und wiederherstellen« in Kapitel 5, »Server verwalten«.
889
890
Kapitel 12
Musterprüfung
30. A. Merken Sie sich für die Prüfung: Je mehr Microsoft, desto besser. Deshalb ist die Antwort, einen Microsoft-DNS-Server zu verwenden, vorzuziehen, wenn keine Anforderung einen BIND-DNS-Server verlangt. Die Aktualisierung eines BIND-Servers auf Kompatibilität würde funktionieren, ist aber keine Microsoft-Lösung, sodass Antwort A besser ist. Zwar würde auch Antwort C funktionieren, aber Sie könnten keine dynamischen Aktualisierungen verwenden, deshalb ist Antwort A besser. Auch Antwort D würde funktionieren, weil Sie eine Active Directory-Zone erstellen und dann die Anfragen für UNIX-Server einfach weiterleiten könnten. Siehe Abschnitt »DNS und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«. 31. B. Es ist zwar möglich, eine Textdatei zu erstellen, aber dies ist nicht die beste Antwort, weil Sie einen Texteditor zur Bearbeitung der Datei und dann ein Programm zum Import des Kontos benötigen, deshalb ist Antwort A nicht korrekt. Antwort C würde Ihnen die Kontrolle über einige Aspekte der Benutzerinformationen geben, aber nicht alle. Antwort D funktioniert auch, aber auch dies ist eine umständliche Methode zur Erstellung von Benutzern. B ist die beste Antwort, weil die Verwendung von Vorlagen eine einfache Möglichkeit zur Erstellung von Benutzern ist. Siehe Abschnitt »Administrative Grundfunktionen« in Kapitel 4, »Active Directory-Dienste verwalten«. 32. C. Wenn Sie interne Vorgänge in Windows 2000 messen müssen, sollten Sie den Systemmonitor verwenden. In diesem Fall können Sie jedoch auch den Task-Manager benutzen, der schneller und einfacher ist, sodass A nicht die beste Antwort ist. Mit dem Befehl NET erhalten Sie zwar einige Statistikwerte über den Server und Workstation-Dienste, aber es kann einen Prozess nicht profilieren, sodass Antwort B falsch ist. Das Tool Systeminformationen existiert nicht, sodass Antwort D falsch ist. Weitere Informationen finden Sie im Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwalten«. 33. A. In diesem Fall ist der Schaden eingetreten und das Beste, was Sie tun können, ist, das Netzwerk in einen stabilen Zustand zurück zu bringen. Weil der Jungoperator die Funktion entziehen konnte, ist davon auszugehen, dass der Schema-Master offline war, Sie sollten also den alten Server entfernen, damit er nicht wieder online geht. Durch Formatierung des Laufwerks wird sichergestellt, dass er in Zukunft nicht mehr online gehen kann. Die Antworten B und C haben wahrscheinlich eine Ausweitung des Schadens zur Folge, und Sie könnten beides nur durchführen, wenn der neue Schema-Master offline wäre. Antwort D ist schlicht Overkill, aber wenn das Schema beschädigt ist, bleibt Ihnen u.U. nichts anderes übrig. Weitere Informationen finden Sie im Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«.
12.2 Antworten auf die Prüfungsfragen
34. A, D, F. In diesem Fall müssen Sie prüfen, ob Sie auf den richtigen DNS-Server verweisen, und dann versuchen, den Computernamen und die Dienste zu registrieren. Stoppen und Starten der DNS- oder Server-Dienste bringt in diesem Fall nichts, also sind die Antworten B und C nicht korrekt. Die Netzwerkidentifikation wird von DCPROMO während der Heraufstufung festgelegt, also ist Antwort E richtig. Es gibt keinen Befehl REGISTERDNS im Verzeichnis NSLOOKUP, sodass Antwort G falsch ist. Siehe Abschnitt »Fehlerbehebung im DNS« in Kapitel 2, »DNS für Active Directory konfigurieren«. 35. C. Es ist möglich, dass dieses eine Objekt andere Berechtigungen aufweist, sodass die mit dem Assistenten zum Zuweisen der Objektverwaltung eingestellten Berechtigungen blockiert werden. Wahrscheinlich werden Sie die Berechtigungen für die delegierte OU überprüfen, aber weil Sandra Kennwörter für andere Benutzer zurücksetzen konnte, wäre dies nicht die erste Wahl. Dies bedeutet, A ist nicht die beste Antwort. B ist unwahrscheinlich, weil Sandras Konto funktioniert. Die erneute Ausführung des Assistenten könnte das Problem beheben, aber dies ist unwahrscheinlich, weil es beim ersten Mal schon nicht geklappt hat. Das bedeutet, Antwort D ist falsch. Siehe Abschnitt »Berechtigungen in Active Directory-Diensten« in Kapitel 4, »Active Directory-Dienste verwalten«. 36. C. Wenn Sie nicht Milliarden und Abermilliarden von Computern hinzufügen, haben Sie keine Chance, Active Directory zu füllen. Es gibt kein Limit für Sitzungen, sodass D auch nicht wahrscheinlich ist, bleibt also Antwort C. Wenn der RID-Master lange offline ist, könnten dem Domänencontroller die RIDs ausgehen und er könnte keine neuen Objekte mehr erzeugen. Weitere Informationen finden Sie im Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«. 37. B. Die wahrscheinlichste Ursache ist, dass der Computer nicht Mitglied einer Active Directory-Domäne ist. Active Directory muss installiert sein und eine Domäne muss erstellt werden, bevor ein RIS-Server installiert werden kann. Weitere Informationen finden Sie in den Abschnitten »Installation und Konfiguration eines RIS-Servers«, »Voraussetzungen für Remoteinstallationsdienste« und »RIS-Softwarevoraussetzungen«, in Kapitel 9, »Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste«. 38. A, C. Weil Sie das GPO auf Domänenebene mit Kein Vorrang konfiguriert haben, werden die im GPO für die OU Verkauf festgelegten Einstellungen ignoriert, wenn sie im Widerspruch zu den Einstellungen auf Domänenebene stehen. Das bedeutet, dass der Benutzer das Hintergrundbild der Domäne erhält, weil diese Einstellungen sich direkt widersprechen. Die Deaktivierung der Systemsteuerung in der OU Verkauf tritt jedoch auch in Kraft, weil sie auf OU-Ebene, also am nächsten zum anmeldenden Benutzer, festgelegt ist. Falls der Benutzer auf die Systemsteuerung zugreifen könnte, wären in Wirklich-
891
892
Kapitel 12
Musterprüfung
keit jedoch nur Software und Anzeige verfügbar, wie im GPO auf Domänenebene festgelegt. Weil der Benutzer nicht auf die Systemsteuerung zugreifen kann, ist dies die effektive Einstellung. Weitere Informationen finden Sie in den Abschnitten »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 39. C, D. Die zusätzlich auszuführenden Schritte betreffen die Ausführung von RISETUP.EXE, das den Assistenten zur Installation der Remoteinstallationsdienste startet und ein erstes CD-basiertes Image installiert. Der Assistent zur Installation der Remoteinstallationsdienste fragt, ob ein erstes CD-basiertes Image installiert werden soll, aber Sie können beschließen, diese Aufgabe nicht auszuführen, weshalb C und D die richtigen Antworten sind. Es ist nicht erforderlich, den RIS-Server in Active Directory zu autorisieren, weil er als DHCP-Server bereits autorisiert ist. Siehe Abschnitte »Einrichtung eines RIS-Servers« und »Konfiguration der Remoteinstallationsdienste« in Kapitel 9, »Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste«. 40. A, C, E. Weil Adobe Acrobat und Microsoft Word 2000 Computern zugewiesen wurden, werden diese Anwendungen automatisch beim Start auf den Computern installiert. Microsoft Office 2000 wurde für Benutzer veröffentlicht, d.h. es wird in Software aufgeführt, sodass RobS es bei Bedarf oder mittels Dokumentaktivierung installieren kann. Obwohl er Mitglied der Gruppe Domänen-Admins ist, gelten die Standardberechtigungen Lesen und Gruppenrichtlinien übernehmen für Authentifizierte Benutzer, zu der alle angemeldeten Benutzer einschließlich Domänen-Admins gehören. Weitere Informationen finden Sie in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien« und Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 41. C, F. Das Standard-Aktualisierungsintervall für Gruppenrichtlinien ist 5 Minuten auf Domänencontrollern und 90 Minuten plus/minus 30 Minuten auf Servern und Workstations. Weitere Informationen finden Sie in den Abschnitten »Gruppenrichtlinienbereiche« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien ». 42. A, C, E. Weil Adobe Acrobat und Microsoft Word 2000 Computern zugewiesen wurden, werden diese Anwendungen automatisch beim Start auf den Computern installiert. Microsoft Office 2000 wurde für Benutzer veröffentlicht, d.h. es wird in Software aufgeführt, sodass RudiM es bei Bedarf oder mittels Dokumentaktivierung installieren kann. Obwohl er Mitglied der Gruppe Domänen-Admins ist, gelten die Standardberechtigungen Lesen und Gruppenrichtlinien übernehmen für Authentifizierte Benutzer, zu der alle angemeldeten Benutzer einschließlich Domänen-Admins gehören. Weitere Informationen finden Sie in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«, und Kapitel 6, »Benutzerverwaltung mit Gruppenricht-
12.2 Antworten auf die Prüfungsfragen
linien«. Die Antwort zu dieser Frage ist identisch mit der zu Frage 40. Die Frage wurde zweimal gestellt, um Ihre Kenntnisse über Berechtigungseinstellungen und deren Anwendung auf die GPO-Verarbeitung zu testen. 43. A. Einstellungen für Offline-Dateien unterliegen nicht dem normalen Aktualisierungsintervall für Gruppenrichtlinien. Damit diese GPO-Einstellungen wirksam werden, muss der Benutzer sich bei der Domäne ab- und wieder anmelden. Weitere Informationen finden Sie in den Abschnitten »Gruppenrichtlinienbereiche« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 44. D. Die einfachste Möglichkeit, die Einstellungen einer Gruppenrichtlinie für eine andere OU außerhalb des Gültigkeitsbereichs des ursprünglichen GPO zu übernehmen, ist deren Verknüpfung mit der neuen OU. Auf diese Weise werden alle Änderungen am ursprünglichen GPO in allen OUs wirksam, mit denen das GPO verknüpft wurde. Wenn Sie in den OUs unterschiedliche Einstellungen beibehalten möchten, können Sie in jeder OU ein separates GPO erstellen und die Einstellungen manuell konfigurieren, aber dies wäre nicht die einfachste Möglichkeit, die gleichen Einstellungen wie das ursprüngliche GPO zu verwenden. Siehe Abschnitt »Gruppenrichtlinien erstellen und verwalten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 45. A, D, G. Sie können kein GPO in den Containern Benutzer, Computer oder Domänencontroller in Active Directory erstellen. Diese Container entsprechen keinen Organisationseinheiten und können folglich nicht mit einem GPO verknüpft werden. Siehe Abschnitt »Gruppenrichtlinien erstellen und verwalten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 46. A, D, F. Wenn bei der Verarbeitung von Gruppenrichtlinien eine Einstellung sowohl für den Benutzer als auch für den Computer festgelegt ist, hat die Einstellung für den Computer immer Vorrang. Das bedeutet in dieser Situation, dass Windows Installer immer erhöhte Privilegien verwendet. Andere festgelegte Einstellungen sind dadurch nicht betroffen. Auch wenn Sie wegen des Taskplaners DRAG&DROP für den Computer aktiviert haben, kann NataschaR keinen Task erstellen, weil Sie die Erstellung neuer Tasks für Benutzer deaktiviert haben. Gemäß der Konfiguration für Benutzer sind auch Tools zur Bearbeitung der Registrierung deaktiviert. Siehe Abschnitt »Gruppenrichtlinienbereiche«, »Gruppenrichtlinien kombinieren« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 47. F. Weil NatashaR einen Computer mit Windows NT Workstation 4.0 einsetzt, werden die Gruppenrichtlinieneinstellungen nicht wirksam. Das liegt daran, dass Gruppenrichtlinieneinstellungen nur auf Windows-2000-Computern wirksam sind. Siehe die Anmerkung im Abschnitt »Gruppenrichtlinien – eine Einführung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
893
894
Kapitel 12
Musterprüfung
48. B, C, E. Bei ANMELDEEREIGNISSE ÜBERWACHEN, ANMELDEVERSUCHE ÜBERWACHEN und SYSTEMEREIGNISSE ÜBERWACHEN ist keine weitere Aktion erforderlich. Diese Ereignisse werden automatisch im Sicherheitsprotokoll aufgezeichnet. Für OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN und ACTIVE DIRECTORY-ZUGRIFF ÜBERWACHEN ist es erforderlich, dass der Administrator festlegt, bei welchen Benutzern die Aktionen für welche Objekte aufgezeichnet werden sollen, und dies muss für die betreffenden Objekte konfiguriert werden. Siehe Abschnitt »Einrichtung einer Überwachungsrichtlinie« in Kapitel 8, »Sicherheitsmanagement mittels Gruppenrichtlinien«. 49. C, F. Die Tags FriendlyName und SetupCommand sind in einer ZAP-Datei obligatorisch. Sie legen den Namen der Anwendung und das Programm fest, das zur Installation einer Anwendung ausgeführt werden soll. Publisher, URL und DisplayVersion sind gültige Tags, aber zur Anwendung der ZAP-Datei nicht erforderlich. ApplicationName ist kein zulässiges Tag in einer ZAP-Datei. Weitere Informationen finden Sie in den Abschnitten »Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien«, »Packung von Software für die Bereitstellung«, »Erstellung einer ZAP-Datei zur Bereitstellung von Software mittels Gruppenrichtlinien«, und »ZAP-Dateiabschnitte« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«. 50. D. Die beste Möglichkeit, Benutzern das Auffinden der zu installierenden Anwendungen zu erleichtern, ist die Erstellung von Softwarekategorien und die Zuordnung der Anwendungen. Ein Benutzer kann dann in die gewünschte Kategorie wechseln, worauf an Stelle der Gesamtliste aller Anwendungen nur noch Anwendungen der betreffenden Kategorie angezeigt werden. Siehe Abschnitt »Management der Softwarebereitstellung« und »Erstellung von Softwarekategorien« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«. 51. B. Die beste Möglichkeit, den Benutzern in der Verkaufsabteilung die Anwendung zur Verfügung zu stellen, ist das Umpacken mit einem Tool eines Drittanbieters, z.B. WinINSTALL LE, und anschließende Veröffentlichung für Benutzer. Da Sie den Benutzern die Entscheidung überlassen möchten, ob sie die Anwendung installieren, sollten Sie diese nicht Benutzern oder Computern zuweisen. Weitere Informationen finden Sie in den Abschnitten »Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien«, »Packung von Software für die Bereitstellung«, »Windows-Installer-Technologie«, und »Änderung einer Windows-Installer-Paketdatei mit Tools von Drittanbietern« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«. 52. A. Um für alle Domänen in scriberco.com die gleiche Kennwortrichtlinie festzulegen, ändern Sie die Standard-Domänenrichtlinie in der Domäne auf höchster Ebene. Weil Sie in den untergeordneten Domänen keine zusätz-
12.2 Antworten auf die Prüfungsfragen
lichen GPOs erstellt haben und die Standard-Domänenrichtlinie standardmäßig in alle untergeordneten Domänen einer Active Directory-Struktur kopiert wird, werden durch Änderung der Standard-Domänenrichtlinie für scriberco.com alle erforderlichen Ziele erreicht. Siehe Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«, und vor allem die Abschnitte »Gruppenrichtlinien – eine Einführung « und »Gruppenrichtlinienkomponenten«. 53. A, F. Die Antwort auf diese Frage fällt ähnlich aus wie die vorangegangene, außer dass hier eine weitere Active Directory-Gesamtstruktur ins Spiel kommt. Weil in diesem Szenario zwei Gesamtstrukturen vorliegen, müssen Sie die Standard-Domänenrichtlinie für jede betroffene Gesamtstruktur ändern: scriberco.com und factron.com. Die Einrichtung einer expliziten Vertrauensstellung zwischen den beiden Gesamtstrukturen ist für die Durchsetzung der Gruppenrichtlinie nicht erforderlich und wäre auch nicht unbedingt von Nutzen. Siehe Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«, und vor allem die Abschnitte »Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienkomponenten«. 54. B. Gruppenrichtlinien werden immer in der Reihenfolge Standort, Domäne und OU angewandt. Auf diese Weise werden die Richtlinien, die dem Benutzer bzw. Computer am nächsten liegen, zuletzt angewandt, weil angenommen wird, dass diese am besten anwendbar sind. Siehe die Abschnitte »Gruppenrichtlinienbereiche«, »Gruppenrichtlinien kombinieren« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 55. D. Gruppenrichtlinienvorlagen werden auf dem jeweiligen Domänencontroller in der Freigabe SYSVOL in einem Ordner mit dem gleichen Namen wie der Globally Unique Identifier (GUID) des Gruppenrichtlinienobjekts gespeichert. Siehe Abschnitte »Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienkomponenten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 56. B, C, E, F. Um sicherzustellen, dass nur Mitglieder der Sicherheitsgruppen Domänen-Admins und ComputerAdmins administrative Kontrolle über Computer in der OU Operations erhalten, sollten Sie zunächst ein GPO auf Ebene der OU Operations erstellen. Dann würden Sie die Gruppe Administratoren im GPO als eingeschränkte Gruppe konfigurieren und ComputerAdmins im GPO als Mitglieder in die Gruppe Administratoren aufnehmen. Dies würde die Standard-Mitgliedschaft der Gruppe Administratoren auf jedem Computer in der OU Operations überschreiben. Sie sollten für das GPO Kein Vorrang einstellen, damit Administratoren auf unterer Ebene die Einstellung nicht durch Deaktivieren der Richtlinienvererbung blockieren können. Weitere Informationen finden Sie im Abschnitt »Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien« in Kapitel 8, »Sicherheitsmanagement mittels
895
896
Kapitel 12
Musterprüfung
Gruppenrichtlinien«, und in den Abschnitten »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 57. D, E. Da Microsoft Office 2000 den Benutzern in der OU Geschäftsleitung zugewiesen ist, wird es automatisch auf allen Computern im Gültigkeitsbereich der Richtlinie installiert, einschließlich des Computers von BerndT. Zum Starten von Microsoft Word 2000 braucht er nur das Programm unter PROGRAMME zu wählen oder auf eine Datei mit der Erweiterung DOC doppelzuklicken. Siehe Abschnitt »Softwarebereitstellung mittels Gruppenrichtlinien« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«. 58. A, C, E. Die von Ihnen erstellten GPOs gewährleisten, dass alle Benutzer in der Domäne das gleiche Hintergrundbild verwenden, weil diese Richtlinie auf Domänenebene erstellt und mit Kein Vorrang konfiguriert wurde. Durch das Abmeldeskript wird der Inhalt von EIGENE DATEIEN bei Benutzern der OU Verkauf in eine Netzwerkfreigabe kopiert und im normalen Sicherungszyklus gesichert. Schließlich haben Sie durch Erstellen eines GPO in der OU Operations die Systemsteuerung für alle Operations-Benutzer deaktiviert. Sie können nicht verfolgen, wer auf Computer der Geschäftsleitung zugreift, weil Sie das GPO mit den richtigen Einstellungen in der OU Informationsdienste statt in der OU Geschäftsleitung erstellt haben. Siehe die Abschnitte »Gruppenrichtlinien erstellen und verwalten« und »Gruppenrichtliniensicherheit« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien.« Siehe auch Abschnitt »Konfiguration und Implementierung einer Überwachungsrichtlinie« in Kapitel 8, »Sicherheitsmanagement mittels Gruppenrichtlinien«. 59. A, C, D, E. Die von Ihnen konfigurierten GPOs und Einstellungen erfüllen alle vom Management gestellten Anforderungen mit Ausnahme der Verfolgung von Administratoren, die Sicherheitsprotokolle auf Computern der Geschäftsleitung löschen. Das GPO auf Domänenebene, für das Kein Vorrang konfiguriert ist, gewährleistet, dass alle Benutzer das gleiche Hintergrundbild verwenden. Das GPO mit Skript in der OU Verkauf stellt sicher, dass EIGENE DATEIEN während der normalen Sicherungsläufe gesichert wird. Die Aktivierung von Offline-Dateien für die Ordner des Verkaufspersonals im GPO der OU Verkauf gewährleistet, dass notwendige Dokumente sich immer auf dem Computer befinden und bei Abmeldung synchronisiert werden. Die Erstellung eines GPO auf Ebene der OU Geschäftsleitung mit den passenden Überwachungseinstellungen hätte gewährleisten können, dass Versuche von Admins, ohne Berechtigung auf Computer der Geschäftsleitung zuzugreifen, verfolgt werden, wenn Sie das GPO der Gruppe Domänen-Admins statt Geschäftsleitung zugeordnet hätten. Schließlich haben Sie durch Erstellung eines GPO in der OU Operations die Systemsteuerung für alle Benutzer in Operations deaktiviert. Weitere Informationen finden Sie in den Abschnitten »Gruppenrichtlinien erstellen und verwalten« und »Gruppenrichtliniensicher-
12.2 Antworten auf die Prüfungsfragen
heit« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. Siehe auch Abschnitt »Konfiguration und Implementierung einer Überwachungsrichtlinie« in Kapitel 8, »Sicherheitsmanagement mittels Gruppenrichtlinien«. 60. D. Die wahrscheinlichste Ursache des Problems ist, dass die OU Finanzen auf der untersten Ebene der Richtlinienverarbeitungshierarchie liegt. Das bedeutet, dass Benutzer in Finanzen bei der Anmeldung u.U. die Richtlinien für Standorte, Domänen und andere OUs verarbeiten müssen, was den Vorgang in die Länge ziehen kann. Die beste Möglichkeit zur Lösung dieses Problems ist die Minimierung der Anzahl von GPOs, die verarbeitet werden müssen. Siehe Abschnitt »Gruppenrichtlinienbereiche« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 61. B. Die beste Möglichkeit, zu gewährleisten, dass eine Anwendung für jeden in einer Domäne zur Verfügung steht, ist die Zuweisung der Anwendung an Computer. Auf diese Weise wird sie auf jedem Computer im Gültigkeitsbereich des GPO installiert, sobald der Computer gestartet wird. Siehe die Abschnitte »Softwarebereitstellung mittels Gruppenrichtlinien« und »Zuweisung von Software an Benutzer und Computer« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«. 62. B. Anmeldeskripts werden nach den Startskripts für Computer verarbeitet. Deswegen wird LPT1 auf den Drucker \\SALESSERVER\Lexmark abgebildet, der für den Benutzer festgelegt wurde. Siehe Abschnitt »Skripte in Gruppenrichtlinien konfigurieren und verwenden« und »Weitere über Gruppenrichtlinien konfigurierbare Einstellungen« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. 63. C, E. Weil es keine Möglichkeit gibt, eine Aktualisierung als optional mit 30 Tagen Umstellungsfrist zu konfigurieren, muss dieser Vorgang in zwei Schritten abgewickelt werden. Zuerst würden Sie die Aktualisierung als OPTIONAL konfigurieren und dann nach 30 Tagen manuell in OBLIGATORISCH ändern. Das würde es Benutzern ermöglichen, Office 97 30 Tage lang auf ihren Desktops zu belassen, aber danach müssten alle Benutzer Office 2000 installieren, falls dies nicht bereits erfolgt ist. Siehe Abschnitt »Wartung von Softwarepaketen mittels Gruppenrichtlinien« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«. 64. A, E. Ein RIPrep-Image kann Anwendungen ebenso enthalten wie das Betriebssystem, weil es eine Kopie des Quellcomputers darstellt, der zur Erstellung des RIPrep-Image verwendet wurde. Darüber hinaus sind RIPrepImages u.U. kleiner und schneller zu installieren als CD-basierte Images, weil das gesamte Image auf den Clientcomputer kopiert wird, statt wie bei CD-basierten Images den normalen Installationsvorgang für Windows 2000 Professional zu durchlaufen. Außerdem müssten bei einem CD-basierten Image die Anwendungen mittels Gruppenrichtlinie oder manuell installiert werden, was
897
898
Kapitel 12
Musterprüfung
noch mehr Zeit kosten würde. Siehe die Abschnitte »Erstellung von Images für Remoteinstallationsdienste« und »Erstellung eines RIPrep-Image für Remoteinstallationsdienste« in Kapitel 9, »Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste«. 65. A, E. Weil nur die 10 600-MHz-Notebooks mit einer PCI-Netzwerkkarte und die 800-MHz-AMD-Athlon-Computer eine PXE-fähige Netzwerkkarte enthalten, sind diese die einzigen Computer, die mittels Remoteinstallationsdiensten ohne Startdiskette installiert werden können. Die anderen Computer können höchstwahrscheinlich mit RIS bereitgestellt werden, benötigen aber eine RIS-Startdiskette. Siehe die Abschnitte »Ausführung einer Remoteinstallation« und »Voraussetzungen für Clientcomputer« in Kapitel 9, »Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste«.
Anhang Teil A. Glossar B. Überblick über die Zertifizierung C. Die Prüfungssoftware auf der CD-ROM
3
Glossar A
A
Active Directory (AD) Ein hierarchischer Verzeichnisdienst in Windows 2000. Benutzer werden Organisationseinheiten und Domänen zugeordnet, die alle zu einem Namensraum gehören. Active Directory-integrierte Zone Eine DNS-Zone, die Active Directory zum Speichern der Datensätze verwendet. Diese werden dann mittels Active DirectoryReplikation repliziert und sind mit einer ACL versehen. Damit ist es außerdem möglich, dass sich ein Computer bei jedem integrierten Domänencontroller registrieren kann. Administrative Vorlagen Ein Bestandteil von Gruppenrichtlinien, der zur Durchsetzung von Unternehmensrichtlinien Registrierungseinstellungen auf Benutzer und/oder Computer anwendet. Einstellungen sind etwa, welche Programme ausgeführt werden dürfen, wie Offline-Ordner behandelt werden sollen, Desktopeinstellungen und andere. Administrator Das Hauptkonto in einer Windows-2000-Domäne oder auf einem Alleinstehenden Windows-2000-Server. Dieses Konto darf alle Aktionen in seinem Gültigkeitsbereich (Domäne bzw. Computer, je nach Mitgliedschaft in der passenden Administratorengruppe) ausführen. Anmelde-/Abmeldeskripte Das sind BAT-, CMD- oder Windows-Scripting-HostDateien (VBScript oder Jscript), die bei An- bzw. Abmeldung eines Benutzers, für den das GPO gilt, ausgeführt werden. Mit Anmelde-/Abmeldeskripte kann ein Administrator weitere Einstellungen für den Benutzer festlegen, die über Gruppenrichtlinien nicht konfigurierbar sind. Antwortdatei Eine ASCII-Textdatei, die vom Windows-Assistenten für den Installations-Manager, vom Programm SYSPREP oder manuell mit einem Texteditor erstellt wird und die Installationskonfiguration für Windows 2000 auf einem Ziel-
902
Anhang A
Glossar
computer festlegt. Mit RIS werden Antwortdateien verwendet, um festzulegen, wie die Bereitstellung von Windows 2000 Professional ablaufen soll. Attribute Eigenschaften, die ein Objekt in ähnlicher Weise beschreiben wie Adjektive ein Substantiv (z.B. die grüne Tür). Im Falle eines Objekts wie z.B. einer Datei wäre der Dateityp ein Attribut. Aufräumen Ein Vorgang, der auf einem Server mit dynamischer Registrierung ausgeführt werden muss. Dabei werden veraltete Datensätze gesucht und gelöscht. Authentifizierung Die Überprüfung, die stattfindet, wenn sich ein Benutzer bei einem Computer oder ein Computer sich bei einer Domäne anmeldet. Durch Authentifizierung wird der Identitätsnachweis für einen Benutzer bzw. Computer erbracht. Damit wird keinerlei Verschlüsselung angeboten. Autorisierung eines RIS-Servers Das Registrieren eines RIS-Servers bei Active Directory, womit die Berechtigung verbunden ist, Benutzeranforderungen nach einem RIS-Image zu bedienen. Die Autorisierung wird über das MMC-Snap-In DHCP durchgeführt.
