Inbetriebnahme AD-Server

34
M123 Serverdienste in Betrieb nehmen AD-Server Inbetriebnahme BBZ SH / O. Macher -1- Ziel Es soll ein AD-Server (Domänencontroller) eingerichtet werden, damit sich ein Client-PC an der entsprechenden Domäne mit einem auf dem Server definierten Benutzernamen anmelden kann. Inbetriebnahme AD-Server Erforderliche Systeme: Windows Server 2019 Essentials Windows 10 Pro oder Education Es muss auch gleich ein DNS-Server mitinstalliert werden. Für ein optimales Arbeiten ist mindestens eine Server und eine Client VM von Nöten. Ziel: Es soll ein AD-Server (Domänencontroller) eingerichtet werden, damit sich ein Client-PC an der entsprechenden Domäne mit einem auf dem Server definierten Benutzernamen anmelden kann. Quellen: https://it-learner.de/kurz-und-knapp-was-ist-eine-active-directory/ https://www.ip-insider.de/in-15-schritten-zum-perfekten-domaenencontroller-a-489759/ https://it-learner.de/wie-kann-man-in-der-active-directory-im-windows-server-2016-eine-gruppenrichtlinie-erstellen/ https://www.youtube.com/watch?v=h3sxduUt5a8 https://www.windowspro.de/wolfgang-sommergut/windows-10-einer-ad-domaene-beitreten https://www.edv-lehrgang.de/client-in-domaene-aufnehmen/ https://www.youtube.com/watch?v=F5l1N6sfwLE https://www.youtube.com/watch?v=MNUikVu5Sgs Inhalt 1. Einleitung: Was ist Active Directory ................................................................................................................................................................................................. 2 2. Inbetriebnahme und grundlegende Einstellungen am Server ........................................................................................................................................................ 3 3. Konfiguration AD-Server und DNS-Server ....................................................................................................................................................................................... 8 4. Organisational Units......................................................................................................................................................................................................................... 11 5. Benutzer hinzufügen ........................................................................................................................................................................................................................ 13 6. Inbetriebnahme und Einstellungen am Client ................................................................................................................................................................................ 15 7. Beitritt per PowerShell ..................................................................................................................................................................................................................... 18 8. Group Policys: Passwortanforderungen ........................................................................................................................................................................................ 18 9. Group Policys: LockScreen anpassen ........................................................................................................................................................................................... 21 10. Group Policys: Unterschiedliche Desktop Wallpaper mit OU....................................................................................................................................................... 21 11. Group Policys: Installiere Google Chrome ..................................................................................................................................................................................... 22 12. Group Policys: Map Network Drives ............................................................................................................................................................................................... 25 13. Roaming Profiles .............................................................................................................................................................................................................................. 27 14. Log-Dateien auswerten .................................................................................................................................................................................................................... 30 15. Was ist NETLOGON und SYSVOL? ................................................................................................................................................................................................. 31 16. Wo findet man die Active-Directory Datenbank? ........................................................................................................................................................................ 32 17. Sicherung der AD-Datenbank mit Snapshot .................................................................................................................................................................................. 32 18. Troubleshooting ............................................................................................................................................................................................................................... 34 8.1. Lokales Konto / AD-Konto auf dem Server ............................................................................................................................................................................ 34 8.2. Fehlermeldung beim Beitritt des Clients zur Domäne «Passwort oder Benutzer falsch» ....................................................................................................... 34 8.3. Fehlermeldung bei Beitritt zur Domäne .................................................................................................................................................................................. 34 8.4. TCP/IP-Einstellungen ............................................................................................................................................................................................................. 34 8.5. Verschiedene Login-Möglichkeiten ........................................................................................................................................................................................ 34 8.6. Computername mit IP-Adresse herausfinden ........................................................................................................................................................................ 34

Transcript of Inbetriebnahme AD-Server

Page 1: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -1-

Ziel Es soll ein AD-Server (Domänencontroller) eingerichtet werden, damit sich ein Client-PC an der entsprechenden Domäne mit einem auf dem Server definierten Benutzernamen anmelden kann.

Inbetriebnahme AD-Server Erforderliche Systeme: Windows Server 2019 Essentials Windows 10 Pro oder Education Es muss auch gleich ein DNS-Server mitinstalliert werden. Für ein optimales Arbeiten ist mindestens eine Server und eine Client – VM von Nöten. Ziel: Es soll ein AD-Server (Domänencontroller) eingerichtet werden, damit sich ein Client-PC an der entsprechenden Domäne mit einem auf dem Server definierten Benutzernamen anmelden kann. Quellen: https://it-learner.de/kurz-und-knapp-was-ist-eine-active-directory/ https://www.ip-insider.de/in-15-schritten-zum-perfekten-domaenencontroller-a-489759/ https://it-learner.de/wie-kann-man-in-der-active-directory-im-windows-server-2016-eine-gruppenrichtlinie-erstellen/ https://www.youtube.com/watch?v=h3sxduUt5a8 https://www.windowspro.de/wolfgang-sommergut/windows-10-einer-ad-domaene-beitreten https://www.edv-lehrgang.de/client-in-domaene-aufnehmen/ https://www.youtube.com/watch?v=F5l1N6sfwLE https://www.youtube.com/watch?v=MNUikVu5Sgs

