Active Directory 1

Protokoll Nr. 7

Abteilung Höhere Technische Bundeslehranstalt

Fischergasse 30 A-4600 Wels IT

Protokoll

Übungs Nr.: 7 Titel der Übung: Active Directory

Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang: 4 AIT

An dieser Übung haben mitgearbeitet:

Thomas Fischl Gruppe: B

Datum der Übung: 27.10.2005

Abgabe Datum: 03.11.2005

Übungsleiter: Prof. Sander

Übungsmaterial:

Wechselfestplatte (B-19) Schulrechner Windows Server 2003 Enterprise Edition Installations-CD’s

Beurteilung:

NWSY Übung Nr.: 7 Seite 1

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

Einrichten von Active Directory Aufgabenstellung

Es ist auf Windows Server 2003 Active Directory zu installieren und die Funktionsebene heraufzustufen. Es soll ein Benutzer angelegt werden. Mittel Windows XP Professional soll sich dann der neu angelegte Benutzer an der Domäne anmelden.

Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die Windows Server 2003-InstallationsCD benötigt.



1. Installation und Grundkonfiguration Um Active Directory zu installieren gehen Sie bitte in die Serververwaltung.

Hier klicken Sie auf „Funktion hinzufügen oder entfernen“.

Es erscheint der Serverkonfigurations-Assistent. Klicken Sie hier auf Weiter.



Der Assistent durchsucht nun die Netzwerkeinstellungen und prüft ob diese für den Betrieb der Serverdienste geeignet sind.

Wählen Sie unter den Serverfunktionen „Domänencontroller (Active Directory)“ aus und klicken Sie auf weiter.



Der Assistent fasst nun noch einmal die zu erledigenden Aufgaben zusammenfassen, sind diese korrekt klicken Sie auf weiter um die Installation zu beginnen.

Es startet nun der Assistent zum Installieren von Active Directory. Klicken Sie auf Weiter um mit dem Einrichten zu beginnen.



Es wird eine Warnung angezeigt, dass Windows 95, NT 4.0 SP3 und niedriger nicht in der Lage sind sich mit den Standardeinstellungen des Server an diesem Anzumelden. Bestätigen Sie mit Weiter.

Da wir der einzige Server im Netzwerk sind wollen wir einen neuen „Domänencontroller für eine neue Domäne“ erstellen. Wählen Sie diese Option aus und klicken Sie Weiter.



Da ebenfalls noch keine Domänenstruktur vorhanden ist, wählen Sie bitte folgenden Punkt aus „Domäne einer neuen Gesamtstruktur“ und klicken Sie auf Weiter.

Im nun erscheinenden Dialog vergeben Sie den DNS-Namen der neuen Domäne. Bei diesem Beispiel: gruppe4.local. Klicken Sie auf Weiter um fortzufahren.



In diesem Punkt geben Sie bitte den NetBios-Domänennamen an, in diesem Fall Gruppe4. Der NetBios-Name wird von früheren Windowsversionen benötigt um die Domäne identifizieren zu können.

Da Active Directory eine Datenbank im Hintergrund benötigt und auch alle Aktionen mitloggt geben Sie bitte hier die Verzeichnisse an in denen diese Daten gespeichert werden sollen. Bestätigen Sie mit Weiter.



Jetzt benötigt Active Directory noch ein Verzeichnis in dem Domäneninformationen gespeichert werden. Dies wird dann freigegeben und in der Domäne repliziert. Dabei muss aus Berechtigungsgründen ein Ordner auf einem NTFS-Datenträger angegeben werden. Wählen Sie einen Pfad aus und klicken Sie auf Weiter.

Da Active Directory einen DNS-Server benötigt wird bei der Installation, falls dieser noch nicht Installiert ist, eine Meldung ausgegeben. Wählen Sie hier den 2.Punkt um den Assistenten aufzufordern den DNS-Server mitzuinstallieren und einzurichten.



In diesem Schritt wählen Sie aus ob die Domäne auch mit Windowsversionen vor Windows 2000 und Server 2003 kompatibel sein soll. Wählen Sie hier aus Sicherheitsgründen nur das unbedingt nötige aus. Für unser Beispiel ist dies die zweite Option. Wählen Sie diese aus und klicken Sie auf Weiter.

Nun geben Sie ein Kennwort für den Benutzer des Wiederherstellungsmodules ein. Klicken Sie auf Weiter.



Nun werden die Einstellungen noch einmal zusammengefasst, sind diese korrekt klicken Sie auf Weiter.

Nun installiert der Assistent alle relevanten Daten und bereitet das System vor.



Dazu benötigt dieser allerdings die Windows Server 2003-InstallationsCD.

Warten Sie bis alle Komponenten installiert wurden. Klicken Sie nun auf Fertigstellen um die Installation zu beenden.



Um Active Directory endgültig zu aktivieren muss der Computer neu gestartet werden.

Nach dem Neustart bestätigen Sie noch den nun erscheinenden Dialog und Sie haben die Installation erfolgreich abgeschlossen.



2. Domänenfunktionsebene heraufstufen Um die Domäne für eine reinen Windows Server 2003 und Windows XP Professional Umgebung zu konfigurieren muss die Funktionsebene geändert werden.

Gehen Sie dazu wieder in die Serververwaltung und klicken Sie im Bereich „Domänencontroller (Active Directory)“ auf „Domänen und Vertrauensstellungen verwalten“.

Rufen Sie das Kontextmenü der gruppe4.local auf und wählen Sie den Punkt „Domänenfunktionsebene heraufstufen …“ aus.



Wählen Sie hier „Windows Server 2003“ aus und bestätigen Sie mit heraufstufen.

3. Benutzer anlegen Um einen Benutzer anzulegen gehen Sie wieder in die Serververwaltung und klicken Sie im Bereich „Domänencontroller (Active Directory)“ auf „Benutzer und Computer in Active Directory verwalten“.

Gehen Sie hier in das Kontextmenü von Users und wählen Sie Neu und Benutzer aus.



Es erscheint ein Dialog zum anlegen eines neuen Objekts Benutzer. Geben Sie alle relevanten Daten ein und klicken Sie auf weiter.

Im nächsten Dialog vergeben Sie bitte das Passwort und klicken auf Weiter.



Es werden die Daten noch einmal zusammengefasst. Sind diese korrekt bestätigen Sie mit Fertigstellen.

Ist das Kennwort nicht sicher genug erscheint eine Fehlermeldung. Bestätigen Sie mit OK und gehen Sie mit zurück zum Dialog des Passwortes und ändern Sie dieses. Das Passwort sollte Buchstaben, Ziffern und Sonderzeichen enthalten um sicher genug zu sein.



4. Client an der Domäne anmelden Bei den Clients handelt es sich meist um Windows XP Professional, kann allerdings genauso eine Windows 2003 Server sein. Andere Windowsversionen werden bei den momentanen Einstellungen nicht unterstützt.

Gehen Sie in die Systemeigenschaften und wählen Sie den Tab Computername aus.

Klicken Sie hier auf Ändern. Es erscheint ein Dialog. Wählen Sie hier im Bereich „Mietglied von“ Domäne aus und geben Sie den Domänennamen, hier gruppe4.local ein.



Sollte ihr Client die IP-Adresse nicht per DHCP vom Domänencontroller bekommen muss noch manuell der DNS-Server angegeben werden. Da Windows ansonsten den Domänennamen nicht auflösen kann.

Hat Windows einmal die Verbindung zum Server hergestellt werden Sie nach einem Benutzer und dem Passwort gefragt. Geben Sie hier die Daten des zuvor erstellten Benutzers ein. Achtung, falls sie einen anderen Benutzer wählen muss dieser in Active Directory vorhanden sein.



Ist die Anmeldung erfolgreich werden Sie in der Domäne begrüßt.

Um der Domäne beitreten zu können und die Änderungen zu übernehmen müssen Sie den Computer neu starten.



Bestätigen Sie daher die Meldung mit Ja oder Nein wenn Sie denn Rechner erst später neu starten möchten.

Die erste Änderung die nach dem Neustart auffällt ist das sie die Tastenkombination „Strg+Alt+Entf“ drücken müssen um sich Anmelden zu können. Dies ist eine Sicherheitsmaßnahme von Windows.



Gehen Sie im Anmeldedialog auf Optionen um all diese einzublenden. Geben Sie den zuvor am Server erstellten Benutzer ein und wählen Sie bei „Anmelden an“ Gruppe4 aus. Bestätigen Sie mit OK.

Es wird ein neuer Benutzer am System erstellt und Sie sind erfolgreich am Server angemeldet.



Theorie Zu was dient ein Verzeichnisdienst? Welche Verzeichnisdienste kennen Sie?

Verzeichnisse (Directories) sind Sammlungen von Daten einer bestimmten Art. Diesen Datensammlungen liegen Datenbanken zugrunde. Verzeichnisdienste verwalten nun diese Sammlungen. In Unternehmen werden diese Dienste üblicherweise dazu verwendet Benutzerdaten zentral zu sammeln und Applikationen zur Verfügung zu stellen. In den meisten Fällen kommt dabei das so genannte Directory Access Protocol (DAP) zum Einsatz. Standards sind hier DAP aus der X.500-Architektur und LDAP eine abgespeckte Version von DAP (lightweight DAP). Bekannte Verzeichnisdienste (praktisch alle basieren auf dem LDAP-Standard) sind:

Active Directory (Windows 2000 und Server 2003 Netzwerken) eDirectory (ehemals NDS, in Novell Netzwerken) Siemens-Verzeichnis Dir.X Network Information Service (NIS, in Unix-Netzwerken) Sun Java Directory openLDAP (openSource-Variante für Linux)

Erklären Sie die Protokolle X.500 und LDAP. X.500

Der X.500 Standard beschreibt den Aufbau eines Verzeichnisdienstes (auf den global zugegriffen werden kann). Es gibt keine vollständige Implementierung, da der Standard sehr umfangreich ist und auf einem ISO/OSI-Stack aufsetzt. Ein weit verbreitetes Protokoll, das auf X.500 basiert, aber nicht all dessen Anforderungen entspricht, ist LDAP.

LDAP

LDAP steht für Leightweight Directory Access Protocol, basiert auf dem X.500 Standard und ist eine abgespeckte Version des DAP-Protokolls. Die Verzeichniseinträge sind Objekte. Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt. Ein einzelnes Objekt wird eindeutig mittels Distinguished Name (DN) identifiziert. Diese werden hierarchisch angeordnet (z.B.: Firma->Abteilung->Projekt). LDAP-Server lassen sich redundant aufbauen. Dazu lassen sich so genannte Master-Slave-Konfigurationen konfigurieren.

Erklären Sie die Begriffe Verzeichnisdienste Verzeichnis, Schema, Replikationsdienst, globaler Katalog, Sicherheitskonzept. Verzeichnisdienst Programm, das Daten in hierarchischen Verzeichnissen speichert. Verzeichnis

Ein Verzeichnis ist eine Sammlung von Daten einer bestimmten Art. Dabei liegt allen Verzeichnissen ein ordnendes Prinzip zu Grunde. Beispiel: Telefonbuch geordnet nach Namen.

Schema



Für jeden Verzeichnisdienst gibt es ein Schema, diese legt fest welche Objekte im Verzeichnis existieren können und welche Attribute und Attributwerte für jedes Objekt erlaubt sind.

Replikationsdienst Dieser Dienst ist zuständig um mehrere Verzeichnisdienste (Server) abzugleichen, also auf demselben Stand zu halten.

Globaler Katalog

Um eine schnelle Suche im gesamten Verzeichnis zu ermöglichen, werden ausgewählte Attribute von allen Objekten des Active Directory im globalen Katalog erfasst. Dies können auch Objekte aus mehren Domänen sein.

Sicherheitskonzept

Windows Server 2003 bietet ein geschlossenes Sicherheitskonzept. Zu den Hauptfunktionen gehören Kerberos, Schlüsselserver, IPSec, EFS.

Was ist die logische und die physische Struktur von Active Directory.

Unter physischer Struktur versteht man den Aufbau des Netzwerkes. Unter die logische Struktur fällt die Gliederung des Unternehmens. Die beiden Strukturen sind voneinander unabhängig. So ist es ohne weiteres möglich an einem Standort mehrer Domänen zu erstellen oder eine Domäne für mehrere Standorte zu verwenden. Auch zwischen Standort und Namensgebung besteht kein Zusammenhang.

Was ist der Unterschied zwischen einer Arbeitsgruppe und einer Domäne und einer Domäne zu einer Domain. Arbeitsgruppe zu Domäne

Sowohl eine Domäne als auch eine Arbeitsgruppe ist eine Gruppe von Computern. Der Unterschied besteht nun darin, dass bei einer Domäne zentrale Dienste zur Verfügung stehen bzw. die Verwaltung zentralisiert ist.

Domäne zu Domain Eine Domain ist ein zusammenhängender Teil eines hierarchischen DNS-Namensraumes. Während die Domäne nur die zusammengehörigen Rechner identifiziert.

Erklären Sie die Begriffe Domäne, Organisatorische Einheit, Objekte, Domänenstruktur, Gesamtstruktur, Domänenkontroller, Standort und globaler Katalog. Weisen Sie auch die Begriffe richtig der logischen und physischen Struktur zu. Domäne

Eine Domäne ist ein Organisationsinstrument. Dabei dient diese bei Active Directory um logisch Gruppierungen zusammenhängender Objekte und Organisatorischen Einheiten zu erstellen.

Organisatorische Einheit

Die Organisationseinheit, meist einfach mit OU (Organizational Unit) bezeichnet ist ein wesentliches Strukturierungselement für den Aufbau von Active Directory. Dabei sind diese nur einfachen Container die Objekte oder wieder Organisationseinheiten beinhalten.



Objekt Ein Objekt kann verschiedene Merkmale und Eigenschaften haben, vorgegeben durch das Schema. Diese Objekte werden im hierarchisch aufgebauten Verzeichnis abgelegt.

Domänenstruktur Stellt eine hierarchische Struktur von Domänen dar, die alle einem einheitlichen Namenskontext folgen. Vorraussetzungen um Domänen zu einer Gesamtstruktur zusammenzufassen ist das alle Domänen das gleiche Schema besitzen und einem einheitlichen Namenskontext folgen.

Gesamtstruktur

Die Gesamtstruktur besteht aus mehren Domänenstrukturen, den Domänenbäumen. Wird oft auch als Domänenwald bezeichnet.

Domänencontroller

Der Domänencontroller ist ein Server, der die vollständige Datenbank des Active Directory für eine Domäne enthält.

Standort Ein Standort beschreibt alle Computer, die über eine schnelle Verbindung kommunizieren. Diese legt nahe, dass es sich bei einem Standort meistens um ein lokales Netzwerk handelt.

Globaler Katalog Um eine schnelle Suche im gesamten Verzeichnis zu ermöglichen, werden ausgewählte Attribute von allen Objekten des Active Directory im globalen Katalog erfasst. Dies können auch Objekte aus mehren Domänen sein.

Zuweisungen zu Logischer oder physische Struktur Logische Struktur: Domäne, Organisatorische Einheit, Objekt, Domänenstruktur,

Gesamtstruktur, Domänencontroller, Globaler Katalog Physische Struktur: Standort Erklären Sie den Begriff Vertrauensstellung zwischen Domänen.

Um über Domänengrenzen hinweg auf Objekte zugreifen zu können müssen Vertrauensstellungen zwischen den Domänen definiert werden.

Was sind Betriebsmaster?

Grundsätzlich sind alle Domänencontroller einer Domäne gleichberechtigt. Es gibt aber Aufgaben die nur von bestimmten Domänencontrollern ausgeführt werden dürfen. Diese nennt man dann Betriebsmaster oder Flexible Single Master Operation-Server (FSMO-Server). Dabei sind in Active Directory fünf verschieden definiert:

Schema-Master RID-Master Domänennamenmaster PDC-Emulator Master Infrastruktur Master



Welche Modelle gibt es um eine Domänenstruktur anzulegen? Typische Modelle nach denen die Struktur eine Domäne aufgebaut werden kann sind:

Geografisches Modell Unternehmensmodell Projektbasierendes Modell Administratives Modell Objektbasiertes Modell

Active Directory 1

Documents

Transcript of Active Directory 1