Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?
Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller – Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, mehr Details
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte / Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopbackverarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008/2012/R2
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2012 R2-Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Active Directory Best Practice Analyzer
Pfeil 8.13 Der Active Directory-Papierkorb
Pfeil 8.13.1 Voraussetzungen
Pfeil 8.13.2 Active Directory-Papierkorb aktivieren
Pfeil 8.13.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.13.4 Wiederherstellen mit der PowerShell
Pfeil 8.14 Active Directory-Verwaltungscenter
Pfeil 8.14.1 Kennwort zurücksetzen
Pfeil 8.14.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.14.3 Navigieren und filtern
Pfeil 8.14.4 Neuanlegen von Objekten
Pfeil 8.14.5 Navigationsknoten und mehrere Domänen
Pfeil 8.14.6 Technik im Hintergrund und Voraussetzungen
Pfeil 8.15 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.16 Active Directory-Modul für Windows-PowerShell
Pfeil 8.17 Offline-Domänenbeitritt

Rheinwerk Computing - Zum Seitenanfang

8.7 Das Active Directory aus der Client-PerspektiveZur nächsten Überschrift

Das Active Directory ist nicht nur auf dem Server sichtbar, sondern hat diverse Auswirkungen auf den Client. Zunächst muss der Client Mitglied der Domäne werden. Dann authentifiziert er sich am Active Directory, bekommt Einstellungen per Gruppenrichtlinien und vieles andere mehr.

Diese Themen sind zum Teil behandelt worden, zum Teil handelt es sich aber auch eher um Themen für ein Client-Buch (z. B. für Fragen wie »Mit welchen Gruppenrichtlinien kann ich den Client optimal konfigurieren?«). In diesem Abschnitt möchte ich zwei Aspekte ansprechen, die mir für das »Zusammenleben« von Clients und dem Active Directory wichtig erscheinen.

Zunächst wird es um den Zugriff auf das Active Directory bzw. um Störfaktoren gehen. Danach zeige ich Ihnen, was Sie Ihren Benutzern zeigen sollten, nämlich wie man aus dem Active Directory als Mensch Informationen gewinnen kann.


Rheinwerk Computing - Zum Seitenanfang

8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?« Zur nächsten ÜberschriftZur vorigen Überschrift

In diesem Abschnitt geht es nicht darum, ob der Client das Active Directory hübsch bunt oder eher trist findet, sondern darum, wie er beispielsweise einen Domänencontroller und einen globalen Katalogserver identifiziert.

Der wichtigste Hilfsdienst für das Active Directory ist DNS, das Domain Name System. Es dient aber nicht nur zur Auflösung der Servernamen in IP-Adressen, sondern wird auch verwendet, um Dienste zu finden. Auf diese Weise können Clients (oder auch Server) Domänencontroller, globale Katalogserver und anderes finden. Um diese Dienste zu finden, sind im DNS Einträge zur Dienstidentifizierung (Service Locator Records) vorhanden. Diese sehen Sie in Abbildung 8.183.

Es ist demnach extrem wichtig, dass die DNS-Einträge bei den Clients sorgfältig konfiguriert sind. Grundsätzlich ist es egal, ob das manuell oder per DHCP geschieht – wichtig ist nur, dass es geschieht.

Es ist möglich, zwei DNS-Server einzutragen, was Sie auch tun sollten. Selbst wenn an einem Standort nur ein DNS-Server vorhanden ist, ist es besser, dass der Client einen über WAN-Verbindungen erreichbaren DNS-Server kennt, als dass er völlig ohne Namensauflösung dasteht.

Abbildung

Abbildung 8.183 Die Clients finden das Active Directory über DNS-Abfragen. Hierzu verfügt der DNS-Server über Einträge zur Dienstidentifizierung.

Wenn die Auflösung von Netzwerknamen auf dem »normalen Wege« nicht gelingt, versuchen die Windows-Clients den Namen auf andere Weise aufzulösen, beispielsweise durch Broadcasting. Die verzweifelten Versuche eines Windows-Clients, vielleicht doch noch den Namen aufzulösen, kosten Netzwerkkapazität (was heutzutage nicht mehr so dramatisch ist), machen den PC langsam (was sehr lästig ist) und führen zu nicht reproduzierbaren und folglich schwer zu diagnostizierenden Effekten (GAU). Besser ist, wenn direkt alles richtig und mit Redundanzen konfiguriert wird.

Ich kann Sie an dieser Stelle nur sehr eindringlich auffordern, das Thema Namensauflösung sehr, sehr ernst zu nehmen!


Rheinwerk Computing - Zum Seitenanfang

8.7.2 Das Active Directory durchsuchen Zur nächsten ÜberschriftZur vorigen Überschrift

Die Informationen, die im Active Directory gespeichert sind, sind nicht nur für Administratoren, die das Netz verwalten, oder für Computer interessant, die ihre Gruppenrichtlinien abrufen, sondern auch für den »normalen Benutzer«.

In einem gut gepflegten Active Directory sind sicherlich die Benutzerkonten mit Kontaktdaten versehen. Das Active Directory kann also die gute alte gedruckte Telefonliste ersetzen. Abbildung 8.184 zeigt, wie man mit dem ab Windows Vista enthaltenen Werkzeug das Active Directory durchsuchen kann. (Die Vorgängerversionen von Vista hatten dieses Utility übrigens auch an Bord.)

Abbildung

Abbildung 8.184 Die Anwender können das Active Directory durchsuchen und Details zu den gefundenen Objekten anzeigen lassen.

Nach der Eingabe des Nachnamens wird das Verzeichnis durchsucht, und die Ergebnisse werden angezeigt – einfacher geht es kaum. Jenseits dieses fertigen Werkzeugs können Entwickler mit sehr geringem Aufwand auf das Active Directory zugreifen und beispielsweise ein webbasiertes Firmenadressbuch programmieren, das seine Daten aus dem AD zieht. Für .NET-Entwickler sei in diesem Zusammenhang auf den Namespace System.DirectoryServices verwiesen.

Auch das Suchen nach Ressourcen ist möglich, wobei in diesem Zusammenhang unter Ressourcen primär Drucker und Fileshares zu verstehen sind. Abbildung 8.185 zeigt das Suchen von Druckern im Active Directory: Der Benutzer kann gesuchte Funktionen definieren, beispielsweise Farbig drucken und Beidseitig drucken. Das Active Directory wird entsprechende Drucker heraussuchen, und der Anwender kann sich – vorausgesetzt, er hat die notwendigen Rechte – mit dem Drucker verbinden.

Abbildung

Abbildung 8.185 Auch Ressourcen, wie beispielsweise Drucker, können im Active Directory gesucht und gefunden werden.

Neben diesen einfachen Beispielen sind noch viele andere Möglichkeiten der Active Directory-Integration denkbar. Active Directory kann und soll als Verzeichnisdienst eine zentrale »Informationssammelstelle« sein – je mehr Applikationen diese Möglichkeit nutzen, desto besser für alle:

  • Ein Administrator muss nicht mehrere Benutzerdatenbanken pflegen.
  • Die Benutzer freuen sich über aktuelle Benutzerdaten, Single Sign-on und dergleichen mehr.
  • Für Applikationsentwickler entfällt die lästige Notwendigkeit, eine eigene Benutzerverwaltung programmieren zu müssen.

Rheinwerk Computing - Zum Seitenanfang

8.7.3 Individuelle Erweiterungen Zur vorigen Überschrift

Das Active Directory kann in viele Richtungen erweitert werden, beispielsweise auch durch individuelle Verwaltungswerkzeuge. Ich habe unter anderem für einen großen Kunden, bei dem die Leiter der Fachabteilungen selbst die Gruppenzuweisungen vornehmen sollen, eine kleine Applikation entwickelt, die einem solchen Benutzer das Bearbeiten der Gruppenmitgliedschaften ermöglicht (Abbildung 8.186).

Solche Werkzeuge können mit .NET-Technologie recht zügig entwickelt werden und haben in den Unternehmen einen hohen Nutzwert.

Abbildung

Abbildung 8.186 Ein Beispiel für die Active Directory-Integration ist dieses ASP.NET-Werkzeug für die Bearbeitung von Gruppenrichtlinien, das ich für einen Kunden erstellt habe.


Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück



Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365

Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V

Zum Rheinwerk-Shop: Linux-Server






 Linux-Server

Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5

Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren

 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo