70-640 Konfigurieren von Active Directory

Windows Server 2008

Autor Simon GattnerAutor Website http://gattner.name/simon

Dokument Name 70-640.doc

Dokument Titel Konfigurieren von Active DirectoryWindows Server 2008 (R2)

Dokument URL http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-640.dochttp://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-640.pdfhttp://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-640.html

Dokument Datum 21.01.11Dokument Namen, Eigennamen

$Befehle, ~Dateinamen

Active Directory-DomänendiensteActive Directory-Domänendienste (Active Directory Domain Services, AS DS) stellen die Funktionalität einer Identitäts- und Zugriffslösung (Identity and Access, IDA) für Organisationsnetzwerke bereit.

Active Directory Identität und ZugriffIDA ist für die Aufrechterhaltung der Sicherheit von Organisationsressourcen wie beispielsweise Dateien, E-Mails, Anwendungen und Datenbanken unerlässlich.IDA-Infrastruktur sollte folgendes leisten:

• Speichern von Informationen zu Benutzern, Gruppen, Computern und anderen Identitäten – Identität kann im weitesten Sinne als Darstellung einer Entität beschrieben werden, die Aktionen in einem Organisationsnetzwerk ausführt. Zum Beispiel möchte ein Benutzer ein Dokument in einer Freigabe öffnen. Das Dokument wir mit einer Zugriffssteuerungsliste (Access Control List, ACL) geschützt. Der Zugriff auf das Dokument wird vom Server über ein Sicherheitssubsystem verwaltet, wobei ein Vergleich der Benutzeridentität mit den in der ACL aufgeführten Identitäten vorgenommen wird, um zu ermitteln, ob der Zugriffsanforderung des Benutzers stattgegeben wird.Computer, Gruppen, Dienste und andere Objekte führen ebenfalls Aktionen im Netzwerk aus und müssen durch Identitäten dargestellt werden.Zur Identität gespeicherten Informationen umfassen Eigenschaften, die das Objekt eindeutig kennzeichnet, wie beispielsweise ein Benutzername oder eine Sicherheitserkennung (Security Identifier, SID) sowie Kennwort für die Identität. Daher ist der Identitätsspeicher eine Komponente einer IDA-Infrastruktur.Active Directory-Datenspeicher, auch Verzeichnis, ist ein Identitätsspeicher.Das Verzeichnis an sich wird auf einem Domänencontroller, einem Server der die AD DS-Rolle ausführt, gehostet und verwaltet.

• Authentifizierung einer Identität – Benutzer bekommen nur dann Zugriff auf Dokumente, wenn er die Gültigkeit der in der Zugriffsanforderung vorgelegten Identität bestätigt bekommt.Um die Identität zu bestätigen, stellt der Benutzer geheime Informationen bereit, die nur ihm und der IDA-Infrastruktur bekannt sind.Diese geheimen Informationen werden durch einen Prozess, der als Authentifizierung bezeichnet wird, mit den im Identitätsspeicher vorhandenen Informationen verglichen.

• Zugriffssteuerung – IDA-Infrastruktur ist für den Schutz vertraulicher Informationen, wie zum Beispiel die in den Dokumenten gespeicherten Daten, zuständig.Zugriff auf die Informationen muss in Übereinstimmung mit den Unternehmensrichtlinien verwaltet werden.Mit einer ACL für Dokumente wird eine Sicherheitsrichtlinie implementiert, die aus Berechtigungen besteht, die Zugriffsebenen für bestimmte Identitäten festlegt. Die Zugriffssteuerungsfunktion in der IDA-Infrastruktur wird zum Beispiel über das Sicherheitssubsystem des Servers ausgeführt.

• Bereitstellen eines Audit-Trails – Falls ein Unternehmen Änderungen an und Aktivitäten innerhalb der IDA-Infrastruktur überwachen möchte, ist die Bereitstellung eines Verwaltungsmechanismus für die Überwachung erforderlich.

Authentifizierung einer Identität wird in einer Active Directory-Domäne über das Kerberos-Protokoll geregelt. Wenn ein Benutzer sich an einer Domäne anmeldet, führt Kerberos eine Authentifizierung der Benutzeranmeldungsinformationen durch und gibt ein Informationspaket aus, das als ticketerteilendes Ticket (Ticket Granting Ticket, TGT) bezeichnet wird. Bevor der Benutzer zur Dokumentanforderung eine Verbindung mit dem Server herstellt, wird eine Kerberos-Anforderung an den Domänencontroller gesendet, gemeinsam mit dem TGT, das den authentifizierten Benutzer identifiziert. Der Domänencontroller gibt für den Benutzer ein weiteres Informationspaket aus, ein sogenanntes Dienstticket, das den authentifizierten Benutzer gegenüber dem Server identifiziert. Der Benutzer legt das Dienstticket beim Server vor, der das Dienstticket als Beweis der Benutzerauthentifizierung annimmt.Diese Kerberos-Transaktionen werden in einer einzelnen Netzwerkanmeldung zusammengefasst. Nachdem der Benutzer sich das erste Mal angemeldet hat und ihm ein TGT gewährt wurde, ist er innerhalb der gesamten Domäne authentifiziert, und ihm können Diensttickets gewährt werden, die ihn gegenüber jedem beliebigen Dienst identifizieren.Die gesamte Ticketaktivität wird durch die in Windows integrierten Kerberos-Clients und -Dienste verwaltet.

Active Directory umfasst fünf Technologien, die eine vollständige IDA-Lösung bieten

• Active Directory-Domänendienste (Identität)o AD DS stellt ein zentrales Repository für die Identitätsverwaltung

innerhalb einer Organisation.o AD DS bietet Authentifizierungs- und Autorisierungsdienste in einem

Netzwerk und unterstützt Objektverwaltung über Gruppenrichtlinien.o AD DS verfügt über Informationsverwaltungs- und Freigabedienste

wodurch Benutzer mit Suchläufen im Verzeichnis beliebige Komponenten wie Dateiserver oder Drucker ermitteln können.

• Active Directory Lightweight Directory Services (Anwendung)o AD LDS (Active Directory Leightweight Directory Services) oder auch

Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM) bietet Unterstützung für Verzeichnisfähige Anwendungen.

o AD LDS sind eine Untergruppe der AD DSo AD LDS speichern und replizieren ausschließlich

Anwendungsbezogene Informationen.o AD LDS ermöglicht die Bereitstellung von Benutzerdefinierten

Schemas.o AD LDS unterstützt mehrere Datenspeicher auf einem System, sodass

jede Anwendung mit eigenem Verzeichnis, Schema, Lightweight Directory Access Protocoll (LDAP), SSL-Port und Anwendungsprotokoll bereitgestellt werden kann.

o AD LDS basieren nicht auf AD DS und können deshalb in einer Eigenstständigen- oder Arbeitsgruppenumgebung eingesetzt werden.

o AD LDS kann AD DS für Benutzer- und Computeridentifizierung in Domänenumgebungen verwenden.

o AD LDS kann für die Bereitstellung von Authentifizierungsdiensten in verfügbaren Netzwerken, z.B. Extranets verwendet werden.

• Active Directory-Zertifikatdienste (Vertrauensstellung)o Active Directory-Zertifikatdienste (Active Directory Certificate Service,

AD CS) kann zum einrichten einer Zertifizierungsstelle verwendet werden.

o AD CS stellt eine Infrastruktur für öffentliche Schlüssel (Public Key Infrastrukture, PKI) bereit.

o AD CS kann mit CA (Certification Authority) verknüpft werden um externen Communities Identität zu bestätigen.

• Active Directory-Rechteverwaltungsdienst (Integrität)o Active Directory-Rechteverwaltungsdienst (Right Management Service,

AD RMS) ermöglicht die Implementierung von Verwendungsrichtlinien über die zulässige Nutzung definiert wird.

o AD RMS kann die Integrität von bereitgestellten Daten feststellen.o AD RMS können die AD DS zum Einbetten von Zertifikaten in

Dokumente und in den AD DS sowie für die Zugriffsverwaltung verwenden.

• Active Directory-Verbunddienste (Partnerschaft)

o Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) kann eine Organsiation IDA auf mehrere Plattformen ausweiten und Identitäts- und Zugriffsrechte über Sicherheitsgrenzen hinweg an vertrauenswürdige Partner weitergeben.

o AD FS unterstützt Partnerschaften unterschiedlicher Organisationen die gemeinsame Nutzung von Extranetanwendungen ermöglicht, während die Organisation auf die eigene interne AD DS-Struktur zurückgreift, um das eigentliche Authentifizierungsverfahren bereitzustellen.

o AD FS können mit AD CS vertrauenswürdige Server erstellen und mit der AD RMS externen Schutz für Eigentum bereitstellen.

o AD FS unterstützt in Verbundsnetzwerken einmalige Webanmeldetechnologien wie SSO (Single-Sing-On).

Active Directory bietet neben IDA• Schemas

o Schemas sind Regelsätze die Objektklassen und Attribute definieren, die im Verzeichnis enthalten sein können.

o Benutzerobjekte die Benutzernamen und Kennwort umfassen, werden über das Schema der Objektklasse user definiert.

• Richtlinieno Richtlinien sind beispielsweise Gruppenrichtlinien,

Überwachungsrichtlinien oder Kennwortrichtlinien.o Richtlinienbasierte Verwaltung verringert den Verwaltungsaufwand,

besonders in komplexen und großen Netzwerken.• Replikationsdienste

o Replikationsdienste helfen Verzeichnisdaten über das Netzwerk zu verteilen.

o Replikationsdienste umfassen sowohl den Datenspeicher als auch das Implementieren von Richtlinien und Konfigurationen, Anmeldescript eingeschlossen.

o In einer als globalen Katalog (oder auch Teilattributsatz) bezeichneten Partition im Datenspeicher sind Informationen zu jedem Objekt im Verzeichnis enthalten.

o Programmierschnittstellen wie beispielsweise ADSI (Active Directory Services Interface) und Protokolle wie LDAP können zum lesen und bearbeiten des Datenspeichers genutzt werden.

o Active Directory-Datenspeicher kann Anwendungen unterstützen die nicht direkt mit AD DS in Verbindung stehen.

o Datenbanken, wie zum Beispiel die des DNS-Dienstes, können als Anwendungspartition im AD DS verwaltet werden und mit Hilfe des Active Directory-Replikationsdienstes repliziert werden.

Active Directory-Infrastruktur Komponenten• Active Directory-Datenspeicher – In diesem Datenspeicher der auf dem

Domänencontroller gehostet wird, speichert die AD DS ihre Identitäten.Bei dem Verzeichnis handelt es sich um eine Datei Namens Ntds.dit, die im Standardverzeichnis %SystemRoot%\Ntds auf dem Domänencontroller gespeichert wird.Die Datenbank wird in mehrere Partitionen gegliedert: Schema, Konfiguration, globale Katalog und Domänennamenkontext (Daten zu Objekten innerhalb der Domäne wie zum Beispiel Benutzer, Gruppen und Computer).