B-D Banyan Banyan VINES war eines der ersten PC-Netzwerkbetriebssysteme mit unternehmensweiten Verzeichnisdiensten. Bei Banyan waren diese Dienste auf dem Network Informations System aufgebaut, das ursprünglich in der UNIX-Welt entwickelt wurde und auf dem alle Banyan-Funktionen beruhen. Baumstruktur Eine Stammdomäne und ihre untergeordneten Domänen in einem einzigen Namensraum werden in Active Directory als Baumstruktur bezeichnet. Benachrichtigung Master-DNS-Server können sekundäre Server benachrichtigen, wenn sich die Zonendatei geändert hat. Dies geschieht über eine Benachrichtigung. Benutzer (Benutzername) Ein Benutzer ist eine Klasse von Objekten in der Active Directory-Datenbank, die zur Repräsentation von Personen verwendet wird, die sich beim Netzwerk anmelden und Ressourcen verwenden können. Benutzerprozess Ein Prozess, der von einem Benutzer gestartet wird. Die Sicherheitsinformationen des Benutzers werden an den Prozess angehängt, um zu gewährleisten, dass der Prozess nicht auf Informationen zugreifen kann, die nicht für ihn bestimmt sind.
903
Berechtigungen Diese geben einem Benutzer die Möglichkeit, mit einem Objekt zu arbeiten. Die Berechtigungen, die ein Benutzer oder ein anderer Sicherheitsprincipal für ein Objekt hat, sind in der DACL (Discretionary Access Control List) enthalten. Diese wird vom Eigentümer des Objekts oder von einem Benutzer mit der Berechtigung »Berechtigungen« für das Objekt festgelegt. Beschränken von Images Die Zuordnung von NTFS-Berechtigungen für Antwortdateien zu RIS-Images. Durch Beschränkung von Images kann der Administrator festlegen, welche Benutzer- oder Gruppenkonten ein bestimmtes Image über RIS verwenden dürfen. Betriebssystem Ein Programm oder eine Menge von Programmen, die für den Benutzer eines Computers grundlegende Dienste anbieten. Das Betriebssystem sollte zumindest in der Lage sein, den Computer zu starten, dessen Speicher zu verwalten, mit dem BIOS des Computers zu kommunizieren und die Ausführung von Programmen im System zu planen. Blockieren der Richtlinienvererbung Dies bedeutet die Konfiguration eines GPO in einem Active Directory-Container auf unterer Ebene derart, dass Richtlinien, die auf höheren Ebenen von Active Directory festgelegt wurden, nicht umgesetzt werden. Normalerweise wird die Richtlinienvererbung für eine Organisationseinheit blockiert, um zu gewährleisten, dass nur die GPO-Einstellungen der OE für Benutzer und Computer wirksam sind. Cache-Server Ein DNS-Server, der die von ihm abgerufenen Namensauflösungen zwischenspeichert. Alle Windows-2000-DNS-Server sind Cacheserver. Falls ein Server jedoch keine Zonendatei enthält, wird er als Nur-Cache-Server betrachtet. CD-basiertes Image Ein Image von Windows 2000 Professional, das eine Kopie der Installationsdateien auf der Windows-2000-Professional-CD-ROM ist. CDbasierte Images werden mit RIS bereitgestellt. Computer In der Windows-2000-Domänenstruktur sind Computer eine der in Active Directory definierten Objektklassen. Dies erleichtert die Verwaltung und das Auffinden von Computerobjekten im Netzwerk. Containerobjekt Ein Objekt in Verzeichnisdiensten, z.B. eine Gruppe, das in erster Linie zur Aufnahme anderer Active Directory-Objekte dient. Datenbank Eine Struktur, die Daten in einer Reihe von Tabellen (Listen) mit jeweils einer festen Gruppe von Spalten speichert. Jede Tabelle definiert einen Elementtyp, eine Klasse in Windows 2000, wobei eine Zeile Informationen über ein Exemplar dieses Typs enthält. Beispielsweise gibt es in Windows 2000 eine Klasse
904
Anhang A
Glossar
Benutzer, die als Tabelle in der Active Directory-Datenbank gespeichert ist. Für jeden Benutzer wird eine Zeile in diese Tabelle eingefügt. Es gibt eine einzige Spalte, die eine eindeutige Kennung enthält, und alle anderen Spalten enthalten Attribute oder Sammlungen zu dem betreffenden Element. Datenträgerkontingente Einstellungen für einen NTFS-Datenträger, die den Umfang des Speicherplatzes begrenzen, den ein Benutzer für seine Dateien verwenden kann. Festplattenkontingente helfen zu verhindern, dass einzelne Benutzer die Festplatte monopolisieren, damit für alle Benutzer genügend Speicherplatz verfügbar ist. DCPROMO Dieses Programm wird zum Herauf- und Herabstufen von Computern eingesetzt. Durch Heraufstufen wird ein System zum Domänencontroller, und durch Herabstufen wird es wieder zum Mitgliedsserver oder zum Alleinstehenden Server. Definierter Name Der vollständige Name eines Objekts in Active Directory. Dazu gehören der Domänenname und die Namen der Organisationseinheiten, zu denen ein Benutzer gehört. Wenn sich beispielsweise ein Benutzer namens BichlerS im Benutzercontainer einer Domäne namens technik.tutnix.lokal befindet, wäre der definierte Name für den Benutzer cn=BichlerS,cn=users,dc=technik,dc=tutnix,dc=lokal. Für einen anderen Benutzer im gleichen Container könnte der relativ definierte Name cn=BichlerS verwendet werden, weil alle anderen Bestandteile des Namens gleich sind. Dienst Eine Hintergrundanwendung, die automatisch beim Start des Computers oder manuell von einem Operator gestartet wird. Dienste haben normalerweise keine Interaktion mit dem Desktop, sondern werden als Hintergrundprozesse ausgeführt und bieten anderen Prozessen Dienste an. Domäne Im Zusammenhang mit DNS ist dies ein Name, den eine Organisation im Internet erhält. In Wirklichkeit ist dies nur ein Teil des Internet-Namensraums. In Windows 2000 ist eine Domäne ein Teil des Namensraums, aber auch eine logische Unterteilung, die genutzt werden kann, um eine große Gruppe von Benutzern vom übrigen Netzwerk zu separieren und Sicherheits- und Replikationsgrenzen zu ziehen. Domäne auf oberster Ebene (Toplevel-Domäne) Dies sind Domänen im Internet, die als erste Unterteilung des Namensraums verwendet werden. Die bekannteste Domäne auf oberster Ebene ist wahrscheinlich com. Domäne zweiter Stufe (Secondlevel-Domäne) Im DNS-Namensraum eine Domäne, die von einer Organisation benutzt wird, z.B. wäre tatnix die Domäne zweiter Stufe in www.tatnix.com.
905
Domänencontroller Ein Computer, der eine Kopie der Domänendatenbank enthält. Domänencontroller können Benutzeranforderungen zur Anmeldung authentifizieren. In Windows 2000 können Domänencontroller auch die Domänenkontendatenbank ändern. Domänenlokale Gruppe Wird normalerweise verwendet, um Ressourcen Berechtigungen zuzuordnen. Domänenlokale Gruppen sind lokal für alle Domänencontroller und Mitgliedsserver im nativen Modus. Domänennamensmaster Eine der Betriebsmaster-Funktionen. Dieser Computer ist dafür verantwortlich, dass der Namensraum der Domäne korrekt ist, und er ist für die Konfiguration von Vertrauensverhältnissen verantwortlich, die auf den PDCEmulatoren innerhalb der Domänen der Active Directory-Gesamtstruktur konfiguriert werden. In einer Gesamtstruktur gibt es nur einen Domänennamensmaster. Domänennamenssystem (DNS) Das System, das im Internet und in vielen privaten Netzwerken verwendet wird, um die Namen von Computern aufzulösen. DNS besteht aus dem Namensraum, Namensservern und Auflösern. Domänenpartition Repräsentiert alle Informationen über alle Objekte in der Domäne. Die Domänenpartition wird nur innerhalb einer Domäne, nicht zwischen Domänen repliziert. Drucker Dies ist eine Klasse von Objekten in Active Directory, die zur Veröffentlichung bzw. Auflistung von Druckern in Active Directory verwendet wird, damit Benutzer überall im Unternehmen nach Druckern suchen und diese verwenden können, sofern sie dazu berechtigt sind. Durchsetzung von Gruppenrichtlinien Dies ist das Gegenteil des Blockierens. Hier wird nicht zugelassen, dass die GPO-Einstellungen eines Active DirectoryContainers auf unterer Ebene die Einstellungen eines GPOs auf höherer Ebene überschreiben. Normalerweise werden Gruppenrichtlinien auf Domänenebene durchgesetzt, um zu gewährleisten, dass Unternehmensregeln einheitlich auf alle Benutzer ungeachtet ihrer OU-Einstellungen angewandt werden. Dynamic Host Configuration Protocol (DHCP) Ermöglicht es Computern im Netzwerk, eine automatische TCP/IP-Konfiguration einschließlich der Optionen zu erhalten. In Windows 2000 müssen DHCP-Server bei Active Directory registriert werden, um zu verhindern, dass andere Benutzer DHCP installieren. Der Windows2000-DHCP-Server kann den DNS-Server bei Zuweisung von Adressen aktualisieren. Im Normalfall werden jedoch nur die Reverse-Lookupinformationen aktualisiert, und der Client wird in die Lage versetzt, seine Forward-Lookupinformationen zu registrieren.
906
Anhang A
Glossar
Dynamisches Domänennamenssystem (DDNS) Eine Erweiterung des DNS-Standards, die es Hosts ermöglicht, Namen dynamisch beim DNS-Server zu registrieren. Dynamische Aktualisierungen Eine recht neue Funktion in DNS. Sie ermöglichen es einem Clientcomputer oder dem DHCP-Server, Datensätze beim DNS-Server zu registrieren. Dies ermöglicht den Einsatz von DHCP in einem Netzwerk, um den Verwaltungsaufwand für das Netzwerk zu verringern, und gleichzeitig die Aktualisierung des DNS-Servers bei geänderten Clientadressen.
E-H Eigenschaften Beschreiben ein Objekt ähnlich wie ein Adjektiv ein Substantiv beschreibt (z.B. die grüne Tür). Im Falle eines Objekts, etwa einer Datei, wäre der Dateityp eine Eigenschaft. Element Ein Eintrag in einer Datenbanktabelle. In Windows 2000 ist ein Element ein beliebiger Typ bzw. eine beliebige Klasse von Objekten, die in Active Directory gespeichert werden. Endknotenobjekte Objekte in Verzeichnisdienstes, z.B. Benutzerobjekte, die einen Platz einnehmen, aber keine anderen Objekte enthalten. Enterprise Ein allgemeiner Begriff für einen Bereich, der die gesamte Organisation umfasst. Ereignisanzeige Wird zur Anzeige der Systemprotokolldateien für verschiedene Bereiche des Systems verwendet, darunter System, Sicherheit, Anwendung und DNS. Dies ist die Stelle, an der als Erstes gesucht werden sollte, wenn ein Problem einzukreisen ist. Erneute Bereitstellung Die Neuinstallation eines vorhandenen Softwarepakets über Gruppenrichtlinien, in der Regel zur Verteilung eines Patch für eine vorhandene Anwendung. Erweiterbare Architektur Eine Architektur, die ergänzt oder erweitert werden kann. Windows 2000 Active Directory gilt als erweiterbar, weil den Tabellen der Verzeichnisdatenbank neue Spalten (Attribute) hinzugefügt werden können. Erzwungene Paketentfernung Das obligatorische oder erzwungene Entfernen bedeutet die Deinstallation eines Softwarepakets vom Computer eines Benutzers. Die erzwungene Paketentfernung kann vom Benutzer nicht abgebrochen werden.
907
Bei der erzwungenen Entfernung wird das Paket auf dem Computer immer gelöscht. Forward-Lookup Der einfachste Typ der Namensauflösung. Beim ForwardLookup versucht das System, die IP-Adresse zu einem Computernamen zu finden. Freigaben Eine Klasse von Objekten, die in Active Directory verfügbar ist. Freigabeobjekte ermöglichen die Veröffentlichung von freigegebenen Ordnerressourcen in Active Directory, damit Benutzer sie einfacher finden können. Gemischter Modus In diesem Modus lässt Active Directory die Verwendung von Windows-NT-4.0- und 4.0-BDC-Computern zu. In diesem Modus ist es nicht möglich, Gruppen zu schachteln oder mit universellen Sicherheitsgruppen zu arbeiten. Gesamtstruktur Logisch gesehen eine einzige Active Directory-Domäne oder eine Gruppe von Domänen. Eine Struktur wird vor allem dann als Gesamtstruktur bezeichnet, wenn sie zwei oder mehr Baumstrukturen, d.h. nicht zusammenhängende Namensräume, enthält. Globale Gruppe Wird verwendet, um Benutzer in einer Domäne zusammenzufassen und als Gruppe in lokale Gruppen oder andere Domänen aufzunehmen. Globaler Katalog In Active Directory besteht der globale Katalog aus einer Liste aller Objekte in allen Domänen, zusammen mit einer Untermenge der gebräuchlichen Attribute zu jedem Objekt. Der globale Katalog wird zum Auffinden von Objekten in Active Directory verwendet und ist über die Active Directory-Diensteschnittstelle oder LDAP zugänglich. GPO-Gültigkeitsbereich Dieser betrifft die Active Directory-Container, denen ein GPO zugeordnet ist. Gruppenrichtlinienobjekte können einem einzigen Active Directory-Container (z.B. einer OU) oder mehreren Containern auf gleicher oder anderer Ebene zugeordnet werden. In allen Containern, denen das GPO zugeordnet ist, werden die gleichen Einstellungen umgesetzt. GPO-Vererbung Unter Gruppenrichtlinienvererbung sind die Regeln zu verstehen, nach denen in Active Directory Einstellungen von GPOs auf höherer Ebene von GPOs auf unterer Ebene übernommen oder überschrieben werden. Die StandardErbfolge bei GPOs ist Standort-Domäne-Organisationseinheit, d.h. Einstellungen auf Standortebene können auf Domänenebene und dann wieder auf OU-Ebene überschrieben werden. Auf diese Weise erhalten standardmäßig die Einstellungen höchste Priorität, die am nächsten zum Benutzer bzw. Computer angewandt werden.
908
Anhang A
Glossar
Gruppen Ein Objekt vom Typ Container, das in Active Directory zu finden ist. Gruppen werden hauptsächlich zur Zusammenfassung von Rechten und Berechtigungen oder von Benutzern für Verwaltungszwecke eingesetzt. Gruppenrichtliniencontainer Ein Active Directory-Container, der GPO-Attribute (z.B. die GUID) und Versionsinformationen enthält. Gruppenrichtlinienobjekt (GPO) Ein Objekt in Active Directory, mit dem ein Administrator Einstellungen für die Softwarebereitstellung und die Sicherheit sowie administrative Vorlagen konfigurieren kann, um Unternehmensregeln für Benutzer und Computer durchzusetzen. Gruppenrichtlinien bestehen aus Gruppenrichtliniencontainern und Gruppenrichtlinienvorlagen. Gruppenrichtlinienrangfolge Die Reihenfolge, in der GPOs innerhalb eines Containers verarbeitet werden. Da es möglich ist, einem Active Directory-Container mehrere GPOs zuzuordnen, regelt die Rangfolge, welches GPO das letzte Wort haben soll. Gruppenrichtlinienvorlage Eine Menge von Ordnern und Unterordnern in der Freigabe SYSVOL auf Windows-2000-Domänencontrollern, welche die Skripte, Sicherheitsvorlagen und Verwaltungseinstellungen für Gruppenrichtlinien enthalten, zum Herunterladen auf Clientcomputer. GUID (global eindeutige Kennung) Eine 32 Zeichen lange Zeichenfolge zur eindeutigen Identifizierung eines Computers für die Vorkonfiguration. In RIS ist dies normalerweise die Kennung der PXE-fähigen Netzwerkkarte, aber es kann auch die MAC-Adresse einer nicht-PXE-kompatiblen Netzwerkkarte sein, die im passenden Format auf 32 Zeichen aufgefüllt ist. Hierarchie Eine Struktur mit einen einzigen Ausgangspunkt, von dem aus sie sich entfaltet. Dazu gehören Organigramme eines Unternehmens und der Domänennamensraum. Die Hierarchie in Windows 2000 beschreibt den Namensraum ausgehend von einer Stammdomäne über die untergeordneten Domänen zu den diesen untergeordneten Domänen. Hintergrundprozess Ein Prozess, der von einem Dienst oder einem Benutzer gestartet wurde und momentan nicht direkt mit dem Benutzer kommuniziert. Einfach ausgedrückt, wenn ein Prozess keine Eingabe über die Tastatur oder die Maus empfangen kann, ist es ein Hintergrundprozess.
909
I-L Infrastrukturmaster Ein Betriebsmaster auf Domänenebene. Er ist für die Aktualisierung der Gruppenmitgliedschaft von Domänenbenutzern im gesamten Unternehmen verantwortlich. Internet Ein weltweites Netzwerk zur Verbindung verschiedener unternehmenseigener oder öffentlicher Netzwerke zu einem einzigen Netzwerk. Iterative Abfrage Ein DNS-Server führt bei der Namensauflösung iterative Abfragen aus. Diese Art von Abfragen sucht nach der bestmöglichen Antwort einschließlich einer Umleitung zu einem anderen Namensserver. Kein Vorrang Siehe Durchsetzung von Gruppenrichtlinien. Klasse Eine Klasse von Objekten ist ein Objekttyp. Datei ist z.B. eine Objektklasse. Unterschiedliche Objektklassen weisen unterschiedliche Attribute und in der Regel verschiedene anwendbare Methoden auf. Alle Objektklassen haben einige Attribute und Methoden gemeinsam, beispielsweise Name und Typ als Attribute und Erzeugen und Löschen als Methoden. Knowledge-Konsistenzprüfer (KCC) Der KCC ist für die Herstellung der standortinternen Verbindungen verantwortlich und gewährleistet, dass jeder Computer mindestens zwei Replikationspartner hat. Außerdem nutzt er die von Ihnen erstellten Standortverknüpfungen, um Verbindungen zwischen Servern in unterschiedlichen Standorten einzurichten, damit die Replikation zwischen diesen Standorten stattfinden kann. Konfigurationspartition Die Active Directory-Partition, die Informationen über die Domänen und die Vertrauensstellungen zwischen diesen enthält. Die Informationen werden vom Domänennamensmaster an alle Domänencontroller im Unternehmen repliziert. LAN-Manager Ein Netzwerkbetriebssystem, das von IBM und Microsoft entwickelt wurde. Dieses war eines der ersten Netzwerkbetriebssysteme, das Domänencontroller zur Zentralisierung der Benutzerauthentifizierung in einem Netzwerk eingesetzt hat. LDAP (Lightweight Directory Access Protocol) Ein Protokoll, das ursprünglich für den Zugriff auf eine X.500-Verzeichnisstruktur entwickelt wurde. Es wurde erweitert für den Zugriff auf viele Verzeichnisstrukturen mittels einer festgelegten Gruppe von Objektattributkennungen, die von der internationalen Standardorganisation ISO kontrolliert werden.
910
Anhang A
Glossar
lokale Gruppe Das Gleiche wie eine domänenlokale Gruppe. Sie wird für Berechtigungen eingesetzt, ist aber auf Alleinstehenden Servern und Windows-2000-Professional-Computern vorhanden. Solche Gruppen werden auch auf Mitgliedsservern im gemischten Modus verwendet.
M-Q MAC (Media Access Control) Die MAC-Adresse ist die einer Netzwerkkarte zugeordnete physische Adresse und dient zur Identifizierung der Netzwerkkarte im Netzwerk. Obligatorische Aktualisierung Eine Aktualisierung eines vorhandenen, über Gruppenrichtlinien bereitgestellten Softwarepakets, die installiert werden muss. Obligatorische Aktualisierungen können für den Benutzer oder den Computer eingestellt werden und ersetzen die vorherige Paketversion. Masterserver Der Server, von dem ein sekundärer DNS-Server die Kopie einer Zonendatei erhält. Der Master kann ein primärer oder sekundärer Server sein. Methode Eine Aktion, die mit einem Objekt ausgeführt werden kann. Zu den gebräuchlichen Methoden gehören Erzeugen und Löschen. Methoden sind wichtig, weil sie beim programmgesteuerten Zugriff auf Active Directory benutzt werden. MOVETREE Dieses Programm kann zum Verschieben von Objekten zwischen zwei Domänen benutzt werden. Innerhalb einer Domäne kann ein Objekt mit Hilfe des Befehls VERSCHIEBEN im Kontextmenü von KONTEXTACTIVE DIRECTORYBENUTZER UND -COMPUTER verschoben werden. Maßgebliche Wiederherstellung Das Löschen eines Objekts wird auf anderen Domänencontrollern mit einer aktualisierten USN für das Objekt repliziert. Falls das Objekt aus der Sicherung wiederhergestellt wird, würde es vom normalen Replikationsvorgang wieder gelöscht, weil der Löschvorgang eine höhere USN hat. Eine nachdrückliche Wiederherstellung wird durchgeführt, um das Objekt zwangsweise zurück in Active Directory zu bringen. Dadurch wird die Objekt-USN um 10.000 erhöht, sodass die Aktualisierung einen höheren Wert aufweist als die Löschungs-USN. Namenserver Dies ist eine ganze Baumstruktur von Namen, die mit einem Stamm beginnt und sich verzweigt. Der Namensraum ist mit einer Verzeichnisstruktur auf einer Festplatte vergleichbar. Das gesamte Internet wird mit einem einzigen Namensraum kontrolliert, wogegen jede Active Directory-Baumstruktur einen einzelnen Namensraum darstellt.
911
Nativer Modus Dieser Modus ermöglicht die Schachtelung von Sicherheitsgruppen und die Verwendung universeller Sicherheitsgruppen. Im nativen Modus darf sich kein Windows-NT-BDC im Netzwerk befinden. NetLogon Der Dienst NetLogon oder Netzwerkanmeldung ist der Dienst, der Benutzeranforderungen von Netzwerkauthentifizierungen bedient. NetWare Ein verbreitetes Netzwerkbetriebssystem, das ursprünglich eine separate Benutzerdatenbank auf jedem Server vorsah. Später wurde NetWare mit den NetWare Directory Services verbessert, wodurch es im Bereich der Enterprise-Netzwerke besser konkurrieren konnte. Netzwerkbetriebssystem Ein Betriebssystem oder eine Erweiterung eines Betriebssystems, das Clients den Einsatz eines Redirectors ermöglicht, der feststellt, ob eine Anforderung den lokalen Computer oder ein Remotesystem betrifft. Das NOS kann dann die erforderliche Netzwerkschnittstelle offen legen oder im Auftrag des Benutzers darauf zugreifen, um die Anforderung an einen anderen Dienst weiterzuleiten, der in der Regel auf einem anderen Computer im Netzwerk läuft. Netzwerkmonitor Ein Programm zur Erfassung und Anzeige des Netzwerkverkehrs. Damit können Netzwerkprobleme eingekreist werden. NSLOOKUP Dieses Programm kann zur Abfrage eines DNS-Servers von der Befehlszeile aus oder durch Eröffnung einer Sitzung mit dem DNS-Server verwendet werden. NTDSUTIL Dieses Programm wird für unterschiedliche Funktionen benutzt. Insbesondere wird es eingesetzt, um einem Einzel-Betriebsmaster eine Funktion zu entziehen und nachdrückliche Wiederherstellungen durchzuführen. NTFS Das Dateisystem von Windows 2000. Es bietet viele Vorteile, darunter die Möglichkeit, Datei- und Ordnerberechtigungen festzulegen, sodass es für die Freigabe SYSVOL obligatorisch ist. Objekt Ein allgemeiner Begriff für jede Ressource oder jedes andere Element, das existiert. Durch das Objektmodell wird das Programmieren vereinfacht, weil Code immer wieder verwendet werden kann. Objektberechtigungen Bei einem Objekt kann über Berechtigungen festgelegt werden, wer es verwalten darf. Dies ist die Grundlage für das Delegieren der Kontrolle über eine Organisationseinheit, weil die Berechtigungen von untergeordneten Objekten geerbt werden.
912
Anhang A
Glossar
Optionale Paketentfernung Dabei kann der Benutzer entscheiden, ob eine Anwendung von seinem bzw. ihrem Computer entfernt werden oder installiert bleiben soll. Ordnerumleitung Die selektive Platzierung von Ordnern, auf die alle Benutzer zugreifen, auf unterschiedlichen Datenträgern von lokalen Computern oder auf freigegebenen Datenträgern im Netzwerk, wo sie gesichert werden können. Ordnerumleitung wird mittels Gruppenrichtlinien erzwungen. Organisation Ein Begriff, der sich auf das Unternehmen bezieht, das Active Directory implementiert. In der Begriffswelt von X.400 und X.500 ist die Organisation (O) der Name des Unternehmens. Organisationseinheit (OU) Eine Untereinheit einer Domäne, die eingesetzt werden kann, um die Verwaltung der in ihr enthaltenen Objekte zu delegieren. Bei X.400 und X.500 ist die Organisationseinheit eine Untereinheit der Organisation. Paketänderungen Änderungen, die ein Softwarepaket betreffen und in Transformationsdateien (MST) enthalten sind. Transformationsdateien sind einem vorhandenen Paket zugeordnet. Sie werden in Verbindung mit mehreren GPOs benutzt, um das Verhalten eines Pakets zu ändern, wenn es in unterschiedlichen Regionen bereitgestellt wird. PDC-Emulator Dies ist eine Betriebsmaster-Funktion auf Domänenebene. Der PDC-Emulator ist für die Replikation bei kompatiblen Domänencontrollern und die Authentifizierung von kompatiblen Clients zuständig. Außerdem stellt er die Vertrauensverhältnisse zwischen Domänen her. Primärer Domänencontroller (PDC) In einem Windows-NT-4.0-Netzwerk ist der PDC der Hauptdomänencontroller. Er enthält die einzige beschreibbare Version der Domänendatenbank. Dieses System muss dann diese Datenbank an die Reservedomänencontroller replizieren, damit diese ebenfalls Anmeldungsanforderungen von Benutzern authentifizieren können. Primärer Server Der Server, auf dem die Zonendatei erstellt wird. Änderungen an der Zonendatei werden nur auf diesem Server vorgenommen und dann an die sekundären Server gesendet. Wenn die Zone Active Directory-integriert ist, gibt es keinen primären Server mehr, weil alle Domänencontroller, bei denen DNS installiert ist, Änderungen vornehmen können. Prozess Eine Kombination aus zugeordnetem virtuellem Speicher und mindestens einem Ausführungsthread, die zur Ausführung einer Anwendung benutzt wird. Dienste werden jeweils in einem Prozess ausgeführt, ebenso wie alle von Benutzern ausgeführten Programme einschließlich des ersten Benutzerprozesses (EXPLO-
913
RER.EXE). Jedem Prozess ist ein Satz von Sicherheitsinformationen in Form eines Zugriffstokens zugeordnet, das die Berechtigungen und Rechte des Prozesses festlegt. PXE (Pre-Boot Execution Environment) ist ein Standard, der es kompatiblen Netzwerkkarten ermöglicht, von einem DHCP-Server eine TCP/IP-Adresse und die IP-Adresse eines RIS-Servers anzufordern, um die Installation eines Windows2000-Professional-Images zu starten. Quellcomputer Der Computer, auf dem Windows 2000 Professional und Anwendungen installiert sowie weitere Einstellungen festgelegt werden, und der als Quelle für ein RIPrep-Image verwendet wird.
