9.11.2001

ADS-Überblick

Das Sysvol ist die Datei, die zwischen den DC's abgeglichen wird.

Der wesentliche Unterschied zwischen NT und W2k ist, dass bei NT nur eine flache Namens-Struktur und einen Single-Master-Prinzip herrscht.

Eine Gesamtstruktur (forest) hat einen globalen Katalog (ein Verzeichnis). Innerhalb jeder Struktur gibt es untergeordnete Domänen, die man leicht durch den Namen unterscheiden kann.

Innerhalb einer Gesamtstruktur werden automatisch Vertrauensverhältnisse zwischen den Domänen aufgebaut. Bei NT4 gab es keine transitiven Vertrauensstellungen. Ausserdem konnte man sie nur einseitig einrichten.

Es gibt auch Standortkonzepte, die den Abgleich der DC's untereinander beeinflusst.

Man sollte in einer Domäne logische Strukturen anlegen. Einer der Gründe ist die Delegation von Verwaltungsaufgaben.

Benutzer / Gruppenkonfiguration über Gruppenrichtlinien (GPO / Group Policy Object):

Die Auswirkungen und Einstellungen liegen im Sysvol-Verzeichnis als Dateien.

Wir legen in Berlin neue OU's an: in Berlin sitzt die Verw. und die Pro., in Hamburg sitzen die IT, Pro., Contr. und die QS.

Legen wir jetzt User in den OU's an, stellen wir fest, dass diese eindeutige Namen vorweisen müssen. Einen UserPro in Hamburg und einen UserPro in Berlin können nicht innerhalb einer Domäne existieren. Besonders für die Anmeldennamen muss man eindeutige Namen vergeben.

Abarbeitung, Anwendung von GPO's
1. jeder Rechner besitzt eine lokale GPO
2. danach werden die Standort-GPO's ausgewertet
3. mögliches Domänen-GPO
4. OU-GPO's

Die GPO's sind in GPC's (Group Policy Container) zusammengefasst. Man braucht deshalb nur wenige Richtlinien anzulegen, und kann die Standort-, Domänen- und OU-GPO's auf die GPO's im GPC verknüpfen. Es werden an dem Benutzer alle zutreffenden GPO's angewendet. Bei konkurierenden Einstellungen gewinnt die zuletzt abgearbeitete. Daraus erkennen wir, es gibt eine Vererbung innerhalb der Active Directory Struktur. Diese kann man unterbrechen.

Es gibt eine Richtlinie, die die Option "kein Vorrang" besitzt. Die Richtlinie, die so definiert wurde, wird als letztes abgearbeitet und gewinnt deshalb. Betrachtet man mal folgendes Beispiel: Ich als Admin generiere GPO's, und mein Hilfsadmin in Hamburg generiert völlig andere und überschreibt damit meine GPO's. Setze ich jetzt das Häkchen für diese Option, kann der Hilfsadmin in HH machen, was er will, meine Richtlinie setzt sich durch.

Übrigens: Im englischen heisst diese Regelung no overwrite! Die Übersetzung dieser Richtlinie ist somit indiskutabel, oder?

Einer so definierten Richtlinie sind auch unterbrochene Vererbungen egal.

Es gibt leider keine Möglichkeit, zu sehen, welche GPO aus dem GPC mit welcher OU verknüpft wurde. Genauso schwach ist es, Richtlinien, die geändert wurden, zusammenfassen zu lasse, sodass die Änderungen sichtbar werden.

GPO's wirken nur auf Benutzer oder Computer, nicht auf Gruppen. So können Benutzer in derselben Gruppe sein, aber solange sie sich in verschiedenen OU's befinden, haben sie auch nur die dort definierten Richtlinien. Benutzereinstellungen wirken auf einen Benutzer unabhängig vom Computer, allerdings nur in der jeweiligen Domäne. Will ich mich als User in einer anderen Domäne anmelden, muss eine Vertrauensstellung zu "meiner" Domäne herrschen. Dasselbe gilt auch für Computer: Computereinstellungen wirken auf ihn unabhängig vom Benutzer. Diese wirken beim Starten bzw. beim Runterfahren des Rechners. Benutzereinstellungen wirken beim An- und Abmelden, oder, wenn sie sofort gelten sollen: secedit /refreshpolicy user_policy bzw. secedit /refreshpolicy machine_policy.

Diese und die lokale Sicherheitsrichtlinien sind Teile der GPO. Insgesamt benötigen wir folgende Sicherheitsrichtlinie:

Rufe ich aus dem RessourceKit die gpresult.exe auf, erhalte ich für meinen Rechner:

Die Domänen-GPO findet man relativ einfach:

Hier sehen wir auch, dass man die Vererbung aufheben kann.

Aufgabe: Wir möchten, dass die Netzwerkumgebung in der Domäne ausgeblendet werden soll, in Hamburg soll sie aber sichtbar bleiben:

In der Domäne gehen wir so vor:

Für Hamburg gehen wir genauso vor, aber beim Konfigurieren blenden wir sie ein.

Zur Erweiterung: Zusätzlich sollen in Berlin sämtliche User das Suchen und Ausführen im Startmenü deaktiviert bekommen. Die Produktion soll nur calc.exe ausführen und die Verw hat keine RM auf der Taskleiste.

Wir setzen jetzt auf der Domäne die "Netzwerkumgebung ausblenden" auf "kein Vorrang" und überprüfen jetzt das Ergebnis. In HH dürfte jetzt ebenfalls kein Netzwerk zu sehen sein.

Als nächstes fügen wir der OU Pro in Hamburg die Richtlinie "nurcalc" hinzu (wirklich nur hinzufügen!). Und siehe da, wir brauchen nur die schon erstellte Richtlinie hinzuzufügen.

Als nächstes entfernen wir bei der Berliner Verwaltung die Vererbung. Jetzt haben die User in Berlin zwar keine RM, besitzen aber die Netzwerkumgebung.

Der Administrator besitzt ebenfalls keine Netzwerkumgebung.Das ist eine Designfrage, auf die es mehrere Antworten gibt. Hat man die OU's richtig geplant, umgeht man sowas vorher. Haben wir aber nicht! Wir können nachträglich mit Hilfe von Gruppen filtern; z.B. Admins sollen von einer GPO ausgenommen werden. Die Sicherheitseinstellungen einer GPO sind vergleichbar mit den ACL's. Wir klicken in den Active Directory Benutzer und -Computer-Fenster auf die Domäne \ RM \ Eigenschaften \ Gruppenrichtlinie \ die Richtlinie auswählen \ RM \ Eigenschaften \ Sicherheitseinstellungen \ Administratoren anwählen \ Häkchen auf "Verweigern" setzen. Nach einer Neuanmeldung haben alle Administratoren wieder eine Netzwerkumgebung. Achtung: Verweigern ist wieder vorrangig! Hier der Weg:

Wir bearbeiten jetzt mal die nurcalc-Richtlinie:

In den Windows-Einstellungen der GPO unter der Computer- und der Benutzerkonfiguration sehen wir, dass man Skripte definieren kann. Zum Starten und Herunterfahren respektive zum An- und Abmelden. Sie können sowohl Batch-, CMD-, VBS- als auch PL- und JS-Dateien sein. Weiterhin können an dem Ort auch die Sicherheitseinstellungen definiert werden. Microsofts Empfehlung ist eine einheitliche Struktur der Sich.-einstellungen. Als nächstes gibt es auch noch eine Ordnerumleitung. Der Sinn dahinter ist folgender: bei einer Ordnerumleitung werden die Dateien nur geladen, wenn ich darauf zugreife. Im Gegensatz dazu war das servergespeicherte Profil, wo die "Eigenen Dateien" gleich mitgeladen werden. Beides zu kombinieren ist die beste Möglichkeit. Zusätzlich kann man in der GPO die Anzeige bzw. den Zugriff auf den Desktop, Startmenü, Programme, Netzwerk usw. einschränken. Als nächsten Punkt sehen wir noch die Softwareeinstellungen. Die gibts sowohl bei der Computer- als auch bei der Benutzerkonfiguration. Damit kann man Software zuweisen.

Vergleich zwischen NT und W2k:

W2k NT 4.0
- Auf dem Server, dem DC, gibts nen Sysvol-Ordner, wo sich für die Clients die Anmeldeinformationen befinden. In dem Sysvol-Ordner existiert eine logische Strukur; es ist wichtig, wo sich der Client in diesere Struktur befindet. Die Clients werden durch Gruppenrichtlinien gesteuert. Für NT4 existiert die Freigabe namens Netlogon und der Sys.-manager
- eingeschränkte Möglichkeiten, nur auf Basis des Namens oder der Gruppenangehörigkeit (Systemrichtlinien). Systemrichtlinienmanager (poledit.exe) war das Tool, mit der man diese Richtlinien bearbeitet. Er erstellt eine Datei namens ntconfig.pol für die unterschiedl. Einstellungen aller Benutzer. Der Freigabeordner heisst Netlogon.