Inhalt

1. Einleitung: Was ist Active Directory ................................................................................................................................................................................................. 2

2. Inbetriebnahme und grundlegende Einstellungen am Server ........................................................................................................................................................ 3

3. Konfiguration AD-Server und DNS-Server ....................................................................................................................................................................................... 8

4. Organisational Units ......................................................................................................................................................................................................................... 11

5. Benutzer hinzufügen ........................................................................................................................................................................................................................ 13

6. Inbetriebnahme und Einstellungen am Client ................................................................................................................................................................................ 15

7. Beitritt per PowerShell ..................................................................................................................................................................................................................... 18

8. Group Policys: Passwortanforderungen ........................................................................................................................................................................................ 18

9. Group Policys: LockScreen anpassen ........................................................................................................................................................................................... 21

10. Group Policys: Unterschiedliche Desktop Wallpaper mit OU....................................................................................................................................................... 21

11. Group Policys: Installiere Google Chrome ..................................................................................................................................................................................... 22

12. Group Policys: Map Network Drives ............................................................................................................................................................................................... 25

13. Roaming Profiles .............................................................................................................................................................................................................................. 27

14. Log-Dateien auswerten .................................................................................................................................................................................................................... 30

15. Was ist NETLOGON und SYSVOL? ................................................................................................................................................................................................. 31

16. Wo findet man die Active-Directory – Datenbank? ........................................................................................................................................................................ 32

17. Sicherung der AD-Datenbank mit Snapshot .................................................................................................................................................................................. 32

18. Troubleshooting ............................................................................................................................................................................................................................... 34

8.1. Lokales Konto / AD-Konto auf dem Server ............................................................................................................................................................................ 34

8.2. Fehlermeldung beim Beitritt des Clients zur Domäne «Passwort oder Benutzer falsch» ....................................................................................................... 34

8.3. Fehlermeldung bei Beitritt zur Domäne .................................................................................................................................................................................. 34

8.4. TCP/IP-Einstellungen ............................................................................................................................................................................................................. 34

8.5. Verschiedene Login-Möglichkeiten ........................................................................................................................................................................................ 34

8.6. Computername mit IP-Adresse herausfinden ........................................................................................................................................................................ 34

Page 2: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -2-

1. Einleitung: Was ist Active Directory Die Active Directory (AD) ist ein Verzeichnisdienst im Windows Netzwerk, der alle Funktionen bereitstellt, mit denen die Ressourcen des Netzwerks organisiert, verwaltet und gesteuert werden können. Das Verzeichnis besitzt einen hierarchischen Aufbau. Innerhalb dieser Verzeichnishierarchie werden die Ressourcen logisch gruppiert. Durch die logische Anordnung von Ressourcen ist es möglich, Objekte anhand ihres Namens zu lokalisieren und nicht nach ihrer tatsächlichen Position. Einige Begrifflichkeiten in Bezug zur AD muss man für das Gesamtverständnis kennen. Hierzu gehören die folgenden:

- Objekt: Das ist die kleinste Einheit, welche verwaltet werden kann. Wie oben bereits beschrieben, wird

dadurch jede Netzwerkressource beschrieben wie Benutzer, Drucker etc.

- Organisationseinheit (OU): Diese dienen dazu, um verschiedene Objekte zu gruppieren.

- Domäne: Das ist die zentrale Einheit, welche auch die Active Directory beinhaltet. Sie ist auch eine

Sicherheitsrichtlinie, den ein Zugriff kann nur über eine erfolgreiche Anmeldung erfolgen. Natürlich kann ein

Netzwerk auch aus mehreren Domänen bestehen.

- LDAP: Lightweight Directory Access Protocol: Dieses Protokoll wird für den Zugriff auf den

Verzeichnisdienst verwendet.

Wie oben bereits beschrieben, könnten die Objekte in der Active Directory über einen eindeutigen Namen angesprochen werden, welcher unabhängig vom eigentlichen Standort des Objektes ist. Zur Veranschaulichung soll folgendes Beispiel dienen: Ein Drucker mit dem Namen HPjet5 befindet sich in der Organisationseinheit Entwicklung in der Domäne firma.de. Für die eindeutige Zuordnung gibt es drei spezielle Namen:

- CN: Common Name = allgemeiner Name

- OU: Organisationseinheit

- DC: Domain Name Komponente

Angewandt auf das obige Beispiel, kann man das folgendermassen aufschlüsseln: /DC=DE, /DC=firma, /OU=Entwicklung, /CN=HPjet5 HPjet.Entwicklung.firma.de Dieser komplette Name wird als Fully qualified domain name (FQDN) bezeichnet. Wenn man in der Active Directory weitere Domänen erstellt, und diese als sogenannte Subdomänen anlegt, erhält man eine Struktur. Wie im obigen Beispiel bei der Nomenklatur könnte man anstatt die OU Entwicklung, direkt eine Subdomäne mit dem Namen Entwicklung konfigurieren. Um eine Firmenstruktur abzubilden, könnten noch weitere Subdomänen erstellt werden (Vertrieb). Die folgende Zeichnung zeigt das Prinzip einer Struktur im Sinne von Active Directory. Im Fachjargon spricht man bei einer Struktur immer von einem Tree. Kennzeichen sind immer die folgenden:

- Sie besteht hierarchisch aus mindestens einer Domäne

- Besitzt einen gemeinsames Namensschema

- Hat einen fortlaufenden Namespace

Page 3: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -3-

2. Inbetriebnahme und grundlegende Einstellungen am Server Zuerst müssen folgende Punkte erledigt werden:

- Es braucht einen Account mit Admin-Rechten («whoami» in PowerShell).