R-S RAS (Remote Access Service) Mit RAS können sich Benutzer in ein Windows2000-Netzwerk einwählen. Die alte Version in Windows NT 4.0 musste Benutzern vollen Zugang zum Netzwerk gewähren, um sie zu authentifizieren. In Windows 2000 wird dies vermieden. Rechte So, wie Berechtigungen bestimmen, was ein Benutzer mit einer Datei tun darf, bestimmen Rechte, welche Systemaktionen ein Benutzer ausführen darf, beispielsweise die Änderung der Systemzeit. Redirector Ein Bestandteil des Netzwerkbetriebssystems, der für die Formulierung von Anforderungen zuständig ist, die an einen Serverdienst weitergegeben werden. Der Redirector in Windows 2000 wird Workstation-Dienst genannt. Registrierung Eine Sammlung von Einstellungen, die auf jedem Computer sowohl für den Computer als auch für den Benutzer, der sich beim Computer anmeldet, vorhanden ist. Die Registrierung setzt sich aus einer Reihe von Unterstrukturen zusammen, von denen KEY_LOCAL_MACHINE und HKEY_USERS die wichtigsten sind, weil sie mit Computer-, COM+- und Benutzereinstellungen zu tun haben. Administrative Vorlagen für Gruppenrichtlinien ändern die Registrierung, um GPO-Einstellungen auf Benutzer und Computerebene durchzusetzen. Rekursive Abfrage Eine Abfrage zwischen einem Client und dem DNS-Server, die eine Namensauflösung oder Fehlerbenachrichtigung anfordert. Remoteinstallationsdienste (RIS) Ein Windows-2000-Dienst, der die Bereitstellung von Windows 2000 Professional für Computer mittels einer RIS-Startdiskette oder einer PXE-kompatiblen Netzwerkkarte erleichtert.
914
Anhang A
Glossar
RID-Master (Relative Identifier) Ein Betriebsmaster auf Domänenebene. Der RID-Master erzeugt und verteilt RIDs, die in Verbindung mit Domänen-SIDs zur Erstellung von SIDs für neue Objekte in den Domänen verwendet werden. RPC (Remote Procedure Call) Eine der möglichen Methoden für die Interprozesskommunikation. Bei dieser Methode wird ein externer Redirector und Server eingesetzt, den mehrere Dienste und Clients gleichzeitig benutzen können. Für die RPCKommunikation Server-zu-Server sollte eine Netzwerkbandbreite von mindestens 64 Kb/s zur Verfügung stehen. Replikation Das Kopieren von Daten von einem Speicherort zu einem anderen. Die Replikation spielt in Active Directory eine große Rolle. In Active Directory werden Schemainformationen, Konfigurationsinformationen, Domäneninformationen und der globale Katalog repliziert. Resolver Ein kleines Codestück, das in eine Anwendung oder in das Betriebssystem integriert ist und die rekursive Abfrage beim DNS-Server ausführt. Ressourcen Dateien, Ordner, Drucker, Dienste oder andere Bestandteile eines Computers, die zur Verwendung bereitstehen. Netzwerkressourcen sind solche, die im Netzwerk freigegeben sind, sodass sie Benutzern im Netzwerk zur Verfügung stehen. Reverse-Lookup Die Abfrage eines Servernamens auf der Grundlage einer IPAdresse. RIPrep-Image (Remoteinstallationsvorbereitungs-Image) Solche Images enthalten die gesamte Konfiguration eines Quellcomputers einschließlich des Betriebssystems und aller installierten Anwendungen und Verknüpfungen. Diese Images werden über Remoteinstallationsdienste für Zielcomputer bereitgestellt, deren HAL mit der des Quellcomputers übereinstimmt. RIS-Image Ein Betriebssystemimage, das von einem RIS-Server für Computer bereitgestellt werden kann. RIS-Images könne CD-basierte Images oder RIPrepImages sein und werden auf einem RIS-Server gespeichert. RIS-Server Ein Windows-2000-Server, der Bestandteil einer Active DirectoryDomäne ist und auf dem Remoteinstallationsdienste installiert sind. Remotestartdiskette Eine Diskette, die vom Programm für die Remotestart-Diskettenerstellung (RBFG.EXE) erstellt wird und auf einem Computer ohne PXEkompatible Netzwerkkarte eine PXE-basierte Umgebung emuliert. Die RIS-Start-
915
diskette kann verwendet werden, um die Installation eines RIS-Images auf einem Zielcomputer zu starten. Sammlung Eine spezielle Art von Objektattribut, bei der ein Attribut einen oder mehrere Einträge aufweisen kann. Ein Beispiel für eine Sammlung ist eine Zugriffssteuerungsliste, die aus einem oder mehreren Zugriffssteuerungseinträgen besteht. Schema Der Begriff für die Zeilen und Spalten, aus denen eine Datenbanktabelle besteht. In Windows 2000 bezieht sich der Begriff auf die Definition von Klassen (Tabellen) und Attributen (Spalten) innerhalb der Verzeichnisdatenbank. Schema-Master Eine der Betriebsmaster-Funktionen. Der Schema-Master enthält die einzige beschreibbare Kopie der Verzeichnisdatenbank. Bei Änderungen wird sichergestellt, dass alle anderen Domänencontroller im Unternehmen aktualisiert werden. In einer Active Directory-Gesamtstruktur gibt es nur einen Schema-Master, und alle Änderungen am Schema werden in der Gesamtstruktur nachgezogen. Schemapartition Hier sind die Schemainformationen enthalten. Die Schemapartition wird vom Schema-Master an alle Domänencontroller im Netzwerk repliziert. Sekundärer Server Ein DNS-Server, der Clients autorisierte Antworten geben kann, weil er eine Kopie der Zonendatei enthält. Im Standardmodus kann er die Zonendatei, die von einem Masterserver kopiert wurde, nicht ändern. Server für den globalen Katalog Das System, das den globalen Katalog enthält und mit den anderen Servern für den globalen Katalog repliziert, um den vollständig globalen Katalog aufzubauen. Bei der Planung dieses Servers sollte diese zusätzliche Belastung berücksichtigt werden. Sicherheitsgruppe Eine Gruppe, die zur Festlegung von Berechtigungen verwendet wird. Eine Sicherheitsgruppe kann auch für E-Mail eingesetzt werden, allerdings beanspruchen Sicherheitsgruppen 2600 Byte mehr Speicher. Sicherheitsinformationen Dabei handelt es sich, einfach ausgedrückt, um die Informationen, die zum Aufbau einer Verbindung mit einem Remotecomputer verwendet werden. Innerhalb einer Windows-2000-Domäne werden Sicherheitsinformationen in einem Zugriffstoken gespeichert und umfassen die Benutzerinformationen zusammen mit einer Liste der Gruppen, zu denen der Benutzer gehört. Das Zugriffstoken kann dann jedem vom Benutzer gestarteten Prozess angefügt werden. Wenn ein Prozess versucht, auf ein Objekt zuzugreifen, werden diese Sicherheitsinformationen mit der ACL des Objekts verglichen, um festzustellen, ob der Zugriff erlaubt ist.
916
Anhang A
Glossar
Sicherheitskonfiguration und -analyse Ein MMC-Snap-In, das in erster Linie für die Analyse lokaler Sicherheitseinstellungen und die Anwendung von Sicherheitsvorlagen auf dem lokalen Computer vorgesehen ist. Es kann außerdem benutzt werden, um die Sicherheitskonfiguration des lokalen Computers abzurufen und eine Sicherheitsvorlage zu erstellen, welche die Einstellungen des Computers widerspiegelt. Sicherheitskontext Die Sicherheitsinformationen eines Benutzers, mit denen ein Prozess ausgeführt wird. Sicherheitsprincipal Ein Begriff, der für Objekte benutzt wird, denen Berechtigungen oder Rechte eingeräumt werden können, z.B. Benutzer, Gruppen und Computer. Sicherheitsvorlagen Textdateien, welche die Regeln zur Durchsetzung von Sicherheitseinstellungen bei Benutzern und Computern enthalten. Sie bilden die Grundlage einer Sicherheitsrichtlinie für Benutzer und Computer. Sicherung Der Vorgang der Sicherung von System- und Benutzerdateien auf Band, Diskette oder einem anderen Medium, das von dem verwendeten Sicherungsprogramm unterstützt wird. Sicherungsdomänencontroller Ein in Windows-NT-4.0-Domänen vorkommender Typ von Computer. Dieser Computer führte eine Kopie der Domänenkontendatenbank und konnte Benutzeranmeldungen authentifizieren. Es konnten bei einem BDC jedoch keine Änderungen durchgeführt werden, will die Datenbankkopie schreibgeschützt war. SID (Sicherheitskennung) Die eindeutige Nummer, die jedes Objekt in Active Directory identifiziert. Die SID eines Objekts in Windows 2000 besteht aus einer Kombination der Domänen-SID der Domäne, in der das Objekt erstellt wurde, und einer eindeutigen relativen Kennung. SIS-Dienst (Single Instance Store) Ein Dienst, der auf einem RIS-Server ausgeführt wird und dafür verantwortlich ist, dass die Dateien, die für ein CD-basiertes RIS-Image benötigt werden, auch gefunden werden. Außerdem hilft er, Speicherplatz zu sparen, indem er sicherstellt, dass Dateien, die für mehrere RIS-Images benötigt werden, nur in einer gemeinsamen Kopie auf dem RIS-Server gespeichert werden, statt mehrere Kopien zu speichern.
917
SMTP (Simple Mail Transfer Protocol) Ein einfaches Protokoll, das in der Regel zur Übertragung von Informationen zwischen zwei Computern verwendet wird. In Windows 2000 kann dieses Protokoll zur Replikation zwischen Standorten verwendet werden. SOA-Datensatz (Start of Authority) Ein Datensatz, der das Aktualisierungsintervall und den Namen des primären Servers für eine Standardzone enthält. Softwarekategorien Logische Gruppierungen von veröffentlichten Softwarepaketen, die einem Benutzer das Durchsuchen verfügbarer Software nach einem zu installierenden Paket erleichtern. Ein Softwarepaket kann zu mehreren Kategorien gehören. SRV-Datensätze Ein neuer Datensatztyp in DNS, der es einem Dienst ermöglicht, einen DNS-Namen zu registrieren, damit Benutzer nach einem Dienst statt nach einem Computer suchen können. Stammdomäne Der Ausgangspunkt für eine Hierarchie. Es gibt eine Stammdomäne im Internet, die den Ausgangspunkt für den Namensraum des gesamten Internets bildet. In der Welt von Windows 2000 ist die Stammdomäne die erste Domäne, die installiert wird, und der alle weiteren Domänen als zusätzliche Zweige des Namensraums angeschlossen werden. Standort Eine Gruppe von IP-Subnetzen, die mit einem Hochgeschwindigkeitsnetzwerk verbunden sind. Standorte können zur Steuerung der Replikation eingesetzt werden. Standortverknüpfungen Eine logische Verbindung zwischen zwei oder mehreren Standorten. Über Standortverknüpfungen erfährt der KCC von anderen Standorten im Netzwerk, sodass er die erforderlichen Verbindungen herstellen kann. Standortverknüpfungsbrücken Eine Verbindung zwischen zwei oder mehreren Standorten, die als Pfad für die Active Directory-Replikation zwischen nicht direkt verbundenen Standorten verwendet wird. Brücken werden ignoriert, wenn die automatische Standortverknüpfungsüberbrückung aktiviert ist. Start-/Beendigungsskripte BAT-, CMD- oder Windows-Scrip-Host-Dateien (VBScript oder JScript), die beim Start oder beim Herunterfahren von Computern ausgeführt werden, auf denen das betreffende GPO umgesetzt wird. Mit Start-/ Beendigungsskripte kann der Administrator zusätzliche Einstellungen festlegen, die nicht über Gruppenrichtlinien konfiguriert werden können.
918
Anhang A
Glossar
Subnetz Ein einzelnes Segment eines gerouteten Netzwerks. In der Regel wird es identifiziert durch die Subnetz-ID, gefolgt von einem Schrägstrich und der Anzahl der Bits in der Netzmaske. Beispielsweise wäre 148.53.64.0/18 ein Subnetz mit den Hosts 148.53.64.1 bis 148.53.127.254. SYSTEM-Konto Das Konto SYSTEM ist ein Spezialkonto, das zum Start von Diensten verwendet werden kann, die auf einem Computer verfügbar sein sollen. Dieses Konto ist eigentlich das Computerkonto, das die vollständige Kontrolle über das lokale System besitzt. Systemmonitor Dieses Programm ermöglicht die Überwachung und Anzeige der Leistung aller Systemkomponenten auf sehr niedriger Ebene. Er kann bei allgemeinen Systemproblemen und bei Leistungsproblemen zur Fehlersuche eingesetzt werden. Systemstatusdaten Diese Daten bilden das Herzstück des Betriebssystems und repräsentieren Active Directory, die Registrierung, die Zertifikatdatenbank und weitere wichtige Dateien. Die Systemstatusdaten sollten nach einem Zeitplan gesichert werden. SYSVOL Dies ist die Systemdatenträgerfreigabe. Sie bildet den Verbindungspunkt, der für die Authentifizierung von Benutzeranmeldungen und zum Speichern von Anmeldeskripte, Gruppenrichtlinien und ähnlichen Dateien verwendet wird.
T-Z Tabelle Eine Struktur in einer Datenbank, die Daten enthält. Eine Tabelle besteht aus Spalten, die Attribute oder Eigenschaften repräsentieren, und Zeilen, die Elemente repräsentieren. Task-Manager Dies ist ein elementares Programm, das einen schnellen Überblick über die aktuelle Systemleistung liefert, darunter die ausgeführten Prozesse und die Gesamtstatistiken für CPU und Speicher. Mit dieser Anwendung kann ein Task beendet werden, der nicht mehr reagiert, oder die Priorität eines laufenden Tasks geändert werden. TFTP (Trivial File Transfer Protocol) Dieses Protokoll wird auf einem RIS-Server ausgeführt und während der Bereitstellung zum Übertragen von Dateien auf den Zielcomputer verwendet. Dieses ist ein anderes Protokoll als das FTP-Protokoll, das Sie möglicherweise zur Verbindung mit einer FTP-Site im Internet verwenden. TFTP unterscheidet sich von FTP darin, dass kein Benutzereingriff erforderlich ist. Dies ist der Grund dafür, dass es für Remoteinstallationsdienste eingesetzt wird.
919
Transformationsdateien siehe Paketänderungen. TTL (Time To Live, Lebensdauer) Wenn ein DNS-Server eine Adresse auflöst, wird diese für den Zeitraum, der in den zurückgegebenen Informationen angegeben wird, zwischengespeichert. Diese Zeit ist die TTL für den DNS-Cache-Eintrag. Überwachung Die Verfolgung der Ausübung von Benutzerrechten, von Dateizugriffen und anderen Sicherheitselementen auf einem Computer. Zur Konfiguration der Überwachungseinstellungen für einen Computer können Gruppenrichtlinien eingesetzt werden. Überwachungsrichtlinie Sicherheitsüberwachungsrichtlinien sind Bestandteil von Sicherheitsrichtlinien, mit denen festgelegt werden kann, welche sicherheitsbezogenen Ereignisse zu überwachen bzw. potenziell zu überwachen sind. Durch die Überwachung solcher sicherheitsrelevanter Systemereignisse kann erkannt werden, wenn jemand versucht, einzudringen, um Daten im System zu beschädigen oder Zugriff auf Ressourcen zu erlangen, die er bzw. sie nicht erreichen sollte. Umpacken einer Anwendung Die Erstellung eines Windows-Installer-Pakets für eine Anwendung mit Hilfe eines Umpackprogramms von einem Drittanbieter, beispielsweise Veritas WinInstall LE. Universelle Gruppe Eine Gruppe, die im globalen Katalog existiert und leicht Domänen überspannen kann. Sicherheitsgruppen sollten sparsam eingesetzt werden, weil sie die domänenübergreifende Replikation intensivieren. Untergeordnete Domäne Eine Domäne, die innerhalb einer anderen Domäne liegt. Beispielsweise wäre RD.Scrim.Tech.lokal eine untergeordnete Domäne von Scrim.Tech.lokal. Ursprüngliche Schreiboperation Die Änderung eines Objekts in Active Directory, die von einem anderen Prozess als der Replikation verursacht wurde. Beispielsweise ist es eine ursprüngliche Schreiboperation, wenn ein Benutzer sein Kennwort ändert. Bei einer ursprünglichen Schreiboperation wird die USN des Objekts erhöht. USN (Update Sequence Number) Eine Nummer, die beim Domänencontroller verwendet wird, um die Anzahl von Aktualisierungen zu verfolgen, die der Controller ausgeführt hat, und die bei einem Objekt verwendet wird, um die Anzahl der Aktualisierungen des Objekts zu verfolgen. Diese Nummern ermöglichen die Multimaster-Replikation.
920
Anhang A
Glossar
Verbindungsobjekte Ein Verbindungsobjekt repräsentiert einen Netzwerkpfad, über den die Active Directory-Replikation stattfindet. Es wird normalerweise im Knowledge-Konsistenzprüfer erstellt. Vererbung In Active Directory werden Berechtigungen von übergeordneten Objekten geerbt. Dieser Vorgang wird Vererbung genannt und kann auf Wunsch blockiert werden. Verkehr Ein allgemeiner Begriff in der Informatik, der sich auf Daten bezieht, die sich in einem Netzwerk bewegen. Es ist eine große Sorge, dass in einem Netzwerk mehr Verkehr anfällt, als dieses bewältigen kann. Veröffentlichung von Softwarepaketen Damit wird ein Benutzer in die Lage versetzt, ein mittels Gruppenrichtlinien bereitgestelltes Softwarepaket über Dokumentaktivierung oder über die Systemsteuerung unter Software wahlweise zu installieren. Verteilergruppe Eine Gruppe, die zur Verteilung von E-Mail eingerichtet wird. Verteilergruppen können keine Berechtigungen erhalten und dürfen nur Benutzer enthalten. Vertrauensverhältnisse Eine Beziehung zwischen zwei Microsoft-Domänen, bei der eine Domäne darauf vertraut, dass die andere die Authentifizierung durchführt. Die Domäne, die der anderen vertraut, akzeptiert Anmeldungsanforderungen von Benutzern aus der anderen Domäne. Der lokale Domänencontroller leitet die Anmeldungsanforderung an den Domänencontroller der vertrauenswürdigen Domäne weiter, der die Authentifizierung durchführt und die Informationen an den vertrauenden Domänencontroller zurückgibt. Verzeichnis Dies ist, mit einfachen Worten, eine Liste, eine einfache Datenbank, die eine Liste von Elementen enthält, nach denen jemand suchen könnte. In Windows 2000 ist ein Verzeichnis eine Sammlung von Informationen über Objekte, die im Netzwerk zu finden sind. Vollqualifizierter Domänenname (FQDN) Der vollständige Name des Computers, eine Kombination aus Hostname und Name der Domäne, zu welcher der Host gehört. Vordergrundprozess Der aktive Prozess auf einem Computer. Der Prozess, mit dem der Benutzer interagiert, wird als Vordergrundprozess bezeichnet.
921
Vorkonfigurieren Die Erstellung von Computerkonten in Active Directory unter Verwendung der GUID eines Computers. Bei der Vorkonfiguration kann ein Administrator einen Clientcomputer für den Empfang einer Image-Liste von einem bestimmten RIS-Server konfigurieren. Außerdem kann damit gewährleistet werden, dass nur vorkonfigurierte Computer RIS benutzen können. Wiederherstellung Der Vorgang der Wiederherstellung von Daten aus einer Sicherung. Windows 2000 Das aktuelle Netzwerkbetriebssystem von Microsoft. Windows 2000 wird in vier Versionen geliefert: Professional, Server, Advanced Server und Data Center. Windows Installer-Dienst Ein Dienst, der auf allen Windows-2000-Computern installiert ist und ausgeführt wird. Dieser Dienst erleichtert die automatische Installation und Bereitstellung von Software. Außerdem ermöglicht er die automatische Reparatur bzw. Änderung vorhandener Anwendungen in Fällen, in denen Dateien überschrieben oder gelöscht wurden. Windows Installer-Paket Dieses Paket enthält alle Informationen, die Windows Installer zur Installation oder Entfernung einer Anwendung benötigt. Dazu gehören die von der Software benötigten Dateien, Änderungen an der Registrierung und der INI-Datei sowie zusätzlich benötigte Unterstützungsdateien, zusammenfassende Informationen über das Paket und die Anwendung, die dem Benutzer angezeigt werden, und ein Verweis auf den Speicherort der Produktdateien, d.h. von wo die Software zu installieren ist. Der Großteil dieser Informationen ist in einer einzigen Datei mit der Erweiterung .MSI enthalten, der Paketdatei selbst. Windows NT Dies ist die Vorgängerversion von Microsofts Netzwerkbetriebssystem. Windows NT Terminal Server Edition diente als Grundlage für das aktuelle Windows 2000. WINS (Windows Internet Naming System) Ein WINS-Server ist mit einem DNSServer vergleichbar, aber speziell für NetBIOS-Namen ausgelegt, die hierarchisch sind. Solche Server sind für Windows-NT-4.0- und andere kompatible Clients erforderlich. Workstation Allgemeiner Begriff für einen Computer in einem Netzwerk. Außerdem der Name des Windows-2000-Dienstes, der für die Verbindung mit Remoteressourcen im Netzwerk zuständig ist.
922
Anhang A
Glossar
X.500 Dies ist ein theoretischer Standard, der beschreibt, wie eine hierarchische Verzeichnisstruktur erstellt und verwaltet wird. Microsofts Active Directory basiert lose auf X.500. ZAP-Datei Eine ASCII-Textdatei, die mit einem Texteditor erstellt wird (Notepad reicht aus) und eine Reihe von Festlegungen für die zu installierende Software enthält, darunter den Anwendungsnamen, den Namen des Installationsprogramms, Parameter für die Installation sowie Dateierweiterungen, die mit der Anwendung verknüpft werden sollen, die Adresse der Website für technischen Support usw. ZAP-Dateien werden verwendet, um Software, für die kein Windows-InstallerPaket vorliegt, mittels Gruppenrichtlinien bereitzustellen. Zielcomputer Der Computer, auf dem RIPrep- oder CD-basierte Images mittels Remoteinstallationsdienste installiert werden. Der Zielcomputer muss die Hardwarevoraussetzungen für Windows 2000 Professional erfüllen und eine PXE-fähige Netzwerkkarte enthalten oder von der RIS-Startdiskette unterstützt werden. Zone Die Zone, oder Zonendatei, ist die Gruppe von Ressourcendatensätzen für eine Domäne. Server, die eine Kopie der Zonendatei enthalten, können Anfragen nach zuverlässigen Informationen über das System in der Domäne bedienen. Zonenübertragung Das Kopieren einer Zonendatei von einem Masterserver zu einem sekundären Server. Dieser Prozess wird nicht in Active Directory-integrierten Zonen eingesetzt. Zugriffssteuerungsliste (Access Control List, ACL) Dient zur Überprüfung, ob ein Prozess berechtigt ist, auf ein Objekt zuzugreifen. Die Rechte des Prozesses werden mit den Einträgen in der Zugriffssteuerungsliste verglichen, um festzustellen, ob der Zugriff gewährt werden soll und ggf. welche Berechtigungen verfügbar sind. Zuweisung von Softwarepaketen Die erzwungene Bereitstellung eines Softwarepakets für einen Benutzer oder Computer gemäß Konfiguration in Gruppenrichtlinien. Ein Softwarepaket, das einem Benutzer bzw. Computer zugewiesen ist, wird ohne dessen Mitwirkung installiert.
Überblick über die Zertifizierung
B
Um ein Microsoft Certified Professional (MCP) zu werden, müssen Sie strenge Zertifizierungsprüfungen bestehen, die einen zuverlässigen Maßstab für Ihre technische Kompetenz und Ihr Fachwissen liefern. Entwickelt in Zusammenarbeit mit Profis aus der Industrie, die umfangreiche Erfahrungen mit Microsoft-Produkten haben, werden die Prüfungen von zwei unabhängigen Organisationen durchgeführt: Sylvan Prometric bietet die Prüfungen weltweit in mehr als 2000 autorisierten Prometric Testing Centers an und Virtual University Enterprises (VUE) Testcenter sind an mehr als 1400 Standorten mit Examensangeboten vertreten. Für ein Examen können Sie sich telefonisch beim Sylvan Prometric Testing Center oder bei VUE anmelden:
HINWEIS Sylvan Prometric Deutschland: 0130/83 97 08 Österreich: 06 60/85 82 Schweiz: 08 00/55 69 66 VUE Deutschland: 08 00/1 81 06 96 Österreich: 06 60/31 21 50 Schweiz: 08 00/83 75 50
Die Registrierung ist auch online unter http://www.2test.com/register bzw. http:// www.vue.com/ms/msexam.html möglich. Bei Redaktionsschluss hat Microsoft acht Zertifizierungsarten angeboten, die jeweils auf einem bestimmten Spezialgebiet basieren. Aktuelle Informationen erhalten Sie auf der Website für den Microsoft Certified Professional unter www.microsoft.com/mcp/.
924
Anhang B
B.1
Überblick über die Zertifizierung
Zertifizierungsarten
씰
Microsoft Certified Professional (MCP): Personen mit diesem Zertifikat besitzen umfangreiche Kenntnisse in mindestens einem Microsoft-Produkt und können dieses Produkt professionell einsetzen. Kandidaten können Wahlexamen absolvieren, um sich auf bestimmte Bereiche zu spezialisieren. Das MCP-Zertifikat ist der Einstieg in das MCP-Programm.
씰
Microsoft Certified Professional + Internet (MCP + Internet): Personen mit diesem Zertifikat sind qualifiziert, Sicherheit zu planen, Serverprodukte zu installieren und zu konfigurieren, Serverressourcen zu verwalten, CGISkripts oder ISAPI-Skripts auszuführen, Leistung zu überwachen und zu analysieren sowie Fehlersuche durchzuführen. Die Fachkenntnisse sind ähnlich denen eines MCP, wobei aber der Schwerpunkt auf Internetthemen liegt.
씰
Microsoft Certified Professional + Site Building (MCP + Site Building): Personen mit diesem Zertifikat haben die Fähigkeit, Websites mit den Microsoft-Technologien und -Produkten zu planen, zu entwickeln, zu warten und zu unterstützen. Das Zertifikat ist für Personen geeignet, die intelligente, interaktive Websites verwalten, zu denen Datenbankanbindung, Multimedia und suchfähige Inhalte gehören.
씰
Microsoft Certified Database Administratoren (MCDBA): Experten mit dieser Qualifikation können physikalische Datenbankentwürfe ableiten, logische Datenmodelle entwickeln, physikalische Datenbanken anlegen, Datendienste mithilfe von Transact-SQL erstellen, Datenbanken verwalten und warten, Sicherheit konfigurieren und verwalten, Datenbanken überwachen und optimieren sowie Microsoft SQL Server installieren und konfigurieren.