• Domänencontroller – DCs sind Server, welche die AD DS-Rolle ausführen. Als teil der Rolle führen sie ebenfalls den Kerberos-Schlüsselverteilgscenter-Dienst (Key Distribution Center, KDC) aus, der Authentifizierung und andere Active Directory-Dienste ausführt.

• Domäne – Zum erstellen einer AD-Domäne ist mindestens ein Domänencontroller notwendig.Domänen sind Verwaltungseinheiten, innerhalb derer bestimmte Funktionen und Eigenschaften freigegeben sind.Domänen umfassen bestimmte Verwaltungsrichtlinien wie beispielsweise die Kennwortkomplexität und Kontosperrungsrichtlinien. Solche Richtlinien die innerhalb einer Domäne gespeichert sind, haben Auswirkungen auf alle Konten in der Domäne und werden auf jedem Domänencontroller repliziert.

• Gesamtstruktur – ist eine Sammlung einer oder mehrerer Active Directory-Domänen.Die erste Domäne in einer Gesamtstruktur installiert, wird als Gesamtstruktur-Stammdomäne bezeichnet.In einer Gesamtstruktur ist eine einzelne Netzwerkkonfigurationsdefinition sowie eine einzelne Instanz des Verzeichnisschemas enthalten.Gesamtstrukturen sind einzelne Instanzen eines Verzeichnisses.Gesamtstrukturen stellen eine Sicherheitsgrenze dar, da Daten von Active Directory nicht außerhalb der Gesamtstruktur repliziert werden.

• Struktur – DNS-Namespace von Domänen erstellt Strukturen innerhalb einer Gesamtstruktur.Domänen die untergeordnete Domänen einer anderen Domäne sind, werden wie die Domäne selbst als Struktur betrachtet.Die Gesamtstruktur example.org mit den Domänen example.org und berlin.example.org, stellen eine einzelne Struktur da, da beide im gleichen DNS-Namespace liegen.Die Gesamtstruktur example.org mit den Domänen example.org und gedit.net stellen zwei Strukturen dar, da beide Domänen nicht im gleichen DNS-Namespace liegen.Strukturen sind das direkte Ergebnis der für die Domänen in der Gesamtstruktur vergebenen DNS-Namen.

• Funktionsebenen – sind AD DS-Einstellungen, die erweiterte domänen- oder gesamtstrukturweite AD DS-Features aktivieren.Drei Domänenfunktionsebenen: Windows 2000 einheitlich, Windows Server 2003 und Windows Server 2008Zwei Gesamtstrukturfunktionsebenen: Microsoft Windows Server 2003 und Windows Server 2008

• Organisationseinheiten – Active Directory ist eine hierarchische Datenbank. Objekte im Datenspeicher können in Containern gesammelt werden. Bei einem Containertyp handelt es sich um die Objektklasse container.Active Directory hat folgende Standardcontainer in Active Directory-Benutzer und –Computer: Users, Computers, Builtin und Organisationseinheit.Organisationseinheit (Organizational Unit, OU) bietet nicht nur einen Container für Objekte, sondern darüber hinaus Möglichkeiten zum Verwalten der Objekte.OUs sind mit Gruppenrichtlinienobjekten (Group Policy Object, GPO) verknüpft.GPOs können Konfigurationseinstellungen enthalten, die von Benutzern oder Computern in einer OU automatisch angewendet werden.

• Standorte – sind Objektklassen die als site bezeichnet werden.Active Directory-Standorte sind Objekte, das ein Teil des Unternehmens mit einer guten Netzwerkkonektivität repräsentiert.Standorte bilden Replikations- und Dienstnutzungsgrenzen.Replikationen innerhalb eines Standorts werden in Sekunden schnelle durchgeführt.Replikationen zwischen Standorten werden in der Annahme einer langsamen, teueren und unzuverlässigen Verbindung durchgeführt.Clients beanspruchen Dienste nach folgender Hierarchie: eigener Standort, nächstligender, anderer Standort.

Active Directory Installation

Active Directory-Domänencontroller installieren und konfigurieren

• Domänen- und DNS-Name (FQDN und NetBIOS-Name)• Funktionsebene (DCs Microsoft Windows Versionen)• DNS-Unterstützung (AD DNS-Dienst oder Drittanbieter)• IP-Konfiguration (statische IP-Adressen, Subnetzmasken, DNS-Server)• Benutzernamen und Kennwörter• Verzeichnis des Datenspeichers

$netsh interface ipv4 set address name=“<Adaptername>“ source=static address=<IP-Adresse> mask=<Subnetmask> gateway=<Standardgateway>$netsh interface ipv4 set dns name=”<Adaptername>” source=static address=<IP-Adresse> primary$ipconfig /all$shutdown -r -t 0

$netdom join %computername% / domain: <Domänenname>$shutdown -r -t 0

$oclist$ocsetup DNS-Server-Core-Role

$dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:<Domänenname> /ConfirmGC:Yes /UserDomain:<Domänenname> /UserName:<Domänenbenutzername> /Password:<Passwort> /safeModeAdminPassword:<Passwort>

$mmc servermanager.msc -> Rollen -> Rollen hinzufügen -> Active Directory-Domänendienste$dcpromo

Windows 2008 Server CoreSystemvoraussetzungen

• Min. 3GB Festplattenspeicher• Min. 256MB RAM

Serverrollen• Active Directory-Domänendienste• Active Directory Lightweight Directory Services (AD LDS)• DHCP-Server (Dynamic Host Configuration Protocol)• DNS-Server• Dateidienste• Druckserver• Streaming Media-Dienste• Webserver (IIS als statischer Webserver – kein ASP.NET)• Hyper-V (Windows Server-Virtualisierung)

Features• Microsoft Failovercluster• Netzwerklastenausgleich• Subsystem für UNIX-basierte Anwendungen• Windows-Sicherung• Multipfad-E/A• Wechselmedienverwaltung• Windows Bitlocker-Laufwerksverschlüsselung• Simple Network Managment-Protokoll (Simple Network Management

Protocol, SNMP)• WINS (Windows Internet Name Services)• Telnet-Client

Quality of Services (QoS)

Active Directory VerwaltungMicrosoft Management Console Snap-Ins für die Active Directory-Verwaltung:$mmc dsa.msc Active Directory-Benutzer und –Computer$mmc dssite.msc Active Directory-Standort und –Dienste$mmc domain.msc Active Directory-Domänen und –Vertrauensstellungen$mmc dsac.msc Active Directory-Verwaltungscenter

MMC muss als Administrator ausgeführt werden.MMC kann auch benutzerdefinierte Konsolen erstellen und speichern.MMC kann mit Hilfe von Datei -> Snap-In hinzufügen/entfernen Konsolen-Snap-Ins hinzufügen und entfernen.MMC kann benutzerdefinierte Konsolen in verschiedenen Modi abspeichern unter Datei -> Optionen

• Autorenmodus (Anpassungen der Konsole sind erlaubt)• Benutzermodus – Vollzugriff (Konsolennavigation aller Snap-Ins erlaubt,

Snap-In hinzufügen/entfernen und Eigenschaften gesperrt)• Benutzermodus – beschränkter Zugriff, mehrere Fenster

(Konsolennavigation nur in vorhandenen Snap-Ins erlaubt, kein neues Fenster öffnen erlaubt, mehrere Fenster vordefiniert)

• Benutzermodus – beschränkter Zugriff, Einzelfenster (Konsoltennavigation nur im angezeigten Fenster)

MMC die nicht im Autorenmodus gespeichert sind, können nur vom Ursprungsautoren verändert werden.MMC werden mit der Dateienerweiterung .msc standardmäßig in %userprofile%\Anwendungsdaten\Roaming\Microsoft\Windows\Startmenü gespeichert und im Startmenü unter Verwaltung angezeigt.MMC Snap-Ins sind Windows-Verwaltungstools die zu einem MMC hinzugefügt werden können.MMC Snap-Ins die in einer Konsole angezeigt werden, funktionieren nur, wenn sie auch installiert sind.MMC Active Directory-Remoteverwaltung benötigt das Feature RSAT-Snap-In, falls der Remote-Client kein Domänencontroller ist. RSAT findet sich im Knoten Features im Server-Manager oder muss für Windows Vista und Windows 7 bei Microsoft heruntergeladen werden. RSAT unterstützt Windows ab Vista SP1.

Active Directory definierte NamenActive Directory definierte Namen (Distinguished Names, DNs) sind eine Art Pfad zu einem Objekt in Active Directory.DNs sind im Gegensatz zu RDNs (Relative Distinguished Names) volle Pfadangaben.DNs sind jedem Objekt im Active Directory zugeordnet.DNs sind unterteilt in:

• CN (Common Name)• OU (Organisation Unit)• DC (Domain Component)

"CN=Simon Gattner,OU=berlin,OU=personal,DC=foo,DC=local"

Active Directory ObjekteObjekte können von Active Directory in sogenannten OUs (Organisationseinheiten) zusammengefasst und gesammelt werden.OUs (Organisationseinheiten) sind Sammlungen von Objekten die unter dem Gesichtspunkt der Verwaltung zusammengehören.OUs dienen als Verwaltungscontainer dazu eine Verwaltungshierachie bereitzustellen.OUs enthalten Gruppenobjekte in denen wiederum Benutzerobjekte zusammengefasst werden denen Berechtigungen für Ressourcen erteilt werden.

$mmc dsa.msc -> <(Domänen-)Knoten> -> Neu -> Organisationseinheit$mmc dsa.msc -> <(Domänen-)Knoten> -> <Organisationseinheit> -> Eigenschaften

$mmc dsa.msc -> <(Domänen-)Knoten> -> < Organisationseinheit > | <Container-Name> -> Neu -> Benutzer -> Neues Objekt – Benutzername

$mmc dsa.msc -> <(Domänen-)Knoten> -> < Organisationseinheit > | <Container-Name> -> Neu -> Gruppe -> Neues Objekt – Gruppe

$mmc dsa.msc -> <(Domänen-)Knoten> -> < Organisationseinheit > | <Container-Name> -> Neu -> Computer -> Neues Objekt – Computer

OUs delegieren und verwalten mit dem Assistenten zum Zuweisen der Objektverwaltung.Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf eine Organisationseinheit klicken und die Option Objektverwaltung zuweisen wählen, um den Assistenten zum Zuweisen der Objektverwaltung zu starten.

$mmc dsa.msc -> <Organisationseinheit> -> Objektverwaltung zuweisen -> Assistent zum Zuweisen der Objektverwaltung

Aufgaben deren Verwaltung delegiert werden kann:

• Erstellt, entfernt und verwaltet Benutzerkonten• Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der

nächsten Anmeldung• Liest alle Benutzerinformationen• Erstellt, löscht und verwaltet Gruppen• Ändert die Mitgliedschaft einer Gruppe• Fügt einen Computer einer Domäne hinzu• Verwaltet Gruppenrichtlinien-Verknüpfungen• Richtlinienergebnissatz erstellen (Planung)• Richtlinienergebnissatz erstellen (Protokollierung)• Erstellt, löscht und verwaltet Konten für inetOrgPerson• Setzt Kennwörter für inetOrgPerson zurück und erzwingt Kennwortänderung

bei der nächsten Anmeldung• Liest alle Informationen für inetOrgPerson

OUs löschen – müssen folgende zwei Schritte durchgeführt werden, da Microsoft mit Server 2008 eine neue Option (Objekte vor zufälligem löschen Schützen) eingeführt hat und sonst eine Meldung „Sie haben nicht die erforderliche Berechtigung“ erscheint:

$mmc dsa.msc -> Ansicht -> Erweiterte Features$msc dsa.msc -> <OU-Name> -> Eigenschaft -> Objekte vor zufälligem löschen Schützen (deaktivieren)

OUs suchen und finden:• Erteilen von Berechtigungen bei Ordnern oder Dateien benötigt Gruppen

oder Benutzer• Hinzufügen von Mitgliedern zu einer Gruppe können Objekte sein wie:

Benutzer, Computer, Gruppen oder alle drei dieser Objekte• Erstellen von Verknüpfungen bezieht sich auf ein Objekt. Beispiele für

Verknüpfungen sind Gruppen oder das Attribut Verwaltet von• Suchen eines Objekts kann sich auf jedes beliebige Objekt einer Active

Directory-Domäne beziehen

$mmc dsa.msc -> Aktion -> Suchen$mmc dsa.msc -> Ansicht -> Filter

$%windir%\system32\dsac.exe Active Directory Verwaltungscenter

$dsquery$dsquery user -name <Benutzername> (Wildcards wie * sind erlaubt)

$dsquery user -name *simon*"CN=Simon Gattner,OU=berlin,OU=personal,DC=foo,DC=local" "CN=Patrizia Simons,OU=Abteilungsleiter,OU=stuttgart, OU=personal,DC=foo,DC=local"

$dsquery /?Beschreibung: Die Befehle dieser Toolsammlung ermöglichen Ihnen, das Verzeichnis laut angegebenen Suchkriterien zu durchsuchen. Jeder der folgenden dsquery-Befehle sucht nach Objekten eines bestimmten Objekttyps; nur dsquery * sucht nach allen Objekttypen:

dsquery computer - Sucht nach Computern im Verzeichnis.dsquery contact - Sucht nach Kontakten im Verzeichnis.dsquery subnet - Sucht nach Subnetzen im Verzeichnis.dsquery group - Sucht nach Gruppen im Verzeichnis.dsquery ou - Sucht nach Organisationseinheiten im Verzeichnis.dsquery site - Sucht nach Standorten im Verzeichnis.dsquery server - Sucht nach Active Directory-Domänencontrollern/ LDS-Instanzen im Verzeichnis.dsquery user - Sucht nach Benutzern im Verzeichnis.dsquery quota - Sucht nach Spezifikationen für Datenträgerkontingente im Verzeichnis.dsquery partition - Sucht nach Partitionen im Verzeichnis.dsquery * - Sucht mit einer Standard-LDAP-Abfrage nach Objekten im Verzeichnis.

Geben Sie zum Anzeigen einer bestimmten Befehlsyntax

"dsquery <Objekttyp> /?" ein, wobei <Objekttyp> einer der oben angezeigtenObjekttypen ist, Beispiel: dsquery ou /?.

Anmerkungen:Die dsquery-Befehle ermöglichen Ihnen, nach Objekten im Verzeichnislaut angegebenen Suchkriterien zu suchen: die Eingabe bei dsquery istein Suchkriterium und die Ausgabe eine Liste der übereinstimmendenObjekte. Verwenden Sie die dsget-Befehle (dsget /?), um dieEigenschaften eines bestimmten Objekts abzurufen.

Die Ergebnisse eines dsquery-Befehls können als Eingabe an eines deranderen Verzeichnisdienst-Befehlszeilentools wie dsmod, dsget, dsrm oder dsmove weitergeleitet werden.

Kommas, die nicht als Trennzeichen in definierten Namen verwendet werden,müssen einem umgekehrten Schrägstrich folgen ("\") (z.B."CN=Firma\, GmbH,CN=Benutzer,DC=microsoft,DC=com").

Umgekehrte Schrägstriche in definierten Namen müssen einem umgekehrten Schrägstrich folgen (z.B."CN=Verkauf\\Südamerika,OU=Verteilerlisten,DC=microsoft,DC=com").

Beispiele:Der folgende Befehl sucht nach allen Computern, die in den letzten vierWochen nicht aktiv waren und entfernt diese aus dem Verzeichnis:

dsquery computer -inactive 4 | dsrm

Der folgende Befehl sucht nach allen Organisationseinheiten"ou=Marketing,dc=microsoft,dc=com" und fügt diese derMarketingmitarbeitergruppe hinzu:

dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group"cn=Marketingmitarbeiter,ou=Marketing,dc=microsoft,dc=com" -addmbr

Der folgende Befehl sucht nach allen Benutzern, deren Namen mit "Jens"beginnen, und zeigt deren Büronummern an:

dsquery user -name Jens* | dsget user -office

Verwenden Sie den Befehl "dsquery *" um einen zufälligen Attributsatzeines angegebenen Objekts im Verzeichnis anzuzeigen. Der folgenden Befehlzeigt den SAM-Kontonamen, Benutzerprinzipalnamen und Abteilungsattributedes Objekts mit DN gleich ou=Test,dc=microsoft,dc=com an:

dsquery * ou=Test,dc=microsoft,dc=com -scope base-attr sAMAccountName userPrincipalName department

Folgender Befehl zeigt alle Attribute des Objekts mit DN gleichou=Test,dc=microsoft,dc=com an:

dsquery * ou=Test,dc=microsoft,dc=com -scope base -attr *

Hilfe der Verzeichnisdienst-Befehlszeilentools:dsadd /? - Zeigt die Hilfe für das Hinzufügen von Objekten an.dsget /? - Zeigt die Hilfe für das Anzeigen von Objekten an.dsmod /? - Zeigt die Hilfe für das Bearbeiten von Objekten an.dsmove /? - Zeigt die Hilfe für das Verschieben von Objekten an.dsquery /? - Zeigt die Hilfe für das Suchen von Objekten an, die mit den Suchkriterien übereinstimmen.dsrm /? - Zeigt die Hilfe für das Löschen von Objekten an.

Active Directory Objekte Delegierung und SicherheitDelegierung der administrativen Steuerung, auch Objektverwaltung oder einfach Delegierung genannt, bezeichnet die Zuweisung von Berechtigungen, über die der Zugriff auf Objekte und Eigenschaften im Active Directory verwaltet wird.Delegierung dient beispielsweise dazu dem Helpdeskteam administrative Aufgaben zu übertragen.

Delegierung erfolgt über die Zugriffssteuerungsliste (Access Control List, ACL) für Active Directory Objekte.Delegierung greift dabei auf die Zugriffssteuerungseinträge (Access Control Entry, ACE), die Berechtigungen für ein Objekt zu, die Benutzern, Gruppen oder Computern (Sicherheitsprinzipale) zugewiesen werden.

$mmc dsa.msc -> Ansicht -> Erweiterte Features (Falls die Registrierkarte Sicherheit [ACL] nicht angezeigt wird)$mmc dsa.msc -> <Objekt-Name> -> Eigenschaften -> Sicherheit (ACL)

ACEs werden in der freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL) des Objekts gespeichert.

$mmc dsa.msc -> <Objekt-Name> -> Eigenschaften -> Sicherheit -> Erweitert -> Erweiterte Sicherheitseinstellungen -> Berechtigungen -> <DACL-Eintrag> -> Bearbeiten (vollständige Liste der ACEs)

DACL ist ein Teil der ACL des Objekts, die darüber hinaus auch die Systemzugriff-Steuerungsliste (System Access Control List, SACL) umfasst, welche in den Überwachungseinstellungen bereitgestellt werden.DACLs können bestimmte Eigenschaften (Eigenschaftssätze) eines Objekst Berechtigungen zuweisen.Berechtigungen zum Ändern von Telefon- und E-Mail-Optionen oder Zurücksetzen von Kennwörtern können beispielsweise zugelassen oder verweigert werden.

$mmc dsa.msc -> <Objekt-Name> -> Eigenschaften -> Sicherheit -> Erweitert -> Erweiterte Sicherheitseinstellungen -> Berechtigungen (DACL)

Berechtigungen können für einzelne Benutzerobjekte zugewiesen werden. Im Normalfall werden Berechtigungen Organisationseinheiten (OUs) zugewiesen.Berechtigungen die OUs zugewiesen werden, werden an alle Objekte innerhalb dieser OU vererbt.Berechtigungen werden automatisch vererbt wenn die standardmäßig aktiviert Option Vererbbare Berechtigungen des übergeordneten Objektes einschließen aktiviert ist beim erstellen neuer Objekte.Vererbbare Berechtigungen können generell über das deaktivieren obiger Option oder für einzelne Berechtigungen, durch das zuweisen derselben Berechtigung im untergeordneten Objekt aufgehoben werden.Berechtigungen im untergeordneten Objekt haben immer Vorrang vor Berechtigungen des übergeordneten Objekts.Berechtigungen die verweigern, wie beispielsweise Verweigern::Kennwort zurücksetzen überschreiben Berechtigungen die zulassen. Das trifft beispielsweise zu, wenn ein Benutzerobjekt verschiedenen Gruppen angehört und in der einen Gruppe die Berechtigung Zulassen::Kennwort zurücksetzen aktiviert ist und in einer anderen Verweigern::Kennwort zurücksetzen.

$dsacls /?Dient zum Anzeigen oder Ändern der Berechtigungen (Zugriffssteuerungslisten)eines Active Directory-Domänendienste (AD DS)-Objekts.

DSACLS-Objekt [/I:TSP] [/N] [/P:YN] [/G <Gruppe/Benutzer>:<Berechtigungen> [...]] [/R <Gruppe/Benutzer> [...]] [/D <Gruppe/Benutzer>:<Berechtigungen> [...]] [/S] [/T] [/A] [/resetDefaultDACL] [/resetDefaultSACL] [/takeOwnership] [/user:<Benutzername>] [/passwd:<Kennwort> | *] [/simple]

Objekt Der Pfad zu dem AD DS-Objekt, für das die Zugriffs- steuerungslisten angezeigt oder geändert werden sollen.

Der Pfad entspricht dem RFC 1779-Format des Namens. Beispiel:

CN=Jens Mander,OU=Software,OU=Engineering,DC=Widget,DC=com

Ein bestimmter AD DS kann angegeben werden, indem \\server[:Port]\ vor dem Objekt platziert wird. Beispiel:

\\ADSERVER\CN=Jens Mander,OU=Software,OU=Engineering,DC=Widget,DC=US

Keine Optionen Zeigt die Sicherheit für das Objekt an.

/I Vererbungsflags: T: Dieses Objekt und untergeordnete Objekte S: Nur untergeordnete Objekte P: Vererbbare Berechtigungen nur um eine Ebene propagieren

/N Ersetzt den aktuellen Zugriff auf das Objekt (anstelle einer Bearbeitung).

/P Objekt als geschützt kennzeichnen: Y: Ja N: Nein Ist die Option "/P" nicht vorhanden, wird das aktuelle Schutzflag beibehalten.