- Der Server braucht eine statische IP-Adresse.

- Der Name des Servers sollte nach den gegebenen Richtlinien geändert werden.

Folgend eine Beispielkonfiguration des IPv4-Adapters (DNS servers IP-Adresse soll dieselbe wie die des AD-Servers sein, da wir nachher auch einen DNS-Server auf diesem Server installieren):

Nun werden die zwei folgenden Steps gemacht:

- Installieren der Active Directory Domain Services role.

- Server zu einem Domain Controller (DC) befördern.

Wir klicken nun im Server-Manager auf «Manage» und «Add Roles and Features». Danach klicken wir auf Next bis wir bei den «Server roles» sind. Dort machen wir einen Hacken bei «Active Directory Domain Service» und klicken dann auf «Add Feature» im aufpoppenden Fenster.

Page 4: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -4-

Nun muss der Server wie angekündigt zu einem Domain Controller hochgestuft werden. Dies wird folgendermassen bewerkstelligt:

Nun muss ein komplett neuer Forest angelegt werden, da wir ja keine bestehende Domain haben.

Page 5: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -5-

Hacken raus

Page 6: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -6-

Page 7: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -7-

Danach auf «Install» klicken. Nach der Installation meldet sich der Benutzer ab und der PC startet neu. Wir sehen dann wieder das Windows-Loginfenster. Hier sollte nun aber nicht mehr nur der Benutzername (z.B. «Administrator») stehen, sondern die Domain vor dem Benutzer, etwa so: MACHERSRV/Administrator.

Dies geschieht, da der Server nun als Domain Controller hochgestuft wurde.

Page 8: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -8-

3. Konfiguration AD-Server und DNS-Server AD und DNS-Server arbeiten sehr eng zusammen und auch wenn man nur einen AD-Server einrichten will, braucht es gewisse Einstellungen für den DNS-Server, welche wir nun vornehmen werden.

Rechtsklick auf machersrv.lokal und dann Properties.

Überprüfen, ob Domain functional level und Forest functional level auf Windows Server 2016 sind.

Danach wieder im Servermanager auf Tools und dann «DNS». Hier sollten zwei Forward-Lookup-Zonen erstellt worden sein. Wir müssen nun noch eine Reverse-Lookup-Zone einrichten.

Page 9: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -9-

Rechtsklick auf «Reverse Lookup Zone» und dann auf «New Zone» klicken.

Auf der nächsten Seite muss die zu verwaltende Zone angegeben werden:

Danach alles mit «Next» durchklicken und am Schluss sollten wir eine Reverse Lookup Zone haben:

Danach klicken wir in die Forward Lookup Zone und überprüfen den Eintrag von unserem Server.

Page 10: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -10-

Hier muss der Hacken bei «Update associated Pointer (PTR) record reingemacht werden.

Nun sollte bei der Reverse Lookup Zone ein Pinter zu unserer IP-Adresse eingetragen worden sein:

Nun kann die DNS-Konsole wieder geschlossen werden und die Adaptereinstellungen des IPv4 aufgerufen werden. Hier hat Windows die Loopback-Adresse eingetragen. Dies müssen wir wieder auf die IP-Adresse unseres eigenen Servers ändern:

->

Dieser Eintrag muss nun mit der PowerShell überprüft werden (nslookup). Der Default Server und die Adresse werden in diesem Beispiel mit 0 angegeben, da der Server in diesem Setting keinen Zugriff auf das Internet hatte. Wenn ich aber «machersrv.lokal» eingebe muss die entsprechende IP-Adresse angegeben werden. Genauso umgekehrt, wenn ich die IP-Adresse angebe, muss der Name angezeigt werden. So sieht man, dass der DNS-Server funktioniert.

Page 11: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -11-

4. Organisational Units Zuerst muss im Server Manager auf «Tools» und dann auf «Active Directory Users and Computers» geklickt werden. Danach öffnet sich das AD-Verwaltungstool.

Mit einem Rechtsklick auf die Zone und Auswahl von «New» kann man ganz viele unterschiedliche AD-Objekte hinzufügen:

Zu allererst erstellen wir eine neue «Organizational Unit» eine OU. Diese braucht einen spezifischen Namen. In dieser OU können nun spezifische User, Groups usw definiert und abgelegt werden. So kommt Ordnung in das Ganze System.

Page 12: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -12-

In dieser neuen OU registrieren wir nun alle Objekte, die in der Firma in Schaffhausen anfallen. Dabei können wir noch zusätzliche neue OUs in dieser OU «Schaffhausen» vornehmen. Wir legen nun noch die OUs «HR» und «TECH»

Sollte man eine geschützte OU wieder löschen wollen, muss zuerst bei View «Advanced Features» angeklickt werden. Danach rechtsklick auf die OU, die gelöscht werden soll und «Properties» anklicken. Bei den Properties muss dann im Tab «Object» der Hacken beim Protect rausgenommen werden. Danach kann die OU gelöscht werden. Dann die Advanced Features wieder ausblenden.

Unsere OU ist nun zuerst nach Regionen aufgeteilt und dann nach den unterschiedlichen Abteilungen.

Page 13: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -13-

5. Benutzer hinzufügen

Mit einem Rechtsklick auf die Abteilung (hier TECH) und auf «New» wird ein neuer User in der entsprechenden OU erstellt.

Nun kann ein neuer Benutzer erstellt werden. Der User logon name muss dabei zwingend einmalig in der Domäne sein.

Passwort: Test123

In der OU TECH wollen wir nun eine Gruppe erstellen:

Nun wollen wir der Group Members zuweisen. Dies geht bei bestehenden Usern mit zwei Wegen. Entweder kann mit rechts auf den User geklickt werden und dann «Add to Group» ausgewählt werden, oder rechtsklick auf den User, dann «Porperties» und dann den Tab «Member of» auswählen. In diesem Tab wählen wir nun «Add» aus.

Page 14: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -14-

Danach kann man auf «Advanced» klicken und dann auf «Find now» um alle vorhandenen Möglichkeiten aufzuzeigen. Danach wählen wir unsere erstellte Gruppe aus und bestätigen mit Ok und Apply/ok.

Ob das geklappt hat sieht man, wenn man einen rechtsklick auf die Gruppe macht und dann auf Properties geht. Im Tab «Members» werden dann alle Mitglieder der Gruppe aufgelistet.

Mann könnte auch der Gruppe eine Gruppe hinzufügen. Dem sagt man auch «Group nesting». Man kann auch hier wieder einen Benutzer hinzufügen, indem man auf «Add» klickt und dann wie vorhin den zweiten Benutzer der Gruppe hinzufügt.

Page 15: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -15-

Wenn man nun diese Gruppe einer anderen Gruppe hinzufügen will, geht dies. Um eine Übersicht zu gewinnen, klicken wir links in der Auswahl auf «Users» und sehen dann alle vorhanden User und die vorhandenen Gruppen. Die Berechtigungen der Gruppen sind entsprechend beschrieben.

Wenn wir nun zum Beispiel unsere erstellte Gruppe die Gruppe DHCP Administrators zuweisen wollen, können wir dies hier tun.

6. Inbetriebnahme und Einstellungen am Client Der Client muss ein Windows 10 Pro oder Education haben, ansonsten können keine Domäneneinstellungen gemacht werden. Es muss sichergestellt werden, dass die beiden Rechner im selben Subnetz sind. Ausserdem muss der Client einen DNS-Server in den TCP/IP-Einstellungen eingetragen haben, der ihn mit dem AD-Server verbindet (meistens ist dies auch gleich der AD-Server). Um sich vom Schulnetz oder Heimnetz zu trennen, braucht es ebenfalls noch einen lokalen Administratoren-Account (Einstellungen -> Konten -> Andere Personen -> «Diesem PC eine andere Person hinzufügen»):

Danach zwingend noch beim neuen Konto auf «Kontotyp ändern» und als Administrator eintragen. Danach muss die Verbindung zum Schulkonto getrennt werden, damit der PC mit der neuen Domäne verbunden werden kann: - CTRL+X -> Einstellungen -> Konten -> «Auf Arbeits- oder Schulkonto zugreifen» -> Trennen Dabei muss man die Anmeldeinformationen des lokalen Adminkontos angeben und dann den PC neu starten. In den Adapteroptionen muss bei IPv4 der neue DNS-Server (unser AD-Server) angegeben werden. Ausserdem muss die Firewall für private Netze entweder deaktiviert (hohes Sicherheitsrisiko, nicht in der Praxis anwenden, oder eine entsprechende Ausnahme hinzugefügt werden).

Page 16: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -16-

- CTRL+X -> Einstellungen -> In Suche eingeben: «System» -> System auswählen -> «Einstellungen ändern» Dann bei Computername auf «Ändern» klicken und die entsprechende Domain (z.B. ad7.com / ad27.loc / machersrv.lokal) eingeben. Wenn alles funktioniert, kommt dann ein Login-Fenster. In diesem muss das Passwort einer berechtigten Person des DC angegeben werden. Hierbei handelt es sich meistens um den Admin. Wenn man aber nicht immer den Server-Admin verwenden will, kann man einen Benutzer auf dem Server erstellen, der ein «Domain Admin» ist. Benutzer-Einstellungen auf dem Server:

Hinzufügen der Domäne (bei Fehlermeldung IPv6 deaktivieren, siehe Troubleshooting):

Sobald die Meldung «Willkommen in der Domäne x» gekommen ist, ist man der Domäne beigetreten und kann sich mit dem Server-Benutzer anmelden. Auf dem Server ist dann unter «Tools -> AD Benutzer und Computer» unter «Computer» der neue PC aufgeführt, der in der Domain ist.

Page 17: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -17-

Desktop wurde beim Server hinzugefügt Login auf dem Client mit Benutzer des AD-Servers Wichtig: Ein Computerkonto allein reicht nicht, um sich an der Domäne anzumelden. Denn die Domäne kennt nun zwar das Computerkonto, jedoch nicht das Benutzerkonto. Dieser muss noch erstellt werden, dann kann sich der Benutzer mit den Daten an diesem Rechner an der Domäne anmelden.

Page 18: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -18-

7. Beitritt per PowerShell Bei den vorigen Varianten kann man den Beitritt nicht direkt steuern. Der Client wird nicht in einer OU abgelegt. Mit PowerShell dagegen lassen sich ein Domänenbeitritt zusammen mit der Umbenennung des Rechners und die Zuordnung zu einer OU mit PowerShell in einem Durchgang erledigen: Add-Computer -DomainName machersrv.lokal -NewName Win10ClientOli -OUPath

"OU=Schaffhausen,DC=machersrv,DC=lokal"

Mit dem Zusatz «-Restart» wird auch gleich der Rechner neu gestartet, damit die Änderungen übernommen werden. Interessant ist zudem die Option, auch entfernte Computer einer Domäne anzuschliessen, weil Add-Computer über den Parameter -ComputerName auch das Remoting des Kommandos unterstützt. Dabei kann man dem Aufruf gleich die Namen mehrerer Rechner in Form einer Komma-separierten Liste übergeben. Bei PCs, die noch keiner Domäne angehören, muss man dabei allerdings mit notorischen WinRM-Verbindungsproblemen rechnen.

8. Group Policys: Passwortanforderungen Es sollen mit den Gruppenrichtlinien GPO (Group Policy Object) die Eigenschaften der Anforderungen an ein Passwort geändert werden. Dazu muss man folgendermassen vorgehen: Gruppenrichtlinienverwaltung öffnen:

Auf Rechtsklick auf Default Domain Policy und Bearbeiten kann man die Richtlinien konfigurieren.

Page 19: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -19-

Danach muss man sich für die Benutzer- oder Computerkonfiguration entscheiden:

Wenn man nun zum Beispiel die Anforderungen an das Passwort ändern will, muss man folgenden Weg gehen: Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien

Page 20: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -20-

Es kann dauern, bis Richtlinien aktiviert werden. Mit folgendem Befehl kann man das Update erzwingen:

gpupdate /force

Page 21: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -21-

9. Group Policys: LockScreen anpassen Computer Configuration -> Richtlinien -> Administrative Vorlagen -> Systemsteuerung -> Anpassung

10. Group Policys: Unterschiedliche Desktop Wallpaper mit OU Zuerst müssen die entsprechenden Wallpapers auf dem Server in einem Ordner abgelegt und freigegeben werden:

Danach kann man gleich den Pfad kopieren:

Danach öffnet man die GPO (Servermanager -> Tools -> Group Policy Management), geht auf die Domain. Je nachdem auf wen man diese GPO anwenden will, rechtsklickt man auf eine bestimmte OU oder wenn man es auf alle anwenden will, auf die Domain selbst. In unserem Beispiel klicken wir auf die HR-OU mit rechts und wählen «Create a GPO…» aus. Dann vergibt man einen Namen und rechtsklickt das neue GPO und wählt «Edit» aus:

Page 22: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -22-

Danach muss folgender Pfad ausgewählt werden: ”User Configuration -> Policies -> Administrative Templates -> Desktop -> Desktop” Danach wählt man den Eintrag «Desktop Wallpaper» mit einem Doppelklick aus und klickt «Enable» an. Dann gibt man den vorher kopierten Pfad inklusive Bildnamen ein und bestätigt mit Apply und Ok:

Dies kann ich bei meiner TECH-OU mit einem neuen Bild wiederholen. Danach kann ich auf den Client-Computer und mit folgendem Befehl im CMD die GPO aktualisieren:

gpupdate /force

Danach muss man sich noch abmelden und wieder anmelden und die Wallpaper wurden bei den zwei unterschiedlichen Usern neu gemacht.

11. Group Policys: Installiere Google Chrome Die zu installierende Software braucht man als MSI-Package. Folgender der Link zum entsprechenden MSI-Package von Google-Chrome, welches auf dem Server heruntergeladen werden muss (MSI-File ist etwas unterhalb der EXE-Downloads): https://cloud.google.com/chrome-enterprise/browser/download/ Damit wir GPOs auf Computer anwenden können, müssen wir eine neue OU erstellen, die die Computer der unterschiedlichen OU’s beinhaltet:

Page 23: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -23-

Danach muss man den Client-Computer unter «Computers» rechtsklicken und mit «Move» in den Ordner «TECHComputers» verschieben:

Nun können wir ein Computerorientiertes GPO erstellen. Nun muss der Installer noch auf dem Server abgelegt und geshared werden:

Danach öffnen wir die GPO (Servermanager -> Tools -> Group Policy Management) und erstellen unter «Group Policy Objects» ein neues GPO mit einem aussagekräftigen Namen. Danach wird mit Rechtsklick und Edit der Management Editor des GPO’s geöffnet. Danach den Pfad «Computer Configurtion -> Policies -> Software Settings -> Software Installation» öffnen. Mit einem Rechtsklick auf «Software Installation» und Properties auswählen kommt man in die Konfiguration des GPO’s:

Page 24: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -24-

Unter «Default Package location» muss nun der Pfad zum Shared-Folder angegeben werden. Das File selbst muss noch nicht angegeben werden:

Dann klicken wir mit Rechts auf einen freien Space im GPO Editor und wählen «New> und «Package» aus. Dann öffnet sich gleich der vorhin angegeben Ordner und wir können das .msi-File von Google Chrome angeben. Mit der Auswahl von «Assigned» wird das File dann beim aufstarten des Computers installiert:

Nun soll das vorhandene GPO mit den Computern von TECH verlinkt werden. Dazu wieder im Group Policy Management einen rechtsklick auf TECHComputers und «Link an existing GPo…» auswählen.