씰
Microsoft Certified Systems Engineer (MCSE): Diese Experten verfügen über die Qualifikation, die Geschäftsanforderungen für eine Systemarchitektur zu analysieren, die Architekturkomponenten zu entwickeln, zu installieren und zu konfigurieren sowie Systemprobleme zu beheben.
씰
Microsoft Certified Systems Engineer + Internet (MCSE + Internet): Personen mit diesem Zertifikat sind für die Kernbereiche eines MCSE qualifiziert und beherrschen darüber hinaus die Erweiterung, Entwicklung und Verwaltung von intelligenten Intranet- und Internetlösungen, die Browser, Proxy-Server, Hostserver, Datenbanken sowie Komponenten der Nachrichtendienste und des Handels umfassen. Ein MCSE + Internet ist in der Lage, Websites zu verwalten und zu analysieren.
B.2 Anforderungen an die Zertifizierung
씰
Microsoft Certified Solution Developer (MCSD): Diese Personen sind in der Lage, mit Microsoft-Entwicklungstools, -Technologien und -Plattformen businessrelevante Lösungen zu entwerfen und zu realisieren. Zum neuen Track gehören Zertifizierungsexamen, die die Fähigkeit des Benutzers testen, um webbasierte, verteilte und Handelsanwendungen mit Microsoft-Produkten wie zum Beispiel Microsoft SQL Server, Microsoft Visual Studio und Microsoft Component Services zu erstellen.
씰
Microsoft Certified Trainer (MCT): Personen mit diesem Zertifikat sind Schulungsprofis und durch Microsoft technisch qualifiziert, um Microsoft Education Courses an Standorte zu überführen, die von Microsoft autorisiert sind. Ein MCT muss bei einem Microsoft Solution Provider Authorized Technical Education Center oder einer Microsoft Authorized Academic Trainig-Site beschäftigt sein.
HINWEIS Neueste Informationen zu den Zertifizierungsarten finden Sie auf der Website für Microsoft Training and Certification unter http://www.microsoft.com/mcp. Microsoft können Sie auch über die folgenden Quellen kontaktieren: 씰
Microsoft Certified Professional Program: 800-636-7544
씰
[email protected]
씰
Microsoft Online Institute (MOLI): 800-449-9333
B.2
Anforderungen an die Zertifizierung
Die folgenden Abschnitte beschreiben die Anforderungen für die verschiedenen Arten der Microsoft-Zertifizierungen.
HINWEIS Mit einem Sternchen gekennzeichnete Prüfungen werden demnächst eingestellt.
B.2.1
Der Weg zum MCP
Um das Zertifikat für einen MCP (Microsoft Certified Professional) zu erhalten, brauchen Sie nur ein beliebiges Microsoft-Examen zu bestehen (mit Ausnahme von Networking Essentials, #70-058* und Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240).
925
926
Anhang B
B.2.2
Überblick über die Zertifizierung
Der Weg zum MCP + Internet
Um das Zertifikat für einen MCP mit Spezialisierung auf das Internet zu erhalten, müssen Sie die folgenden Examen bestehen: 씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-059*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Internet Information Server 3.0 and Microsoft Index Server 1.1, #70-077* oder Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
B.2.3
Der Weg zum MCP + Site Building
Um als MCP + Site Building zertifiziert zu werden, müssen Sie zwei der folgenden Prüfungen ablegen: 씰
Designing and Implementing Web Sites with Microsoft FrontPage 98, #70-055
씰
Designing and Implementing Commerce Solutions with Microsoft Site Server 3.0, Commerce Edition, #70-057
씰
Designing and Implementing Web Solutions with Microsoft Visual InterDev 6.0, #70-152
B.2.4
Der Weg zum MCP + Database Administrator
Es gibt zwei MCDBA-Tracks; der eine Track ist an Windows 2000 gebunden, der andere basiert auf Windows NT 4.0. Windows-2000-Track Um ein MCDBA im Windows-2000-Track zu werden, müssen Sie drei Pflichtexamen und ein Wahlexamen ablegen. Pflichtexamen Die erforderlichen Pflichtexamen für einen MCDBA im Windows-2000-Track sind: 씰
Installing, Configuring and Administering Microsoft Windows 2000 Server, #70-215
B.2 Anforderungen an die Zertifizierung
oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen #70-067*, #70-068* und #70-073* bestanden haben) 씰
Administering Microsoft SQL Server 7.0, #70-028
씰
Designing and Implementing Databases with Microsoft SQL Server 7.0, #70-029
Wahlexamen Weiterhin müssen Sie ein Wahlexamen aus der folgenden Liste bestehen: 씰
Implementing and Administering a Microsoft Windows 2000 Network Infrastructure, #70-216 (nur für die Personen, die die Examen #70-067*, #70-068* und #70-073* noch nicht bestanden haben) oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen #70-067*, #70-068* und #70-073* bestanden haben)
씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0 and Microsoft Decision Support Services 1.0, #70-019
씰
Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
씰
Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
Windows-NT-4.0-Track Um ein MCDBA im Windows-NT-4.0-Track zu werden, müssen Sie vier Pflichtexamen und ein Wahlexamen bestehen.
927
928
Anhang B
Überblick über die Zertifizierung
Pflichtexamen Für einen MCDBA im Windows-NT-4.0-Track sind die folgenden Pflichtexamen erforderlich: 씰
Administering Microsoft SQL Server 7.0, #70-028
씰
Designing and Implementing Databases with Microsoft SQL Server 7.0, #70-029
씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0 in the Enterprise, #70-068*
Wahlexamen Das abzulegende Wahlexamen können Sie aus der folgenden Liste wählen: 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0 and Microsoft Decision Support Services 1.0, #70-019
씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70059*
씰
Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
씰
Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
B.2.5
Der Weg zum MCSE
Für die Qualifikation zum MCSE sind Prüfungen zum Betriebssystem und zwei Wahlexamen abzulegen. Der Weg zur MCSE-Zertifizierung gliedert sich in zwei Tracks: Windows 2000 und Windows NT 4.0. Die folgende Liste zeigt die Pflichtexamen für die Windows-2000- und WindowsNT-4.0-Tracks sowie die Wahlexamen.
B.2 Anforderungen an die Zertifizierung
Windows-2000-Track Beim Windows-2000-Track sind fünf Pflichtexamen (oder ein Accelerated Examen und ein weiteres Pflichtexamen) abzulegen. Weiterhin müssen Sie zwei Wahlexamen bestehen. Pflichtexamen Alle Personen, die nicht die Examen #70-067, #70-068 und #70-073 abgelegt haben, müssen die folgenden Pflichtexamen zum Windows-2000-Track für die MCSE-Zertifizierung ablegen: 씰
Installing, Configuring and Administering Microsoft Windows 2000 Professional, #70-210
씰
Installing, Configuring and Administering Microsoft Windows 2000 Server, #70-215
씰
Implementing and Administering a Microsoft Windows 2000 Network Infrastructure, #70-216
씰
Implementing and Administering a Microsoft Windows 2000 Directory Services Infrastructure, #70-217
Für diejenigen, die die Examen #70-067*, #70-068* und #70-073* abgelegt haben, sind folgende Pflichtexamen im Windows-2000-Track erforderlich: 씰
Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240
Alle Kandidaten müssen eines der folgenden drei zusätzlichen Pflichtexamen ablegen: 씰
Designing a Microsoft Windows 2000 Directory Services Infrastructure, #70-219 oder Designing Security for a Microsoft Windows 2000 Network, #70-220 oder Designing a Microsoft Windows 2000 Infrastructure, #70-221
Wahlexamen Alle MCSE-Wahlexamen, die mit der Freigabe der Windows-2000-Pflichtexamen aktuell sind (d.h. nicht zurückgezogen werden), lassen sich verwenden, um die Anforderungen der beiden Wahlexamen zu erfüllen. Darüber hinaus sind die Pflichtexamen #70-219, #70-220 und #70-221 als Wahlexamen geeignet, solange
929
930
Anhang B
Überblick über die Zertifizierung
sie noch nicht abgelegt wurden, um die Anforderungen der oben genannten »zusätzlichen Pflichtexamen« zu erfüllen. Mit dem Examen #70-222 (Aktualisierung von Microsoft Windows NT 4.0 auf Microsoft Windows 2000) kann man ebenfalls diese Anforderung erfüllen. Schließlich zählen auch ausgewählte Zertifizierungen von Drittanbietern, die sich auf Interoperabilität konzentrieren. Weitere Informationen zu derartigen Zertifizierungen entnehmen Sie bitte der Microsoft-MCP-Website (www.microsoft.com/mcp). Windows-NT-4.0-Track Der Windows-NT-4.0-Track ist ebenfalls in Pflicht- und Wahlexamen organisiert. Pflichtexamen Für die MCSE-Zertifizierung sind im Windows-NT-4.0-Track die folgenden vier Pflichtexamen abzulegen: 씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0 in the Enterprise, #70-068*
씰
Microsoft Windows 3.1, #70-030* oder Microsoft Windows for Workgroups 3.11, #70-048* oder Implementing and Supporting Microsoft Windows 95, #70-064* oder Implementing and Supporting Microsoft Windows NT Workstation 4.0, #70-073* oder Implementing and Supporting Microsoft Windows 98, #70-098
씰
Networking Essentials, #70-058*
Wahlexamen Für den Windows-NT-4.0-Track müssen Sie zwei der folgenden Wahlexamen für eine MCSE-Zertifizierung bestehen: 씰
Implementing and Supporting Microsoft SNA Server 3.0, #70-013 oder Implementing and Supporting Microsoft SNA Server 4.0, #70-085
씰
Implementing and Supporting Microsoft Systems Management Server 1.2, #70-018 oder Implementing and Supporting Microsoft Systems Management Server 2.0, #70-086
B.2 Anforderungen an die Zertifizierung
씰
Designing and Implementing Data Warehouse with Microsoft SQL Server 7.0, #70-019
씰
Microsoft SQL Server 4.2 Database Implementation, #70-021* oder Implementing a Database Design on Microsoft SQL Server 6.5, #70-027 oder Implementing a Database Design on Microsoft SQL Server 7.0, #70-029
씰
Microsoft SQL Server 4.2 Database Administration for Microsoft Windows NT, #70-022* oder System Administration for Microsoft SQL Server 6.5 (oder 6.0), #70026 oder System Administration for Microsoft SQL Server 7.0, #70-028
씰
Microsoft Mail for PC Networks 3.2-Enterprise, #70-037*
씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT (3.53.51), #70-053* oder Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-059*
씰
Implementing and Supporting Web Sites Using Microsoft Site Server 3.0, #70-056
씰
Implementing and Supporting Microsoft Exchange Server 4.0, #70-075* oder Implementing and Supporting Microsoft Exchange Server 5.0, #70-076 oder Implementing and Supporting Microsoft Exchange Server 5.5, #70-081
씰
Implementing and Supporting Microsoft Internet Information Server 3.0 and Microsoft Index Server 1.1, #70-077* oder Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Implementing and Supporting Microsoft Proxy Server 1.0, #70-078 oder Implementing and Supporting Microsoft Proxy Server 2.0, #70-088
씰
Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the Internet Explorer Resource Kit, #70-079 oder Implementing and Supporting Microsoft Internet Explorer 5.0 by Using the Internet Explorer Resource Kit, #70-080
씰
Designing a Microsoft Windows 2000 Directory Services Infrastructure, #70-219
931
932
Anhang B
Überblick über die Zertifizierung
씰
Designing Security for a Microsoft Windows 2000 Network, #70-220
씰
Designing a Microsoft Windows 2000 Infrastructure, #70-221
씰
Upgrading from Microsoft Windows NT 4.0 to Microsoft Windows 2000, #70-222
B.2.6
Der Weg zum MCSE + Internet
Für die Zertifizierung zum MCSE, der auf die Internet-Technologie spezialisiert ist, müssen Sie sieben Betriebssystem-Examen und zwei Wahlexamen ablegen. Pflichtexamen Die Zertifizierung zum MCSE + Internet erfordert die folgenden sieben Pflichtexamen: 씰
Networking Essentials, #70-058*
씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-059*
씰
Implementing and Supporting Microsoft Windows 95, #70-064* oder Implementing and Supporting Microsoft Windows NT Workstation 4.0, #70-073* oder Implementing and Supporting Microsoft Windows 98, #70-098
씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0 in the Enterprise, #70-068*
씰
Implementing and Supporting Microsoft Internet Information Server 3.0 and Microsoft Index Server 1.1, #70-077* oder Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the Internet Explorer Resource Kit, #70-079 oder Implementing and Supporting Microsoft Internet Explorer 5.0 by Using the Internet Explorer Resource Kit, #70-080
B.2 Anforderungen an die Zertifizierung
Wahlexamen Weiterhin müssen Sie zwei der folgenden Wahlexamen für die Zertifizierung zum MCSE + Internet ablegen: 씰
System Administration for Microsoft SQL Server 6.5, #70-026 oder Administering Microsoft SQL Server 7.0, #70-028
씰
Implementing a Database Design on Microsoft SQL Server 6.5, #70-027 oder Designing and Implementing Databases with Microsoft SQL Server 7.0, #70-029
씰
Implementing and Supporting Web Sites Using Microsoft Site Server 3.0, # 70-056
씰
Implementing and Supporting Microsoft Exchange Server 5.0, #70-076 oder Implementing and Supporting Microsoft Exchange Server 5.5, #70-081
씰
Implementing and Supporting Microsoft Proxy Server 1.0, #70-078 oder Implementing and Supporting Microsoft Proxy Server 2.0, #70-088
씰
Implementing and Supporting Microsoft SNA Server 4.0, #70-085
B.2.7
Der Weg zum MCSD
Die Zertifizierung zum MCSD (Microsoft Certified Solution Developer) hat eine grundlegende Revision erfahren. Nachstehend sind die Anforderungen für den neuen Track (seit viertem Quartal 1998) sowie die alten Anforderungen aufgeführt. Neuer Track Für den neuen Track müssen Sie drei Pflichtexamen und ein Wahlexamen ablegen. Pflichtexamen Aus jeder Gruppe der folgenden Pflichtexamen müssen Sie ein Examen ablegen: Desktop Applications Development (1 Examen): 씰
Designing and Implementing Desktop Applications with Microsoft Visual C++ 6.0, #70-016 oder Designing and Implementing Desktop Applications with Microsoft Visual FoxPro 6.0, #70-156 oder Designing and Implementing Desktop Applications with Microsoft Visual Basic 6.0, #70-176
933
934
Anhang B
Überblick über die Zertifizierung
Distributed Applications Development (1 Examen): 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015 oder Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155 oder Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
Solution Architecture (1 Examen): 씰
Analyzing Requirements and Defining Solution Architectures, #70-100
Wahlexamen Von den folgenden Wahlexamen können Sie eines auswählen: 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Desktop Applications with Microsoft Visual C++ 6.0, #70-016
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0, #70-019
씰
Developing Applications with C++ Using the Microsoft Foundation Class Library, #70-024
씰
Implementing OLE in Microsoft Foundation Class Applications, #70-025
씰
Implementing a Database Design on Microsoft SQL Server 6.5, #70-027
씰
Implementing a Database Design on Microsoft SQL Server 7.0, #70-029
씰
Designing and Implementing Web Sites with Microsoft FrontPage 98, #70-055
씰
Designing and Implementing Commerce Solutions with Microsoft Site Server 3.0, Commerce Edition, #70-057
씰
Programming with Microsoft Visual Basic 4.0, #70-065*
B.2 Anforderungen an die Zertifizierung
씰
Application Development with Microsoft Access for Windows 95 and the Microsoft Access Developer's Toolkit, #70-069
씰
Designing and Implementing Solutions with Microsoft Office 2000 and Microsoft Visual Basic for Applications, #70-091
씰
Designing and Implementing Database Applications with Microsoft Access 2000, #70-097
씰
Designing and Implementing Collaborative Solutions with Microsoft Outlook 2000 and Microsoft Exchange Server 5.5, #70-105
씰
Designing and Implementing Web Solutions with Microsoft Visual InterDev 6.0, #70-152
씰
Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
씰
Designing and Implementing Desktop Applications with Microsoft Visual FoxPro 6.0, #70-156
씰
Developing Applications with Microsoft Visual Basic 5.0, #70-165
씰
Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
씰
Designing and Implementing Desktop Applications with Microsoft Visual Basic 6.0, #70-176
Alter Track Zur Zertifizierung als MCSD müssen Sie beim alten Track zwei Kerntechnologieprüfungen und zwei Wahlprüfungen ablegen. Die folgenden Listen zeigen die erforderlichen Technologieexamen und die Wahlexamen für die MCSD-Zertifizierung. Pflichtexamen Um sich für die MCSD-Zertifizierung zu qualifizieren, müssen Sie die folgenden beiden Pflichtprüfungen ablegen: 씰
Microsoft Windows Architecture I, #70-160*
씰
Microsoft Windows Architecture II, #70-161*
935
936
Anhang B
Überblick über die Zertifizierung
Wahlexamen Um MSCD zu werden, müssen Sie zwei der folgenden Wahlexamen ablegen: 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Desktop Applications with Microsoft Visual C++ 6.0, #70-016
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0, #70-019
씰
Microsoft SQL Server 4.2 Database Implementation, #70-021* oder Implementing a Database Design on Microsoft SQL Server 6.5, #70-027 oder Implementing a Database Design on Microsoft SQL Server 7.0, #70-029
씰
Developing Applications with C++ Using the Microsoft Foundation Class Library, #70-024
씰
Implementing OLE in Microsoft Foundation Class Applications, #70-025
씰
Programming with Microsoft Visual Basic 4.0, #70-065 oder Developing Applications with Microsoft Visual Basic 5.0, #70-165 oder Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
씰
Designing and Implementing Desktop Applications with Microsoft Visual Basic 6.0, #70-176
씰
Microsoft Access 2.0 for Windows-Application Development, #70-051* oder Microsoft Access for Windows 95 and the Microsoft Access Development Toolkit, #70-069 oder Designing and Implementing Database Applications with Microsoft Access 2000, #70-097
씰
Developing Applications with Microsoft Excel 5.0 Using Visual Basic for Applications, #70-052*
씰
Programming in Microsoft Visual FoxPro 3.0 for Windows, #70-054* oder Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
B.2 Anforderungen an die Zertifizierung
oder Designing and Implementing Desktop Applications with Microsoft Visual FoxPro 6.0, #70-156 씰
Designing and Implementing Web Sites with Microsoft FrontPage 98, #70-055
씰
Designing and Implementing Commerce Solutions with Microsoft Site Server 3.0, Commerce Edition, #70-057
씰
Designing and Implementing Solutions with Microsoft Office (code-named Office 9) and Microsoft Visual Basic for Applications, #70-091
씰
Designing and Implementing Collaborative Solutions with Microsoft Outlook 2000 and Microsoft Exchange Server 5.5, #70-105
씰
Designing and Implementing Web Solutions with Microsoft Visual InterDev 6.0, #70-152
B.2.8
Der Weg zum MCT
Damit Sie sich umfassend über die Laufbahn zum MCT (Microsoft Certified Trainer) informieren können, besorgen Sie sich das Dokument Microsoft Certified Trainer Guide von der Website http://www.microsoft.com/mcp/ Auf dieser Site können Sie das Dokument als Webseite lesen oder als Word-Datei herunterladen. Der MCT Guide erläutert die Laufbahn zum MCT. Die allgemeinen Schritte für die MCT-Zertifizierung lauten wie folgt: 1. Füllen Sie die MCT-Bewerbungsunterlagen vollständig aus und senden Sie sie an Microsoft. Weiterhin müssen Sie Ihre didaktischen Fähigkeiten nachweisen. Die Möglichkeiten dafür sind im MCT Guide beschrieben. 2. Beschaffen Sie sich das Microsoft Trainer-Kit zu den MOC-(Microsoft Official Curriculum-) Kursen, für die Sie sich zertifizieren lassen wollen. Im MCT Guide finden Sie Hinweise, wie Sie ein Trainer-Kit bestellen können. 3. Legen Sie alle MCP-Prüfungen entsprechend der Teilnahmevoraussetzungen ab, um Ihr aktuelles technisches Wissen zu bewerten. 4. Bereiten Sie sich auf das Unterrichten eines MOC-Kurses vor. Besuchen Sie zuerst den MOC-Kurs, für den Sie sich zertifizieren lassen wollen. Dadurch verstehen Sie, wie der Kurs strukturiert ist, wie die Unterrichtsräume ausgestattet sind und wie der Kurs abläuft.
937
938
Anhang B
Überblick über die Zertifizierung
5. Absolvieren Sie alle zusätzlichen Prüfungen entsprechend der Teilnahmevoraussetzungen, um zusätzliche Produktkenntnisse zu bewerten, die sich auf den Kurs beziehen. 6. Schicken Sie Ihre Checkliste der Kursvorbereitungen an Microsoft, sodass Ihre zusätzlichen Nachweise bearbeitet werden können und sich in Ihrem Transkript widerspiegeln.
ACHTUNG Die vorstehend genannten Schritte sind als allgemeiner Überblick der MCT-Zertifizierung zu verstehen. Die konkreten Schritte, die Sie unternehmen müssen, sind detailliert auf der weiter vorn erwähnten Website beschrieben. Verstehen Sie die obigen Schritte bitte nicht als dogmatischen Ablauf, dem Sie sich unterziehen müssen.
Wenn Sie ein MCT werden wollen, können Sie sich weitere Informationen beschaffen, indem Sie die Website für Microsoft Certified Training unter http:// www.microsoft.com/train_cert/mct/ besuchen oder unter 08 00/18 25 434 anrufen.
Die Prüfungssoftware auf der CD-ROM C.1
C
Was ist ExamGear?
ExamGear umfasst die folgenden Merkmale und Funktionen: Effektive Prüfungssimulation – eine der Hauptfunktionen von ExamGear ist die Examenssimulation. Um Sie effektiv und erfolgreich auf die Zertifizierungsprüfungen der verschiedenen Examensanbieter vorbereiten zu können, wurde die derzeit effizienteste Simulationstechnologie in ExamGear integriert. Hochwertige Fragen – alle für die Examenssimulationen in ExamGear erstellten Fragen entsprechen den hohen Qualitätsstandards, wie sie heutzutage angelegt werden. Jede Frage bezieht sich auf ein spezifisches Examensthema, wie es vom Examensanbieter definiert wurde. ExamGear testet alle Wissensbereiche, die auch in der realen Prüfung abgefragt werden. Das gesamte Examensmaterial ist direkt auf die Lernziele ausgerichtet. Zeitgemäße Benutzeroberfläche – Aussehen und Bedienung von ExamGear sind den realen Zertifizierungsprüfungen nachempfunden. Dadurch können Sie sich an die Examensumgebung gewöhnen und bereiten sich auf diese Weise effektiv auf das Examen vor. ExamGear verhindert böse Überraschungen bei der realen Prüfung und nimmt Ihnen so die Examensangst. Unterschiedliche Testmodi, darunter auch die adaptive Prüfungsform – Viele der anspruchsvollsten Technikzertifikate verwenden neuerdings die sogenannte »adaptive« (anpassungsfähige) Prüftechnik. Die Fragen beim adaptiven Examen werden dynamisch auf der Grundlage Ihrer bis dahin gegebenen Antworten gestellt. Wenn Sie eine Frage korrekt beantworten, weist die nächste Frage einen höheren Schwierigkeitsgrad auf; beantworten Sie die Frage falsch, wird die nächste Frage weniger schwierig sein. Um das Examen zu bestehen, müssen Sie eine bestimmte Anzahl von Fragen mit einem bestimmten Schwierigkeitsgrad innerhalb einer festgelegten Zeitspanne beantworten.
940
Anhang C
Die Prüfungssoftware auf der CD-ROM
ExamGear bietet Ihnen die Möglichkeit, das adaptive Examen zu üben, um sich mit dieser Prüfmethode vertraut zu machen. So ist sichergestellt, dass Sie umfassend auf die reale Prüfung vorbereitet sind. Effiziente Lernumgebung – ExamGear stellt eine Lernumgebung bereit, die nicht nur die tatsächliche Zertifizierungsprüfung simuliert, sondern in der Sie auch den Prüfungsstoff üben können, den Sie brauchen, um die wirkliche Prüfung zu bestehen. Zu jeder Frage ist eine umfassende Erklärung vorhanden, die nicht nur die richtige Antwort erläutert, sondern auch aufzeigt, warum die anderen Antwortoptionen nicht richtig sind. Dadurch wird nicht nur das bereits vorhandene Wissen vertieft, sondern Sie erhalten auch praktische Informationen, die Sie bei Ihrer normalen Arbeit verwenden können. Automatische Erkennung der Fortschritte – wenn Sie die Fragen beantworten, erkennt ExamGear automatisch Ihre Fortschritte. Für jede Frage wird aufgezeichnet, wie oft Sie sie beantwortet haben und ob die Antwort richtig oder falsch war.
C.2
Prüfungsauswahl
Abbildung C.1 Der Bildschirm Prüfungsauswahl von ExamGear
Die verschiedenen Prüfmodi von ExamGear bereiten Sie optimal auf die richtige Prüfung vor. ExamGear beinhaltet drei Prüfmodi. Es ist wichtig, die Unterschiede zwischen diesen Modi zu kennen.
C.2 Prüfungsauswahl
Der Lernmodus gestattet es Ihnen anzugeben, wie viele Fragen das Programm zufällig aus der Datenbank auswählen soll und wieviel Zeit Sie sich für die Beantwortung der Fragen zugestehen wollen. Darüber hinaus können Sie festlegen, ob Sie Fragen aus allen Gebieten oder nur aus spezifischen Gebieten beantworten wollen. Damit können Sie Ihr Wissen gezielt in den Bereichen auffrischen, in denen Sie Ihre Schwächen vermuten. Während des Examens können Sie sich zu den einzelnen Fragen jederzeit die korrekten Antworten samt Erläuterung anzeigen lassen. Der Lernmodus verfeinert Ihr Wissen und schult Sie im Umgang mit der Prüfungssituation, da die korrekte Antwort über die Option ANTWORTEN ANZEIGEN nur einen Mausklick entfernt ist. Ferner können Sie jeder Zeit zum Bildschirm FRAGENKATALOG wechseln, um auf der Registerkarte AKTUELLE BEWERTUNG Ihren Punktestand einzusehen. Die Musterprüfung ist ein praxisorientierter Prüfungsmodus, der das konkrete Zertifizierungsexamen simuliert. Die Fragen entstammen allen Prüfungsgebieten und die Anzahl der Fragen sowie die Bearbeitungszeit entsprechen der tatsächlichen Prüfungssituation. Die Musterprüfung beinhaltet praktisch die gleichen Optionen wie der Lernmodus, allerdings lassen sich die Antworten nicht anzeigen. Sie entspricht den tatsächlichen Gegebenheiten einer Zertifizierungsprüfung – der Bildschirm FRAGENKATALOG ist erst verfügbar, nachdem alle Fragen angezeigt wurden. Im Lernmodus hingegen kann der Bildschirm FRAGENKATALOG jederzeit aufgerufen werden. Bei der Musterprüfung können Sie Ihren abschließenden Punktestand auf dem Bildschirm ABSCHLUSSERGEBNIS einsehen. Bei der adaptiven Prüfung ist die erste Frage typischerweise recht einfach. Wenn Sie sie richtig beantworten, folgt eine etwas schwierigere Frage. Solange Sie korrekt antworten, werden die Fragen zunehmend schwieriger. Und umgekehrt: Wenn Sie falsche Antworten geben, werden die Fragen zunehmend einfacher. Das Examen passt sich also Ihrem Wissenstand an, indem es den Schwierigkeitsgrad der Fragen geeignet variiert. Damit Sie das Examen allerdings bestehen, müssen Sie eine bestimmte Anzahl von Fragen auf einem gegebenen Schwierigkeitsgrad richtig beantwortet haben. Sobald Sie einen Punkt erreichen, an dem Sie definitiv bestanden oder nicht bestanden haben, endet das Examen und Sie erhalten Ihre Bewertung. Falls Sie also den erforderlichen Schwierigkeitsgrad nicht innerhalb der vorgegebenen Zeit erreichen (typischerweise 30 Minuten), endet das Examen mit der mit der Bewertung durchgefallen. Und wenn Sie schon vor Ablauf dieser Zeit durchgefallen sind, kann der Test auch frühzeitig enden. Wie bei der Musterprüfung erhalten Sie das Ergebnis der adaptiven Prüfung im Fenster ABSCHLUSSERGEBNIS.
941
942
Anhang C
C.2.1
Die Prüfungssoftware auf der CD-ROM
Der Lernmodus
Je nach Umfang Ihrer Zugriffsrechte können die Optionen variieren. Wenn Sie bei der Prüfungsauswahl die Schaltfläche LERNMODUS wählen, erhalten Sie ein Konfigurationsfenster angezeigt, in dem Sie alle Aspekte des Tests im Lernmodus wie gewünscht einstellen können. (Die tatsächlich angezeigten Optionen können je nach Fragesatz variieren.) In diesem Konfigurationsfenster finden Sie mehr Optionen als bei jedem anderen Test von ExamGear. Aber keine Sorge, Sie werden trotzdem schnell damit klarkommen. Sie können aber auch die Standardeinstellungen verwenden, die so gewählt sind, dass sie in den meisten Fällen eine gute Wahl für Ihre Lernbemühungen darstellen. Der Lernmodus wurde aufgenommen, um Sie mit den Fragen in einer Datenbank vertraut zu machen und Sie zu unterstützen, falls Sie die Antwort auf eine Frage nicht wissen. Wenn Sie im Lernmodus eine hohe Punktzahl erreichen, sind Sie auf die tatsächliche Prüfung gut vorbereitet. Abbildung C.2 Einstellungen für den Lernmodus
Eine Prüfung auswählen Das gleich unter der Menüleiste befindliche Listenfeld PRÜFUNG listet alle Fragesätze auf, die auf Ihrem System für die Verwendung mit ExamGear installiert sind. Für jede Prüfung ist mindestens ein Fragesatz vorhanden. Wählen Sie den Fragensatz für die Prüfung aus, auf die Sie sich vorbereiten wollen.
C.2 Prüfungsauswahl
Kapitel auswählen In dem darunter gelegenen Listenfenster AUF FOLGENDE KAPITEL BESCHRÄNKEN finden Sie eine Auflistung der einzelnen Kapitel (Lerneinheiten) des Fragensatzes. Um den Lernmodus auf bestimmte Kapitel einzuschränken, entfernen Sie für die Kapitel, an denen Sie nicht interessiert sind, die Häkchen aus den Kontrollkästchen. Falls Sie gar kein Kapitel auswählen, erhalten Sie die Fehlermeldung »Keine Fragen gefunden, die den angegebenen Kriterien entsprechen«. Fragen auswählen Neben einer Auswahl der Lerneinheiten können Sie auch festlegen, wie ExamGear mit Fragen umgehen soll, die Sie bereits richtig bzw. falsch beantwortet haben. Das Programm führt darüber Buch, mit welchen Fragen Sie Schwierigkeiten haben und mit welchen nicht. Für die Auswahl der Fragen während des Lernmodus können Sie eine der folgenden Einstellungen treffen: Aus allen verfügbaren Fragen auswählen – Diese Option ist die Voreinstellung. Sie sorgt dafür, dass Ihnen das Programm Fragen aus allen gewählten Kapiteln (Lerneinheiten) mit gleicher Wahrscheinlichkeit präsentiert. Keine Fragen, die mindestens X mal richtig beantwortet wurden – ExamGear ermöglicht es Ihnen, solche Fragen auszuschließen, die Sie bereits korrekt beantwortet haben. Sie können festlegen, wie oft Sie eine Frage richtig beantwortet haben müssen, bevor ExamGear diese als »erledigt« betrachtet. Die Voreinstellung für X ist 2. Nur Fragen, die mindestens X mal falsch beantwortet wurden – wenn Sie diese Option auswählen, drillt Sie ExamGear speziell auf die Fragen, die Sie mindestens X mal falsch beantwortet haben. Die Voreinstellung für X ist 2. Um die für eine Option geltende Voreinstellung wieder herzustellen, klicken Sie auf die Schaltfläche STANDARD. Ein Zeitlimit setzen Unter Ihrer Zugriffseinstellung sehen Sie rechts im Fenster die Punktewertung (oder prozentuale Wertung), die Sie erreichen müssen, damit die gewählte Prüfung als »bestanden« betrachtet wird. Unter dieser Mindestwertung können Sie auswählen, ob der Test zeitlich begrenzt werden soll, und wie viel Zeit ggf. zur Verfügung steht. Markieren Sie das Kontrollkästchen TEST NACH 90 MINUTEN BEENDEN, um
943
944
Anhang C
Die Prüfungssoftware auf der CD-ROM
eine zeitliche Begrenzung einzustellen, und geben Sie dann die Dauer des Tests in Minuten ein. Wenn das Kontrollkästchen deaktiviert ist, wird das Examen ohne zeitliche Begrenzung durchgeführt. Anzahl der Prüfungsfragen Sie können auch die Anzahl der Fragen festlegen, die Bestandteil der Prüfung sein werden. Der hier voreingestellte Wert variiert abhängig davon, welche Prüfung Sie ausgewählt haben. Geben Sie die Anzahl der Fragen im Feld NICHT MEHR ALS N FRAGEN ein. Reihenfolge der Fragen Im Testmodus können Sie zwischen zwei Reihenfolgen wählen, wie Ihnen ExamGear die Fragen präsentiert: Fragen in zufälliger Reihenfolge anzeigen – diese Option ist die Voreinstellung. Sie veranlasst ExamGear, die Abfolge der Fragen zufällig zu wählen. Fragen nach Kapiteln geordnet – wenn Sie diese Option wählen, gruppiert ExamGear die Fragen nach Lerneinheiten, die den Kapiteln in Ihrem Buch entsprechen und arbeitet alle gewählten Lerneinheiten nacheinander ab. Bewertungsoptionen ExamGear lässt Ihnen im Lernmodus die Wahl zwischen zwei unterschiedlichen Feedback-Mechanismen: Bewertung am Ende der Prüfung – diese Option ist die Voreinstellung. Wenn sie gewählt ist, bewertet ExamGear zwar Ihre Antworten, eine Anzeige der Bewertung erfolgt aber erst nach Abschluss des Tests. Fragen, zu denen Sie die Lösung anfordern, zählen nicht. Bewertung direkt nach jeder Frage – wenn Sie diese Option auswählen, müssen Sie später im Test zuerst auf die Schaltfläche BEWERTEN klicken, bevor Sie zur nächsten Frage weiterschalten können. ExamGear zeigt Ihnen dann die korrekte Antwort an bzw. signalisiert Ihnen durch einen Smiley, dass Ihre Antwort korrekt ist. Fragen, zu denen die Lösung angezeigt wird, zählen nicht.
C.2.2
Den Lernmodus starten
Wenn Sie alle Optionen wie gewünscht eingestellt haben, betätigen Sie die Schaltfläche STARTE TEST. ExamGear wechselt nun in den Frage-/Antwort-Modus.
C.3 Die Musterprüfung
Mit den Schaltflächen im unteren Teil des Fensters können Sie das Programm interaktiv bedienen.
C.3
Die Musterprüfung
Im Modus »Musterprüfung« simuliert ExamGear konkrete Zertifizierungsprüfungen. Das Examen umfasst eine feste Anzahl von Fragen und muss in einer festgesetzten Zeit absolviert werden. Als »Prüfling« haben Sie keine Kontrolle über die Bearbeitungszeit und die Anzahl der Fragen. Sie können einzelne Fragen markieren, bei denen Sie sich nicht sicher sind und zu denen Sie später zurückkehren wollen. Nach Bearbeitung der letzten Frage gelangen Sie zum Bildschirm Punktestand, auf dem Sie Ihre Punktzahl einsehen können. Von hier aus können Sie ausgelassene sowie markierte Fragen im Suchmodus erneut bearbeiten. Ihre Punktzahl wird nach Ende der Prüfung im Fenster ABSCHLUSSERGEBNIS angezeigt. Damit das Examen als bestanden betrachtet wird, müssen Sie eine bestimmte Punktzahl erreichen. Die folgenden Optionen stehen während des Tests immer zur Verfügung: Schaltfläche
Beschreibung
PRÜFUNG BEENDEN
Bricht die Prüfung ab und zeigt den Bildschirm Punktestand an. Die Prüfung kann von diesem Bildschirm aus jedoch im Suchmodus wieder aufgenommen werden.
SIMULATION
Diese Schaltfläche startet die Simulation zur aktuellen Frage. Unterstützt die Frage keine Simulation, so ist die Schaltfläche deaktiviert.
STARTEN
ERLÄUTERUNG
Betätigen Sie diese Schaltfläche, um eine Erläuterung zu öffnen. Eine Erläuterung kann eine Grafik- oder Textdatei sein, die ergänzende Informationen zur aktuellen Frage beinhaltet. Sind für die aktuelle Frage mehrere Erläuterungen vorhanden, dann wird das Dialogfeld Erläuterung auswählen aufgerufen, in dem die einzelnen Erläuterungen aufgelistet sind: Wählen Sie einen Eintrag, um die entsprechende Erläuterung zu öffnen, und betätigen Sie nachfolgend die Schaltfläche ÖFFNEN. Die Erläuterungen werden in getrennten Fenstern angezeigt. Gibt es zu einer Frage nur eine einzige Erläuterung, wird diese bei Betätigung der Schaltfläche ERLÄUTERUNG direkt geöffnet. Sind keine Erläuterungen vorhanden, dann ist die Schaltfläche deaktiviert.
ZURÜCKSETZEN
Mit dieser Schaltfläche können Sie die aktuelle Frage auf ihre Standardeinstellung (»nicht beantwortet«) zurücksetzen.
945
946
Anhang C
Die Prüfungssoftware auf der CD-ROM
Schaltfläche
Beschreibung
BEDIENUNG
Nach Betätigung dieser Schaltfläche werden Bedienmöglichkeiten für die aktuelle Frage angezeigt.
> beschriftet.
C.3.1
Die adaptive Prüfung
Beim adaptiven Examen von ExamGear wird das vorhandene Wissen auf zwei unterschiedliche Arten geprüft, nämlich zum einen Ihr Gesamtwissen und zum anderen das Wissen zu den einzelnen Themenbereichen. Beim adaptiven Examen wird Ihr Wissen sehr sorgfältig überprüft, d.h. Sie müssen nicht nur eine hohe Gesamtpunktzahl erzielen, sondern auch eine Mindestpunktzahl für jede einzelne Lerneinheit. Um die Prüfung zu bestehen, müssen Sie alle Lerneinheiten bestehen und insgesamt 86 % oder mehr erreichen. Sie fallen durch, wenn Sie eine Gesamtpunktuzahl von 85 % oder weniger erreichen oder wenn Sie in einem der Bereiche unter 70 % haben. Sie werden vor Ihrer Prüfung nicht erfahren, welche Examensfragen auf Sie zukommen. Wenn Sie bei einem bestimmten Thema Schwächen aufweisen, sind Sie vielleicht schon durchgefallen, bevor Sie Ihre Stärken auf anderen Gebieten unter Beweis stellen konnten. Das adaptive Examen bereitet Sie auf alle Möglichkeiten vor und sorgt dafür, dass Sie auch die reale Prüfung bestehen. Auf dem Konfigurationsbildschirm für diesen Modus können Sie im Listenfeld PRÜFUNG nichts weiter als den Kurs in Form eines Fragesatzes auswählen. Sie starten das Examen durch Anklicken der Schaltfläche STARTE TEST.
C.4 Die Frageformen in ExamGear
C.4 C.4.1
Die Frageformen in ExamGear Multiple-Choice-Fragen
Abbildung C.3 Eine typische Multiple-Choice-Frage
Viele der Fragen, die Ihnen bei einer Zertifizierungsprüfung gestellt werden, sind Multiple-Choice-Fragen. Um eine solche Frage zu beantworten, wählen Sie einen oder mehrere Einträge aus einer Liste möglicher Antworten aus. Manchmal dürfen Sie nur eine Antwort wählen (dies wird durch einen Satz wie etwa »Wählen Sie die beste Antwort« signalisiert), bei anderen Fragen wiederum müssen Sie mehrere Antworten eintragen; dies wird durch eine entsprechende Aufforderung angezeigt (etwa: »Wählen Sie zwei Antworten!«). Multiple-Choice-Fragen können innerhalb eines Szenarios oder nach einem kurzen Bericht über Gegebenheiten wie Umgebung, Rolle, gewünschte oder benötigte Ergebnisse usw. auftreten. Wenn es auf eine Frage nur eine korrekte Antwort gibt, werden Optionsfelder neben den möglichen Antworten angezeigt; sind mehrere Antworten möglich, so werden Kontrollkästchen verwendet.
947
948
Anhang C
Die Prüfungssoftware auf der CD-ROM
Antwort auswählen Wählen Sie eine der folgenden Möglichkeiten: 씰
Klicken Sie auf das zu der Antwort gehörige Optionsfeld oder Kontrollkästchen. Falls für eine Frage mehr als eine korrekte Antwort zulässig oder erforderlich ist (Sie entnehmen dies der Fragestellung), finden Sie Kontrollkästchen vor den Antworten, ansonsten Optionsfelder.
씰
Klicken Sie auf den Antworttext.
씰
Drücken Sie die Taste für den der Frage zugeordneten Buchstaben (A, B, C, etc.).
Optionsfeld löschen Wählen Sie eine der folgenden Möglichkeiten: 씰
Klicken Sie auf ein anderes Optionsfeld.
씰
Klicken Sie auf den Text einer anderen Antwort.
씰
Drücken Sie die Taste für den Buchstaben einer anderen Frage.
씰
Klicken Sie auf die Schaltfläche Zurücksetzen, um die Frage in den Anfangszustand zurückzuversetzen.
Kontrollkästchen löschen Wählen Sie eine der folgenden Möglichkeiten: 씰
Klicken Sie auf das Kontrollkästchen neben der gewählten Antwort.
씰
Klicken Sie auf den Text der gewählten Antwort.
씰
Drücken Sie die Taste für den der Frage zugeordneten Buchstaben.
Um alle Antworten zu löschen und die Frage in den unbeantworteten Zustand zurückzuversetzen, klicken Sie auf die Schaltfläche Zurücksetzen.
C.4.2
Drop&Connect
Drop&Connect-Fragen beantworten Sie, indem Sie die korrekten Antwortobjekte auswählen und nachfolgend die richtigen Beziehungen zwischen diesen herstellen. Diese Beziehungen werden durch beschriftete Verbindungsobjekte repräsentiert.
C.4 Die Frageformen in ExamGear
Sie können ein und dasselbe Verbindungsobjekt mehrfach verwenden. Das Verschieben verbundener Objekte ändert deren Beziehungen zueinander nicht. Bewertet werden nur Objekte, die mit anderen Objekten verbunden sind. Objekte auswählen Sie wählen ein Objekt aus, indem Sie es an die gewünschte Stelle ziehen. Sie können Objekte frei so anordnen, wie es zur Beantwortung der Frage notwendig erscheint. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte verwendet werden müssen. Objekte verbinden Wenn Sie die gewünschten Antwortobjekte platziert haben, verbinden Sie diese, indem Sie zwei Objekte auswählen und dann das korrekte Verbindungsobjekt aus der Liste selektieren. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte verwendet werden müssen und dass Objekte auch mehrfach gewählt werden können. Verbindungen modifizieren Sie können die Richtung eines Verbindungsobjekts umkehren und Verbindungsobjekte löschen. Um die Richtung umzukehren, klicken Sie mit der rechten Maustaste auf das Verbindungsobjekt und wählen Sie Umkehren aus dem Kontextmenü. Sie löschen ein Verbindungsobjekt, indem Sie mit der rechten Maustaste auf das Objekt klicken und den Eintrag Löschen aus dem Kontextmenü wählen. Antwort zurücksetzen Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um Ihre Antwort zu löschen und die Frage auf den ursprünglichen Status zurückzusetzen. »Drop & Connect«-Fragen beinhalten Antwort- und Verbindungsobjekte. Ihre Aufgabe besteht darin, mit Hilfe der Verbindungsobjekte Beziehungen zwischen den Antwortobjekten darzustellen. Durch Verbindung der Antwortobjekte entsteht ein Prozessdiagramm.
C.4.3
Listen erstellen und ordnen/Zuordnungsaufgaben
Bei Fragen dieser Art müssen Sie zunächst die korrekten Einträge aus einer Auswahlliste selektieren und diese dann in der richtigen Reihenfolge anordnen. Sie erstellen Ihre Antwort in der Liste auf der linken Seite des Bildschirms.
949
950
Anhang C
Die Prüfungssoftware auf der CD-ROM
1. Wählen Sie die Einträge aus, die Sie der Liste hinzufügen wollen. 2. Verschieben Sie die gewählten Einträge, um eine bestimmte Reihenfolge zu erstellen. Einträge hinzufügen Wählen Sie eine der folgenden Vorgehensweisen: 씰
Doppelklicken Sie auf den gewünschten Eintrag aus der Gruppe der verfügbaren Einträge (rechte Liste), um ihn der Antwortliste (links) hinzuzufügen.
씰
Wählen Sie den Eintrag aus der Gruppe der verfügbaren Einträge (rechte Liste), den Sie der Antwortliste hinzufügen wollen, und klicken Sie nachfolgend auf die Schaltfläche VERSCHIEBEN.
Einträge aus der Antwortliste entfernen Wählen Sie eine der folgenden Vorgehensweisen: 씰
Ziehen Sie den zu entfernenden Eintrag aus der Antwortliste zurück in die Auswahlliste auf der rechten Seite.
씰
Doppelklicken Sie den zu entfernenden Eintrag in der Antwortliste auf der linken Seite des Bildschirms.
씰
Wählen Sie den zu entfernenden Eintrag in der Antwortliste aus und klicken Sie nachfolgend auf die Schaltfläche ENTFERNEN.
Antwortliste zurücksetzen Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle Einträge aus der Antwortliste zu entfernen. Reihenfolge der Einträge in der Antwortliste verändern Wählen Sie den zu verschiebenden Eintrag in der Antwortliste aus und verschieben Sie ihn mit den Pfeiltasten links neben der Liste nach oben bzw. unten. Beachten Sie, dass sich Listeneinträge auch mehrfach auswählen lassen. Bei einigen Fragen werden Sie aufgefordert, die Schritte, die zur Lösung einer bestimmten Aufgabe notwendig sind, in der richtigen Reihenfolge anzugeben; einige dieser Schritte können während des Vorgangs auch mehrfach ausgeführt (d.h. mehrfach aus der Auswahlliste gewählt) werden.
C.5 Punktebewertung
C.4.4
Baumstruktur
Fragen vom Typ »Baumstruktur« präsentieren Ihnen eine Anzahl Objekte und fordern Sie auf, aus diesen Objekten eine Baumstruktur zu erstellen. Das Feld links im Fenster beinhaltet bereits übergeordnete Ebenen, zwischen denen sich die Eintragsobjekte einfügen lassen. Ein Eintrag aus der Auswahlliste kann mehrfach zwischen den Einträgen im linken Feld eingefügt werden. Einträge, die eingeblendet werden können, sind mit einem Pluszeichen (+) gekennzeichnet, bei Einträgen mit einem Minuszeichen (-) werden alle untergeordneten Einträge angezeigt. Die Schaltfläche AUSBLENDEN blendet alle untergeordneten Ebenen eines Knotens aus. Einen Eintrag hinzufügen Wählen Sie zunächst einen Eintrag im linken Feld. Wählen Sie dann einen passenden Eintrag im Auswahlfeld (rechts) und klicken Sie auf die Schaltfläche HINZUFÜGEN. Einen Eintrag entfernen Blenden Sie die Ebenen nach Bedarf ein, bis der zu löschende Eintrag angezeigt wird. Klicken Sie auf die Schaltfläche ENTFERNEN. Baumstruktur zurücksetzen Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle dem Baum hinzugefügten Objekte wieder zu entfernen.
C.5
Punktebewertung
Während Sie ein Examen bearbeiten, ermittelt ExamGear kontinuierlich Ihren Punktestand. Im Lernmodus können Sie den Fragenkatalog jederzeit öffnen, um eine grafische Anzeige Ihres Punktestandes zu betrachten. Im Fragenkatalog können Sie zu jeder beliebigen Frage springen, Ihren Punktestand überprüfen oder das Examen beenden. Da Sie den Lernmodus jederzeit beenden können, wird kein abschließender Punktestand angezeigt; überprüfen Sie deswegen Ihren Punktestand im Fragenkatalog, bevor Sie eine Prüfung im Lernmodus beenden.
951
952
Anhang C
Die Prüfungssoftware auf der CD-ROM
Abbildung C.4 So bewertet ExamGear Ihren Lernerfolg
Die Musterprüfung erlaubt den Zugriff auf den Fragenkatalog, allerdings ist dieser erst möglich, wenn alle Fragen, die Bestandteil der Prüfung waren, mindestens einmal angezeigt wurden. Bei der adaptiven Prüfung ist der Zugriff auf den Fragenkatalog nicht möglich, da hier alle Fragen dynamisch ausgewählt werden. Bei der Musterprüfung und beim adaptiven Examen wird am Ende der abschließende Punktestand angezeigt. Das Fenster ABSCHLUSSERGEBNIS beinhaltet ferner eine Funktion namens WAS WAR FALSCH ODER FEHLTE, mit der Sie sich alle Fragen anzeigen lassen können, die Sie falsch beantwortet haben.
C.5.1
Funktionen im Fenster ABSCHLUSSERGEBNIS
Das Fenster ABSCHLUSSERGEBNIS enthält folgende Informationen: 씰
eine Bewertung, ob Ihr Punktestand zum Bestehen der Prüfung ausreicht oder nicht
씰
eine grafische Abbildung Ihrer abschließenden Gesamtpunktzahl
씰
eine grafische Abbildung Ihrer Punktzahl für die einzelnen Kapitel (Lerneinheiten)
Mit der angepassten Sortierung können Sie die Ansicht Ihren Bedürfnissen anpassen.
C.6 Systemanforderungen
Darüber hinaus können Sie über die Schaltfläche WAS WAR FALSCH ODER FEHLTE nachprüfen, welche Fragen falsch beantwortet wurden. In diesem Modus sehen Sie Ihre Antwort, die korrekte Antwort und eine Erklärung der korrekten Antwort.
C.6
Systemanforderungen
Die Minimalanforderungen, die ExamGear an Ihr System stellt, sind die folgenden: 씰
Windows-kompatibler PC (100 MHz oder schneller) mit mind. 32 Mbyte Arbeitsspeicher
씰
CD-ROM-Laufwerk (falls das Programm von CD installiert wird)
씰
20-30 Mbyte freier Festplattenspeicher. Die tatsächlich benötigte Kapazität hängt von der Anzahl der installierten Prüfdatenbanken ab.
씰
Microsoft Windows 95/98 oder Windows NT
씰
Microsoft Internet Explorer 4.01 oder höher. ExamGear verwendet zahlreiche Komponenten des Internet Explorers für kryptografische und HTTP-Aktionen. Ferner ist eine Instanz des Internet Explorers in das Anwendungsfenster von ExamGear integriert, wodurch ExamGear grundlegende Funktionen des Internet Explorers steuern kann. Der eingebaute Browser wird zur Teilnahme an Diskussionsforen und zur Anzeige von Webpages benötigt. Wenn Microsoft Internet Explorer 4.01 oder höher nicht installiert ist, kann ExamGear nicht ordnungsgemäß funktionieren.
953
Stichwortverzeichnis
Symbols %USERNAME%-Variable 198 .com, Toplevel-Domäne 55 .edu, Toplevel-Domäne 55 .gov, Toplevel-Domäne 55 .local, Namensvergabe für Domäne 118 .org, Toplevel-Domäne 55 A Abfrage, rekursive 913 Ability (Fähigkeitsbewertung) 833 ACE (Access Control Entry) 240 ACLDiag 333 Active Desktop, administrative Vorlage 415 Active Directory 603, 661, 687 – Komponenten 816 Active Directory (AD) 901 Active Directory Service Interface (ADSI) 215 Active Directory-Benutzer und -Computer – Benutzerkennwort zurücksetzen 209 – Benutzerkonto deaktivieren 208 – Benutzerkonto hinzufügen 189 – Benutzerkonto kopieren 210 – Benutzerkonto löschen 207 – Benutzerkonto reaktivieren 209 – Benutzerkonto umbenennen 207 – Benutzerkonto, Registerkarte Adresse 193 – Benutzerkonto, Registerkarte Allgemein 192 – Benutzerkonto, Registerkarte Einwählen 205 – Benutzerkonto, Registerkarte Konto 194 – Benutzerkonto, Registerkarte Mitglied von 205 – Benutzerkonto, Registerkarte Objekt 205 – Benutzerkonto, Registerkarte Organisation 199
– Benutzerkonto, Registerkarte Profil 196 – Benutzerkonto, Registerkarte Remoteüberwachung 202 – Benutzerkonto, Registerkarte Rufnummern 198 – Benutzerkonto, Registerkarte Sicherheitseinstellungen 205 – Benutzerkonto, Registerkarte Sitzungen 201 – Benutzerkonto, Registerkarte Terminaldienstprofile 202 – Benutzerkonto, Registerkarte Umgebung 200 – Benutzerkonto, Registerkarte Veröffentlichte Zertifikate 203 – Benutzerkontoeigenschaften ändern 192 – Berechtigung zum Verwalten eines GPO zuweisen 389 – Berechtigung zum Verwenden eines GPO zuweisen 381 – Computer verwalten 186 – Computerkonto aktivieren 188 – Computerkonto deaktivieren 188 – Computerkonto hinzufügen 183 – Computerkonto löschen 186 – Computerkonto zurücksetzen 187 – Drucker suchen 236 – Eigenschaften von Computerkonto einstellen 184 – Einstellungen einer administrativen Vorlage für eine Gruppenrichtlinie bearbeiten 440 – Erweiterte Funktionen 240 – Gruppe hinzufügen 227 – Gruppe löschen 229 – Gruppe, Registerkarte Allgemein 229 – Gruppe, Registerkarte Mitglied von 229 – Gruppe, Registerkarte Mitglieder 229 – Gruppe, Registerkarte Objekt 229
956
Stichwortverzeichnis
– Gruppe, Registerkarte Sicherheitseinstellung 229 – Gruppe, Registerkarte Verwaltet von 229 – Gruppeneigenschaften bearbeiten 228 – Gruppenrichtlinie deaktivieren 376 – Gruppenrichtlinie erstellen 369 – Gruppenrichtlinie erstellen, Kontrollkästchen Kein Vorrang 376 – Gruppenrichtlinie erstellen, Registerkarte Domänen/Organisationseinheiten 375 – Gruppenrichtlinie erstellen, Registerkarte Gruppenrichtlinie 372 – Gruppenrichtlinie erstellen, Registerkarte Verknüpfungen 378 – Gruppenrichtlinie filtern 400 – Gruppenrichtlinienvererbung deaktivieren 396 – Gruppenrichtlinienvererbung durchsetzen 399 – GUID (Globally Unique Identifier) 378 – Objekt suchen 231 – Objektberechtigung einstellen 241 – Organisationseinheit erstellen 239 – Personen suchen 236 – Skripte zur Verwendung in Gruppenrichtlinie implementieren 447 – Snap-In 182 – Überwachung für Gruppenrichtlinie konfigurieren 465 – Verarbeitungsreihenfolge der Gruppenrichtlinie 373 Active Directory-Container 628, 868 Active Directory-Installation 797 Active Directory-integrierte Zone 901 Active Directory-Komponenten, Überwachung, Wartung, Korrektur 820 Active Directory-Objekt 628, 816 – Verschieben 817 – Zugriffssteuerung 819 – Zugriffsüberwachung 650 Active Directory-Replikation, Verwaltung und Fehlerbehebung 822 Active Directory-Zugriff überwachen 634 Adaptives Prüfungsformat 832 Administration – Administrator-Konto 189 – Adminpak.msi 282 – Auswertungsreihenfolge von Berechtigungen 389 – Benutzer verwalten 206 – Benutzerkonto 188 – Benutzerumgebung 402
– – – –
Computerkonto 182 Desktop 462 Domänen-Admins 226 erweiterte Gruppenrichtlinienberechtigungen 390 – filtern, Berechtigungen 400 – Gast-Konto 189 – Grundfunktionen 181 – Gruppe 227 – Gruppenrichtlinie 356, 384 – Gruppenrichtlinie deaktivieren 376 – Gruppenrichtlinienobjekte verknüpfen 361 – Gruppenrichtlinienvererbung 395 – MOVETREE 258 – Objektverwaltung 211, 247 – Offline-Datei 421 – Ordnerumleitung 458 – Organisationseinheiten 238 – Regeln für Gruppenrichtliniendeaktivierung 396 – Schema-Admins 226 – Strategien für Gruppen 221 – Systemsteuerung 417 – Vorlagen, Vorteile 403 – zentrale Kontrolle über Gruppenrichtlinie 356 Administrative Vorlage 901 – Active Directory 416 – An-/Abmeldung 424 – Anmeldung 432 – Anwendungsbereich 405 – Arbeitsumgebung bereitstellen 404 – Datenträgerkontingente 433 – Desktop 407, 415, 418 – Desktopeinstellungen aufräumen 404 – DFÜ-Verbindung 422 – DNS-Client 434 – Drucker 406, 419, 438 – Einstellungsarten 405 – Gruppenrichtlinien 425, 434 – Implementierungsgrundsätze 461 – Internet Explorer 409, 429 – Internet Explorer-Wartung 454 – Ländereinstellungen 420 – Microsoft Management Console 411 – Microsoft NetMeeting 409, 428 – Netzwerk 406 – Netzwerk- und DFÜ-Verbindungen 437 – Offline-Datei 421, 437 – Ordnerumleitung 458
Stichwortverzeichnis
– Programme, Internet Explorer-Wartung 457 – Programmzugriff sperren 403 – Sicherheitszonen, Internet ExplorerWartung 456 – Snap-In Gruppenrichtlinie 405 – Software 418 – Standards durchsetzen 403 – Startmenü und Taskleiste 406, 413 – System 406 – Systemsteuerung 407, 417 – Taskplaner 412, 430 – URL, Internet Explorer-Wartung 456 – Vorteile 403, 425 – Windows Explorer 410 – Windows Installer 413, 430 – Windows-Dateischutz 435 – Windows-Komponenten 405, 408 Administrator 901 Administrator-Profil, in Standardprofil Benutzer kopieren 736 Adminpak.msi, Snap-In 282 ADSI (Active Directory Service Interface) 215 ADSIEdit 333 Änderung – eines Pakets mittels MST-Datei 557 – von Sicherheitsvorlageneinstellungen mit Hilfe des MMC-Snap-In Sicherheitsvorlagen 610 Änderungs- und Konfigurationsmanagement, Installation, Konfiguration, Verwaltung 802 Aktualisierung – dynamische 801 – eines Pakets 547 – Fälle 80 – obligatorisch 547, 550, 910 – optional 548, 550 – Standardzone 80 – von Software mittels Gruppenrichtlinien 548 – Vorgang 81 Aktualisierungspaket 547 Analyse – der Sicherheitskonfiguration 619 – Ihres Computers mittels Sicherheitskonfiguration und -analyse 618 – vieler Computer 624
Analyseprotokolldatei anzeigen 621 Anmelde-/Abmeldeskripte 901 Anmeldeereignisse überwachen 634 Anmeldeversuche überwachen 634 Anmeldevorgang 858 Anmeldung 853 – administrative Vorlage 432 – im Netzwerk 853 Antwortdatei 711, 901 – Verknüpfung mit CD-basiertem Image 723 Anwendung 870, 880 – kann nicht installiert werden 568 – Umpacken 919 – von Sicherheitseinstellungen 629 Anwendungen – funktionieren nach der Installation nicht richtig 569 – werden auf dem Desktop nicht angezeigt wie erwartet 568 – werden nicht verteilt wie erwartet 569 – Windows 2000-zertifiziert 515 Arbeitsstationsdienst 26 Architektur, erweiterbare 906 Assistent für die RemoteInstallationsvorbereitung 737 Attribut – Active Directory 34 – Datenverkehr regulieren 32 – Domäne 31 – festlegen, für globalen Katalog 32 – strukturiert 34 Attribute 902 Attributtyp, Domäne 31 Auflösung, Forward-Lookupzone 62 Aufräumen 902 Authentifizierung 902 – Arbeitsstationsdienst 26 – Explorer.exe 36 – Verzeichnisdienst, in Windows 2000 36 – Windows NT 4.0 27 authoritative restore 310, 312 Automatische Installation 746, 750 Autorisierung – des RIS-Servers 702 – eines RIS-Servers 902 Autoritätsursprung (SOA), Seriennummer vergleichen 85 Autoritativ, Namenserver 56, 57 AXFR (vollständige Zonenübertragung) 85
957
958
Stichwortverzeichnis
B Banyan 902 Banyan Vines 28 – Organisationseinheit 28 Baumstruktur 902 Benachrichtigung 902 Benutzer 902 – Benutzerkonto 188 – Konto deaktivieren 191 – User Principal Name (UPN) 189 – verwalten 206 Benutzerdefinierte Installation 746, 750 Benutzerdesktops 874 Benutzerfreundlichkeit 660 Benutzerkonfiguration 600 – Skripte für An- und Abmeldung 443 Benutzerkonto – deaktivieren 191, 208 – Eigenschaften ändern 192 – hinzufügen 189 – Kennwort zurücksetzen 209 – kopieren 210 – löschen 207 – reaktivieren 209 – Registerkarte Adresse 193 – Registerkarte Allgemein 192 – Registerkarte Einwählen 205 – Registerkarte Konto 194 – Registerkarte Mitglied von 205 – Registerkarte Objekt 205 – Registerkarte Organisation 199 – Registerkarte Profil 196 – Registerkarte Remoteüberwachung 202 – Registerkarte Rufnummern 198 – Registerkarte Sicherheitseinstellungen 205 – Registerkarte Sitzungen 201 – Registerkarte Terminaldienstprofile 202 – Registerkarte Umgebung 200 – Registerkarte Veröffentlichte Zertifikate 203 – umbenennen 207 – User Principal Name (UPN) 189 – verwalten 188 – Vorlage 210 Benutzerprozess 902 Benutzerumgebungen – Steuerung von 806 – Verwaltung und Fehlersuche mittels Gruppenrichtlinien 806
Berechtigung 903 – Alle bestätigten Schreibvorgänge 245 – Alle Eigenschaften lesen 244 – Alle Eigenschaften schreiben 244 – Alle erweiterten Rechte 245 – Alle untergeordneten Objekte erstellen 242, 383 – Alle untergeordneten Objekte erstellen/ löschen 245 – Alle untergeordneten Objekte löschen 242 – Assistent für Objektverwaltung 247 – Auswertungsreihenfolge für Gruppenrichtlinien 389 – Berechtigungen ändern 245 – Berechtigungen lesen 245 – Besitzer ändern 245 – erweiterte 390 – Erweiterte Funktionen 240 – Freigabe in Active Directory veröffentlichen 255 – für freigegebene Ordner einstellen 254 – Gruppe in Gruppenrichtlinienobjekt 384 – Gruppen 223 – Gruppenrichtlinie 384 – Gruppenrichtlinie übernehmen 383 – Inhalt auflisten 244 – Lesen 242 – Löschen 244 – NTFS 253 – Objekte erstellen/löschen 245 – Schreiben 242 – Sicherung 291 – Standard für Gruppenrichtlinie 382 – Uneingeschränkter Zugriff 244 – Unterstruktur löschen 245 – vererben 246 – Vererbung blockieren 246 – verwalten einer Gruppenrichtlinie 389 – verweigern 383 – verweigern, Warnung vor 254 – Windows Installer 430 – zuweisen, zum Verwalten eines GPO 389 Berechtigung für Images 730 Berechtigungen für Images 730 Bereich, Gruppenrichtlinie 360 Bereitstellung – erneute 906 – von Software mittels Gruppenrichtlinien 539 – von Software, erneute 552
Stichwortverzeichnis
– von Windows 2000 mit Remote-Installationsdiensten 679 Bereitstellungsoptionen 547 – Konfiguration von 808 Beschränken von Images 903 Betriebsmaster 279 – Domäne 281 – Gesamtstruktur 282 – Rolle überschreiben 286 – Rolle übertragen 282 – Standort 281 Betriebsmasterfunktionen 796 Betriebssystem 903 Bewerbungsunterlagen 937 BIND (Berkeley Intenet Name Domain) 86 BINL 683 BINL-Meldung 758 Boot Information Negotiation Layer (BINL) 683 Bridgehead-Server konfigurieren 150 Browser- und Shelleinstellungen 718 Builtin, Gruppe 223 C Cache-only, Server 61 Cache-Server 903 CD-basiertes Image 708, 723 – RIPrep-Image 734 Client – Gruppenrichtlinie 357 – Gruppenrichtlinien kombinieren 366 – Gruppenrichtlinienaktualisierung 365 Clientcomputer – Hardwarevoraussetzungen 748 – Vorkonfiguration 752 Clientinstallation, Auswahloptionen, Einstellungen 746 Clientinstallationsoptionen 744 Clientkonto, Optionen 742 Collection – DACL (Discretionary Access Control List) 36 – Objekt 35 Computer 903 Computer hinzufügen 864 Computerkonfiguration, Skripte für Starten und Herunterfahren 443 Computerkonto – aktivieren 188 – Allgemein, Registerkarte 185
– Betriebssystem, Registerkarte 185 – deaktivieren 188 – löschen 186 – Mitglied von, Registerkarte 185 – Objekt, Registerkarte 185 – Sicherheitseinstellung, Registerkarte 185 – SID 186 – Standort, Registerkarte 185 – verwalten 182 – Verwaltet von, Registerkarte 185 – zurücksetzen 187 Computerkonto, Recht zur Erstellung, Übung 768 Computerverwaltung, Snap-In 251 Container – Active Directory, Objekt in 35 – Objektvererbung 246 Containerobjekt 903 CPU-Zeit 862 CSVDE 214 D DACL (Discretionary Access Control List) 36, 240, 903 Datei- oder Dokumentaktivierung 538 Dateierweiterungen, Verknüpfung mit Anwendungen 564 Dateierweiterungspriorität für ein GPO 566 Dateinamenserweiterungen, Prioritäten für 565 Dateisystem 599 Dateisystemobjekte 641 Datenbank 903 – Active Directory 30 – Domäne 32 – Domain Name System (DNS) 33 – erstellen 616 – Methoden 35 Datenträgerkontingent 661, 904 – administrative Vorlage 433 Datenverkehr 857 DCPROMO 904 Deaktivierung der Richtlinienvererbung 661 Default Domain Controllers Policy 358 Default Domain Policy 358 Deinstallation 517 Delegieren 115 – Objektverwaltung 247 Desktop – administrative Vorlage 415, 418
959
960
Stichwortverzeichnis
– benutzerseitige administrative Vorlage 462 – Gruppenrichtlinie 356 DFS (Distributed Files System) 252 DFÜ-Verbindung, administrative Vorlage 422 DHCO-Meldung 758 DHCP (Dynamic Host Configuration Protocol) 683 DHCP Discover-Paket 685 DHCP-Dienst 683, 687 DHCP-Konsole 702 DHCP-Relay-Agent 758 DHCP-Server 687, 758 Dialogfeld Sicherheitsrichtlinienvorlage 612 Dienst 904 Differenziell, Sicherung 290 Discretionary Access Control List (DACL) 36 DisplayVersion 520 Distinguished Name (DN), LDIFDE 212 Distributed Files System (DFS) 252 DNS (Domain Name Service) 683, 849 DNS (Domain Name System) 33 – Änderungen durch Active Directory 81 – Aktualisierung 80 – Aktualisierung der Zone, Fälle 80 – Aktualisierungsvorgang 81 – Autokonfiguration 59 – BIND (Berkeley Internet Name Domain) 86 – Cache-only-Server 61 – Delegieren 115 – Domäne 111 – Domänencontroller hinzufügen 128 – Domänenstruktur 112 – erstellen, Domäne 117 – Fehlersuche 87 – Forward-Lookupzone 66 – FQDN (Fully Qualified Domain Name) 54, 56 – Hauptkomponenten 54 – Hierarchie 112 – inkrementelle (IXFR) Zonenübertragung 85 – Installationsanleitung 60 – Installationsvoraussetzungen 59 – iterative Namensauflösung 57 – Masterserver 76 – Namensauflösung 57 – Namensvergabe für Domäne 118
– – – – – – – – – – – – –
Namespace 33, 54 Netlogon 81 Netlogon starten und stoppen 91 NSLOOKUP verwenden 89 Organisationseinheit 115 primäre Zone konfigurieren 67 primärer Server 62 Protokollierung 88 rekursive Namensauflösung 57 Resolver 54 Reverse-Lookupzone 75 Reverse-Lookupzone konfigurieren 75 Richtlinien für Organisationseinheiten 116 – Rollen 61 – Secondlevel 55 – sekundärer Server 76 – Snap-In DNS 88 – Stammdomäne installieren 119 – Standardzone 80 – Struktur und Gesamtstruktur 112 – TCP/IP 132 – Toplevel 55 – TTL (Time To Live) 58 – Überwachen 88 – Unterdomäne in Unternehmensstruktur 56 – untergeordnete Domäne 129 – vollständige (AXFR) Zonenübertragung 85 – Zonen integrieren 78, 86 – Zonenübertragungen in Standardumgebung 84 DNS für Active Directory 800 – Installation, Konfiguration, Fehlerbehebung 800 – Verwaltung, Überwachung, Fehlerbehebung 801 DNS-Client, administrative Vorlage 434 DNSCMD 333 DNS-Daten, Replikation 802 DNS-Server 859 DNS-Zonen 800 Domäne 851, 854, 858, 904 – Active Directory 29, 111 – Änderungen durch Active Directory 81 – Aktualisierung von Gruppenrichtlinien 364 – Attribut 31 – Attributtyp 31 – automatische Verwaltung 29
Stichwortverzeichnis
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Benutzerkonto deaktivieren 208 Benutzerkonto hinzufügen 189 Benutzerkonto kopieren 210 Benutzerkonto löschen 207 Benutzerkonto reaktivieren 209 Benutzerkonto umbennen 207 Benutzerkontoeigenschaften ändern 192 Betriebsmaster 281 BIND (Berkeley Intenet Name Domain) 86 Computerkonto aktivieren 188 Computerkonto deaktivieren 188 Computerkonto hinzufügen 182 Computerkonto löschen 186 Computerkonto zurücksetzen 187 Default Domain Controller Policy 358 Default Domain Policy 358 Delegieren 115 DNS (Domain Name System) 33 Domänencontroller 29 Domänen-Namensmaster 34 Domänenstruktur, Beispiel 113 erstellen 117 Forward-Lookupzone, Auflösung 62 FQDN (Fully Qualified Domain Name) 54 FQDN auflösen 56 gemeinsame Elemente 34 Gesamtstruktur erstellen 130 globale Liste 29 Gruppe hinzufügen 227 Gruppenrichtlinienvererbung 362 Gruppenstrategien 221 Hierarchie im Unternehmen 52 Hosteintrag 80 inkrementelle (IXFR) Zonenübertragung 85 Installationsvoraussetzung, Hardware und Software 117 integrierte (builtin) Gruppen 223 IPCONFIG verwenden 90 iterative Namensauflösung 57 Klasse 31 Masterserver 76 Modus 218 Modus ändern 218 Namensauflösung, Prozess 57 Namensvergabe 118 Namensvergabe, hierarchisches Modell 53 Namespace 33 Netlogon 81
– – – – – – – – – – – – – – – – – – – – – – – – – – – –
NSLOOKUP verwenden 90 oberster Ebene 904 Objektverwaltung zuweisen 247 Organisationseinheit 115 Organisationseinheit erstellen 239 Partition 47 PTR-Eintrag 80 rekursive Namensauflösung 57 Reverse-Lookupeintrag 80 Rollen 61 Schemamaster 32 Schwierigkeiten des Modells 29, 32 Secondlevel 33, 55 separate 56 Serviceeintrag 80 Sicherheit 112 SID (Security Identifier) 31 Stammdomäne 33 Stammdomäne installieren 119 Stammserver hinzufügen 131 Standort, Definition 132 Struktur und Aufbau 112, 115 Struktur und Gesamtstruktur 112 strukturieren 33 Strukturmodell 34 Toplevel 33, 55 TTL (Time To Live) 58 überprüfen, Installation der Stammdomäne 127 – Unterdomäne in Unternehmensstruktur 56 – untergeordnete 919 – untergeordnete, hinzufügen 129 – Verarbeitung von Gruppenrichtlinien 364 – Vererbung durchsetzen 398 – Vertrauensstellung 29 – vollständige (AXFR) Zonenübertragung 85 – Vorteile 111 – Wege zum Erstellen 112 – Zonen integrieren 78 – Zonenübertragung 84 – zweiter Stufe 904 Domänen-Admins 226 Domänenbetriebsmaster 281 Domänencontroller 601, 603, 850, 853, 857f., 905 – Änderungen durch Active Directory 81 – Aktualisierung von Gruppenrichtlinien 364 – Aktualisierungen in Active Directory 86
961
962
Stichwortverzeichnis
– – – – – – – – – – – – – – – – – –
Default Domain Controller Policy 358 Domänenbetriebsmaster 281 einheitlicher Modus 218 Gruppenrichtlinien kombinieren 366 hinzufügen 128 Hosteintrag 80 konfigurieren für globalen Katalog 289 PTR-Eintrag 80 Replikation 142 Reverse-Lookupeintrag 80 Server für globalen Katalog 288 Serviceeintrag 80 Skript-Replikation 449 Stammserver hinzufügen 131 Systemrichtlinie unter NT 4.0 363 SYSVOL 359 Task-Manager 313 Überwachung, Pflege, Korrektur der Leistung 820 – USN (Update Sequence Number) 143 – verschieben 147 – wieder herstellen 857 – wieder herstellen, nicht-maßgebend 305 Domänendaten, Replikation 142 domänenlokal – Domänenmodus 220 – verwenden 221 Domänenmodell, Schwierigkeiten in den Anfängen 29 Domänenmodus 218 – Auswirkung auf Gruppen 219 Domänennamenmaster 34, 280, 796, 905 – Rolle übertragen 284 – Standort ändern 283 Domänennamenssystem (DNS) 905 Domänenpartition 47, 905 Domänenüberwachungsrichtlinien 657 Domain Name Service (DNS) 683 Domain Name System (DNS) 33, 687 DOMMAP 333 Drittanbieter-Werkzeuge 523 Drop & Connect-Fragen 839 Drucker 905 – administrative Vorlage 419, 438 Drucker hinzugefügt 860 Drucker installieren 720 Drucker, Überwachung von 645 Druckerobjekt 37 Druckerobjekte, Überwachung 645 Druckerstandort, Registerkarte 141 DSACLS 333 DSAStat 333
Dynamic Host Configuration Protocol (DHCP) 905 Dynamische Aktualisierungen 906 Dynamisches Domänennamenssystem (DDNS) 906 E Eigenschaft 906 – des Pakets, Dialogfeld 545 – Objekt 35 – von Softwareinstallation, Dialogfeld 544 Eingeschränkte Gruppen 599 Einheitlicher Modus 218 – Auswirkung 219 Einmaliges Ausführen 720 Element 906 E-Mail, Verteilergruppe 217 Endknotenobjekte 906 Enterprise 906 Entfernen eines Pakets 554 – mittels Gruppenrichtlinien 555 – verteilter Pakete mittels Gruppenrichtlinien Übung 580 Entfernung – obligatorische 554 – optionale 555 Entfernungsoptionen 554 Ereignis, Details 322 Ereignisanzeige 654, 906 – Ereignistypen 321 – filtern 325 – konfigurieren 319 – Protokolle 318 – Remote-System 321 – Sicherheitsprotokoll 469 Ereignisprotokoll 599 Erstellung – einer Remotestartdiskette 751 – einer Sicherheitsvorlage mit Hilfe des Snap-Ins Sicherheitsvorlagen 607 – eines Computerkontos 704 – eines RIPrep-Image 733, 738 Anforderungen 734 Quellcomputer konfigurieren 735 – von Computerkonten Vergabe von Rechten 815 – von Softwarekategorien 559 – und Änderung von Sicherheitsvorlagen 604 – von Softwarekategorien für die Domäne 560
Stichwortverzeichnis
ESEUtil 333 Examen, Anmelden 923 Examen Siehe auch Prüfungen ExamGear, Training Guide Edition 830 Export von Sicherheitseinstellungen 628 Extras 750 F Fallstudie – Active Directory verwalten 258 – Gruppenrichtlinien zum Konfigurieren der Benutzer- und Computereinstellungen bei Sonnenschein-Brauerei 470 – Remote-Installationsdienste 760 – Softwarebereitstellung 570 – Überwachen und Verwalten von Active Directory 334 – Verwendung von Gruppenrichtlinien 655 Fallstudie Sonnenschein-Brauerei – Active Directory installieren und konfigurieren 155 – Anforderungen der Benutzer 40 – DNS Analyse für Implementierung von DNS 92 – DNS implementieren 91 – Domänenaufteilung, in der Analyse 46 – Kennwortrichtlinien, in der Analyse 47 – Organisationseinheiten, in der Analyse 47 – physisches Netzwerk 42 – Replikation, in der Analyse 47 – Schlüsselfragen 91 – Standorte, in der Analyse 47 – Struktur der Benutzergemeinde 39 – Szenario für Implementierung von DNS 92 – Vorstellung 38 Fehlerbehebung – ACLDiag 333 – ADSIEdit 333 – DNS (Domain Name System) 87 – DNSCMD 333 – DOMMAP 333 – DSACLS 333 – DSAStat 333 – ESEUtil 333 – Gruppenrichtlinie 461 – NETDOM5 333 – NETTest 333 – NLTest 333 – NTDSUtil 333
– REPAdmin 334 – REPLMon 334 – SDCheck 334 – SIDWalker 334 Fehlerprotokolldatei 620 Fehlersuche 791 – bei der Softwarebereitstellung 568 – bei Remote-Installationsdienste 758 Filter, Gruppenrichtlinie 400 Forward-Lookup 907 – IPCONFIG 90 – NSLOOKUP 90 Forward-Lookupzone – Aktualisierungsintervall, auf Registerkarte Allgemein 70 – Aktualisierungsintervall, auf Registerkarte Autoritätsursprung (SOA) 70 – Allgemein, Registerkarte 69 – Alterung, auf Registerkarte Allgemein 69 – An jeden Server, auf Registerkarte Zonenübertragungen 74 – Automatisch benachrichtigen, auf Registerkarte Zonenübertragungen 75 – Autoritätsursprung (SOA), Registerkarte 70 – Benachrichtigen, auf Registerkarte Zonenübertragungen 75 – Cachezeitlimit, auf Registerkarte WINS 73 – Cachezeitlimit, auf Registerkarte WINS-R 76 – Diesen Eintrag nicht replizieren, auf Registerkarte WINS 72 – Diesen Eintrag nicht replizieren, auf Registerkarte WINS-R 75 – DNS-Domäne als NetBIOS-Bereich übermitteln, auf Registerkarte WINS-R 76 – Domäne, die an den zurückgelieferten Namen angehängt werden soll, auf Registerkarte WINS-R 75 – Dynamische Aktualisierung zulassen, auf Registerkarte Allgemein 69 – erstellen 66 – Erweitert, auf Registerkarte WINS 73 – Erweitert, auf Registerkarte WINS-R 76 – Folgende Server, auf Registerkarte Zonenübertragungen 75 – IP-Adresse, auf Registerkarte WINS 73 – Kein Aktualisierungsintervall, auf Registerkarte Allgemein 70
963
964
Stichwortverzeichnis
