Active Directory :

Begriffe und Konzepte

Arbeitsgruppe (peer to peer) kontra Domäne (Client/Server):

Überblick Verzeichnisdienst (AD):

• speichert Informationen zu Objekten (d.h. Netzwerkressourcen wie Benutzer, Computer, Drucker, usw.)
• stellt Informationen zentral zur Verfügung (anders als die Netzwerkumgebung!)
• hohe Skalierbarkeit, geringere TCO
• unterstützt Standards wie DNS, DDNS, LDAP, HTTP, UPN, UNC, ...
• >> zentrale Verwaltungsmöglichkeit für Administratoren
• (>>zentraler Ressourcenzugriff ür Benutzer, falls gewünscht )

Begriffe:

Schema:

• legt Objektklassen und dazugehörige Attribute fest

das Schema kann um neue Klassen und diese um neue Attribute erweitert werden (durch „Schemaadmins“ oder Anwendungen wie Exchange 2000)

globaler Katalog:

• speichert alle Attributwerte von Objekten der eigenen Domäne
• speichert einige Attributwerte von Objekten in der Gesamtstruktur
• >>schnelle Suche, weniger Netzverkehr

DNS:

• stellt den Namensraum für ADS zur Verfügung
• ermöglicht Clients das Auffinden von Rechnern, die den gewünschten Dienst anbieten (z. B. DCs zur Authentifizierung)

Vertrauensstellung:

Replikation:

• - sorgt für möglichst aktuelle (gleiche) Daten auf allen Domänencontrollern
• >> gleiche Infos unabhängig vom speziellen Domänencontroller
• - repliziert Schema-, Konfigurations- und Domänendaten

Namenskonventionen:

• - definierte Namen: DC=de; CN=users; CN=Administrator
• - relativ definierte Namen: CN= Administrator
• - UPN Administrator@de
• - GUID: 128 bit global eindeutig

logische Elemente von AD:

physische Elemente von AD:

Active Directory Installation:

Voraussetzungen:

• WIN 2000 Serverprodukt
• NTFS Partition oder Datenträger mit min. 250-1000MB freiem Platz
• TCP/IP installiert -(DNS Verwendung einstellen)-
• Adminrechte (lokal <>Organisation, Domäne)

Erstellen einer Domäne (>Rechner wird Domänencontroller):

• AD Installationsassistenten starten (dcpromo oder Server konfigurieren)
• Neue Domäne wählen (Typ festlegen: neue GS, neue Struktur, untergeordnete Domäne)
• DNS Namen der Domäne festlegen (z.B. raum.223.indi)
• Netbiosname (Standard: DNS bis zum ersten Punkt (z.B. raum)); 15Zeichen, eindeutig Kompatibilität mit vor WIN 2000 Windows-Systemen und einigen Anwendungen
• Speicherort der Datenbank und Protokolldateien angeben (Standard: WINNT)
• SYSVOL Speicherort (auf allen DCs erforderliche Dateien, die während der Anmeldung oder des Starts benötigt werden (Repl))
• WIN 2000 oder NT 4 kompatible Berechtigungen (JEDER in PRE-WIN2000 Gruppe einfügen)
• Kennwort für den Wiederherstellungsmodus festlegen

Erstellen eines weiteren DCs in einer Domäne:

• (Statische IP, Domänenmitglied, DNS Client)
• dcpromo
• >> Fehlertoleranz und Lastausgleich bei mehr als einem DC (Multimasterprinzip)
• AD Daten werden von einem existierendem DC bezogen
• Active Directory kann auch unbeaufsichtigt installiert werden: dcpromo/answer:ANTWORTDATEI nur [DCinstall] Section

Installation und Standorte:

• der Assistent erzeugt ein Serverobjekt in dem Standort, in dem Teilnetz sich der Rechner befindet
• ist kein Teilnetz definiert, wird das Serverobjekt in Standardname-des-ersten-Standorts erstellt

Auflistung einiger der Änderungen, die durch die AD-Installation getätigt werden:

• Kerberos v5 Authentifizierungsdienst
• Ausstellen eines DC Zertifikat (X.509)
• Registrierungseinträge
• AD Datenquellen für Systemmonitor
• Verwaltungsprogramme (AD ...)
• Datenbankpartitionen (Domäne, Schema, Konfiguration)
• Standard-Zugriffskontrolllisteneinträge für AD Objekte und Dateien werden vergeben
• „Dienste“ auf Autostart stellen
• Sicherheitseinstellungen für AD und FRS Dienst
• Standardrichtlinien werden implementiert (-aus den Sicherheitsvorlagen)
• Netlogon wird eingerichtet (Freigabe für NT Clients um Skripte und Systemrichtlinien bereit zu stellen)

Überprüfen des Installationsvorgangs:

• Ereignisanzeige
• DNS SRV Einträge (netdiag)
• SYSVOL und Datenbank und Protokolldateien

Domänen-Modus:

• nach der Installation befindet sich eine Domäne im gemischten Modus; in diesem Modus können NT 4 BDC's unterstützt werden (Single Master Emulation)
• sind keine NT 4 BDC's mehr vorhanden und nötig, kann mit den AD Verwaltungsprogrammen in den einheitlichen Modus gewechselt werden. In diesem Modus sind zusätzliche Features verfügbar (z.B. universal Gruppen). Der Wechsel ist nur einmalig und in diese Richtung möglich!

Deinstallation:

• ein DC kann mit dem Installationsassistenten wieder zu einem normalen Server degradiert werden. Sollte dies der letzte DC der Domäne gewesen sein stirbt auch die Domäne.
• Dom- und Org- Adminrechte nötig (und eine einwandfreie DNS Implementierung)

MS Empfehlungen:

• funktionierende DNS Implementierung
• verwende eine Domäne (für den Anfang)
• verwenden mehrer DC's für eine Domäne
• verteilen der Datenbank, Protokolldateien und des SYSVOL auf unterschiedliche Platten

DNS-ADS Zusammenarbeit und Integration:

Zusammenarbeit:

• DNS löst den Host bzw. den FQDN in IP-Adressen auf
• ADS und DNS verwenden den gleichen Namensraum
• AD nutzt DNS als Namensdienst

z.B. Zugriff eines Clients auf den Authentifizierungsdienst einer WIN 2000 Domäne (Kerberos): Der Client fragt seinen DNS Server und dieser sieht in seinen SRV Einträgen nach um den Namen eines DC's zu ermitteln. (dann A Eintrag für die IP Adresse)

• >> der Client meldet sich am DC an...