/G <Gruppe/Benutzer>:<Berechtigungen> Gewährt der ausgewählten Gruppe (oder dem ausgewählten Benutzer) die angegebenen Berechtigungen. Informationen zum Format für <Gruppe/Benutzer> und <Berechtigungen> finden Sie weiter unten.

/D <Gruppe/Benutzer>:<Berechtigungen> Verweigert der ausgewählten Gruppe (oder dem ausgewählten Benutzer) die angegebenen Berechtigungen. Informationen zum Format für <Gruppe/Benutzer> und <Berechtigungen> finden Sie weiter unten.

/R <Gruppe/Benutzer> Entfernt alle angegebenen Berechtigungen für die angegebene Gruppe (oder den angegebenen Benutzer). Informationen zum Format für <Gruppe/Benutzer> und <Berechtigungen> finden Sie weiter unten.

/S Stellt für das Objekt die Standardsicherheit wieder her, die für diese Objektklasse im Schema der AD DS definiert ist. Diese Option kann verwendet werden, wenn "dsacls" an NTDS gebunden ist. Verwenden Sie zum Wiederherstellen der standardmäßigen Zugriffssteuerungs- liste eines Objekts in AD LDS die Optionen "/resetDefaultDACL" und "/resetDefaultSACL".

/T Stellt für die Objektstruktur die Standardsicherheit wieder her, die für diese Objektklasse definiert ist. Dieser Schalter kann ausschließlich mit der Option "/S" verwendet werden.

/A Zeigt beim Anzeigen der Sicherheit für ein AD DS-Objekt die Überwachungsinformationen sowie die Berechtigungs- und Besitzerinformationen an.

/resetDefaultDACL Stellt für das Objekt die standardmäßige DACL wieder her, die für die Objektklasse im Schema der AD DS definiert ist.

/resetDefaultSACL Stellt für das Objekt die standardmäßige SACL wieder her, die für diese Objektklasse im Schema der AD DS definiert ist.

/takeOwnership Dient zum Übernehmen der Besitzrechte für das Objekt.

/domain:<Domänenname> Stellt über dieses Domänenkonto des Benutzers eine Verbindung mit dem LDAP-Server her.

/user:<Benutzername> Stellt unter Verwendung dieses Benutzernamens eine Verbindung mit dem LDAP-Server her. Wird diese Option nicht verwendet, wird "dsacls" als aktuell angemeldeter Benutzer unter Verwendung von SSPI gebunden.

/passwd:<Kennwort> | * Das Kennwort für das Benutzerkonto.

/simple Stellt mithilfe der einfachen LDAP-Bindung eine Bindung mit dem Server her. Hinweis: Das Klartextkennwort wird über das Netzwerk gesendet.

<Benutzer/Gruppe> muss in einem der folgenden Formate angegeben werden: "Gruppe@Domäne" oder "Domäne\Gruppe" "Benutzer@Domäne" oder "Domäne\Benutzer" Vollqualifizierter Domänenname des Benutzers oder der Gruppe Zeichenfolgen-SID

<Berechtigungen> muss im folgenden Format angegeben werden:

[Berechtigungskürzel];[Objekt/Eigenschaft];[Vererbter Objekttyp]

Die Berechtigungskürzel können sich aus den folgenden Werten zusammensetzen:

Allgemeine Berechtigungen GR Lesen, allgemein GE Ausführen, allgemein GW Schreiben, allgemein GA Alles, allgemein

Spezifische Berechtigungen SD Löschen DT Objekt und dessen untergeordnete Elemente löschen RC Sicherheitsinformationen lesen WD Sicherheitsinformationen ändern WO Besitzerinformationen ändern LC Untergeordneten Elemente eines Objekts auflisten

CC Untergeordnetes Element erstellen DC Untergeordnetes Element löschen Für diese beiden Berechtigungen gilt: Ist mithilfe von [Objekt/Eigenschaft] kein bestimmter Typ für unter- Geordnete Objekte angegeben, werden die Berechtigungen auf

alle Typen untergeordneter Objekte angewendet. Andernfalls gelten sie lediglich für den angegebenen Typ.

WS Selbst schreiben (auch: Bestätigter Schreibvorgang). Bestätigte Schreibvorgänge sind in drei Arten unterteilt: Self-Membership (bf9679c0-0de6-11d0-a285-00aa003049e2) Wird auf ein Gruppenobjekt angewendet und ermöglicht das Aktualisieren der Mitgliedschaft einer Gruppe (Hinzufügen oder Entfernen aus dem eigenen Konto). Beispiel: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU) Wird auf die Gruppe X angewendet und ermöglicht einem authentifizierten Benutzer, sich selbst (aber keine anderen Benutzer) der Gruppe X hinzuzufügen oder daraus zu entfernen. Validated-DNS-Host-Name (72e39547-7b18-11d1-adef-00c04fd8d5cd) Wird auf ein Computerobjekt angewendet. Ermöglicht das Aktualisieren des DNS-Hostnamenattributs, das mit dem Computer- und Domänennamen konform ist. Validated-SPN (f3a64788-5306-11d1-a9c5-0000f80367c1) Wird auf ein Computerobjekt angewendet. Ermöglicht das Aktualisieren des SPN-Attributs, das mit dem DNS- Hostnamen des Computers konform ist. WP Eigenschaft schreiben RP Eigenschaft lesen Für diese beiden Berechtigungen gilt: Ist mithilfe von [Objekt/Eigenschaft] keine bestimmte Eigenschaft angegeben, werden die Berechtigungen auf alle Eigen- schaften des Objekts angewendet. Andernfalls gelten sie lediglich für die spezifische Eigenschaft des Objekts.

CA Zugriffssteuerungsrecht Für diese Berechtigung gilt: Ist mithilfe von [Objekt/Eigenschaft] kein bestimmtes erweitertes Recht für die Zugriffssteuerung angegeben, wird die Berechtigung auf alle zutreffenden Zugriffssteuerungen des Objekts angewendet. Andernfalls wird die Berechtigung lediglich auf das für das Objekt angegebene erweiterte Recht angewendet.

LO Objektzugriff auflisten. Kann verwendet werden, um Listenzugriff auf ein bestimmtes Objekt zu gewähren, wenn dem übergeordneten Element die Berechtigung zum Aufführen untergeordneter Elemente (List Children, LC) nicht gewährt wurde. Kann auch für bestimmte Objekte verweigert werden, um diese Objekte auszublenden, wenn der Benutzer/die Gruppe nicht über eine LC-Berechtigung für das übergeordnete Element verfügt. HINWEIS: Diese Berechtigung wird NICHT standardmäßig von AD DS erzwungen, sondern muss konfiguriert werden, damit eine Überprüfung der Berechtigung vorgenommen wird.

Bei [Objekt/Eigenschaft] muss es sich um den Anzeigenamen des Objekttyps oder der Eigenschaft handeln. Beispiel: "user" ist der Anzeigename für Benutzerobjekte, "telephonenumber" ist der Anzeigename für die entsprechende Eigenschaft.

Bei [Vererbter Objekttyp] muss es sich um den Anzeigenamen des Objekt- typs handeln, auf den die Berechtigungen übertragen werden sollen. Die Berechtigungen müssen mit "Nur Vererbung" versehen sein.

HINWEIS: Darf nur beim Definieren objektspezifischer Berechtigungen verwendet werden, von denen die im Schema der AD DS definierten Standardberechtigungen für den Objekttyp außer Kraft gesetzt werden. VERWENDEN SIE DIESE OPTIONEN MIT BEDACHT und NUR DANN, wenn Sie mit dem Konzept objektspezifischer Berechtigungen vertraut sind.

Beispiele für gültige <Berechtigungen>:

SDRCWDWO;;user bedeutet: Löschen, Sicherheitsinformationen lesen, Sicherheitsinformationen ändern und Besitzrechte für Objekte vom Typ "user" ändern.

CCDC;group; bedeutet:

Untergeordnetes Element erstellen und untergeordnete Berechtigungen löschen, um Objekte vom Typ "group" zu erstellen oder zu löschen.

RPWP;telephonenumber; bedeutet: Berechtigungen "Eigenschaft lesen" und "Eigenschaft schreiben" für die telephonenumber-Eigenschaft.

Ein Befehl kann mehrere Benutzer enthalten.Der Befehl wurde erfolgreich ausgeführt.

$dsacls “ou=Buchhaltung,dc=gattner,dc=name“ (Bericht über die mit Buchaltung verbundenen Berechtigungen [effektive Berechtigungen])

$mmc dsa.msc -> <Objekt-Name> -> Eigenschaften -> Sicherheit -> Erweitert -> Erweiterte Sicherheitseinstellungen -> Berechtigungen -> Standard wiederherstellen

$dsacls “ou=Buchhaltung,dc=gattner,dc=name“ /resetDefaultDACL$dsacls “ou=Buchhaltung,dc=gattner,dc=name“ /s /t (stellt die Standardeinstellungen für das Objekt Buchhaltung und alle untergeordneten Objekte wiederher)

Active Directory Benutzer

Benutzerkonten Verwaltung$mmc dsa.msc -> <Benutzerobjekt> -> EigenschaftActive Directory-Benutzer und –Computer Snap-In

• Allgemein• Adresse• Konto• Profil• Rufnummer• Organisation• Remoteüberwachung• Terminialdienstprofile• COM+• Attribut-Editor• Objekt• Sicherheit• Umgebung• Sitzung• Veröffentlichte Zertifikate• Mitglied von• Kennwortreplikation• Einwählen

Falls mehrere Benutzerobjekte in Active Directory-Benutzer und –Computer gleichzeitig ausgewählt werden, steht ein Teilmenge (Allgemein, Konto, Adresse, Profil, Organisation) der folgende Reiter zu Verfügung.

• Konto umfasst Eigenschaften wie Anmeldename, Kennwort oder Kontoflags• Allgemein, Adresse, Rufnummern und Organisation• Profil umfasst Eigenschaften wie Profilpfad, Anmeldeskript und Basisordner• Mitglied von legt Gruppenmitgliedschaft fest• Terminaldienstprofile, Umgebung, Remoteüberwachung und Sitzung• Einwählen Remotezugriff• Com+ Anwendungen• Attribut-Editor zeigt alle Attribute an

Benutzerobjektnamen sind mit einzelnen Werten verbunden, die die Eigenschaft des Objektes beschreiben.

• sAMAccountName prä-Windows 2000-Anmeldename der eindeutig sein muss

• userPrincipalName (UDP) Anmeldename plus UDP-Suffix das standardmäßig der DNS-Name der Domain ist. UDP muss eindeutig sein.

• RDN muss innerhalb einer OU eindeutig sein. Für Benutzer bedeutet dies, dass das Attribut cn innerhalb der OU eindeutig sein muss. Probleme können beispielsweise auftreten, wenn ein Mitarbeiter mit gleichem Namen eingestellt wird. Der CN könnte beispielsweise noch die Personalnummer umfassen.

• displayName wird in der globalen Adressliste (Global Address List, GAL) Exchange angezeigt. Sollte im Normalfall die Syntax LastName, FirstName haben.

$mmc dsa.msc -> <Benutzerobjekt> -> Eigenschaft -> Attribut-Editor

Benutzerkonteneigenschaften stellen auf dem Reiter Konto der Eigenschaften des Benutzerobjekts, eine direkte Verbindung zwischen den Attributen und der Tatsache her, dass es sich bei Benutzern um Sicherheitsprinzipale handelt, d.h. um Identitäten, denen Berechtigungen und Rechte zugewiesen werden können.

• Anmeldezeit• Anmelden an• Benutzer muss Kennwort bei der nächsten Anmeldung ändern• Benutzer kann Kennwort nicht ändern• Kennwort läuft nie ab• Konto ist deakiviert• Kennwort mit umkehrbarer Verschlüsselung speichern (Beispielsweise

notwendig MAC-User die über das AppleTalk-Protokoll kommunizieren wollen)• Benutzer muss sich mit einer Smartcard anmelden• Konto für Delegierungszwecke vertraut (Dienstkonten die die Identität eines

Benutzers annehmen um beispielsweise auf Netzwerkressourcen zuzugreifen)• Konto läuft nie ab

$mmc dsa.msc -> <Benutzerobjekt> -> Eigenschaft -> Konto

$dsadd (erstellt Objekte im Verzeichnis)$dsadd user “<Benutzername>“ -samid -pwd (<Kennwort>|<*>) -mustchpwd yes -email <E-Mail-Adresse> -hmdir <\\server\path\to\$username$\> -hmdrv <Volumen> ($username$ ist die SAMID [prä Windows 2000-Anmeldename])$dsadd user “cn=Lieschen Müller,ou=Buchhaltung,dc=gattner,dc=name“

$dsrm (entfernt ein Objekt)$dsrm user “cn=Gido Westerwelle,ou=Buchhaltung,dc=gattner,dc=name“

$dsget (gibt Attribute eines Objekts zurück)$dsget user user “cn=Monica Bellucci,ou=Empfang,dc=gattner,dc=name“ –hmdir$dsget user user “cn=Monica Bellucci,ou=Empfang,dc=gattner,dc=name“ -samid

$dsget user “CN=Simon Gattner,OU=Personal,DC=gattner,DC=name“ –memberof –expand (listet alle Gruppenmitgliedschaften eines Benutzers auf)

$dsmod (ändert Attribute eines Objekts)$dsmod “cn=Simon Gattner,ou=Administratoren,dc=gattner,dc=name“ -office “Berlin”$dsmod user <BenutzerDN> -pwd <Neues-Kennwort> -mustchpwd yes$dsmod user <BenutzerDN> -disabled (no|yes)$dsmod user <BenutzerDN> [-upn <Benutzerprinzipalname>][-fn <Vorname>][-mi <Initalen>][-ln <Nachname>][-dn <Anzeigename>][-email <E-Mail-Adresse>]

$dsmove (verschiebt ein Objekt in einen Container oder OU)$dsmove <BenutzerDN> -newparent <DN-Ziel-OU>

$dsquery (führt Active Directory Abfragen durch)$dsquery user -name “* Müller” | dsmod user -office “Berlin”$dsquery user -name “ou=Personal,dc=gattner,dc=name” | dsmod user -hmdir “\\server03\Benutzer\%username%\Dokumente” -hmdrv “X:“$dsquery user –office “Berlin“ | dsget user –samid

$redirusr “<DN der OU für neue Benutzerobjekte>“ (anstatt des standardmäßigen Benutzer Containers eine OU verwenden)

Automatisierte BenutzerkontenerstellungBenutzer Vorlagen dienen dazu Benutzer aus eigens dafür angelegten Benutzerobjekten zu kopieren. Solche Vorlagen sollten nicht für das Anmelden am Netzwerk berechtigt sein und daher deaktiviert werden. $mmc dsa.msc -> <Benutzerobjekt> -> KopierenActive Directory-Benutzer und –Computer Snap-In

$csvd (Exportiert und Importiert Objekte)$csvd [-i] [-f <Dateiname>] [-k] (-i legt den Importmodus fest, -k überspringt Fehlermeldungen)

<csvd-importfile>.(txt|cvs)

DN,objectClass,sAMAcountName,sn,givenName,userPrincipalName”cn=Monica Bellucci,ou=Empfang,dc=gatter,dc=name”,user,monica.bellucci,Monica,Bellucci,monica.bellucci@gattner.name

$ldifde (Exportiert und Importiert Objekte)$ldifde [-i] [-f <Dateiname>] [-k]

<ldifde-importfile.ldf>

DN: CN=Monica Bellucci,OU=Empfang,DC=gattner,DC=namechangeType: (add|modify|delete)CN: Monica BellucciobjectClass: usersAMAccountName: monica.bellucciuserPrincipalName: monica.bellucci@gattner.namegivenName: Monicasn: BelluccidispayName: Bellucci, Monicamail: monica.bellucci@gattner.namedescription: Empfangsdame am Standort Berlintitle: Empfangsdamedeparment: Empfangcompany: Gattner Inc.

Benutzerkontenverwaltung mit Windows PowerShell und VBScriptBenutzerverwaltung mit Windows PowerShell und VBScript stellt über ADSI eine Verbindung mit Benutzerobjekten, ein Verfahren das als Bindung bezeichnet wird, her.

#powershell##get obj$objUser=[ADSI]“LDAP://cn=Simon Gattner,ou=Personal,dc=gattner,dc=name“$objUser.Get(“sAMAccountName”)

#obj erstellen oder ändern$objUser.put(“company”.”Netzkonstrukt”)$objUser.SetInfo()

#obj löschen$objUser.PutEx(1, “office”, 0)$objUser.SetInfo()

#obj pwd$objUser=[ADSI]”LDAP://<BenutzerDN>”$objUser.SetPassword(“<Neues-Kennwort>“)$objUser.Put(“pwdLastSet“,0)$objUser.SetInfo

#obj entsperren$objUser=[ADSI]“LDAP://<BenutzerDN>“$objUser.psbase.InvokeSet(’Account Disabled’,$true)$objUser.SetInfo()

#obj löschen$objOU=[ADSI]“LDAP://<BenutzerDN oder OU>“$objOU.Delete(“user“,“CN=<BenutzerDN>“)

#obj verschieben$objUser=[ADSI]“LDAP://<BenutzerDN>“$objUser.psbase.MoveTo(“LDAP://<DN der Ziel-OU>“)

#obj ändern$objUser=[ADSI]“LDAP://<BenutzerDN>“$objUser.psbase.rename(“CN=<Neuer-BenutzerDN>“)

//VBScript////get objSet objUser=GetObject(“LDAP://cn=Simon Gattner,ou=Personal,dc=gattner,dc=name”) WScript.Echo objUser.Get(“sAMAccountName”)

//obj erstellen oder ändernobjUser.put “company”.”Netzkonstrukt”objUser.SetInfo()

//obj löschenobjUser.PutEx 1, “office”, 0objUser.SetInfo()

//obj pwdSet objUser=GetObject(“LDAP://<BenutzerDN”)objUser.SetPassword “<Neues-Kennwort>”objUser.Put “pwdLastSet”,0objUser.SetInfo

//obj entsperrenSet objUser=GetObject(“LDAP://<BenutzerDN>”)objUser.IsAccountLocked=FALSEobjUser.SetInfo()

//obj deaktivierenSet objUser=GetObject(“LDAP://<BenutzerDN>”)objUser.AccountDisabled=TRUEobjUser.SetInfo()

//obj löschenSet objOU=GetObject(“LDAP://<BenutzerDN oder OU>”)objOU.Delete “user“.“CN=<BenutzerCN>“

//obj verschiebenSet objUser=GetObject(“LDAP://<DN der Ziel-OU>”)objOU.MoveHere “LDAP://<BenutzerDN“, vbNullString

//obj ändernSet objOU=GetObject(“LDAP://<Aktueller DN der OU>“)objOU.MoveHere “LDAP://<BenutzerDN>“, “CN=<NeuerCN>“

Active Directory GruppenGruppen sind Sicherheitsprinzipale mit einer Sicherheitskennung (Security Identifier, SID), die über ihr Attribut member weitere Sicherheitsprinzipale (Benutzer, Computer, Kontakte und weitere Gruppen) zusammenfügt, um die Verwaltung zu vereinfachen.

Gruppen haben folgende Vorteile:• Eine Schnittstelle für die Verwaltung von Berechtigungen• Im Gegensatz zu Benutzerobjekten zugeteilten Berechtigungen, bleiben beim

löschen eines Benutzerkontos das Berechtigungen über seine Gruppenzugehörigkeit erhält, keine nicht auflösbaren SIDs in ACLs zurück

• ACLs bleiben länger stabil (Beispiel: Gruppe::ACL_Freigabe-Vertrieb_Lesen; diese Gruppe enthält wiederum Gruppe::Angestellter_Vertrieb; Gruppe::Angestellter_Verkauf und Gruppe::Leitender_Angestellter_Verkauf)

• Rollen lassen sich Abbilden: Leitender Angestellter des Verkaufs; Angestellter des Verkaufs oder Angestellter des Vertriebs

Gruppen dienen zur regelbasierten Verwaltung, die über die Rollen, die einzelne Gruppen verdeutlichen, umgesetzt wird.

$mmc dsa.msc -> Neu -> Gruppe -> Neues Objekt – Gruppe• Gruppenname wird vom System benutzt zum kennzeichnen des Objekts und

für die Attribute cn und name des Objekts.• Gruppenname (Prä-Windows 2000) ist das Attribut sAMAccountName

Gruppenname <Gruppentyp>_<Gruppenzweck>:• ACL_Freigabe-Vetrieb_Lesen• ACL_Freigabe-Buchhaltung_Lesen• ACL_Netzlaufwerk-Vertrieb_Schreiben• ACL_Netzlaufwerk-Verkauf_Schreiben• MAIL_Intern-Vertrieb• MAIL_Extern-Verkauf

Gruppentypen• Sicherheitsgruppen sind Sicherheitsprinzipale mit SIDs. Diese Gruppen

können daher als Berechtigungseinträge in ACLs für Steuerung und Sicherheit für den Ressourcenzugriff verwendet werden.Sicherheitsgruppen können auch als Verteilergruppen für E-Mail-Anwendungen benutzt werden.

• Verteilungsgruppen dienen als E-Mail-Verteiler Gruppe, ihnen wird keine SID zugewiesen

GruppenbereicheGruppenbereiche unterteilen sich in:

• Global• Lokal (in Domäne)• Lokal• Universal

Gruppenbereiche festlegen:• Replikation – An welcher Stelle wird die Gruppe definiert, und für welche

Systeme wird die Gruppe repliziert?• Mitgliedschaft – Welche Sicherheitsprinzipaltypen kann die Gruppe als

Mitglieder umfassen? Kann die Gruppe Sicherheitsprinzipale von vertrauten Domänen enthalten?

• Verfügbarkeit – An welcher Stelle kann die Gruppe verwendet werden? Kann die Gruppe anderen Gruppen hinzugefügt werden? Kann die Gruppe einer ACL hinzugefügt werden?

Lokale Gruppen werden auf einzelnen Computern definiert und sind auch nur dort verfügbar.Lokale Gruppen werden in der Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) abgelegt.Lokale Gruppen weisen folgende Merkmale auf:

• Replikation – es finden keine Replikationen auf anderen Systemen statt• Mitgliedschaft – folgende Mitglieder kann eine Lokale Gruppe umfassen:

o Jedes Sicherheitsprinzipal aus einer Domäne: Benutzer, Computer, globale Gruppen oder domänenlokale Gruppen

o Benutzer, Computer und globale Gruppen aus jeder beliebigen Domäne in der Gesamtstruktur

o Benutzer, Computer und globale Gruppen aus jeder vertrauten Domäne

o Universelle, in einer beliebigen Domäne in der Gesamtstruktur definierte Gruppen

• Verfügbarkeit – lokale Gruppen können ausschließlich in ACLs auf dem lokalen Computer verwendet werden. Eine lokale Gruppe kann kein Mitglied einer anderen Gruppe sein.

Domänenlokale Gruppen werden vorwiegend für die Verwaltung von Ressourcenberechtigungen verwendet.Domänenlokale Gruppen sind besonders gut geeignet zum Definieren von Geschäftsverwaltungsregeln, wie beispielsweise Zugriffsrechte.Domänenlokale Gruppen weisen folgende Merkmale auf:

• Replikation – Das Gruppenobjekt und seine Mitgliedschaften (das Attribut member) wird auf jeden Domänencontroller repliziert

• Mitgliedschaft – folgende Mitglieder kann eine Domänenlokale Gruppe umfassen:

o Jedes Sicherheitsprinzipal aus einer Domäne: Benutzer, Computer, globale Gruppen oder domänenlokale Gruppen

o Benutzer, Computer und globale Gruppen aus jeder beliebigen Domäne in der Gesamtstruktur

o Benutzer, Computer und globale Gruppen aus jeder vertrauten Domäne

o Universelle, in einer beliebigen Domäne in der Gesamtstruktur definierte Gruppen

• Verfügbarkeit – domänenlokale Gruppen können ACLs für jede beliebige Ressource auf jedem beliebigen Domänenmitglied hinzugefügt werden. Domänenlokale Gruppen können ein Mitglied andere domänenlokaler Gruppen oder auch lokaler Gruppen auf einem Computer sein

Globale Gruppen werden, basierend auf Geschäftsrollen, vorwiegend für die Definition von Domänenobjektsammlungen verwendet. Rollengruppen werden zum Beispiel als Globale Gruppe erstellt.Globale Gruppen sind am restriktivsten hinsichtlich der Mitgliedschaft, gewähren aber die weitestreichende Verfügbarkeit.Globale Gruppen eignen sich besonders gut zur Definition von Rollen, da Rollen in der Regel Objektsammlungen aus dem gleichen Verzeichnis darstellen.

• Replikation – Das Gruppenobjekt und seine Mitgliedschaften (das Attribut member) wird auf jeden Domänencontroller repliziert

• Mitgliedschaft – nur Benutzer, Computer und andere globale Gruppen innerhalb der gleichen Domäne

• Verfügbarkeit – globale Gruppen sind für die Verwendung von allen Domänenmitgliedern sowie allen anderen Domänen in der Gesamtstruktur und allen vertrauenden externen Domänen verfügbar. Sie kann Mitglied jeder beliebigen domänenlokalen Gruppe oder universellen Gruppe sein. Darüber hinaus kann sie Mitglied jeder domänenlokalen Gruppe in einer vertrauenden Domäne sein. Globale Gruppen können ACLs in der Domäne, der Gesamtstruktur oder in vertrauenden Domänen hinzufügen

Universelle Gruppen sind in der Gesamtstruktur mit mehreren Domänen nützlich.Universelle Gruppen sind bei der Darstellung und Konsolidierung von Gruppen, die sich über mehrere Domänen in einer Gesamtstruktur erstrecken, so wie für die Definition von Regeln hilfreich, die innerhalb der Gesamtstruktur angewendet werden können.

• Replikation – die Gruppe wird zwar in einer einzelnen Domäne der Gesamtstruktur Definiert, aber im globalen Katalog repliziert. Auf Objekte im globalen Katalog kann von beliebiger Stelle innerhalb der Gesamtstruktur zugegriffen werden

• Mitgliedschaft – Benutzer, globale Gruppen und weitere universelle Gruppen von jeder beliebigen Domäne der Gesamtstruktur

• Verfügbarkeit – universelle Gruppen können Mitglieder einer universellen Gruppe oder einer domänenlokalen Gruppe an beliebiger Stelle innerhalb der Gesamtstruktur sein. Darüber hinaus können universelle Gruppen für die Ressourcenverwaltung verwendet werden, beispielsweise zum Zuweisen von Berechtigungen innerhalb der Gesamtstruktur

Gruppen-bereich

Mitglieder der gleichen Domäne

Mitglieder einer anderen Domäne in der gleichen Gesamt-struktur

Mitglieder einer vertrauten externen Domäne

Lokal Benutzer

Computer

Globale Gruppen

Universelle Gruppen

Domänenlokale

Gruppen

Lokale Benutzer, die

auf dem gleichen

Computer wie die

lokale Gruppe

definiert sind

Benutzer

Computer

Globale Gruppen

Universelle Gruppen

Benutzer

Computer

Globale Gruppen

Lokal(in Domäne)

Benutzer

Computer

Globale Gruppen

Domänenlokale

Gruppen

Universelle Gruppen

Benutzer

Computer

Globale Gruppen

Universelle Gruppen

Benutzer

Computer

Globale Gruppen

Universal Benutzer

Computer

Globale Gruppen

Universelle Gruppen

Benutzer

Computer

Globale Gruppen

Universelle GruppenGlobal Benutzer

Computer

Globale Gruppen

GruppenmitgliedschaftenGruppenmitglieder hinzufügen und entfernen nimmt eine Änderung am Attribut member der Gruppe vor. Das Attribut member ist ein Mehrwertattribut. Jedes Mitglied entspricht einem Wert, der vom definierten Namen (Distinguished Name, DN) des Mitglieds dargestellt wird. Wenn das Mitglied verschoben oder umbenannt wird, nimmt Active Directory automatisch die Aktualisierung der Attribute member von den Gruppen vor, die das Mitglied umfassen.

$mmc dsa.msc -> <Objekt> -> Eigenschaften -> Mitglied von$mmc dsa.msc -> <Objekt> -> Einer Gruppe hinzufügen

Gruppenmitgliedschaften werden beim anmelden eines Benutzers oder beim Startvorgang eines Computers ermittelt. Um Mitgliedschaftsänderungen eines Benutzers zu übernehmen, ist ein Ab- und Anmeldevorgang notwendig. Darüber hinaus kann eine Verzögerung bei der Replikation der Gruppenmitgliedschaftsänderung auftreten. Um die Replikationsgeschwindigkeit zu erhöhen, sollten Änderungen mit dem Domänencontroller am Standort des Benutzers vorgenommen werden.

GruppenverwaltungsstrategienGruppenhierarchien können durch Verschachtelung, dass hinzufügen von Gruppen zu weiteren Gruppen, Geschäftsrollen und –regeln unterstützen.

Gruppenverschachtelung oder auch KGDLZ:• Konten (Benutzer- und Computeridentitäten) sind Mitglieder von• Globalen Gruppen, die Geschäftsrollen darstellen. Diese Rollengruppen

(globalen Gruppen) sind Mitglieder von• Domänenlokalen Gruppen, die Verwaltungsregeln darstellen, für die

beispielsweise Lesen die Option Zulassen für eine bestimmte Ordnersammlung aktiviert wurde. Diese Regelgruppen (domänenlokale Gruppen) werden

• Zugriffssteuerungslisten (Access Control List, ACL) hinzugefügt, über die die Zugriffsebene entsprechend der Regel bereitgestellt wird.

KGUDLZ bei Gesamtstrukturen mit mehreren Domänen, da hier Universal Gruppen, die zwischen Globalen und Domänenlokalen Gruppen einzuordnen sind.

Bsp.: Benutzerobjekt example\joe.deo -> globale Gruppe Vertrieb -> domänenlokalen Gruppe ACL_Vertriebs-Freigabe_Lesen -> ACL Lesen Zulassen des Vertriebsordners

Gruppenverwaltung$mmc dsa.msc Active Directory-Benutzer und –Computer Snap-In

Gruppen erstellen oder Importieren$dsadd group <GruppenDN> [-secgrp (yes|no)] [–scope (l|g|u)] [–samid <GruppenDN-SAM>] [-desc <Beschreibung>] [-members <MitgliederDN> <MitgliederDN>] [-memberof <GruppenDN> <GruppenDN>]

$dsadd group “CN=Vertrieb,OU=Gruppen,DC=gattner,DC=name“ -samid Vertrieb -secgrp yes -scope g

$cvsde$cvsde -i –f <Dateiname> [-k]$cvsde –i –f “%userprofile%\Import-Gruppen.cvs“

$file

objectClass,sAMAccountName,DN,membergroup,Vertrieb,“CN=Vertrieb,OU=Gruppe,DC=gattner,DC=name“,“CN=Simon Gattner,OU=Personal,DC=gattner,DC=name;CN=Lieschen Müller,OU=Personal,DC=gattner,DC=name“

$ldifde$ldifde –i –f <Dateiname>$ldifde –i –f “%userprofile%\Documents\Mitgliedschaftsänderung.ldf“

$ldf-file

DN: CN=Finanzen,OU=Gruppen,DC=gattner,DC=namechangetype (add|modify|del)CN: Finanzendescription: Benutzer in der Gruppe FinanzenobjectClass: groupsAMAccountName: Finanzen

DN: CN=Buchhaltung,OU=Gruppen,DC=gattner,DC=namechangetype (add|modify|del)CN: Buchhaltungdescription: Benutzer in der Gruppe BuchhaltungobjectClass: groupsAMAccountName: Buchhaltung

DN: CN=Finanzen,OU=Gruppen,DC=gattner,DC=namechangetype: modify(add|delete) membermember: CN=Lieschen Müller,OU=Personal,DC=gattner,DC=namemember: CN=Garfild the Cat,OU=Personal,DC=gattner,DC=name

Gruppenmitgliedschaften anzeigen$dsget group <GruppenDN> -members [-expand]$dsget user <BenutzerDN> -memberof [-expand]$dsget computer <ComputerDN> -memberof [-expand]

Gruppenbereiche ändern oder konvertiere ist bis auf Global in Lokal in einem Schritt möglich. Um Globale in Lokale Gruppen zu konvertieren muss die Gruppe zuerst in eine Universale Gruppe geändert werden.Gruppenbereich ändern bei Gruppen die bereits über Mitglieder verfügt oder Mitglied in einer anderen Gruppe ist, kann nicht geändert werden. Die Active Directory-Domänendienste zeigen eine dementsprechende Fehlermeldung.

$mmc dsa.msc -> <Gruppenobjekt> -> Eigenschaften -> Allgemein

$dsmod group <GruppenDN> -secrp (yes|no) –scop (l|g|u)$dsmod group <GruppenDN> -(add|rm)mbr <(Benutzer|Computer|Gruppen)DN>

$dsget group “CN=Vertrieb,OU=Gruppen,DC=gattner,DC=name“ –members | dsmod group “CN=Marketing,OU=Gruppen,DC=gattner,DC=name“ –addmbr

Gruppen verschieben oder Umbenennen$mmc dsa.msc -> <Gruppenobjekt> -> (Verschieben|Umbennen)

$dsmove <ObjektDN> [-newname <NeuerName>] [-newparent <DN-Ziel-OU>]

$dsmove “CN=Marketing,OU=Gruppen,DC=gattner,DC=name“ –newname “Public Relations”$dsmove “CN=Public Relations,OU=Gruppen,DC=gattner,DC=name“ –newparent “CN=Marketing,OU=Gruppen,DC=gattner,DC=name“

Gruppen Löschen$mmc dsa.msc -> <Gruppeobjekt> -> Löschen

$dsrm <ObjektDN> [-subtree [-expand]] [-noprompt] [-c]

$dsrm “CN=Public Relations,OU=Marketing,DC=gattner,DC=name”

Gruppenverwaltung mit Windows PowerShell und VBScriptGruppenverwaltung mit Windows PowerShell und VBScript stellt über ADSI eine Verbindung mit Gruppenobjekten, ein Verfahren das als Bindung bezeichnet wird, her.

#Windows PowerShell##obj hinzufügen$MemberADSPath=“LDAP://CN=Simon Gattner,OU=Personal,DC=gattner,DC=name“$objGroup=[ADSI]”LDAP://CN=Forschung,OU=Gruppe,DC=gattner,DC=name”$objGroup.Add($MemberADSPath)

//VBScript////obj hinzufügenMemberADSPath=“LDAP://CN=Simon Gattner,OU=Personal,DC=gattner,DC=name“Set objGroup=GetObject(“LDAP://CN=Forschung,OU=Gruppe,DC=gattner,DC=name”)objGroup.Add MemberADSPath

Gruppenverwaltung in UnternehmenGruppenattribute sollten in Unternehmen Zweck der Verständlichkeit dokumentiert werden. Folgende Vorgehensweisen können bei der Verwaltung von Unternehmensgruppen sehr hilfreich sein:

• Festlegen und Einhalten strenger Namenskonventionen – Gruppennamen die aus Präfixen, Unternehmenszweck und Berechtigung bestehen. Beispielsweise: ACL_Buchhaltung_Lesen, ACL_Marketing_Schreiben, ACL_Abteilungsleiter_Lesen, MAIL_Vertrehter oder SOFT_Buchhaltung

• Zusammenfassung des Gruppenzwecks über dessen Attribut Beschreibung – Beispielsweise für die Gruppe SOFT_Buchhaltung: Software speziell für die Buchhaltungscomputer.

• Detailliertes Ausführen des Gruppenzwecks im Bereich Anmerkung – Beispielsweise kann hier der Pfad des Ordners angegeben werden für den die Gruppe über Berechtigungen verfügt. Am Beispiel der Gruppe ACL_Marketing_Schreiben: \\gattner.name\Marketing (Schreiben)

Gruppen löschen in Unternehmensumgebungen kann weitreichende Auswirkungen auf die Sicherheit haben.Gruppen löschen kann zur folge haben, dass Benutzer keinen Zugriff mehr auf eine Ressource haben oder der zuvor verweigerte Zugriff gewährt wird.Gruppen löschen und wiederherstellen bedeutet einen erhöhten Aufwand, da es nicht reicht eine Gruppe mit gleichem Namen zu erstellen, die die alte Gruppe ersetzt, da Gruppen einen eindeutige SID bekommen die in die ACLs der Ressourcen enthalten sind.Gelöschte Gruppen sollten mit einer Objektwiederherstellung (autorisierte Wiederherstellung) wiederbelebt werden.Gruppen vor dem zufälligen Löschen schützen kann, falls im Active Directory-Benutzer und Computer Snap-In -> Ansicht -> Erweiterte Features ausgewählt ist, über Eigenschaften -> Objekt -> Objekt vor zufälligem Löschen schützen aktiviert werden.

Gruppenverwaltung delegieren dient dem Zweck Verwaltungsaufgaben an das Helpdeskteam oder Vorgesetzte abzugeben.Gruppenverwaltung delegieren funktioniert über die Berechtigung “Mitglieder“ schreiben mit Option Zulassen, über die auf das Attribut member Schreibberechtigung erteilt wird.Gruppenverwaltung delegieren:

• für eine einzelne Gruppe über die Registrierkarte Verwaltet von -> Vorgesetzter kann Mitgliedsliste ändern. Auf der selben Registrierkarte kann auch der Vorgesetzte ausgewählt werden

• über die Erweiterte Sicherheitseinstellung für die Berechtigung “Mitglieder“ schreiben direkt die Option Zulassen für einzelne Gruppen oder alle Gruppen einer OU

$mmc dsa.msc -> <GruppenObjekt> -> Eigenschaften -> Sicherheit -> Erweitert -> Erweiterte Sicherheitseinstellungen -> (Bearbeiten) -> Hinzufügen -> Durchsuchen -> Berechtigungseintrag -> Eigenschaften -> Übernehmen für Dieses und alle untergeordneten Objekte -> “Mitglieder“ schreiben

StandardgruppenStandardgruppen sind Gruppen die unter Windows Server 2008 automatisch als lokale oder Domänenlokale Gruppen erstellt werden.Standardgruppen für Windows Server 2008 sind:

• Organisations-Admins (Container Users der Stammdomäne der Gesamtstruktur) – diese Gruppe ist in jeder Domäne in der Gesamtstruktur Mitglied der Gruppe Administratoren, wodurch sie über uneingeschränkten Zugriff auf die Konfiguration aller Domänencontroller verfügt.Besitzer der Konfigurationspartition, des Verzeichnisses und kann den Domänennamenskontext in allen Gesamtstrukturdomänen vollständig steuern.

• Schema-Admins (Container User der Stammdomäne der Gesamtstruktur) – Besitzer des Active Directory-Schemas und dessen Steuerung

• Administratoren (Container Builtin in jeder Domäne) – übernimmt die vollständige Steuerung aller Domänencontroller und der Daten im Domänennamenskonext. Mitgliedschaft aller anderen Administratorengruppen in der Domäne und die Gruppe Administratoren in der Stammdomäne der Gesamtstruktur verändern.Mitgliedschaft der Gruppe Organisations-Admins, Schema-Admins und Domänen-Admins ändernLeistungsstärkste Diensteverwaltungsgruppe in der Gesamtstruktur.

• Domänen-Admins (Container User in jeder Domäne) – wird der Gruppe Administratoren der Domäne hinzugefügt.Übernimmt alle Funktionen der Gruppe Administratoren.Wird der lokalen Administratorgruppe jedes Domänencomputers automatisch hinzugefügt.

• Server-Operatoren (Container Builtin in jeder Domäne) – kann Wartungsaufgaben an Domänencontrollern durchführen.Recht zur lokalen Anmeldung, Dienste starten und Stoppen, Sicherungs- und Wiederherstellungsvorgänge ausführen, Datenträger formatieren, Freigaben erstellen oder löschen und Domänencontroller herunterfahren.Standardmäßig hat diese Gruppe keine Mitglieder.

• Konten-Operatoren (Container Builtin in jeder Domäne) – kann Konten für Benutzer, Computer und Gruppen erstellen, bearbeiten und löschen die sich in einer beliebigen OU in der Domäne (außer der OU Domänencontroller) sowie den Containern Users und Computers befinden.Nicht berechtigt Änderungen an Mitgliedskonten der Gruppe Administratoren oder Domänen-Admins oder der Gruppe selbst vorzunehmen.Kann sich auch lokal auf Domänencontrollern anmelden.Standardmäßig hat diese Gruppe keine Mitglieder.

• Sicherungs-Operatoren (Container Builtin in jeder Domäne) – kann Sicherungen- und Wiederherstellungensoperationen für Domänencontroller vornehmen.Kann sich auch lokal auf Domänencontrollern anmelden und diese herunterfahren.Standardmäßig hat diese Gruppe keine Mitglieder.

• Drucker-Operatoren (Container Builtin in jeder Domäne) – kann Druckerschlangen auf Domänencontrollern verwalten.Kann sich auch lokal auf Domänencontrollern anmelden und diese herunterfahren.

Standardmäßig hat diese Gruppe keine Mitglieder. Standardgruppen haben besondere Rechte, deshalb sollte vorsichtig mit ihnen, besonders mit den standardmäßig leeren Gruppen, umgegangen werden.Standardgruppen genießen einen besondern Schutz vom System. So können beispielsweise nicht ohne weiteres Kennwörter zurück gesetzt werden.Standardgruppen wie Konten-, Sicherungs-, Server und Drucker-Operatoren sollten nicht benutzt werden. Stattdessen sollten benutzerdefinierte Gruppen mit spezielleren Rechten verwendet werden.

SpezialidentitätenSpezialidentitäten sind Gruppen deren Mitgliedschaft vom Betriebsystem gesteuert wird.Spezialidentitäten können genutzt werden zum Zuweisen von Rechten und Berechtigungen.Spezialidentitäten bieten die Möglichkeit, Ressourcenzugriff auf Grund ihrer Authentifizierungs- oder Verbindungstyps und nicht über das Benutzerkonto zu steuern.Spezialidentitäten-Mitgliedschaften können weder angezeigt noch verändert werden.

• Anonyme Anmeldung – stellt Verbindungen mit einem Computer und seinen Ressourcen ohne Angabe eines Benutzernamens und –Kennworts her.Unter Windows Server 2003 oder Windows XP hieß die Gruppe Jeder.

• Authentifizierte Benutzer – repräsentiert Identitäten die authentifiziert wurden. Diese Gruppe umfasst keine Gastbenutzer.

• Jeder – Umfasst authentifizierte Benutzer und Gäste. Unter Windows Server 2003 oder Windows XP umfasste die Gruppe auch die Gruppe Anonyme Anmeldung.

• Interaktiv – stellt Benutzer dar, die während der lokalen Anmeldung, auf Ressourcen zugreifen, die auf dem betreffenden Computer gehostet werden. Im Gegensatz zum Zugriff auf Netzwerkressourcen.Die Gruppe umfasst auch Benutzer mit Remotedesktopverbindung.

• Netzwerk – stellt Benutzer dar, die über das Netzwerk auf Ressourcen zugreifen und nicht lokal am Computer angemeldet sind.

Active Directory ComputerComputer in einer Domäne, sind wie auch Benutzer, Sicherheitsprinzipale.Computer verfügen über ein Konto, einen Anmeldename (sAMAccountName) und ein Passwort, das von Microsoft Windows alle 30 Tage automatisch geändert wird, so wie eine Sicherheitskennung (SID).Computer gehören in der Standardkonfiguration von Microsoft Windows Server 2008, Windows Server 2003, Windows XP, Windows Vista und Windows 7 zu einer Arbeitsgruppe.

Arbeitsgruppen stellen einem System einen Identitätsspeicher für Benutzer und Gruppen bereit, anhand der ein Benutzer authentifiziert werden kann.Identitätsspeicher lokal auf Computern wird als SAM-Datenbank bezeichnet.Arbeitsgruppencomputer werden in jeder Beziehung als autarkes System betrachtet.Domänencomputer hingegen delegieren die Benutzerauthentifizierung an die Domäne.Domänencomputer vertrauen für die Überprüfung einer Benutzeridentität einer anderen Autorität.

Computer hinzufügen zur einer Domäne, unterliegt folgenden Voraussetzungen:• Computerobjekt muss im Verzeichnisdienst erstellt werden• Berechtigung für das Computerobjekt muss vorhanden sein. Die Berechtigung

ermöglicht den Computer mit dem gleichen Namen wie das Objekt zur Domäne hinzuzufügen

• Nur Mitglied der lokalen Gruppe Administratoren auf dem Computer können Änderungen an der Arbeitsgruppen- und Domänenzugehörigkeit vornehmen

Computer hinzufügen verhindern für jeden Benutzer. Das ist nötig, da Microsoft Windows, standardmäßig jedem Benutzer erlaubt bis zu 10 Computerobjekte im Container Computer zu erstellen, was ein Sicherheitsrisiko darstellt. Um jedem Benutzern das hinzufügen von Computerobjekten zu verbieten, muss das Attribut ms-DS-MachineAccountQuota auf 0 gesetzt werden. Administratoren muss nun explizit das Recht zum hinzufügen von Computerobjekten erteilt werden.

$mmc adsiedit.msc -> Verbindung herstellen -> Verbindungspunkt -> Bekannter Namenskontext auswählen -> Standardnamenskontext -> <Domänenordner>(dc=gattner,dc=name) -> Eigenschaften -> ms-DS-MachineAccountQuota -> Bearbeiten -> 0

Computer Gruppen können zum Zuweisen von Ressourcenzugriffsberechtigungen eines Computers oder zum Filtern der Anwendungen eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) verwendet werden.Computer können über <ComputeObjekt> -> Eigenschaften -> Mitglied von zu einer Gruppe hinzugefügt werden.

Container ComputerContainer Computer (CN=Computer) wird standardmäßig, beim erstellen einer Domäne angelegt und bietet einen passenden Ort um Computer zu platzieren.Container Computer ist keine Organisationseinheit (OU, Organisation Unit) sondern ein Objekt der Klasse Container.Container können keine OUs beinhalten oder mit Gruppenlinienobjekten (Group Policy Object, GPO) verknüpft werden. Daher ist es sinnvoll OUs für das verwalten von Computern zu erstellen.

Computer OUsComputer OUs werden standardmäßig für Clients, Server und die OU Domain Controllers erstellt.Computer OUs für bestimmte Servertypen in der OU Server können ebenfalls sinnvoll sein, beispielsweise für Datei-, Web- oder Druckserver.Computer OUs für geografische Standorte können ebenfalls erforderlich sein.Computer OUs für verschiedene Rechnertypen wie beispielsweise Laptops, Desktops oder Tablet ebenso.

$redircmp “<DN der OU für neue Computerobjekte>“ (anstatt des standardmäßigen Computer Containers eine OU verwenden)

Computer delegierenStandardmäßig verfügen die Gruppen Organisations-Admins, Domänen-Admins, Administratoren und Konto-Operatoren über die Berechtigung zum erstellen von Computerobjekten in neuen OUs.Delegierung sollte aber mit extra dafür angelegten Gruppen, nicht nur wegen der differenzierteren Rechte- und Aufgaben Zuweisung, erfolgen.

Computer vorbereiten für das hinzufügen zur Domäne. Dabei wird der Computer vor dem hinzufügen zur Domäne zu einer geeigneten OU hinzugefügt in der Sicherheitsrichtlinien und verknüpfte GPOs mit seinem Konto delegiert werden.

$mmc dsa.msc -> Neu -> Computer

$netdom add <Computername> /domain:<DomänenName> [/ou:<DN der OU>] [/userd:<Benutzer> /PasswordD:<Kennwort>]

$csvde

$ldifde

Computer hinzufügen zu einer Domäne nach dem vorbereiten:Arbeitsplatz -> Computer -> Eigenschaften -> Einstellungen für den Computernamen, Domäne und Arbeitsgruppen -> Einstellungen ändern -> Computername

$control system -> Einstellungen für den Computernamen, Domäne und Arbeitsgruppen -> Einstellungen ändern -> Computername

Mitglied von die Option Domäne -> OK• Falls das Objekt schon vorhanden ist, also ein gleichnamiger Computer schon

der Domäne hinzugefügt wurde, erscheint eine Fehlermeldung, und der Computer kann nicht zur Domäne hinzugefügt werden.

• Falls vorhanden ist und vorbereitet wurde, d.h. ein gleichnamiger Computer der Domäne noch nicht hinzugefügt wurde, überprüft die Domäne anhand der Anmeldeinformationen ob das Konto über die Berechtigung zum hinzufügen von Computern zur Domäne verfügt.

• Falls der Computer nicht vorbereitet wurde, überprüft Windows, ob das Konto die Berechtigungen zum erstellen eines neuen Computerobjektes verfügt.

Computer wird der Domäne mit der Identität seines Active Directory-Objektes hinzugefügt. Nach dem hinzufügen ist ein Neustart erforderlich.

$netdom join <Computername> /Domain:<Domänenname> [/OU “<OU-DN>“] [/UserO:<Name des lokalen Benutzers>] [/PasswordO:{<Lokales-Kennwort>|*}] [/UserD:<Benutzername der Domäne>] [/PasswordD:{<Kennwort-Domäne>|*}] [/securePasswordPrompt] [/REBoot{:<Zeit in Sekunden>}]

ComputerkontenComputerkonten verwalten mit Snap-In Active Directory-Benutzer und –Computer.

$mmc dsa.msc -> <ComputerObjekt> -> Eigenschaften

$dsmod computer “<DN des Computer>“ [-desc <Beschreibung>] [-loc <Speicherort>]

$dsmove “<DN des Computer>“ [-newname <NeuerName>] [-newparent <ÜbergeordnetteDN>]$dsmove “CN=DESKTOP042,CN=Computers,DC=gattner,DC=name“ -newparent “OU=Clients,DC=gattner,DC=name“

Computerkonten Probleme treten in den meistens auf, wenn sich Computer nicht mehr gegenüber der Domäne authentifizieren können. Dies geschieht entweder, wenn der Computer eine neue SID erhält oder das Kennwort unbekannt oder standardmäßig nach 30 Tagen abgelaufen ist. Oder der LSA-Schlüssel (Local Security Authority, lokale Sicherheitsautorität) nicht mehr mit dem der Domäne synchronisiert oder korrupt ist. Was passieren kann bei:

• Erneute Installation des Betriebssystems• Vollständige Wiederherstellung bei der das aktuelle Kennwort verändert wird

weil ein älteres wiedereingespielt wird

Computerkonten Probleme werden angezeigt über:• Fehlermeldungen beim Anmelden: Die Anmeldeanforderung ist

fehlgeschlagen, da die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne fehlschlug

• Fehlermeldungen im Ereignisprotokoll des Computers, wie beispielsweise: NETLOGON-Ereignis 3210: Authentifizierung fehlgeschlagen

• Das Computerkonte wird im Active Directory nicht mehr angezeigt

Computerkonten Probleme sollten keinesfalls über das entfernen des Computers und wiederhinzufügen des Computers in die Domäne gelöst werden. Da hier möglicherweise eine neue SID vergeben wird und Gruppenmitgliedschaften oder Konfigurationseigenschaften verloren gehen. Das Computerkonto sollte deshalb zurückgesetzt werden.

Computerkonten zurücksetzen bedeutet das Zurücksetzen des sicheren Kanals zwischen einem Domänenmitglied und der Domäne via:

• Snap-In Active Directory-Benutzer und –Computer $mmc dsa.msc -> <ComputerObjekt> -> Konto zurücksetzen

• $dsmod computer “<ComputerDN>“ -reset• $netdom reset “<ComputerName>“ /domain <DomänenName>

/UserO <BenutzerName> /PasswordO {<Kennwort>|*} (wobei die Anmeldeinformation der lokalen Administratorengruppe des Computers verwendet wird)

• $nltest /server:<Servername> /sc_reset:<Domäne>\<Domänencontroller>

$netdom und $nltest benötigen keinen Neustart oder erneutes Computer hinzufügen des Client-Computers.

Computer umbenennen funktioniert nur über eine Remotedesktopsitzung oder wenn man lokal auf dem zu umbenennenden Computer angemeldet ist via:

• Systemsteuerung -> Systemeigenschaften -> Einstellungen für Computernamen, Domäne und Arbeitsgruppen -> Einstellungen ändern -> Weiter -> Computername

• $netdom renamecomputer <Computername> /NewName:<NeuerComputerName> [/UserO:<Name des lokalen Benutzers>] [/PasswordO:{<Lokales Kennwort>|*}] [/UserD:<Benutzername der Domäne>] [/PasswordD:{<Domänen Kennwort>|*}] [/SecurePasswordPrompt] [/REBoot{:<Zeit in Sekunden>}]

Computer aktivieren oder deaktivieren verändert nicht die SID und eignet sich zum temporären entfernen eines Computers aus der Domäne.

• Snap-In Active Directory-Benutzer und –Computer $mmc dsa.msc -> <ComputerObjekt> -> Konto (aktivieren|deaktivieren)

• $dsmod Computer <ComputerDN> -disable (yes|no)

Computer löschen um langfristig Computer aus der Domäne zu entfernen• Snap-In Active Directory-Benutzer und –Computer $mmc dsa.msc ->

<ComputerObjekt> -> Konto löschen• $dsrm <ObjektDN>

$dsrm “CN=Desktop042,OU=Clients,DC=gattner,DC=name“

Quellen und Links

LDAPhttp://www.ietf.org/rfc/rfc3377.txt

http://www.ietf.org/rfc/rfc2251.txthttp://www.ietf.org/rfc/rfc2252.txthttp://www.ietf.org/rfc/rfc2253.txthttp://www.ietf.org/rfc/rfc2254.txthttp://www.ietf.org/rfc/rfc2255.txthttp://www.ietf.org/rfc/rfc2256.txt

http://www.ietf.org/rfc/rfc2829.txthttp://www.ietf.org/rfc/rfc2830.txt

http://www.ietf.org/rfc/rfc4510.txthttp://www.ietf.org/rfc/rfc4511.txthttp://www.ietf.org/rfc/rfc4512.txthttp://www.ietf.org/rfc/rfc4513.txthttp://www.ietf.org/rfc/rfc4514.txthttp://www.ietf.org/rfc/rfc4515.txthttp://www.ietf.org/rfc/rfc4516.txthttp://www.ietf.org/rfc/rfc4517.txthttp://www.ietf.org/rfc/rfc4518.txthttp://www.ietf.org/rfc/rfc4519.txt