– Läuft ab nach, auf Registerkarte Autoritätsursprung (SOA) 70 – Lookupzeitlimit, auf Registerkarte WINS 73 – Lookupzeitlimit, auf Registerkarte WINS-R 76 – Minimum TTL (Standard), auf Registerkarte Autoritätsursprung (SOA) 71 – Namenserver, Registerkarte 71 – Nur an folgende Server, auf Registerkarte Zonenübertragungen 74 – Nur an Server, auf Registerkarte Zonenübertragungen 74 – Primärer Server, auf Registerkarte Autoritätsursprung (SOA) 70 – Ressourceneinträge für veralteten Aufräumvorgang, auf Registerkarte Allgemein 69 – Seriennummer, auf Registerkarte Autoritätsursprung (SOA) 70 – Server, die auf der Registerkarte für Namenserver aufgelistet sind, auf Registerkarte Zonenübertragungen 75 – Status, auf Registerkarte Allgemein 69 – TTL für diesen Eintrag, auf Registerkarte Autoritätsursprung (SOA) 71 – Typ, auf Registerkarte Allgemein 69 – Verantwortliche Person, auf Registerkarte Autoritätsursprung (SOA) 70 – Wiederholungsintervall, auf Registerkarte Autoritätsursprung (SOA) 70 – WINS, Registerkarte 72, 75 – WINS-Forward-Lookup verwenden, auf Registerkarte WINS 72 – WINS-R-Lookup verwenden, auf Registerkarte WINS-R 75 – Zonendateiname, auf Registerkarte Allgemein 69 – Zonenübertragung, Registerkarte 73 – Zonenübertragungen zulassen, auf Registerkarte Zonenübertragungen 74 FQDN (Fully Qualified Domain Name) 54 – administrative Vorlage 434 – auflösen 56 – Bestandteile 55 Fragen mit geordneten Listen 842 Transitive Standortverknüpfung 151 Freigabe 907 – DFS (Distributed Files System) 252 – Drucker (nicht Windows 2000) in Active Directory veröffentlichen 256
– Liste über die Eingabeaufforderung erstellen 250 – über die Computerverwaltung erstellen 252 – über die Eingabeaufforderung erstellen 249 – veröffentlichen 255 – Verzeichnis mit Explorer freigeben 251 Freigabeprobleme 855 Freigegebene Ordner 38 FriendlyName 519 G Gemischter Modus 218, 907 – Auswirkung 219 Gesamtstruktur 907 – erstellen 119, 130 – Hierarchie 112 Geschäftsregeln, Gruppenrichtlinie 357 Global – Gruppe 217 – verwenden 222 – vordefinierte Gruppen 226 – Domänenmodus 220 Globalen Katalog 855 Globaler Katalog – Datenverkehr, Probleme 29 – Domäne 29 GPC (Group Policy Container) Siehe Gruppenrichtlinien-Container GPCs 803 GPO 803, 867 GPO (Group Policy Objekt) Siehe Gruppenrichtlinienobjekt GPO-Gültigkeitsbereich 661, 907 GPO-Rangfolge 760 GPO-Vererbung 661, 907 GPT (Group Policy Template) Siehe Gruppenrichtlinienvorlage GPTs 803 Gruppe 908 – Auswirkung des Domänenmodus 219 – Berechtigungen 223 – Berechtigungen für GPO 386 – Domänen-Admins 226 – domänenlokale verwenden 221 – Eigenschaften bearbeiten 228 – global 217, 907 – globale verwenden 222 – Gruppenrichtlinienverarbeitung 364 – hinzufügen 227
Stichwortverzeichnis
– – – – – – – – – – –
Identitäten 226 integrierte (Builtin) 223 löschen 229 lokal 217, 910 Mitglied von, Registerkarte 185 Modus (gemischt/einheitlich) 218 Registerkarte Allgemein 229 Registerkarte Mitglied von 229 Registerkarte Mitglieder 229 Registerkarte Objekt 229 Registerkarte Sicherheitseinstellungen 229 – Registerkarte Verwaltet von 229 – Richtliniensicherheit 380 – Sicherheit 217 – SID (Security Identifier) 229 – Strategien 221 – universell 218, 919 – universelle verwenden 222 – Verteiler 217 – vordefiniert 226 – domänenlokale 905 Gruppenrichtlinie 869 – Active Directory 416 – administrative Vorlage 425, 434 – administrative Vorlagen, Vorteile 403 – Aktualisierungsregeln 365 – Aktualisisierung 364 – Alle untergeordneten Objekte erstellen 383 – An-/Abmeldung 424 – Anmeldung 432 – Anwendungsbereich bei administrativen Vorlagen 405 – Arbeitsumgebung über administrative Vorlagen bereitstellen 404 – Auswertungsreihenfolge von Berechtigungen 389 – Benutzerprofile und Basisordner umleiten 404 – Benutzerumgebung verwalten 402 – Bereich 360 – Client 357 – Client-Aktualisierung 365 – Datenträgerkontingent 433 – deaktivieren 376, 395 – Desktop 415, 418 – Desktopeinstellungen über administrative Vorlagen aufräumen 404 – Desktopumgebung, zentrale 356
– – – – – – – – – – – – – – – – – – – –
– –
– – – – – – – – – – – – – – – – – – – –
DFÜ-Verbindung 422 DNS-Client 434 Drucker 419, 438 durchsetzen 398 erstellen 369 erweiterte Berechtigungen 390 Fehlerursachen 463 filtern 400 Funktionen für den Administrator 356 Geschäftsregeln 357 Gruppen versus Benutzer 386 Gruppenberechtigungen 384 Gruppenrichtlinie übernehmen 383 GUID (Globally Unique Identifier) 358, 378 GUID anzeigen 359 Implementierungsgrundsätze 461 Internet Explorer 409, 429 Internet Explorer-Wartung 454 kombinieren 366 Kontrollkästchen Berechtigungen für diese Objekte und/oder Container in diesem Container übernehmen 394 Kontrollkästchen Kein Vorrang 376 Kontrollkästchen Berechtigungen für diese Objekte und/oder Container in diesem Container übernehmen 394 Ländereinstellungen 420 Microsoft Management Console 411 Microsoft NetMeeting 409, 428 Netzwerk- und DFÜ-Verbindungen 437 Objekt (GPO) 357 Offline-Datei 421, 437 Ordnerumleitung 458 Programme, Internet Explorer-Wartung 457 Programmzugriff über administrative Vorlagen sperren 403 Proxyserver 455 Regeln für Deaktivierung 396 Registerkarte Berechtigungseintrag 390 Registerkarte Gruppenrichtlinie 372, 375 Registerkarte Überwachung 467 Registerkarte Verknüpfungen 378 Registerkarte Zugriffseinstellungen 390 Sicherheit konfigurieren 380 Sicherheitsprotokoll 469 Sicherheitszonen, Internet ExplorerWartung 456 Skript erstellen 443
965
966
Stichwortverzeichnis
– – – – –
Skripttypen 444 Snap-In 405 Software 418 Standardberechtigungen 382 Standards mit administrativen Vorlagen durchsetzen 403 – Startmenü und Taskleiste 413 – Systemsteuerung 417 – Taskplaner 412, 430 – URL, Internet Explorer-Wartung 456 – Verarbeitungsregeln 368 – Verarbeitungsreihenfolge 373 – Verarbeitungsreihenfolge von Skripten 443 – Verarbeitungsschritte 364 – Vererbung 361, 395 – Vererbungspfad 363 – verweigern 384 – Windows Explorer 410 – Windows Installer 413, 430 – Windows-Dateischutz 435 – Windows-Komponenten 408 Gruppenrichtlinien 514, 596, 638, 657, 659, 661, 823, 866, 873 – Ändern von 806 – Aktualisierung von Software 548 – Bereitstellung von Software 539 – Durchsetzung von 905 – Implementierung, Fehlerbehebung 803 – Softwarebereitstellung 537 Fallstudie 570 – Softwaremanagement und -fehlersuche 537 – Verantwortungsdelegierung 804 – Wartung 547 – zur Softwarebereitstellung Übung 575 – zur Softwareverteilung Übung 661 Gruppenrichtlinien-Container 358, 803, 908 Gruppenrichtlinieneditor 639 Gruppenrichtlinieneinstellungen, filtern 805 Gruppenrichtlinienfilterung 657, 661 Gruppenrichtlinienobjekt 357, 609 – administrative Vorlagen, Vorteile 403 – Aktualisierung 364 – Aktualisierungsregeln 365 – Alle untergeordneten Objekte erstellen 383 – Auswertungsreihenfolge von Berechtigungen 389
– – – – – – – – – – – – –
Bereich 360 Container (GPC) 358 deaktivieren 376, 395 Default Domain Controllers Policy 358 Default Domain Policy 358 durchsetzen 398 erstellen 369 erweiterte Berechtigungen 390 filtern 400 Gruppen versus Benutzer 386 Gruppenberechtigungen 384 Gruppenrichtlinie übernehmen 383 GUID (Globally Unique Identifier) 358, 378 – Implementierungsgrundsätze 461 – kombinieren 366 – Kontrollkästchen Berechtigungen für diese Objekte und/oder Container in diesem Container übernehmen 394 – Kontrollkästchen Kein Vorrang 376 – Organisationseinheit 362 – Regeln für Deaktivierung 396 – Registerkarte Berechtigungseintrag 390 – Registerkarte Domänen/ Organisationseinheiten 375 – Registerkarte Gruppenrichtlinie 372 – Registerkarte Verknüpfungen 378 – Registerkarte Zugriffseinstellungen 390 – Sicherheit konfigurieren 380 – Skript erstellen 443 – Standardberechtigungen 382 – Verarbeitungsregeln 368 – Verarbeitungsreihenfolge 373 – Verarbeitungsschritte 364 – Vererbung 361, 395 – verknüpfen 360 – verweigern 384 – vorkonfiguriert 358 – Vorlage (GPT) 358 Gruppenrichtlinienobjekt (GPO) 744, 803, 908 – Vorbereitung 513 Gruppenrichtlinienrangfolge 908 Gruppenrichtlinienstruktur 864 Gruppenrichtlinienvererbung 659 – ändern 804 Gruppenrichtlinienvorlage 358, 803, 873, 908 – GUID (Globally Unique Identifier) 358 – SYSVOL 359 Gültigkeitsdauer, TTL (Time To Live) 58
Stichwortverzeichnis
GUID (Globally Unique Identifier) 358, 378, 685, 753, 908 – bekannt 753 – unbekannt 756 H Hardware- und Softwareanforderungen – Active Directory 117 – Übungen im Buch 20 Hardwareanforderungen an den RIS-Server 686 Hardwarevoraussetzungen, Clientcomputer 748 Hierarchie 908 – Delegieren 115 – FQDN (Fully Qualified Domain Name) 55 – Gesamtstruktur erstellen 130 – Gruppenrichtlinienvererbung 361 – Namensauflösung 57 – Namespace 34, 52 – Organisationeinheit 115 – Richtlinien für Organisationseinheiten 116 – Stammdomänen installieren 119 – Struktur und Gesamtstruktur 112 – Unterdomänen erstellen 56 – Unternehmensstruktur 52 – Zonen integrieren 78 Hintergrundprozess 908 Hinweis – Administrative Vorlagen – Benutzerversus Computereinstellungen 427 – Administratoren und Gruppenrichtlinien 384 – Aktualisierungsregeln (Gruppenrichtlinie) 365 – Ausgelastete Anwendungen 315 – Autokonfiguration bei DNS-Installation 59 – BAT- und CMD-Dateien (als Skripte) 446 – Berechtigungen für eine Gruppenrichtlinie 389 – Berechtigungen verweigern 254, 383 – Dateien dem Skript-Ordner hinzufügen 451 – Eigenes Zertifikat erstellen 149 – Erweiterte Berechtigungen zuweisen 394 – Filter in Ereignisanzeige 325 – GPO-Sicherheit ändern 381 – Gruppen sind besser 386 – Gruppenrichtlinie unter Windows NT 3.51/ 4.0 357
– Gruppenrichtlinien und StandardContainer 371 – Gruppenrichtlinienobjekt, lokal 362 – Gruppenrichtlinienvorlage 449 – Konfigurationseinstellungen Computer/ Benutzer deaktivieren 379 – lokales Gruppenrichtlinienobjekt 362 – Programme zum Bearbeiten der Registrierung deaktivieren 423 – Rollen übertragen 287 – Sicherheitsprincipal 182, 198, 242, 254, 282, 304, 315, 325, 357f., 362f., 365, 371, 379, 381, 383f., 386, 389, 394, 423, 427, 445f., 449, 451 – Sicherungszeitpläne bearbeiten 304 – Snap-In Active Directory-Schema 282 – Standardmäßige Zeitüberschreitungswerte 445 – Variable USERNAME 198 – Verarbeitung der Systemrichtlinie 363 – Vererbte Berechtigungen 242 – vorkonfigurierte GPOs 358 Hosteintrag 80 Hot Area-Fragen 839 I Identitäten 226 Image, Absicherung Übung 768 – Berechtigungen 730 – CD-basiertes 903 – Deaktivierung 741 – Installation Übung 767 – Installation auf Clientcomputer 684 – Remotestartdiskette 751 Images, Verwaltung 814 Image, für Remoteinstallationsdienste 708 Implementierung, Gruppenrichtlinie 461 Infrastrukturmaster 280, 797, 909 Inkrementell – Sicherung 291 – Zonenübertragung 85 Installation 791 – der Remote-Installationsdienste, Assistent 693 – des Pakets mittels Gruppenrichtlinien Optionen 534 – Hardware und Software, für Active Directory 117 – Stammdomäne 119 – überprüfen, Stammdomäne 127
967
968
Stichwortverzeichnis
– Umfang der Benutzereingriffe 712 – und Konfiguration von WinINSTALL LE 525 – von RIS 688 Installations-Manager, zusätzliche Einstellungen 716 Installationsordner 719 Integration, Zonen 86 Internet 909 – .edu-, .gov-, .com-, .org-Domänen 55 – Domänenhierarchie 54 – NS-Einträge 56 – Secondlevel-Domäne 55 – Toplevel-Domäne 55 Internet Explorer – administrative Vorlage 410, 429 – Internet Explorer-Wartung 454 – Proxyserver 455 Internet Explorer Administration Kit 720 IP (Internet Protocol), Replikation 149 IPCONFIG, Verwendung 90 IP-Sicherheitsrichtlinien 600 Iterative Abfrage 909 IXFR (inkrementelle Zonenübertragung) 85 K Katalog, globaler 855, 907 Kategorien, Register 561 Kategorisieren eines Softwarepakets 563 KCC (Knowledge-Konsistenzprüfer) 144 – Verbindungsobjekt 145 Kein Vorrang 909 Kennwort zurücksetzen 863 Kennwortrichtlinie 871 Kennwortvorgaben 658 Kerberos 82 Klasse 909 – Domäne 31 Knowledge-Konsistenzprüfer (KCC) 144, 909 Konfiguration 791 – der Dateierweiterungspriorität für ein GPO 566 – der Namensoptionen 740 – der Systemsicherheit 614 – der Überwachung für Active DirectoryObjekte 650 – des Quellcomputers 735 – des Servers, Assistent 689, 693 – einer Antwortdatei 710
– einer Datenbank für die Analyse Ihres Computers in Sicherheitskonfiguration und -analyse 616 – einer Überwachungsrichtlinie 638 – eines Computers mit Sicherheitseinstellungen 624f. – und Implementierung einer Überwachungsrichtlinie 633 – von Clientinstallationsoptionen 744 – von MMC mit dem Snap-In Sicherheitskonfiguration und -analyse 614 – von MMC mit dem Snap-In Sicherheitsvorlagen 604 – von Paketänderungen 556 – von Paketbereitstellungsoptionen 543 – von RIS 695 – von Softwareaktualisierungen Übung 579 – der Überwachung für Dateien und Ordner 642 – der Überwachung für Drucker 646 Konfiguration von Softwarebereitstellungsoptionen, Übung 577 Konfigurationsinformationen, Replikation 142 Konfigurationspartition 909 Konflikte, Gruppenrichtlinienverarbeitung 368 Konten 862 Konten wieder herstellen 856 Kontenerstellung und -verwaltung 818 Kontensperrung 598 Kontenverwaltung 634 Konto – Administrator 189 – Benutzerkonto 188 – Computerkonto 182 – deaktivieren 191, 208 – Eigenschaften ändern 192 – Gast 189 – hinzufügen 189 – Kennwort zurücksetzen 209 – kopieren 210 – löschen 207 – reaktivieren 209 – umbenennen 207 – Vorlage 210 Kontorichtlinien 598
Stichwortverzeichnis
L Ländereinstellungen 717 – administrative Vorlage 420 LAN-Manager, PDC (Primärer Domänencontroller) 27 27, 909 Lastausgleich – Vorkonfiguration 752 – zwischen RIPrep-Images 739 LDAP (Lightweight Directory Access Protocol) 82, 909 LDAP Data Interchange Format Directory Exchange (LDIFDE) 212 LDAP-Server 795 LDIFDE (LDAP Data Interchange Format Directory Exchange) 212 – Beispieldatei 214 Leistungsindikator, Leistungsprogramm 331 Leistungsmanagement 820 Leistungsprogramm – Leistungsindikator 331 – Leistungsprotokolle 332 – Nutzen 330 – Objekt 330 Leistungsprotokolle, Leistungsprogramm 332 Lernhilfe – ExamGear 15 – Fallstudie 15 – Hinweise 15 – Organisation des Buchs 14 – praktische Testaufgaben 15 – Prüfungstipps 14 – Schlüsselbegriffe 15 – Schlüsselbegriffe 2. Kapitel 94 – Tipps für das Selbststudium 14 – Tipps für das Selbststudium zu Active Directory-Dienste verwalten 180 – Tipps für das Selbststudium zu Active Directory-Struktur aufbauen 110 – Tipps für das Selbststudium zu DNS für Active Directory konfigurieren 52 – Tipps für das Selbststudium zu Gruppenrichtlinien zum Verwalten von Benutzern 355 – Tipps für das Selbststudium zu Server verwalten 278 – Tipps zum Selbststudium zu Grundlagen von Active Directory 25 – Tipps, allgemeine zur Prüfung 21
– Warnungen 15 – Wiederholungsfragen 15 Lernstile 827 Lernziele 595 – Verzeichnisdienst-Infrastruktur 595 Löschen von Sicherheitsvorlagen 612 Lokal, Gruppe 217 Lokale Richtlinien 599 M MAC (Media Access Control) 910 Macintosh, Sicherheit 240 Maßgebende Wiederherstellung 293, 309 Masterserver 76, 910 MCDBA 924 MCP 924 – Prüfungen 830 MCP + Internet 924 MCP + Site Building 924 MCSD 925, 933 MCSE 924 MCSE + Internet 924 MCSE-Prüfung – Internet-Adressen 16 – Themenübersicht 16 – Tipps, allgemeine 21 MCT 925, 937 – Guide 937 Mehrsprachige Bereitstellung 750 Methode 910 – Datenbank 35 – Objekt 35 – Verb 35 Microsoft Certified Database Administratoren (MCDBA) 924 Microsoft Certified Professional (MCP) 924 Microsoft Certified Professional + Internet (MCP + Internet) 924 Microsoft Certified Professional + Site Building (MCP + Site Building) 924 Microsoft Certified Solution Developer (MCSD) 925, 933 Microsoft Certified Systems Engineer (MCSE) 13, 924 Microsoft Certified Systems Engineer + Internet (MCSE + Internet) 924 Microsoft Certified Trainer (MCT) 925, 937 Microsoft Management Console 597 – administrative Vorlage 411 Microsoft NetMeeting, administrative Vorlage 409, 428
969
970
Stichwortverzeichnis
Microsoft Official Curriculum (MOC) 937 Mitgliedsserver 861 MMC-Snap-In, Sicherheitskonfiguration und -analyse 613 MOC 937 MOVETREE 258, 910 MSI-Datei 514 MST-Datei 556 Multiple-Choice-Fragen 836 Multiple-Rating-Fragen 836 Musterprüfung 849 N Nachher-Bild – des Referenzcomputers 529 – Erstellung 529f. – vom Referenzcomputer 530 Name, definierter 904 Namenserver 54, 910 – NS-Einträge 56 – Registerkarte 71 Namensoptionen 740 Namespace – DNS (Domain Name System) 33 – Domänen-Namensmaster 34 – FQDN-Bestandteile 55 – hierachisches Modell 34 – hierarchische Unternehmensstruktur 53 – Internet 54 – suchen 33 Nativer Modus 911 NET SHARE 249f. NETDOM5 333 NetLogon 911 – Änderungen durch Active Directory 81 Netlogon – Format von NETLOGON.DNS 83 – Inhalt von NETLOGON.DNS 82 – Speicherungsort, Einträge 82 – starten und stoppen 91 NETLOGON.DNS – Format 83 – Inhalt 82 NetPC Boot Service Manager (BINLSVC) 759 NETTest 333 NetWare 911 NetWare 3.12 26 – Anmeldung, mehrfache 27 Netzwerkbetriebssystem (NOS) 911
Netzwerkdienst, Registrierung 82 Netzwerkkonfiguration, Verwaltung mittels Gruppenrichtlinien 809 Netzwerkmonitor 855, 911 – Promiscuous-Modus 328 Neubereitstellung eines Pakets mittels Gruppenrichtlinien 553 Neue Sicherheitsvorlage hinzufügen 608 Neustart der Installation 746, 750 Nicht maßgebende Wiederherstellung 304 NLTest 333 Notebooks bereitstellen 749 NS-Eintrag, separate Zonen 56 NSLOOKUP 911 – Verwendung 89 NTDSUTIL 911 – authoritative restore 310, 312 – Optionen 312 – restore subtree 310 – Rolle überschreiben 286 – seize 286 NTDSUtil 333 NTFS 911 – Berechtigungen 253 NTFS-Ordner 644 NTFS-Partition 641f. Nutzungstrends, Verfolgung 637 O Objekt 911 – Active Directory 34 – Assistent für die Objektverwaltung 247 – auffinden 818 – Benutzer 37 – Berechtigung 240 – Berechtigung einstellen 241 – Berechtigungsvererbung blockieren 246 – Collections 35 – Computer 37 – Container, ansehen als 35 – Drucker 37 – Eigenschaft 35 – erweiterte Berechtigung einstellen 242 – Erweiterte Funktionen 240 – freigegebene Ordner 38 – Gruppe 37 – Leistungsprogramm 330 – Methode 35 – MOVETREE 258 – Objektverwaltung zuweisen 247
Stichwortverzeichnis
– Registerkarte 141 – SID (Security-ID) 239 – suchen 231 – Vererbung 246 – verschieben 257 Objektberechtigung 911 Objekt, in Active Directory Delegieren der administrativen Zuständigkeit 819 Objektzugriffsereignisse 641 Objektzugriffsversuche überwachen 635 Obligatorische Aktualisierung 547 Obligatorische Entfernung 554 Offline-Datei, administrative Vorlage 421, 437 Optionale Aktualisierung 548 Optionale Entfernung 555 Ordnerumleitung 912 – Gruppenrichtlinie 458 Organigramm – Domänenstruktur 113ff. – Unternehmen 113ff. Organisation 912 Organisationseinheit (OU) 115, 852, 912 – Banyan Vines 28 – Beispiel 116 – erstellen 239 – Gruppenrichtlinienobjekt 362 – Objektverwaltung zuweisen 247 – Richtlinien für den Einsatz 116 Organisationseinheitenstruktur 798 OU (Organisationseinheit) 115 P Packung von Software für die Bereitstellung 515 Paketänderung 912 Paketbereitstellungsoptionen 543 Paketdatei (MSI) 553 – neue 553 Paketentfernung – erzwungene 906 – optionale 912 Paketentfernungsoptionen, Auswahl 556 Paketinstallation entfernt andere Dateien 569 PCMCIA/PC-Karten 684 PDC (Primärer Domänencontroller) 32 – LAN Manger 27 PDC-Emulator 280, 796, 912 Pflichtexamen 926
Planung einer Überwachungsrichtlinie 636 POSIX, Sicherheit 240 Primär – Seriennummer vergleichen, Zone 85 – Server 62 – Speicherungsort, Zone 62 – Zone, konfigurieren 67 Primärer Domänencontroller (PDC) 912 Prioritäten für Dateinamenserweiterungen 565 Privilegien 522 Protokollierung, Snap-In DNS 88 Protokollprüfung 637 Prozess 912 Prozessverfolgung 635 Prüfung – der überwachten Ereignisse 654 – Fähigkeitsbewertung 833 – Fallstudien 834 – festes Format 831 – Formate 831 – Fragetypen 835 – Punktestand 833 – Studienhinweise 828 – Tipps zur Vorbereitung 827 Prüfungen Siehe auch Examen Prüfungsthema – Installation, Konfiguration und Fehlerbehebung von DNS für Active Directory 51 – Verwalten, Überwachen und Fehlerbehebung des DNS 51 PTR-Eintrag 80 Publisher 520 PXE (Pre-Boot Execution Environment) 913 PXE-kompatible Netzwerkkarte 749 Q Quellcomputer 913 R RAS (Remote Access Service) 124, 130f., 913 – administrative Vorlage 422 Recht 913 – zur Erstellung von Computerkonten 705 Rechteverwendung 635 Redirector 913 Redirector-Dienst 26 Regeln, Gruppenrichtlinie 360
971
972
Stichwortverzeichnis
Registrierung 599, 661, 913 – Bearbeitung deaktivieren 423 – Netzwerkdienste 82 Remote Access Service (RAS) 124, 130f. Remote-Installation ausführen 739 Remote-Installationsdienste (RIS), Übersicht 682 679, 682, 810, 864f., 913 – Anforderungen auf Clientseite 683 – Fallstudie 760 – Fehlersuche 758 – Konfiguration 693 – Konfigurationsschritte 685 – Voraussetzungen 682 – Windows 2000, Installationsschritte 684 Remote-Installationsdienste (RIS), Installation, Übung 766 Remote-Installationsoptionen, Konfiguration 811 Remote-Installationsvorbereitung, Assistent, Aufgaben 737 Remote-Prozeduraufruf (RPC) 149 Remote-Startdiskette 751, 914 – Erstellung 751, 811 Remotestartdiskette, Erstellung, Übung 770 REPAdmin 334 Replikation 914 – Bridgehead-Server konfigurieren 150 – Datenkompression 146 – Domänendaten 142 – Domänenpartition 47 – Ebenen 142 – Informationen 142 – innerhalb Standort 144 – IP (Internet Protocol) 149 – KCC (Knowledge-Konsistenzprüfer) 144 – Konfigurationsinformationen 142 – Kontrolle durch Domänen 112 – Remote-Prozeduraufruf (RPC) 149 – Schema 142 – Schemapartition 143 – Sicherheitsgrenze Domäne 112 – Skriptdateien 449 – SMTP (Simple Mail Transport Protocol) 149 – standortintern 149, 822 – standortübergreifend 146, 149, 822 – Standortverknüpfungsbrücke 151 – strukturierte Domäne 33 – Topologie 144
– universelle Gruppe 218 – USN (Update Sequence Number) 143 – USN-Konflikt 143 – Verbindungsobjekt 145 – zwischen Standorten 146 REPLMon 334 Resolver 54, 914 – FQDN auflösen 56 – iterative Namensauflösung 57 – rekursive Namensauflösung 57 Ressource 914 – Serverdienst und Arbeitsstationsdienst 26 – suchen 32 Ressourcenveröffentlichung 817 Ressourcenzugriff, Überwachung 640 restore subtree 310 Reverse-Lookup 914 – Arbeitsweise 62 – NSLOOKUP 90 Reverse-Lookupeintrag 80 Reverse-Lookupzone – erstellen 63 – konfigurieren 75 Richtlinien – öffentlicher Schlüssel 598, 600 – zur Sicherheitsüberprüfung 633 Richtlinienänderungen überwachen 635 Richtlinienvererbung, Blockieren 903 RID-Master 280, 796, 914 – SID 280 RIPrep (Remote Installation Preparation) 733 RIPrep-Image 682, 708, 914 – Erstellung 733 – Kopieren auf den RIS-Server 737 – oder CD-basiertes Image 734 RIS (Remote Installation Services) – Installation, Möglichkeiten 688 – Konfiguration 695 – Notebooks 749 – Softwarevoraussetzungen 687 RIS (Remote Installation Services) (Remote Installation Services) 681 RIS (Remote Installation Services), Konfiguration, Übung 767 RIS (Remote Installation Services), RemoteInstallationsdienst 679 RIS(Remote Installation Services), Installation auf Windows 2000 ServerComputer 688
Stichwortverzeichnis