SRV Einträge:

• >> zusätzlich A Eintrag erforderlich (Name, IP)
• netdiag: Kommandozeilentool aus den Supporttools (/fix korrigiert einige Probleme)

Active Directory Integrierte Zone:

• DNS Daten werden in AD gespeichert (primäre Zone: Datei)
• >>DNS Daten werden mittels Replikation an alle DC's übertragen
• >>„bessere“ Fehlertoleranz, Lastausgleich (alles „Schreibzonen“)
• >>Übertragungen sind sicher (Verschlüsselt, da Replikationsverkehr)
• weitere AD-INT Sicherheitsfeatures: - Rechtevergabe auf Zonendaten
• nur gesicherte Aktualisierungen (d.h. Auth.)
• weniger Verwaltungsaufwand

DNS Server installieren (als Vorbereitung auf ADS Installation):

1. statische IP-Adresse
2. Domänennamen eintragen (Netzwerkidentifikation)
3. DNS Dienst installieren
4. Forward lookup Zonen einrichten (dyn. Aktualisierungen zulassen)
5. Reverse lookup Zonen (falls gewünscht)
6. Zone als AD-INT modifizieren (falls gewünscht)
7. nur gesicherte Aktualisierungen einstellen (falls gewünscht)
8. Zugriffssteuerung über AD einstellen (falls gewünscht)

Mindestanforderungen an DNS für ADS:

• SRV Einträge unterstützt
• Dynamische Zonenaktualisierungen (empfohlen)
• IXFR (empfohlen)

MS Empfehlungen:

• DNS Standardnamenskonventionen einhalten
• Min. 2 DNS Server pro Zone
• AD-INT Zonen verwenden
• Clients sollten DNS am Standort nutzen

Benutzer und Gruppen:

Benutzer und Namen:

Massen Im/Export von Objekten:

Standard Verwaltungsaufgaben:

• Kennwort zurücksetzen
• Konto löschen
• Konto umbenennen
• Konto verschieben
• Konto de/aktivieren
• Konto „entsperren“

Hilfsmittel: suchen in AD

Gruppen:

Gruppentyp:

• Sicherheit (Standard)
• Verteiler (GID wird nicht in Benutzer-Token aufgenommen)
• >> keine Rechtevergabe möglich

Gruppenbereiche: 

- global:

• in der eigenen und allen vertrauenden Domänen verfügbar
• kann nur Benutzerkonten der eigenen Domäne aufnehmen,
• (im einh. Modus auch globale Gruppen der eigenen Domäne)

- lokale Domänengruppe:

• nur in der eigenen Domäne verfügbar
• kann Benutzer und globale Gruppen aus jeder vertrauten Domäne aufnehmen
• (im einh. Modus auch: universal Gruppen der GS und
• lokale Domänengruppen der eigenen Domäne)

- universal:

• nur im einheitlichen Modus verfügbar
• in der GS verfügbar
• kann Benutzer, globale Gruppen und lokale Domänengruppen aus der GS aufnehmen

MS Gruppenstrategie:

• Benutzer => gl. Gruppe => (gl. oder. uni Gruppe) => lok. Dom.-gruppe <= Ressourcenrechte

Empfehlungen:

• erstelle Benutzerkonten für Personen, die regelmäßig Ressourcen des Netzes nutzen
• verwende Gruppen um Benutzern Rechte für Ressourcen zuzuweisen
• verwende die MS Gruppenstrategie
• nutze für viele neue Benutzerkonten den Massenerstellungsprozess
• verwende UPN Namen für Benutzer (in untergeordneten Domänen den Suffix der Stammdomäne verwenden...)

Veröffentlichen von Ressourcen in AD:

Vorteil: Auffinden von Ressourcen im zentralen AD Verzeichnis, ohne die physischen Orte der Ressourcen kennen zu müssen. (SUCHEN IN AD, (evt. DSCLIENT))

Insbesondere nützlich, falls sich der physikalische Ort ändert.

DSClient: (für 9x Systeme)

• Suchen in AD
• DFS Client (kann 98 auch ohne DSClient)
• Kennwörter in der Domäne zurücksetzen

Veröffentlichung von: freigegeben Ordnern, Druckern, Dienste

Freigaben:

• Freigabe erstellen (diese werden nicht automatisch veröffentlicht, Explorer...)
• Freigegebenen Ordner veröffentlichen (falls gewünscht: AD Benutzer & Computer)
• dem freigegebenen Ordner evt. eine Beschreibung und Schlüsselwort zuweisen

Drucker:

Printserver, die WIN 2000 Domänenmitglieder sind, veröffentlichen ihre Drucker automatisch in AD (Standardeinstellung, kann über GPO geändert werden). Checkbox „Anzeigen in Verzeichnis“ unter Drucker - (RM) Freigabe

Nicht WIN 2000 Printserver: - freigegebene Drucker müssen manuell veröffentlicht werden.

• Drucker auf dem Printserver erstellen und freigeben
• entweder über AD B&C: Neu - Drucker, oder mit VB Skript pubprn.vbs

Druckerobjekte:

• WIN 2000: am jeweiligen Printserver (sichtbar machen: „Benutzer, Gruppen und Computer als Objekte“)
• nicht WIN2000: am Erstellungsort

Verwaltungsaufgaben:

• verschieben (innerhalb von AD Domäne)
• verbinden (Clients nutzen den Drucker als Netzwerkdrucker)
• öffnen (Verwaltung der Druckerwarteschlange und darüber auch ruckereigenschaften)
• Eigenschaften (AD Objekteigenschaten)

Drucker und Standorte:

Standorte:

• werden anhand von IP Teilnetzen unterschieden, denen sie zugeordnet sind
• Suche nach Druckern am gleichen Standort

Vorgehen:

• aktiviere: Unterscheidung nach Standorten in einem GPO (z.B. AD B&C auf Domänenebene) (optional)
• erstelle ein IP Teilnetz und verknüpfe es mit einem Standort (AD S&D: Subnets)
• konfiguriere das Standortattribut des neuen Teilnetzes (AD S&D: Subnets Eigenschaften)
• konfiguriere das Standortattribut der Drucker (Druckereigenschaften)

MS Empfehlungen:

• veröffentliche häufig genutzte Freigaben und Drucker (die möglichst permanent sind)
• verwende einfache, aussagekräftige Beschreibungen und Schüsselwörter für Freigaben
• verwende einfache, aussagekräftige Beschreibungen und Standortnamen für Drucker
• (veröffentliche Rssourcen in der OU, die die Benutzerkonten enthält)
• lege die nötigen Zugriffsrechte über ACLs fest

Ressourcen und Rechte:

Freigaberechte:

• auch auf Fat, Fat 32
• nur bei Netzwerkzugriffen relevant
• bei NTFS & Freigaberechten gilt:

DFS: ...zentralisiertes Freigabesystem mit Verweisen zu den einzelnen Freigaben...