Page 25: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -25-

Nun ist alles korrekt verlinkt und wir können wieder die GPO auf dem Clientcomputer mit CMD aktualisieren. Zuerst müssen wir aber noch den Hostname herausfinden mit «hostname» in CMD und diesen notieren oder im Kopf behalten. Erst danach GPO aktualisieren und den PC neustarten lassen:

gpupdate /force

Danach überprüfen wir, ob Google Chrome installiert wurde. Dazu in CMD «appwiz.cpl» eingeben. Dort sehen wir, dass Google Chrome installiert wurde. Wenn das zu installierende File etwas gross ist, kann es sein, dass die GPOs auf dem Client nochmals aktualisiert werden müssen und der Client nochmals neu gestartet werden muss. Während des «Please Wait…» während dem Aufstarten wir das File dann installiert.

12. Group Policys: Map Network Drives Damit Network-Drives jedes Mal bei den Usern gemapped werden, müssen wir ein entsprechendes GPO machen. Ausserdem brauchen wir einen SharedFolder, der dann eben auch gemapped wird. Kopieren wir den Pfad, um ihn später zu verwenden.

Page 26: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -26-

Nun müssen wir ein Batch-File Script erstellen, um diesen Folder als Network Drive zu mappen. Dazu soll der Texteditor geöffnet werden und folgendes eingegeben werden (m: ist der Buchstabe, wie er beim User angezeigt werden soll): net use m: \\WIN16ESS\HRSharedData

Speichern unter Desktop und mit «all files» als map.bat. Mit einem Doppelklick auf das map-File kann ich überprüfen ob es funktioniert. Ich sollte dann den Share als Network-Drive gemapped haben. Nun gehen wir in die Group Management Policies Console und machen mit einem rechtsklick auf «Group Policy Objects» ein neues GPO mit Namen «Map Nework Drive Logon Script GPO». Dan rechtsklick und Edit auf das neue GPO und unter «User Configuration -> Policies -> Windows Setting -> Script» und Doppelklick auf Logon gehen wir in die Properties. Dort gehen wir auf Show Files. Es öffnet sich ein leerer Ordner. Nun kopieren wir hier unser map.bat rein. Nun klicken wir auf Add und Browse und wählen map.bat aus (Parameter braucht das Scipt keine):

Danach unter OU HR einen rechtsklick und «Link exisiting GPO» das entsprechende GPO auswählen.

Nun gehen wir zu den AD-Usern und machen einen rechtsklick auf HR user Nun loggen wir uns auf dem Client mit dem hr.user1 ein. Hier sehen wir, dass wir momentan kein Network drive haben. Nun muss ich wieder die GPOs aktualisieren:

gpupdate /force

Page 27: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -27-

Nach abmelden und wieder anmelden ist das Network Drive nun vorhanden.

13. Roaming Profiles Wenn man will, dass die User auf jeder Maschine dieselben Einstellungen und Dateien (im User-Ordner) haben, braucht es Roaming Profile. Dazu erstellen wir auf dem AD-Server im Folder Schaffhausen -> HR 3 User «HR User 1 – 3» und eine Security Group «HRUsers» in der alle diese 3 User sind:

Nun müssen wir für diese Gruppe einen Shared Folder erzeugen. Dazu im Server Manager auf «File and Storage Services» klicken und dann auf «Shares». Danach auf Tasks und «New Share». Dort «SMB Quick» auswählen und beim nächsten Fenster «Type a custom path». Dort kann man dann in einem Ordner einen neuen Ordner «RoaminProfiles» erstellen:

Danach den Roming-Ordner auswählen und «Select Folder» klicken. Dann mit Next weiter. Dort kann ich den Share Name anpassen. Da ich diesen Ordner verstecken will (Hidden share) erweitere ich den Share name mit einem Dollarzeichen am Schluss: RoamingProfiles$. Danach kopiere ich den Pfad, da ich ihn gleich brauchen werde. Im nächsten Fenster noch den oberen Hacken rein, damit der hidden Folder auch versteckt wird bei Usern, die kein Access haben.

Der wichtigste Punkt kommt nun auf dem nächsten Fenster. Hier muss ich auf «Customize permissions» klicken. Danach auf «Disable inheritance und «Convert inherited permissions into expli…”

Page 28: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -28-

Danach werden die beiden «User»-Einträge gelöscht, so dass nur noch SYSTEM, Administrators und Owner berechtigt sind. Danach fügen wir unsere Security Group mit «Add» und dann «Select a principal» und dann HRUser eingeben hinzu. Die Rechte entsprechend dem Bild (klick auf Advanced permissions). Danach abschliessen und Share fertigstellen.

Nun logge ich mich mit dem HR User 1 ein und öffne die Systemeinstellungen (cmd «sysdm.cpl»). Als normaler User habe ich darauf keinen Zugriff und muss den Admin-Login angeben. Danach klicken wir auf «Advanced», und unter «User Profiles» auf Settings. Dort sieht man, dass der hr.user1 ein lokales Profil hat:

Danach gehen wir wieder zum AD-Server und rechtsklicken auf HR User1 und wählen Properties aus. Dann gehen wir auf Profile und kopieren den Pfad von vorhin bei «Profile path» plus \hr.user1 rein. Danach markiere ich die beiden anderen User, rechtsklicke und wähle Properties aus. Unter Profile gebe ich das im zweiten Bild ersichtliche (\\win16ess\Shares\RoamingProfiles$\%username%) ein:

Page 29: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -29-

Nun muss ich meinen Client neustarten und mich wieder mit hr.user1 einloggen. Sobald ich das getan habe, sehe ich auf dem Server im Ordner Shares/RoamingProfiles den Ordner hr.user1.V6. Nun gehe ich wieder mit CMD und sysdm.cpl und dem Admin-Login auf User Profiles und überprüfe das RoamingProfile:

Das .V6 im RoamingProfile-Ordner auf dem Server steht für Windows 10 oder später:

Page 30: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -30-

14. Log-Dateien auswerten Um Benutzeranmeldungen einer Active Directory Domäne überwachen zu können, muss die Ereignisanzeige durchsucht werden. Die grafische Oberfläche der Ereignisanzeige lässt einem oft verzweifeln, daher hier ein Ansatz mit PowerShell. Das folgende Szenario bezieht sich auf eine Umgebung mit nur einem Domain-Controller. Erfolgreiche und fehlgeschlagene Anmeldeversuche können überwacht werden. Die Einstellungen sind in der Default Domain Controllers Policy definiert. Der Standard lautet: Nur Erfolg. Es soll nun also das GPO Management – Fenster aufgerufen werden. Danach geht man auf die «Default Domain Controllers Policy» im Ordner Domain Controllers und wählt dort folgenden Pfad: «Computer Configuration -> Policies -> Windows Settings -> Sewcurity Settings -> Local Policies -> Audit policy” und wählt die GPO “Audit process tracking” aus und markiert die Hacken für Success und Failure.

Folgende Event-ID’s interessieren uns:

- Erfolgreiche Anmeldeversuche: ID 4624

- Fehlgeschlagene Anmeldeversuche: ID 4771

Nun können wir mit den folgenden Befehlen die erfolgreichen Anmeldeversuche mit PowerShell auswerten: Get-EventLog -LogName Security -InstanceId 4624 | Where-Object Message -match "mark.wahlberg" | Format-Table TimeGenerated,Message -AutoSize -Wrap

Und die fehlgeschlagenen: Get-EventLog -LogName Security -InstanceId 4771 | Where-Object Message -match "mark.wahlberg" | Format-Table TimeGenerated,Message -AutoSize -Wrap

Page 31: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -31-

15. Was ist NETLOGON und SYSVOL? Nachdem man einen neuen Domänencontroller installiert hat, findet man in der Netzwerkfreigabe des Servers zwei Ordner. Diese beiden Verzeichnisse haben dabei die Namen SYSVOL und NETLOGON. Doch was hat es nun damit auf sich? Generell stellt jeder Domänencontroller bei der Anmeldung Gruppenrichtlinien zu Verfügung. Ebenso können auch Anmeldescripte hinterlegt werden. Genau dazu dienen diese beiden Freigaben, den nicht wie sämtlichen anderen Informationen werden diese in die Datei NTDS.dit gespeichert. Bei der Datei NTDS.dit handelt es sich übrigens um die Datenbank der Active Directory.

Die Freigaben SYSVOL und NETLOGON am Windows Server 2019 Domänencontroller

Wenn man jetzt den Ordner SYSVOL öffnet, befindet sich darunter der verknüpfte Domänenname, sowie zwei weitere Verzeichnisse. Policies und Scripts. Im ersten Ordner befinden sich sämtliche konfigurierten Gruppenrichtlinienobjekte, welche mit einer Zahlenkombination in geschweiften Klammern dargestellt werden. Der Ordner Scripts ist prinzipiell selbsterklärend. Hier werden alle erstellten Scripte abgelegt. Das Verzeichnis SYSVOL\Domänenname\Scripts entspricht dann der Freigabe NETLOGON.

Die Freigaben SYSVOL und NETLOGON am Windows Server 2019 Domänencontroller

Sollte man mehrere Domänencontroller besitzen, so wird das SYSVOL Verzeichnis automatisch repliziert. Für den Windows Dienst NETLOGON werden diese Verzeichnisse zwingend benötigt. Der Dienst ist dabei für die Authentifizierung von Computern und Benutzern in der Domäne zuständig.

Page 32: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -32-

16. Wo findet man die Active-Directory – Datenbank? Nach der Installation der Domänendienste auf einem Windows Server sowie dem anschliessendem hochstufen des Servers zu einem Domänencontroller erhält dieser die sogenannte Active Directory Datenbank. Aber wo befindet sich diese Datenbank jetzt auf dem Betriebssystem? Generell kann man bereits beim Hochstufen festlegen, in welchem Verzeichnis der Datenbankordner, der Ordner für die Protokolldateien, sowie auch der SYSVOL-Ordner gespeichert werden sollen. Sofern man den Standardpfad nicht ändert, befinden sich diese Dateien im Verzeichnis c:\Windows\NTDS.

Der Pfad zur Active Directory Datenbank auf einem Windows Server Die Datei mit dem Namen ntds.dit ist das Herzstück, denn sie ist die Datenbank der Active Directory. Aus diesem Grund ist es natürlich absolut notwendig eine Sicherung vorzunehmen. Am einfachsten kann man sich hier der Windows Server Sicherung bedienen. Diese ist allerdings nicht standardmässig auf dem Windows Server installiert. Über den Server Manager kann dieses Feature installiert werden. Eine genaue Anleitung bei der Vorgehensweise liefert der Artikel: So erstellt man ein Backup vom Windows Server. Natürlich könnte man aber auch einen Snapshot der Datenbank anfertigen.

17. Sicherung der AD-Datenbank mit Snapshot Ein Domänencontroller beinhaltet immer die Active Directory Datenbank, welches das Herzstück der Infrastruktur darstellt. Umso wichtiger ist es, dass diese entsprechend gesichert wird. Eine Variante um z.B. nach der kompletten Einrichtung der Netzwerkinfrastruktur die Datenbank zu sichern wäre ein Snapshot. Aber Vorsicht, dieser ersetzt nicht eine kontinuierliche Sicherung, wie sie z.B. mit der Windows Server Sicherung durchgeführt werden kann. Im folgendem wird gezeigt, wie man mit dem cmd Tool ntdsutil am Windows Server 2019 Domänencontroller einen Snapshot der Active Directory Datenbank anlegt. Im ersten Schritt öffnet man eine cmd mit administrativen Rechten. Anschließend kann man sich mal sämtliche Parameter des Tools ntdsutil ansehen. Hierzu verwendet man wie üblich nach dem Befehl die Zeichenkombination “/?“. ntdsutil /? Um anschließend das Programm zu öffnen, reicht der Befehl ntdsutil. Jetzt benötigt man die folgenden Anweisungen, um einen Snapshot zu erstellen. Im Untermenü “Snapshot” kann man sich übrigens mit help wieder sämtliche möglichen Befehle zu dessen Kontext ansehen. snapshot activate instance ntds create

Page 33: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -33-

Einen Snapshot der Active Directory des Domänencontrollers anlegen Nach der Durchführung obiger Befehle wurde jetzt ein Snapshot mit einem neuen Identifier angelegt. Sämtliche vorhanden Snapshots lassen sich am einfachsten über “list all” anzeigen. Möchte man jetzt einen Snapshot mounten, so wird der Befehl “mount” benötigt.

Einen Snapshot der Active Directory des Domänencontrollers anlegen – Auflisten aller bereits vorhanden Snapshots Wie bereits erwähnt, schadet es auf keinen Fall, wenn man nach der kompletten Einrichtung der Active Directory einfach einen Snapshot anfertigt und gesondert aufbewahrt. Aber wie bereits weiter oben beschrieben, ersetzt dieser kein kontinuierliches Backup.

Page 34: Inbetriebnahme AD-Server

M123 Serverdienste in Betrieb nehmen

AD-Server Inbetriebnahme

BBZ SH / O. Macher -34-

18. Troubleshooting

8.1. Lokales Konto / AD-Konto auf dem Server Wenn das Administratoren-Konto des Servers genommen werden soll, muss das im Namen mit @ angegeben werden, da Windows sonst automatisch den lokalen Administrator nimmt. [email protected] [email protected] / Passwort Wenn man hingegen explizit den lokalen Administrator oder einen lokalen Benutzer will muss man folgendes eingeben: [Computername]\Administrator / Passwort

8.2. Fehlermeldung beim Beitritt des Clients zur Domäne «Passwort oder

Benutzer falsch» Überprüfen, ob Client und Server die gleichen Tastaturlayouts und Sprachregionen benutzen. Bei einem Passwort wie BBZ*alle27 wird bei der deutschen Tastatur folgendes eingegeben BBZ§alle27.

8.3. Fehlermeldung bei Beitritt zur Domäne

Manchmal kommt es vor, dass IPv6 in den Adaptereinstellungen deaktiviert werden muss.

8.4. Beitritt zur Domäne funktioniert nicht Als DNS-Server muss die IP-Adresse des Domänencontrollers eingetragen werden.

8.5. TCP/IP-Einstellungen Jeweils in ein eigenes Subnetz gehen und dann dem Server eine statische IP vergeben (z.B. 10.11.20.100) und dem Client auch (damit er im selben Subnetz ist: 10.11.20.10). Dann muss beim Client als DNS-Server ebenfalls noch der AD-Server (10.11.20.100) eingetragen werden. Gateway braucht es nicht.

8.6. Verschiedene Login-Möglichkeiten Beispiel Beschreibung

[COMPUTERNAME]\Admin macherclient\admin

Windows 10 Login mit lokalem Administratorenkonto

[COMPUTERNAME]\Administrator adsrvmo\Administrator

Server 2012 Login mit lokalem Administratorenkonto

[email protected] Administrator-Login auf der Domäne. Wichtig: Es muss @macher.local eingegeben werden, auch wenn eine automatische Abmeldung stattgefunden hat, ist der Benutzer mit der Domäne /MACHER gespeichert, was nicht zu gehen scheint. Dann bei diesem Account ebenfalls @macher.local eingeben und mit dem Passwort geht’s dann.

8.7. Computername mit IP-Adresse herausfinden nbtstat -A [IP-ADRESSE]