RIS-Clientcomputer – Installation eines Image 811 – Vorkonfiguration Vergabe von Rechten 816 RIS-Image 914 RIS-Probleme, Fehlerbehebung 812 RIS-Server 914 – Autorisierung 702 – Einrichtung 688 – Hardwareanforderungen 686 – Optionen konfigurieren 739 RIS-Sicherheit, Konfiguration 702, 815 Rolle – Betriebsmaster 282 – Domänennamensmaster 280, 283f. – Infrastrukturmaster 280 – PDC-Emulator 280 – RID-Master 280 – Schemamaster 280, 282 – Serverrollen 280 – überschreiben 286 RPC, Remoteprozeduraufruf 149 RPC (Remote Procedure Call) 914 S SACL (System Access Control List) 240 Sammlung 915 Schema 32, 915 – Replikation 142 – Schema-Admins 226 – Schema-Master 32 – Snap-In 282 Schemamaster 280, 796, 862, 915 – Domänenmodell 32 – Rolle übertragen 282 Schemapartition 915 – Replikation 143 Schreiboperation, ursprüngliche 919 Schritt-für-Schritt-Anleitung – Active Directory installieren 119 – Aktualisieren der USN zum Wiederherstellen eines Objekts 310 – Assistent für die Objektverwaltung 247 – Benutzerkennwort zurücksetzen 209 – Benutzerkonto deaktivieren 208 – Benutzerkonto hinzufügen 189 – Benutzerkonto kopieren 210 – Benutzerkonto löschen 207 – Benutzerkonto reaktivieren 209 – Benutzerkonto umbennen 207 – Benutzerkontoeigenschaften ändern 192
– Berechtigung zum Verwalten eines GPO zuweisen 389 – Berechtigung zur Verwendung einer GPO zuweisen 381 – Berechtigungen für freigegebene Ordner einstellen 254 – bestehender Domäne zusätzlichen Domänencontroller hinzufügen 128 – Betriebsmasterrolle überschreiben 286 – Bridgehead-Server konfigurieren 151 – Computer im Verzeichnisdienstwiederherstellung starten 306 – Computerkonto hinzufügen 183 – Domänencontroller für globalen Katalog konfigurieren 289 – Domänencontroller verschieben 147 – Domänenmasterrollen übertragen 285 – Domänenmodus ändern 218 – Drucker (nicht Windows 2000) in Active Directory veröffentlichen 256 – Drucker suchen 236 – Einstellungen einer administrativen Vorlage für eine Gruppenrichtlinie bearbeiten 440 – Ereignisprotokoll auf Remote-System anzeigen 321 – Ereignisprotokoll filtern 325 – Ereignisprotokoll konfigurieren 319 – Erweitertes Suchen 234 – Forward-Lookupzone konfigurieren 68 – Freigabe in Active Directory veröffentlichen 255 – Freigabe über die Computerverwaltung erstellen 252 – Freigabe über die Eingabeaufforderung erstellen 249 – Gruppe hinzufügen 227 – Gruppe löschen 229 – Gruppeneigenschaften bearbeiten 228 – Gruppenrichtlinie filtern 400 – Gruppenrichtlinienvererbung deaktivieren 396 – Gruppenrichtlinienvererbung durchsetzen 399 – GUIDs der Gruppenrichtlinie anzeigen 359 – Installation des DNS-Dienstes 60 – Liste der Freigaben über die Eingabeaufforderung erstellen 250 – Nach Personen in Active Directory suchen 236
973
974
Stichwortverzeichnis
– Objekt suchen 231 – Objekt zwischen Organisationseinheiten verschieben 257 – Objektberechtigung einstellen 241f. – Organisationseinheit erstellen 239 – Reverse-Lookupzone erstellen 63, 66 – Schemamasterrolle übertragen 282 – Sekundären Server konfigurieren 84 – sekundären Server konfigurieren 77 – Server für globalen Katalog konfigurieren 155 – Sicherung planen 301 – Sicherung über den Sicherungsassistenten durchführen 295 – Skripte zur Verwendung in Gruppenrichtlinie implementieren 447 – Spalten im Task-Manager hinzufügen 315 – Speichern und Laden von Ereignisprotokollen 327 – Stammserver einer Gesamtstruktur hinzufügen 131 – Standort der Rolle des Domänennamensmaster ändern 284 – Standort erstellen 134 – Standort löschen 136 – Standort umbenennen 135 – Standortverknüpfung erstellen 149 – Standortverknüpfungsbrücke erstellen 153 – Subnetz erstellen 138 – Subnetz löschen 139f. – Systemstatusdaten wiederherstellen 307 – Transitive Standortverknüpfung abschalten 152 – Über den Computer der Domäne den Computer hinzufügen 183f., 186ff., 192, 207ff., 218, 227ff., 231, 234, 236, 239, 241f., 246f., 249ff., 254ff., 282, 284ff., 289, 295, 301, 304, 306f., 310, 315, 319, 321, 325, 327, 359, 370, 381, 389, 396, 399f., 440, 447, 465 – Überprüfen Ihres Computernamens 59 – Überprüfen, ob Active Directory installiert ist 127 – Überwachung für Gruppenrichtlinie konfigurieren 465 – Untergeordnete Domäne einer Domänenstruktur hinzufügen 129
– Verbindungsobjekt manuell erstellen 145 – Vererbung von Berechtigungen blockieren 246 – Verzeichnis mit Explorer freigeben 251 – Wiederherstellen eines Domänencontrollers über die Replikation 306 – Wiederherstellung ausführen 304 – Windows 2000 DNS für ältere BINDServer konfigurieren 87 SDCheck 334 Security, Registrierungsschutz 603 seize, NTDSUTIL 286 Sekundär, Server 76 Server – Betriebsmaster 279 – Bridgehead 150 – Cache-only 61 – Domänennamensmaster 280 – globaler Katalog 142, 154, 288 – Infrastrukturmaster 280 – IPCONFIG verwenden 90 – iterative Namensauflösung 57 – maßgebende Wiederherstellung 293, 309 – Masterserver 76 – Namensauflösung, Prozess 57 – Namenserver 54, 56 – Netlogon-Dienst 81 – nicht maßgebende Wiederherstellung 304 – NSLOOKUP verwenden 90 – PDC-Emulator 280 – primär 62 – Proxyserver, Internet Explorer-Wartung 455 – Registerkarte Namenserver 71 – Registerkarte WINS 75 – rekursive Namensauflösung 57 – RID-Master 280 – Rolle überschreiben 286 – Rollen 61, 280 – Schemamaster 280 – sekundär 76 – sichern 290 – Stammserver 131 – TTL (Time To Live) 58 Server für globalen Katalog 288, 795, 915 – erstellen 154 – primärer 912
Stichwortverzeichnis
– Replikation 142 – sekundärer 915 – Autorisierung 815 Serverdienst 26 Serverinstallation, Optionen 739 Serviceeintrag 80 SetupCommand 519 Setup-Informationsdatei (SIF) 709 Sicherheit – ACE (Access Control Entry) 240 – administrative Vorlage 402 – Benutzerumgebung 402 – DACL (Discretionary Access Control List) 36, 240 – Domäne 112 – Gruppe 217 – Gruppenberechtigungen 223 – Gruppenrichtlinie 379 – Gruppenrichtlinie übernehmen 383 – Gruppen-SID 229 – Kontext 36 – SACL (System Access Control List) 240 – Sicherheitsprincipal 182 – Vererbung 246 – Zugriffstoken 36, 239 Sicherheitsanforderungen, Durchsetzung 655 Sicherheitseinstellungen 597 – Registerkarte 141 Sicherheitsereignisprotokoll 653 Sicherheitsereignisse 826 – Überprüfung und Überwachung 653 Sicherheitsgruppe 659, 915 Sicherheitsinformationen 915 Sicherheitskonfiguration 601 Sicherheitskonfiguration und -analyse 661, 825, 916 Sicherheitskontext 36, 916 Sicherheitslösungen, Konfiguration, Verwaltung, Überwachung, Fehlerbehebung 822 Sicherheitsprincipal 182, 916 Sicherheitsrichtlinien 659ff., 874 Sicherheitsrichtlinientest, Übung 663 Sicherheitsvorlage 603, 660f., 825, 916 – Erstellen, Ändern und Löschen von 613 – in Windows 2000 601 Sicherheitsvorlagendatei 626 Sichern und Wiederherstellen 798 Sicherung 861, 916 – Berechtigungen 291 – differenziell 290
– – – – – – –
inkrementell 291 Sicherung planen 301 Sicherungsarten 290 Sicherungs-Assistent 295 Systemstatus 292 Systemstatus wiederherstellen 307 Zugriff auf Sicherungsdaten verhindern 292 Sicherungsdomänencontroller (BDC) 916 SID (Security Identifier) 31 – Computerkonto 186 – Gruppe 229 – Objekt 239 – RID-Master 280 – Zugriffstoken 36 SID (Sicherheitskennung) 916 SIDWalker 334 SIF-Datei 730 Simple Mail Transport Protocol (SMTP), Replikation 149 Simulationsfragen 836 Single Instance Store (SIS) 683 SIS 683 SIS-Dienst (Single Instance Store) 697, 916 Skript – administrative Vorlage 443 – ADSI 215 – Benutzerkonfiguration 443 – Computerkonfiguration 443 – GPO 443 – Gruppenrichtlinie 443 – implementieren, in Gruppenrichtlinie 446 – Replikation bei Gruppenrichtlinienskripten 449 – Typen 444 – Verarbeitungsreihenfolge in Gruppenrichtlinien 443 Skriptrichtlinien, Zuordnung 807 SMTP (Simple Mail Transfer Protocol) 917 – Replikation 149 Snap-In – Active Directory-Benutzer und -Computer 182 – Active-Directory-Schema 282 – Adminpak.msi 282 – Computerverwaltung 251 – DNS, Protokollieren und Überwachen 88 – DNS, Registerkarte Protokollieren 88 – DNS, Registerkarte Überwachen 89 – Ereignisanzeige 318 – Gruppenrichtlinie 405 Snap-In hinzufügen/entfernen 604
975
976
Stichwortverzeichnis
SOA-Datensatz (Start of Authority) 917 Software – administrative Vorlage 418 – Bereitstellung mittels Gruppenrichtlinien 807 – Entfernen 554 – Verwaltung und Fehlerbehebung mittels Gruppenrichtlinien 807 – Wartung mittels Gruppenrichtlinien 808 – Zuweisung an Benutzer und Computer 538 Softwarebereitstellung 513, 537, 865 – Bereitstellungsphase 513 – Entfernung 514 – Fehlersuche 568 – Fehlersuche bei verbreiteten Problemen 809 – Management 556 – mittels Gruppenrichtlinien 537, 539 – Probleme, Ursachen, Lösungen 568 – Vorbereitung 513 – Wartung 514 Softwarebereitstellungs-Lebenszyklus 513 Softwarekategorien 559, 917 – Gruppierung von Paketen 562 – innerhalb Domänen 560 – Zuordnung eines Softwarepakets 563 Softwaremanagement und -fehlersuche 537 Softwaremodifikationsdateien 556 Softwarepakete – Veröffentlichung von 920 – Zuweisung von 922 Softwareverteilungsfreigabe 531 Softwareverteilungspunkt, Hinweise zum Kopieren der Pakete 531 Softwarevoraussetzungen für RIS 687 Speichern – von MMC-Konsoleinstellungen 607 – von Sicherheitsvorlagen 608 Sprachen 718 SRV-Datensätze 917 Stammdomäne 33, 917 – Secondlevel 33 – Toplevel 33 Standard-Antwortdatei 708 Standards (Unternehmen), administrative Vorlagen 403 Standardsicherheitsstufe 601 Standardsicherheitsvorlagen 660
Standort 792, 859, 917 – Betriebsmaster 281 – Brücke 151 – Datenkompression 146 – Definition 132 – Domänenbetriebsmaster 281 – Domänennamensmaster 283 – Eigenschaften 137 – erstellen 134 – löschen 136 – Netzwerkpfad 145 – Replikation innerhalb 144 – Replikationstopologie 144 – Standortverknüpfungsbrücke erstellen 153 – Transportprotokoll 149 – übergreifende Replikation 146 – umbenennen 134 – verknüpfen 148 – Verknüpfung abschalten 152 – Verknüpfung erstellen 149 Standortverknüpfung 148, 793, 917 – abschalten 152 – erstellen 149 – Kosten, auf Registerkarte Allgemein 150 – Registerkarte Allgemein 150 – Replizieren alle, auf Registerkarte Allgemein 150 – Standorte in dieser Standortverknüpfung, auf Registerkarte Allgemein 150 – transitive 151 – Transportprotokoll 149 – Zeitplan ändern, auf Registerkarte Allgemein 150 Standortverknüpfungsbrücke 794, 917 – abschalten 152 – Beispiel 151 – erstellen 151, 153 – transitiv 151 Start-/Beendigungsskripte 917 Startmenü, administrative Vorlage 413 Struktur – Gesamtstruktur erstellen 130 – Hierarchie 112 Strukturfragen 842 Subnetz 793, 852, 918 – erstellen 138 – löschen 139 – Registerkarte 141 – Registerkarten beim Verschieben 141
Stichwortverzeichnis
– Standort 132 – verschieben 140 Sylvan Prometric Testing Center 923 Systemausfall 799 Systemdienste 599 Systemereignisse überwachen 635 SYSTEM-Konto 918 Systemkonzept, Active Directory 32 Systemmonitor 331, 855, 918 Systemrichtlinie – Verarbeitung 363 – Windows NT 3.51/4.0 357 Systemstatus – sichern 292 – wiederherstellen 292, 307 Systemstatusdaten 918 Systemsteuerung, Software 537 SYSVOL 292, 918 – Gruppenrichtlinienvorlage 359 T Tabelle 918 Tags 870 Taskleiste, administrative Vorlage 413 Task-Manager 918 – Domänencontroller überwachen 313 Taskplaner 596 – administrative Vorlage 412, 417, 430 – Windows Installer 430 TCP/IP – Schlüsselkomponente in Active Directory 132 – Subnetz 132 Telefonie 717 Terminalserver, Registerkarten Benutzerkonto 200 Terminalserver-SID 603 Testlets 834 TFTP (Trivial File Transfer Protocol) 683, 918 Tipps für das Selbststudium – Active Directory-Dienste verwalten 180 – Active Directory-Struktur aufbauen 110 – DNS für Active Directory konfigurieren 52 – Grundlagen von Active Directory 25 – Gruppenrichtlinien zum Verwalten von Benutzern 355 – Server verwalten 278 Transcript 938 Transformationsdateien (MST) 556f., 919
Transitive Standortverknüpfung, abschalten 152 Trivial File Transfer Protocol (TFTP) 683 Trockentraining 829 TTL (Time To Live) 58, 919 U Überwachen, Snap-In DNS 89 Überwachung 661, 919 – des Zugriffs auf Dateisystemobjekte 640 – des Zugriffs auf Druckerobjekte 645 – Gruppenrichtlinie 465 – Registerkarte, in Active DirectoryBenutzer und -Computer 467 Überwachungseintrag 648 Überwachungsereignisse 654 Überwachungsfokussierung 653 Überwachungsrichtlinie 661, 919 – Implementierung 595 Überwachungsrichtlinien 640, 653, 660, 826, 870 – Einrichtung 638 Übung – Administrative Kontrolle der Gruppenrichtlinie delegieren 485 – Anmeldeskript der Gruppenrichtlinie verifizieren 483 – Benutzer lokalisieren 264 – Delegation der administrativen Kontrolle über die Gruppenrichtlinie testen 486 – DNS-Dienst installieren 95 – DNS-Server vorbereiten 159 – Domänencontroller wiederherstellen 339 – Dynamische Aktualisierung konfigurieren 97 – Filtern der Gruppenrichtlinie testen 488 – Freigabe veröffentlichen 265 – Gruppenrichtlinien der administrativen Vorlage verifizieren 480 – Gruppenrichtlinienobjekt für Benutzer erstellen 478 – Gruppenrichtlinienobjekt für Computer erstellen 477 – Gruppenrichtlinienvererbung filtern und deaktivieren 487 – Gruppenrichtlinienverknüpfung und Anmeldeskripteinstellungen verifizieren 484 – Installation von Active Directory verifizieren 161
977
978
Stichwortverzeichnis
– Konten in Active Directory erstellen 261 – Maßgebende Wiederherstellung durchführen 341 – Mit Serverrollen arbeiten 337 – Objekte in Active Directory verschieben 264 – Objektverwaltung für Organisationseinheit zuweisen 263 – Organisationseinheiten erstellen 262 – Organisationseinheiten, Benutzer und Gruppen erstellen und den Domänencontroller verschieben 476 – Richtlinien über An- und Abmeldeskripte implementieren 481 – Sekundären Domänencontroller hinzufügen 162 – Stammdomänencontroller installieren 160 – Standorte und Replikation verwalten 163 – Systemstatusdaten sichern 338 – Vorhandenes GPO mit einer OU verknüpfen 483 – Zonen erstellen 95 – Zonenübertragung konfigurieren 97 Umpacken einer Anwendung, Schritte 523 UNC (Universal Naming Convention) 197, 249 Uneingeschränkter Zugriff 242 Universal Naming Convention (UNC) 197, 249 Universell – Gruppe 218 – verwenden 222 – Domänenmodus 219 UNIX-Server 861 Untergeordnete Domäne hinzufügen 129 Unternehmensstruktur – Hierarchie 52 – Organigramm 113ff. – Unterdomänen erstellen 56 – Zonen integrieren 78 Update Sequence Number (USN) 143 UPN (User Principal Name) 189 URL 520 User Principal Name (UPN) 189 USN (Update Sequence Number) 143, 919 – aktualisieren 310 – maßgebende Wiederherstellung 293
V Verb, Methode 35 Verbindung, Netzwerkpfad 145 Verbindungsfreigabe, administrative Vorlage 437 Verbindungsobjekt 145, 795, 920 – erstellen, manuell 145 – KCC (Knowledge-Konsistenzprüfer) 145 – Netzwerkpfad 145 Vererbung 920 – deaktivieren 395 – durchsetzen 398 – Gruppenrichtlinie 361, 395 – Pfad bei Gruppenrichtlinien 363 Vergleichen, Konfiguration 618 Veritas Software Console 532 – Paketdateiliste 535 Verkehr 920 Verknüpfen, Gruppenrichtlinienobjekt 360 Verknüpfung – einer Antwortdatei 724 – von Dateierweiterungen mit Anwendungen 564 Veröffentlichung – Eigenschaften 521 – von Software 537 Verschieben von Objekten 796 Verteilergruppe 920 Vertrauensstellung – Active Directory 29 – Domänenverkehr 29 – globale Liste 29 Vertrauensverhältnis 920 Verweigern, Gruppenrichtlinienberechtigung 383 Verwendung – einer vorhandenen Sicherheitsvorlage 610 – von Gruppenrichtlinien zur Anwendung von Sicherheitseinstellungen 628 – von Sicherheitskonfiguration und analyse 613 Verzeichnis 920 Verzeichnisdienst – Anmeldung in Windows 2000 36 – Anmeldung, mehrfache unter NetWare 3.12 27 – Arbeitsstationsdienst 26 – Attribut 31 – Attributtyp 31 – Banyan Vines, Hierarchie 28
Stichwortverzeichnis
– Berechtigung in Active Directory 239 – CSVDE 214 – Domänenmodell, Schwierigkeiten in den Anfängen 29 – Grundlagen 26 – Hierarchie, unter Banyan Vines 28 – hierarchische Unternehmensstruktur 53 – Klasse 31 – LAN Manager 27 – LDIFDE (LDAP Data Interchange Format Directory Exchange) 212 – maßgebende Wiederherstellung 293, 309 – Modus, Verzeichnisdienstwiederherstellung 306 – Namensvergabe, hierarchisches Modell 53 – Namespace, unter X.400 28 – NetWare 3.12 26 – nicht maßgebende Wiederherstellung 304 – Objekt suchen 230 – Organisationseinheit, unter Banyan Vines 28 – PDC (Primärer Domänencontroller) 27 – Programme für Verzeichnisaustausch 211 – Redirector-Dienst 26 – Serverdienst 26 – SID (Security Identifier) 31 – wiederherstellen 292 – Windows for Workgroups 3.11 26 – Windows NT 4.0 27 – X.400, Spezifikationen von 28 – zentralisieren, Verzeichnisse unter LAN Manager 27 Verzeichnisdienst-Infrastruktur 597 Verzeichniskontext 740 Virtual Private Network (VPN) 157 Virtual University Enterprises (VUE) 923 Vollqualifizierter Domänenname (FQDN) 54, 920 Vollständig, Zonenübertragung 85 Voraussetzungen für Clientcomputer 748 Vordefiniert, Gruppen 226 Vordergrundprozess 920 Vorher-Bild – Erstellung 525 – vom Referenzcomputer 525 Vorher-Schnappschuss 529 Vorkonfiguration eines Clientcomputers 752
– bekannte GUID 753 – unbekannte GUID 756 Vorkonfigurieren 921 VPN (Virtual Private Network) 157 VUE (Virtual University Enterprises) 923 W Wahlexamen 927 Warnung – Aktualisierungshäufigkeit 332 – Kennwort für Dienstkonto 210 – Lesen-Berechtigung 292 – Wiederherstellung auf FAT-Partitionen 305 Wartung von Softwarepaketen 547 Weitergabe von Sicherheitseinstellungen 630 Wiederherstellung 798f., 921 – Domänencontroller 305 – maßgebende 293, 309, 910 – nicht maßgebende 304 – Systemstatus 292, 307 Windows 2000 921 – Bereitstellung mittels Remote Installationsdiensten 810 – Druckerobjekt 37 – Explorer.exe 36 – Gruppenobjekt 37 – Installation mit RIS 684 – Installationsmethoden 681 – Remote-Installationsdienste 681 – SID (Security Identifier) 31 – Zugriffstoken 36 Windows 2000 Professional-Image, Absicherung, Übung 770 Windows 2000 Resource Kit – ACLDiag 333 – ADSIEdit 333 – DNSCMD 333 – DOMMAP 333 – DSACLS 333 – DSAStat 333 – ESEUtil 333 – NETDOM5 333 – NETTest 333 – NLTest 333 – NTDSUtil 333 – REPAdmin 334 – REPLMon 334 – SDCheck 334 – SIDWalker 334
979
980
Stichwortverzeichnis
Windows 2000, Bereitstellung mit RemoteInstallationsdiensten, Übung 771 Windows 2000-Track 926 Windows 2000-zertifiziert 515 Windows Explorer, administrative Vorlage 410 Windows for Workgroups 3.11 26 Windows Installations-Manager, Installation 709 Windows Installer 515 – administrative Vorlage 413 – Hauptkomponenten 516 – Vorbereitung 513 – Vorteile 516 Windows Installer unter NT 4.0 515 Windows Installer-Dienst 516, 921 Windows Installer-Paket 514, 516, 921 Windows Installer-Paketdatei, Änderung mit Drittanbieter-Tools 532 Windows Installer-Technologie 516 Windows NT 921 – Domänenmodell, Schwierigkeiten in den Anfängen 29 – Domänenstruktur 34 – SID (Security Identifier) 31 Windows NT 4.0 27 – Gruppenrichtlinienverarbeitung 357 – Systemrichtlinienverarbeitung 363 Windows NT 4.0-Track 930 Windows-Dateischutz, administrative Vorlage 435 WinINSTALL Discover 525 WinINSTALL LE – Ändern eines Anwendungspakets mit 533 – Installation 524 – Installation und Konfiguration 525 – Speicherort 523 WINS (Windows Internet Naming System) 921 – Registerkarte 72 Workstation 921 X X.400 – Namespace 28 – Organisationseinheit, unter Banyan Vines 28 – Verzeichnisdienst nutzen 28 X.500 922
Z ZAP-Datei 517f., 922 – Anwendungen zur sicheren Verteilung 522 – Eigenschaften 521 – Erstellung 518 – Grenzen 521 ZAP-Dateiabschnitte 518 – Application 519 – Ext 520 Zertifizierung 923 – Anforderungen 925 – ftp 16 – Inhaltsübersicht 16 – MCT 937 – Tipps, allgemeine 21 – Transcript 938 – von Anwendungen 515 Zielcomputer 922 Zone 922 – Active Directory-integriert 86 – Änderungen durch Active Directory 81 – Aktualisierung, Fälle 80 – Aktualisierung, Standard 80 – Aktualisierungsintervall, auf Registerkarte Allgemein 70 – Aktualisierungsintervall, auf Registerkarte Autoritätsursprung (SOA) 70 – Aktualisierungsvorgang 81 – Allgemein, Registerkarte 69 – als Active Directory-integriert konfigurieren 79 – Alterung, auf Registerkarte Allgemein 69 – An jeden Server, auf Registerkarte Zonenübertragungen 74 – Automatisch benachrichtigen, auf Registerkarte Zonenübertragungen 75 – Autoritätsursprung (SOA), Registerkarte 70 – autoritativer Server 56f. – AXFR (vollständige Übertragung) 85 – Benachrichtigen, auf Registerkarte Zonenübertragungen 75 – BIND (Berkeley Internet Name Domain) 86 – Cache-only-Server 61 – Cachezeitlimit, auf Registerkarte WINS 73 – Cachezeitlimit, auf Registerkarte WINS-R 76
Stichwortverzeichnis
– Diesen Eintrag nicht replizieren, auf Registerkarte WINS 72 – Diesen Eintrag nicht replizieren, auf Registerkarte WINS-R 75 – DNS-Domäne als NetBIOS-Bereich übermitteln, auf Registerkarte WINS-R 76 – Domäne, die an den zurückgelieferten Namen angehängt werden soll, auf Registerkarte WINS-R 75 – Dynamische Aktualisierung zulassen, auf Registerkarte Allgemein 69 – erstellen, Forward-Lookupzone 66 – erstellen, Reverse-Lookupzone 63 – Erweitert, auf Registerkarte WINS 73 – Erweitert, auf Registerkarte WINS-R 76 – Folgende Server, auf Registerkarte Zonenübertragungen 75 – Forward-Lookup 66 – Hosteintrag 80 – inkrementelle (IXFR) Übertragung 85 – integrieren 78, 86 – IP-Adresse, auf Registerkarte WINS 73 – IXFR (inkrementelle Übertragung) 85 – Kein Aktualisierungsintervall, auf Registerkarte Allgemein 70 – konfigurieren, primäre 67 – konfigurieren, Reverse-Lookup 75 – Läuft ab nach, auf Registerkarte Autoritätsursprung (SOA) 70 – Lookupzeitlimit, auf Registerkarte WINS 73 – Lookupzeitlimit, auf Registerkarte WINS-R 76 – Minimum TTL (Standard), auf Registerkarte Autoritätsursprung (SOA) 71 – Namenserver, Registerkarte 71 – Nur an folgende Server, auf Registerkarte Zonenübertragungen 74 – Nur an Server, auf Registerkarte Zonenübertragungen 74 – Originaldatei 62 – primärer Server 62 – primärer Server, auf Registerkarte Autoritätsursprung (SOA) 70 – PTR-Eintrag 80
– Ressourceneinträge für veralteten Aufräumvorgang, auf Registerkarte Allgemein 69 – Reverse-Lookup 75 – Reverse-Lookupeintrag 80 – sekundärer Server 76 – Seriennummer 85 – Seriennummer, auf Registerkarte Autoritätsursprung (SOA) 70 – Server, die auf der Registerkarte für Namenserver aufgelistet sind, auf Registerkarte Zonenübertragungen 75 – Serviceeintrag 80 – Speicherungsort 62 – Status, auf Registerkarte Allgemein 69 – TTL für diesen Eintrag, auf Registerkarte Autoritätsursprung (SOA) 71 – Typ, auf Registerkarte Allgemein 69 – Übertragung, in Standardumgebung 84 – Verantwortliche Person, auf Registerkarte Autoritätsursprung (SOA) 70 – vollständige (AXFR) Übertragung 85 – Wiederholungsintervall, auf Registerkarte Autoritätsursprung (SOA) 70 – WINS, Registerkarte 72, 75 – WINS-Forward-Lookup verwenden, auf Registerkarte WINS 72 – WINS-R-Lookup verwenden, auf Registerkarte WINS-R 75 – Zonendatei für Server 56 – Zonendateiname, auf Registerkarte Allgemein 69 – Zonenübertragung, Registerkarte 73 – Zonenübertragungen zulassen, auf Registerkarte Zonenübertragungen 74 Zonenübertragung 922 Zugriffssteuerungsliste (access control list, ACL) 819, 922 Zugriffstoken 36, 239 Zuordnung eines Softwarepakets zu einer Kategorie 563 Zuweisung – Eigenschaften 521 – von Software an Benutzer 538 – von Software an Benutzer und Computer 538 – von Software an Computer 539
981