Zugriffssteuerung:

Sicherheitsprinzipal:

• Objekt mit eindeutiger ID (SicherheitsID, SID) über das Zugriffe vorgenommen werden (z.B. Benutzer, Sicherheitsgruppen, Computer, Dienste)

Sicherheitseinstellungen: (Objektanhang)

• Sicherheitsinformationen für den Zugriff auf ein Objekt:
• Besitzer (darf Berechtigungen für das Objekt ändern)
• Zugriffskontrolllisten (ACL):
• DACL (Zugriffssteuerung) (z.B: Jeder LESEN zulassen)
• SACL (Zugriffsüberwachung)

Kerberos: (Authentifizierungsprotokoll für WIN 2000 Domänen)

• Kerberos verteilt Tickets für Benutzer und Dienste, die eine begrenzte Lebensdauer haben und die Basis für die Erlaubnis des Zugriffs auf Ressourcen darstellen

Zugriffs-Token:

• wird während der Anmeldung vom lokalen Sicherheitsteilsystem erstellt und enthält: die SID des Benutzers, die SIDs aller Gruppen (in denen der Benutzer Mitglied ist) und die speziellen Rechte (Privilegien) des Benutzers (z.B. lokal anmelden, Besitz übernehmen,...)
• jeder Prozess, der vom Benutzer gestartet wird wird mit den Rechten dieses Tokens gestartet
• bei jedem Zugriff auf ein Objekt wird der Token mit den Sicherheitseinstellungen des Objekts verglichen und somit ermittelt, ob der angeforderte Zugriff erlaubt ist.

Delegation von Verwaltungsaufgaben:

• erlaubt es dem „Chef-Admin“ genau bestimmte Aufgaben von anderen Benutzern ausführen zu lassen z.B.:
• Verwaltungsrechte nur innerhalb eines Containers (Containerstruktur)
• Verwaltungsrechte nur auf bestimmte Objektklassen innerhalb eines Containers (Containerstruktur)
• Verwaltungsrechte nur für bestimmte Eigenschaften von bestimmten Objekt(klass)en innerhalb eines Containers (Containerstruktur)
• Assistent:
• (RM) auf gewünschten Container =>Objektverwaltung zuweisen
• Benutzer/gruppe wählen, die Rechte erhalten soll
• Art der Verwaltungsaufgabe festlegen (was mit welchen Objekten)

Empfehlungen:

• vergebe Verwaltungsrechte nur auf OU Ebene
• vergebe Verwaltungsrechte an Gruppen (Gruppenstrategie)
• schule Benutzer, die Verwaltungsaufgaben übernehmen
• verwende den Objektverwaltungszuweisungsassistenten
• verwende „verweigern“ sparsam
• protokolliere die Vergabe von Verwaltungsrechten
• halte Dich bei der Vergabe an die Unternehmensrichtlinien
• stelle den „Hilfsadmins“ angepasste Verwaltungskonsolen zur Verfügung

Gruppenrichtlinien:

• erlauben es Administratoren die Arbeitsumgebung für Benutzer + Rechner bedarfsgerecht vorzukonfigurieren
• einmalige Konfiguration → dauerhafte Anwendung
• Auswahl von Gruppenrichtlinien-Einstellungen wie: Software-Installation; Ordner-Umleitung; Desktop anpassen; Skripte; Sicherheitskonfiguration

GPO enthält Gruppenrichtlinieneinstellungen:

• Eine Gruppenrichtlinie wird mit „Wirkungsort“ (z.B. Domäne oder OU) verknüpft.
• Eine Gruppenrichtlinie kann mit mehreren „Wirkungsorten“ verknüpft werden.

GPO Abarbeitungsreihenfolge:

• lokal
• Standort (mehrere: Prioritätsliste)
• Domäne (mehrere: Prioritätsliste)
• OU (mehrere: Prioritätsliste)


• Alle Gruppenrichtlinien werden verwendet
• Gruppenrichtlinien werden in Active Directory vererbt
• Bei Konflikten überschreibt die zuletzt angewandte Richtlinie die anderen
• Eine Gruppenrichtlinie mit „kein Vorrang“ wird als letzte abgearbeitet (d.h. sie stezt sich immer durch)
• Die Vererbung kann unterbrochen werden, wobei aber nicht selektiert werden kann. „kein Vorrang“ Richtlinien setzen sich aber dennoch durch.
• Gruppenrichtlinien können für bestimmte Benutzer gefiltert (gesperrt) werden, indem man einer Gruppe, in der der Benutzer Mitglied ist, das Recht „Gruppenrichtlinie übernehmen“ entzieht
• GPOs können vom System ermitteln lassen, ob eine Verbindung langsam ist

Anwendung von Gruppenrichtlinien:

• Gruppenrichtlinien wirken nur auf Benutzer und Computer, die sich im „Wirkungsbereich“ (Domäne, OU, etc.) der Gruppenrichtlinie befinden. Die Position des Benutzer bzw. Computer-Objekts in AD ist also sehr wichtig.
• Gruppenrichtlinien können Benutzer und/oder Computereinstellungen beinhalten
• Computereinstellungen wirken auf einen Rechner (unabhängig vom Benutzer). Beim Start des Rechners und in Intervallen (90 min „Mitglied“ Computer, 5 min DC)
• Benutzereinstellungen wirken auf einen Benutzer (unabhängig vom Computer). Bei der Anmeldung und in Intervallen.
• Bei Konflikten zwischen Benutzer und Computereinstellungen setzen sich die Computereinstellungen durch.
• mit der Loopback-Einstellung übernimmt der Computer die Benutzereinstellungen seiner OU, statt der des eigentlichen Benutzers.
• für Gruppenrichtlinien können die Benutzer und/oder Computereinstellungen deaktiviert werden

Nützliche Tools:

• gepresult: zeigt verwendete GPOs und mehr an
• secedit: z.B. zum sofortigen Aufrischen der Gruppenrichtlinien
• secedit /refreshpolicy machine_policy
• secedit /refreshpolicy user_policy
• replmon.exe: Domänenreplikation

Delegation der Verwaltung von Gruppenrichtlinien:

MS-Empfehlungen:

• verwende nicht zu viele GPOs für einen Rechner bzw. Benutzer (start/anmeldezeit !)
• verwende ein GPO für ähnliche Richtlinien (z.B. alle Desktopeinstellungen)
• begrenze den Einsatz von „kein Vorrang“, Vererbungsdeaktivierung und Gruppenfiltern.
• vermeide den Einsatz von GPOs an Standorten mit mehreren Domänen
• delegiere GPO Verwaltungsaufgaben nur an wenige (geschulte) Benutzer

Gruppenrichtlinien - Softwareverteilung

Softwarekreis: Software kaufen, verteilen, unterhalten, entfernen

Windows Installer Dienst: (arbeitet mit IntelliMirror)

Client und Server mit Dateisystemeinstiegspunkt
Installerdienst (msiexec.exe)	- nur Lese-Recht
Anwenden bestimmter „Pakete“	- DFS als zentralen Einstiegspunkt
(Installation, Modifikation, Reparatur und Entfernen von Software)	- Verstecken ($)

Pakete: (am Softwareverteilungpunkt bereitstellen)

GPO - Softwareverteilung

Veröffentlichen (beim Anmelden)	Zuweisen (beim Anmelden)	Zuweisen (beim Starten)
Bereitstellung in der Systemsteuerung Software → Installation	Bereitstellung in der Systemsteuerung Software → Installation	Installation beim Start des Rechners
Installation durch Aufruf einer Datei mit verknüpfter Erweiterung (optional)	Installation durch Aufruf einer Datei mit verknüpfter Erweiterung (immer)
	Installation bei Aufruf der Anwendung über das Startmenü (Desktop)
De/Neu-installation durch Benutzer	De/Neu-installation durch Benutzer	Deinstallation über Systemsteuerung Software nur durch Admins Rep. Durch Benutzer
*.msi, *.zap	*.msi	*.msi

Intellimirror: automatische Reparatur der Anwendung bei Defekt (nur Installer)

Unterhalten (upgraden) der Software

• Optionales Update:
• Benutzer entscheidet, wann und ob das Update durchgeführt wird
• Verbindliches Update:
• nur neue Version der Software ist verfügbar

Entfernen der Software

• Optionales Entfernen:
• Software bleibt im momentanen Zustand auf dem Rechner (Keine Einflussmöglichkeit mehr)
• Erzwungenes Entfernen:
• Die Software wird von den Rechnern entfernt

Kategorien:

• Übersichtliche Gestaltung von Systemsteuerung Software für die Installationsauswahl → Softwareinstallation Eigenschaften → Kategorien → Neue Kategorien erstellen

Datenerweiterungen:

• verknüpft Installation einer Anwendung mit einer Dateierweiterung → Dateierweiterungen
• Priorität, falls 2 Anwendungen die gleiche Erweiterung nutzen

MS Empfehlung:

• verwende nicht 2 unterschiedliche Methoden um die gleiche Software zuzuweisen

Konfiguration der Benutzerumgebung

• Administrative Vorlagen, Skripte, Orderumleitungen, Sicherheitseinstellungen

Administrative Vorlagen:

• gespeichert in: %SYSTEMROOT%\system32\GroupPolicy\Machine\Registry.pol und auf dem DomänenController in der Freigabe: SYSVOL\"domäne“\Policies
• Grobgliederung der administrativen Vorlagen:

Windows Komponenten:	Zugriff auf Tools und Betriebssystem z.B. Taskplaner verfügbar NetMeeting (Freigabe, Chat deaktivieren… MMC: Welche Snap-Ins dürfen verwendet werden …, Autorenmodus erlaubt IE: Welche Eigenschaften können konfiguriert werden …
System:	z.B. nur bestimmte Programme erlauben / verweigern werden (Namensangabe) → Taskmanager deaktivieren; Registrierungstools verbieten; Kommandozeile verbieten Verhalten bei fehlender Treibersignatur Gruppenrichtlinien: Loopback, langsame Verbindungen, Aktualisierungsintervalle… Sicherheitsfenster Alt-Strg-Entf (Computer sperren, Kennwort,…) Anmeldung / Abmeldung: Programme, synchron / asynchron Datenträgerkontingente
Netzwerk:	Offline-Dateien welche Operationen sind in der Netzwerkumgebung möglich (Eigenschaften von NISs ändern, RAS-Verbindungen erstellen, …)
Drucker:	Veröffentlichungseigenschaften Webbasiertes drucken
Startmenü & Taskleiste:	einstellen, welche Optionen verfügbar sind (Suchen, Hilfe, Abmelden, …) Änderungen verweigern persönlich angepasste Menüs …
Desktop:	was wird auf dem Desktop angezeigt was wird Active Desktop erlaubt
Systemsteuerung:	was wird angezeigt welche Operationen sind erlaubt (Software, Drucker, Anzeige)

Loopback Modus:

Durch diese Richtlinie wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Richtlinie gilt. Unabhängig von dessen speziellen Benutzerrichtlinien. (Wenn beispielsweise das Office einem Benutzer zugewiesen wurde, kann es mit dem Loopback-Modus an diesem Rechner und für diesen Benutzer deaktiviert werden.) Diese Richtlinie wurde für Computer mit besonderem Zweck, wie z. B. Computer in Bibliotheken, Laboren oder Klassenzimmern, wo die Benutzerrichtlinie je nach Computer geändert werden muss.

Es gibt zwei Modi: Ersetzen und Zusammenführen:

• Beim Ersetzen entspricht die Benutzerkonfiguration den GPO-Benutzereinstellungen der OU unabhängig vom Benutzer
• Beim Zusammenführen werden die Benutzereinstellungen des Benutzers mit den der OU zusammengeführt. Bei Konflikten gewinnt die OU-Einstellungen. 

Es wird die Gruppenrichtlinie von der OU angewendet, in der der Computer sich befindet.

Skripte:

	Start	*.bat, *.cmd, *.vbs; perl, javascript
	Anmelden	z.B. - Programme / Dienste starten / beenden - Netzlaufwerke verbinden + Konfiguration …
	Abmelden
	Herunterfahren

Übung: Datei: Anmeldung.bat:

start /high sol.exe
net use k: \dozi.de/user:user@de user  

für Dienste:

net start tlntsvr oder
net stop tlntsvr

Ordner umleiten:

Nur für Benutzer

• Ressourcen zentral gespeichert
• einfachere Sicherung (Backup)
• Daten unabhängig vom Anmelderechnern

------- vergleich Umleitung<>Server gespeichertes Profil -------

Weitere Einstellungen: (Standard)

• Benutzer bekommt Exklusivrechte
• Daten aus "Eigene Dateien" werden an den Umleitungsort verschoben

Sicherheitseinstellungen: ( nur öffentliche Schlüssel)

• Kontorichtlinien:
• Kennwörter (Länge, Alter, …), - Kontosperrung,
• Kerberosrichtlinien
• Lokale Richtlinien:
• Überwachungsrichtlinien: (erfolgreich, fehlgeschlagen)
• Objektzugriff (NTFS-Objekte: Dateien, Verzeichnisse, Drucker)
• AD-Zugriff (AD-Objekte)
• Rechteverwendung (gebrauch spezieller Rechte (privilegien)) [z.B. Systemzeit ändern]
• Kontenverwaltung (Zugriff auf Benutzer-Konten)
• Richtlinienänderungen …
• Prozessverfolgung (Prozessaufrufe → Entwickler)
• Anmeldeereignisse
• Anmeldeversuche
• zuweisen von Benutzerrechten (privilegien, spez. Rechte): (z.B. lokale Anmeldung, Besitz übernehmen, Dateien sichern, Dateien wiederherstellen, …)
• Sicherheitsoptionen: (z.B. nicht signierte Treiber, Auslagerungsdatei am Ende löschen)
• Ereignisprotokoll: - Größen, Speichermethode, Aufbewahrungszeit, Sicherheitsprotokoll → falls Platte voll, Rechner herunterfahren
• eingeschränkte Gruppe: - festlegen, wer in einer Gruppe Mitglied sein darf → automatische Entfernung aus der Gruppe
• Systemdienste: festlegen der Startart, … der Dienste
• Dateisystem: Berechtigungen, Überwachungseinstellung für Dateien / Verzeichnisse
• Registrierung: Berechtigungen, Überwachungseinstellung für Registry-Schlüssel
• IPSec Richtlinie: welche IPSec Richtlinie wird zugewiesen
• Richtlinie öffentlicher Schlüssel: z.B.
• Wiederherstellungsagent
• welchen Zertifikatsstellen wird vertraut

Arbeit mit Sicherheitsrichtlinien:

über Verwaltungskonsolen können die Sicherheitseinstellungen der lokalen GPO (lokale Sich.-linie), der Standarddomänenrichtlinie (Sich.-linie für Domänen) und der Standarddomänencontrollerrichtlinie (Sich.-linie für DC's) angezeigt werden.

• Sicherheitsrichtlinien können im-/exportiert werden → Standardvorlagen (*.inf):

DC Srv WS basic basic basic secure   secure hisec   hisec

Höhere Sicherheit geringere Kompatibilät

Hilfsmittel: Snap-Ins:

Überwachung:

1. Überwachung in den Überwachungsrichtlinien aktivieren (Erfolg / Fehler)
2. Am überwachten Objekt die Überwachung aktivieren:
• Wer?
• Welche Rechte?
• Erfolg / Fehler
• Überwacht werden können Objektzugriffe (NTFS-Objekte) und AD-Zugriffe. Der Ort sollte die OU für Domaincontroller sein.
3. Auswerten (Mit Hilfe einer Suchmaske in der Ereignisanzeige im Systemprotokoll)

Richtlinien werden lokal auf dem jew. Computer überwacht.

MS Empfehlungen:

• Eigene Dateien sollten umgeleitet werden
• beachten der Reihenfolge von Skripten
• Bei Verwendung von Loopback: Alle Rechner in einer OU
• verwende nicht zu viele GPOs

Beim Hinzufügen eines zweiten DC's mittels dcpromo wird man um Eingabe eines Passwortes gebeten. Auf diesem Rechner kann man sich nicht lokal anmelden, sondern nur noch als Administrator mit genau diesem Passwort. Zum Ausführen für dcpromo muss man Domänenadmin sein. Der zweite DC löscht alle lokalen Konten (bis auf das genannte) und repliziert selbsständig die Konten eines anderen DC's.

Multi-Domänen Umgebung:

Gesamtstruktur (GS): (Wald, Forrest)

• besteht aus einer oder mehreren Strukturen
• gemeinsames Schema
• (gemeinsame Konfiguration)
• gemeinsamer globaler Katalog (enthält einen Teil der Daten aller Objekte der GS) im Gegensatz zum einfachen DC

DC: enthält alle Daten aller Objekte seiner Domäne

Gründe für mehrere Domänen:

• Domänen sind Sicherheitsbereiche
• →streng getrennte Verwaltung
• Domänen sind Replikationsbereiche
• → weniger bzw. Kontrolle des Replikationsverkehrs
• unterschiedliche Sicherheitseinstellungen
• (z.B. Kennwortlängen, ...)
• NT-Domänenstruktur kann erhalten bleiben

Vertrauensstellungen: (in einer GesamtStruktur)

• gegenseitig (bidirektional)
• transitiv (durchgreifend)
• werden automatisch eingerichtet zwischen:
• über- und untergeordneten Domänen in einer Struktur
• den Stammdomänen der Strukturen

Die Vertrauensstellung ermöglicht es einem Benutzer mit dem Konto seiner Domäne in vertrauenden Domänen auf Ressourcen zuzugreifen. (Allerdings benötigt der Benutzer explizite Rechte auf die Ressourcen)

Authentifizierung in den Domänen:

• Authentifizierung über Kerberos entlang des Vertrauen-Weges vom Benutzer zur Ressource
• Bei langen Wegen kann ein Shortcut-Trust (Verknüpfte Vertrauensstellung) eingerichtet werden, um den Zugriff zu beschleunigen.

Vertrauensstellungen außerhalb eine Gesamtstruktur:

• einseitig
• nicht transitiv
• manuell zu erstellen

Der Ressourcenzugriff findet entgegen der Richtung des Vertrauens statt.

Zwischen:

• Win2000 Domänen in getrennten Gesamtstrukturen
• zwischen Win2000 Domänen und NT4.0 Domänen
• Win2000 Domänen und einem Kerberos 5 Bereich

Einrichten von Vertauensstellungen:

• Active Directory Domänen + Vertrauensstellungen
• (Cmd) NetDOM

Eintrag auf GS 1: (hamburg.de)

Eintrag auf GS 2: (.de)

Globaler Katalog → Anmeldung:

• → Anmeldung über UPN (z.B. test@berlin.de)
• → Mitgliedschaften in Universal Gruppen

Einrichtung eines Globalen Katalog-Servers (GC):

• → AD-Standorte + Dienste
• → Standort
• → Server
• → „Name des Servers“
• → NTDS Settings Eigenschaften
• globaler Katalog

Universal Gruppe:

• → wird auf GC geführt
• wird an alle GCs der Gesamtstruktur repliziert

I Empfehlung:

• Einsatz reduzieren
• platziere andere (globale) Gruppen in Universalgruppen (keine Benutzer)
• ändere die Mitgliedschaft in universal Gruppen möglichst selten
• (nur Änderungen werden repliziert)

MS Empfehlungen:

• verwende die Gruppenstrategie A→ G→ (G)→ (U)→ LD<=P
• verwende Shortcut Trusts für lange Vertrauenswege
• verwende einen GC an jedem Standort (mit viel Netzverkehr)

Replikation und Standorte:

Replikation: Abgleich der AD-Daten zwischen DC’s

• Multimasterprinzip
• Benachrichtigungsprinzip bei Änderungen an einem DC
• Benachrichtigung „Verzögerung“ 5min
• ohne Benachrichtigung: stündliche Replikation
• bestimmte Änderungen werden sofort weitergegeben → repliziert (z.B. Kontosperrung)
• mögliche Konflikte durch Multimasterbetrieb
• Replikation von Änderungen anhand der USN (update sequence number)
• Konflikte:
• Zeitstempel
• Lost and Found (Objekte ohne Zuordnung)

Replikationstopologie

Kreistopologie:

	- Domänenintern für Domänendaten
	- Domänenübergreifend (innerhalb der GS) für Konfig. Daten
	- Domänenübergreifend (innerhalb der GS) für Schema Daten
	- Replikation des globalen Katalogs
	- Replikation über Verbindungsobjekte, die vom System (KCC, knowlege consistancy checker) automatisch erstellt werden.
	- NTDS Settings in Standorte + Dienste: → Verbindungsobjekte manuell erstellen → Verbindungsobjekte bearbeiten → Manuell (Jetzt) replizieren
	- Automatische Querverbindungsobjekte, so dass jeder DC über 3 Replikationsschritte (15min) erreichbar ist.

Standorte:

• Replikationsoptimierung
• Zugriffsoptimierung (z.B. Anmelden)
• Standort erstellen
• (Standard: 1 Standort für alles) „Standardname des ersten Standortes“
• Standortverbindungsobjekt angeben (Standard: „DefaultIPSiteLink“)
• IP-Teilnetz erstellen und dem Standort zuordnen. (zur Identifizierung des Standortes)
• DC('s) in den Standort installieren (automatisch nach IP-Adresse) oder vorhandene verschieben
• [Lizenzserver einrichten (muss kein DC sein)]

Standorte und Replikation

Standortverbindungsobjekte

• logische Repräsentation einer physikalischen Verbindung

AD Standorte + Dienste: Inter-Site Transports

• Transportmechanismus (Protokoll: IP oder SMTP)
• Verbundene Standorte (min. 2)
• Kosten:
• Bevorzugte Verbindung bei mehreren Verbindungen (kleiner Wert bevorzugt)
• Replikationsintervall (Standard: 180min)
• Zeitplan: Wann darf repliziert werden (z.B. nur 22.00 - 2.00 Uhr)

Standortverknüpfungsbrücke:

• fasst Standortverbindungsobjekte zusammen, wobei sich deren Kostenwerte aufsummieren

Im Normalfall ist das nicht nötig, da Standortverbindungsobjekte von selbst aus ein transitives Verhalten aufweisen.

Tools:

MS Empfehlungen:

• min. 1 DC pro Standort
• min. 1 DNS pro Standort
• evtl.1 GC pro Standort (nur bei viel Anfrageverkehr)
• plane die standortübergreifende Replikation auf ausgelasteten Verbindungen zu Zeiten, wo der Verkehr gering ist

Betriebsmasterrollen (FSMO)

FSMO - flexible single master operation

• bestimmte Aufgaben werden im Single-Masterbetrieb durchgeführt (d.h. nur ein Rechner kann (darf) diese Aufgabe wahrnehmen, welcher auch DC sein muss)
• Die Betriebsmaster repliziert die Änderungen an die anderen DC's
• Jeder DC kann eine Betriebsmasterrolle übernehmen

Verteilung der Betriebsmasterrollen:

Schema-Master: DC 1	erster DC der GS	einmal pro GS
Domänennamens-Master: DC 1	erster DC der GS
PDC-Emulator: DC 1, DC A	erster der Domäne	einmal pro Domäne
RID-Master: DC 1, DC A	erster der Domäne
Infrastruktur-Master: DC 1, DC A	erster der Domäne

Tools zum Anzeigen und Ändern der Betriebsmasterrollen

MS-Empfehlungen:

• vermeide häufige Rollenwechsel
• übertrage die Betriebsmasterrollen, bevor ein DC abgewertet wird
• beachte den Netzwerkverkehr für Kennwortänderungen, wenn die Rolle des PDC-Emulators vergeben werden soll
• regelmäßige Prüfung, ob die Rollen sinnvoll verteilt sind
• Schema Master und Domänennamen Master sollten auf einem DC platziert werden
• positioniere einen GC-Server im Standort des Infrastruktur-Masters, aber verwende nicht den gleichen DC als GC und Infrastruktur-Master

Movetree.exe

F:\>movetree /start /s thomas.hamburg.de /d raik.veddel.hamburg.de /sdn cn=egon,ou=verwaltung,ou=firma,ou=christoph,dc=hamburg,dc=de /ddn cn=egon,cn=users,dc=veddel,dc=hamburg,dc=de

D:>movetree /?

THE SYNTAX OF THIS COMMAND IS:

MoveTree [/start | /continue | /check] [/s SrcDSA] [/d DstDSA] [/sdn SrcDN] [/ddn DstDN] [/u Domain] [/p Password] [/verbose]

Required
/u <Domain> : Domain Name and User Account Name. Optional
/p <Password> : Password. Optional
/verbose : Verbose Mode. Pipe anything onto screen. Optional

EXAMPLES:

movetree /check /s Server1.Dom1.Com /d Server2.Dom2.Com /sdn OU=foo,DC=Dom1,DC=Com /ddn OU=foo,DC=Dom2,DC=Com /u Dom1/p *

movetree /start /s Server1.Dom1.Com /d Server2.Dom2.Com /sdn OU=foo,DC=Dom1,DC=Com /ddn OU=foo,DC=Dom2,DC=Com /u Dom1/p MySecretPwd

movetree /startnocheck /s Server1.Dom1.Com /d Server2.Dom2.Com /sdn OU=foo,DC=Dom1,DC=Com /ddn OU=foo,DC=Dom2,DC=Com /u Dom1/p MySecretPwd

movetree /continue /s Server1.Dom1.Com /d Server2.Dom2.Com /ddn OU=foo,DC=Dom1,DC=Com /u Dom1/p * /verbose

AD-Datenbankverwaltung

AD Datenbanksystem:

Verwaltung über ESE System (extensible storage engine)

Dateien:

Datenbankaufräumprozess: (online)

• läuft automatisch und regelmäßig auf jedem DC (alle 12 Betriebsstunden)
• ermittelt und löscht Tombstones (gelöschte Objekte werden nicht physikalisch gelöscht, sondern als gelöscht markiert -Tombstone-. Dadurch erfahren auch die anderen DCs vom löschen des Objekts (Replikation). Nach Ablauf des Tombstoneintervalls wird das Objekt endgültig gelöscht) Standard: 60Tage / Einstellbar: ADSIEdit (SupportTool)
• defragmentiert die Datenbank

Sichern der AD-Datenbank

1. ntbackup starten
2. sichern des Systemstatus

Active Directory Datenbank Sysvol-Ordner Zertifikatsdatenbank Registrierung alle Rechner Startdateien DCOM+

DC DC CA alle Rechner alle Rechner alle Rechner

3. Sicherung im laufenden Betrieb
4. ntbackup kann den Systemstatus nur auf dem lokalen Rechner sichern und wiederherstellen
5. Fremdsoftware (Veritas) kann auch über das Netz sichern

Wiederherstellen der AD-Datenbank auf dem DC

• Rechner wieder herstellen, AD installieren, replizieren

Vorgehensweise:

1. Neustart des Rechners
2. F8 - Verzeichnisdienstwiederherstellungsmodus (AD ist Offline → nicht verfügbar)
3. SAM-Konto für Verzeichnisdienstwiederherstellung
4. wiederherstellen des Systems mit ntbackup
• CMD: ntdsutil → authoritative restore:
• z.B. restore subtree OU=umleit,OU=firma OU=andreas,DC=de oder restore database
5. Neustart des Rechners (normaler Modus)

Weitere Datenbankverwaltungsaufgaben

• verschieben der Datenbank NUR OFFLINE MOEGLICH
• weil volle Festplatte oder
• Laufwerk mit besserer Performance
• defragmentieren der Datenbank
• online:
• (alle 12 Stunden beim Aufräumprozess)
• ordnet die Speicherseiten der Datenbank neu an
• offline:
• manuell
• ordnet die Speicherseiten neu an und 
• gibt den gewonnen Plattenplatzfrei (komprimieren)

Vorgehensweise:

MS-Empfehlungen:

• sichere den Systemstatus der DC's regelmäßig
• platziere die Datenbank und Transaktionsprotokolldateien auf unterschiedlichen Laufwerken
• offline Komprimierung nur, falls viel Platz zu gewinnen ist
• verringere das Tombstone-Intervall nicht unter die 60 Tage Standardwert

Active Directory Service - Zusammenfassung

Begriffe

Verzeichnisdienst:

• Datenbank Zugriffsdienst
• speichert Informationen über alle Netzwerkressourcen zentral
• erlaubt zentrale Verwaltung
• logische Strukturierung der Ressourcen
• Verwaltungsaufgaben können delegiert werden

• Schema: Objekt - Attribute (→ Attributwerte)
• Namen:

• log. Komponenten : GS, Struktur, Domäne, OU
• phy. Komponenten : Standort, DC

DNS - ADS:

DNS ist für ADS zwingend notwendig:

• DNS ist der Namensdienst für AD:
• DNS stellt den Namensraum für ADS zur Verfügung
• über DNS werden die Domänendienste von AD für Clients angeboten (Kerberos, GC, LDAP)→ SRV-Einträge (Serviceeinträge)
• bei Problemen hilft netdiag (evtl. netdiag /fix) weiter
• AD-integrierte Zonen: (nur auf DCs, die DNS-Server sind)
• Daten werden nicht in Dateien, sondern im AD gespeichert
• automatische Replikation zwischen DC's in dieser Domäne, → evtl. komprimiert, → alle Zonen schreibfähig
• sichere Übertragung nur zu anderen DC's, → „nur gesicherte Aktualisierungen zulassen“ ist verfügbar, ansonsten nicht verschlüsselt (zu sekudären DNS-Servern)
• Person muss in den Sicherheitseinstellungen (ACL) aufgeführt sein

AD-Installation:

• Voraussetzungen:
• W2k-Server
• NTFS-Partition (>250MB) (für Sysvol)
• TCP/IP
• DNS
• Adminrechte (lokal, Domänen-Admin oder Organisations-Admin)
• Ausfuehren durch DCPromo =>
• DC (GS, Struktur, Untergeordnete, weiterer DC in Domäne)
• AD-Datenbank (ntds.dit) + Transaktionsprotokolldateien (*.log)
• Sysvol (NTFS-Datenträger mit der Freigabe Netlogon)
• Domänendienste
• (evtl. DNS-Installation, dann DNS (63 Zeichen inkl. Punkt)- und NetBIOS (bis 15 Zeichen)-Name)
• Kennwort für den Wiederherstellungsmodus
• Berechtigungs-Kompatibilität (für NT4 wird die Gruppe JEDER der Gruppe PREw2kkompZugriff hinzugefügt, bei W2k sind das authentifizierte Benutzer, die Zugriff haben)
• DCPromo: Deinstallation
• Domänenmodus:
• gemischter Modus (nur notwendig für NT4.0-BDC's)
• (nur in eine Richtung erst nach der Installation konvertierbar zum)
• einheitlicher Modus (nur W2k DC's);Vorteil:
• Universal-Gruppen
• verschachtelte OU's

Benutzer und Gruppen:

• Massenimport / -änderungen: csvde.exe / ldifde.exe
• Benutzereigenschaften: - z.B. Profile, …
• Kontoverwaltung: - Kennwort zurücksetzen, …

Gruppen:

• globale Gruppen (Mitglieder: eigene Domäne, Verfügbarkeit: alle Domänen mit Vertrauensstellung(VS))
• lokale Domänengruppe (Mitglieder: alle Domänen mit VS, Verfügbarkeit: eigene Domäne)
• Universal-Gruppen (Mitglieder: aus GS, Verfügbarkeit: in GS, nur einh. Modus)
• lokale Gruppen (nur auf Ursprungsrechner)

Gruppenstrategie:

Benutzer → globale Gruppe → (evtl. gl. Gruppe) →  (evtl. Un.-Gruppe) → lokale Dom.Gruppe ← Ressourcen

Veröffentlichen von Ressourcen in ADS:

Voraussetzung: Ressource ist freigegeben

• Ordner: standardmäßig nicht veröffentlicht → manuell (Neu / Freigegebener Ordner)
• Drucker:
• W2k Druckserver: standardmäßig veröffentlicht → Steuerung über Druckerfreigabe (Häkchen fuer: im Verzeichnis anzeigen)
• Rest: muss manuell veröffentlicht werden (Neu / Drucker)

Delegation von Verwaltungsaufgaben:

Abtreten von Teilaufgaben (z.B. Benutzerverwaltung, Kennwort zurücksetzen) an Benutzer (Hilfsadmin), typischerweise auf OU Ebene (OU Struktur wird u.a. nach Gesichtspunkten der Delegation aufgebaut)

• Assistent: Objektverwaltung zuweisen (Sicherheitseinstellungen (DACL) werden modifiziert) vom Objekt, das verwaltet werden soll

Gruppenrichtlinien: Anwendung

• werden im GPC und auf Sysvol gespeichert
• → aus dem GPC werden Verknüpfungen erstellt zu

Sind mehrere GPOs auf einer OU angewandt so gilt die Prioritätsliste.

• GPO Vererbung (kann deaktiviert werden, → nicht selektiv)
• GPO Optionen:
• Kein Vorrang:
• Wird zuletzt angewendet; setzt sich durch
• Kann nicht blockiert werden
• Deaktiviert:
• Deaktiviert die GPO
• Benutzerkonfigurationen gelten für Benutzer unabhängig vom Computer
• Computerkonfigurationen gelten für Computer unabhängig vom Benutzer
• Über das Recht „Gruppenrichtlinie übernehmen“ kann gesteuert werden, wer diese GPO Einstellung erhält „Filtern von Gruppen“.
• Tools:
• secedit /refreshpolicy (machine_policy / user_policy) initiiert die Neuanwendung der GPO
• Normal:
• Computereinstellungen:
• Neustart
• Intervall (5 min beim DC, sonst 90 min)
• Benutzereinstellungen:
• Anmelden
• Intervall (90 min)
• gpresult.exe
• replmon.exe

Rechte:

Um ein GPO zu bearbeiten, zu erstellen oder um sie zu verknüpfen, braucht man spezielle Rechte. Setzt man das Recht Schreiben in der ACL der GPO, kann man die jew. GPO bearbeiten. Zum Erstellen muss man Dom.-Admin, Richtlinien-Ersteller bzw. Besitzer sein. Um Verknüpfungen zu erstellen, muss in der ACL der OU das Recht GPLink und GPOption vergeben sein. Das kann aber auch mit einem Asisstenten zur Objektverwaltung gemacht werden.

Gruppenrichtlinien: Inhalte

• Sicherheitseinstellungen: Computer begrenzt User
• z.B. Kennworteinstellungen

• Privilegien: zuweisen von Benutzerrechten
• IPSec Richtlinien
• Sicherheitsvorlagen (selbst erstellen oder vorgefertigte / *.inf) können in GPO's in- und exportiert werden
• Softwareverteilung:

• Skripte (*.bat, *.cmd, *.vbs, *.js, *.pl)
• Computer
• → Start / Herunterfahren
• Benutzer
• → An / Abmeldung
• Intellimirror
• Softwarekategorien
• Entfernen
• komplettes Softwarepaket
• nur die Zuweisung

• Ordnerumleitungen: (Benutzer) z.B. Eigene Dateien auf Dateiserver:
• zentrale Sicherung möglich
• gleicher Inhalt unabhängig vom Rechner

Vorteil gegenüber servergespeichertem Profil: Übertragung über Netz nur bei Aufruf

• Kennwortrichtlinien (Anmeldung an der Domäne: Domäneneinstellung gilt)
• Sicherheitsoptionen
• Benutzerrechte (Privilegien)
• Überwachungseinstellungen (Objektzugriffe (Konfig. am Objekt (SACL)), AD-Zugriffe (Konfig. am Objekt (SACL)), Kontenverwaltung, Rechteverwendung, Anmeldeereignisse / Auswerten in der Ereignisanzeige)
• Dienste, eingeschr. Gruppen, Registry, Dateisystem (Tools: secedit, Snap-Ins: Sicherheitsvorlagen, Sicherheit Konfig+Analyse / vordefinierte Inf-Dateien)
• Administrative Vorlagen: (Registrierungseinstellungen) z.B.:

Multi-Domänenumgebung:

• Domäne:
• Sicherheitsbereich
• Replikationseinheit
• Struktur:
• besteht aus über-/untergeordneten Domänen, die einen gemeinsamen Namensraum nutzen
• Vertrauensstellung zwischen über-/untergeordneter Domäne
• implizit
• transitiv
• gegenseitig
•  In einer GS vertraut jede Domäne jeder anderen
• GesamtStruktur
• gemeinsames Schema
• gemeinsamer Globaler Katalog
• getrennter Namensraum
• Vertrauensstellung zwischen den Top-Domänen der Strukturen
• implizit
• transitiv
• gegenseitig
• In einer GS vertraut jede Domäne jeder anderen
• Vertrauensstellung:
• nicht transitiv
• einseitig
• explizit
• Ressourcenzugriff entgegen dem Vertrauen

Standorte und Replikation:

min. 1 DC pro Standort (+ 1 DNS) Replikation - Standort übergreifend:

• Standortverbindungsobjekt 
• Replikationsintervall
• Replikationszeitplan
• (- Kosten ↔ bevorzugte Verwendung)
• → System (KCC, ISTG) verwendet die Daten um Verbindungsobjekte zu erstellen:
• Kein Ring, sondern Bridgehead-Server
• Kein Benachrichtigungsprizip
• Replikationsverkehr komprimiert

Betriebsmasterrollen (FSMO)

- bestimmte Aufgaben müssen im Singlemaster ausgeführt werden

Masterrollen können an andere DCs vergeben werden

• übernehmen (Master verfügbar)
• erzwingen (Master nicht verfügbar)

* Originalmaster dürfen nach „erzwingen“ nie mehr ins Netz

AD-Datenbankverwaltung:

• Datenbankaufräumprozess: (12h automatisch, online → Tombstones prüfen und löschen → Defragmentierung)
• Datenbanksicherung: ntbackup.exe: Systemstatus sichern
• Datenbankwiederherstellung: