zzz, Du willst doch nicht schummeln?

Hilfestellungen zur Übung WIN 2000

 

Erstellen Sie zunächst die Active Directory Struktur (eine OU für die Firma und untergeordnete OUs für jede Abteilung). Legen Sie die Benutzerkonten in den entsprechenden OUs an und eine globale Gruppe für jede Abteilung (GF, PRO, usw.). Fügen Sie die Mitarbeiter den entsprechenden Gruppen hinzu. Legen Sie eine weitere OU unterhalb der Firmen OU an, in der Sie lokale Domänengruppen für den Zugriff auf Ressourcen anlegen. Jeweils eine für jede Anwendung und den Druckerzugriff. Machen Sie die Abteilungsgruppen zu Mitgliedern der Gruppen, die auf für die Abteilung bestimmte Ressourcen zugreifen sollen.

(alles in Active Directory Computer und Benutzer)

 

Mit dem Explorer wird folgende Verzeichnisstruktur aufgebaut:

[Firma]
[Anwendungen]
[Text]
[Tab]
[Praes]
[Prozess]
[DFS_Stamm]
[Infoaustausch]
[Infos]
[Profil_Pro]
[Umleitungen]

Unterbrechen Sie in dem Verzeichnissen Firma und Umleitungen die Rechtevererbung.

Setzen Sie statt dessen über die Sicherheitseinstellungen die Rechte:

Firma: IT Vollzugriff
Text: Textzugriff lesen, ausführen, Ordnerinhalt auflisten
Tab: Tabzugriff lesen, ausführen, Ordnerinhalt auflisten
Prozess: Prozugriff  lesen, ausführen, Ordnerinhalt auflisten
DFS_Stamm Jeder ändern
Infoaustausch: Jeder  lesen, ausführen, Ordnerinhalt auflisten
Ersteller/Besitzer ändern
Infos: GF Vollzugriff
Jeder lesen, ausführen, Ordnerinhalt auflisten
Profil_Pro: PRO Vollzugriff
Umleitungen Jeder vollzugriff

Geben Sie die Ordner Infoaustausch, Umleitungen und Profil_Pro frei.

Installieren (kopieren) Sie die Anwendungsprogramme in die jeweiligen Ordner.

 

Erstellen Sie eine Gruppenrichtlinie, die die Ordnerumleitungen und Desktopeinstellungen für die Abteilungen VM und SEK beinhaltet und weisen Sie diese den entsprechenden OUs zu. (AD Computer und Benutzer - Eigenschaften der OUs - Registerkarte Gruppenrichtlinie). Variable %username% bei der Umleitungskonfiguration nutzen...

 

Entziehen Sie den Mitarbeitern der VM, SEK und IT Abteilung das Zugriffsrecht auf den TS auf Benutzerbasis (AD Computer und Benutzer). Für Benutzer der Abteilung PRO wird hier unter Umgebung: Startprogramm: UNC-Pfad.exe eintragen

Sitzungen: 15 und 30 Minuten Limit konfigurieren.

GF erhält Vollzugriff auf das RDP unter Berechtigungen in der Terminaldienstekonfiguration.

 

Um die Profile der Benutzer bearbeiten zu können müssen diese einmal angemeldet gewesen sein, oder ein vorkonfiguriertes Profil erhalten. Sie können die Anwendungsverknüpfungen als Administrator im Profil der Benutzer unter “Desktop” anlegen. Eleganter geht es mit einem Skript bei der Anmeldung (Gruppenrichtlinie).

 

Konfigurieren Sie im Systemmonitor ein Leistungsindikatorenprotokoll, das über einen typischen Arbeitszeitraum den Leistungsindikator “Prozessor-%Prozessorzeit” in regelmäßigen Intervallen erfasst und abspeichert.

Erstellen Sie ebenfalls eine Warnung, die einen Eintrag in die Ereignisanzeige schreibt sobald der Leistungsindikator “Speicher-Seitenfehler/s” einen Wert > 4 erreicht.

 

Richten Sie 3 logische Drucker ein (einen für den Druckerpool und zwei für den gemeinsamen Drucker für GF und SEK).

Konfigurieren Sie deren Eigenschaften und geben Sie nur den vorgesehenen Gruppen das Recht zum Drucken.

 

Für die Profile von PRO melden Sie einen der Benutzer an, konfigurieren das Profil und kopieren dieses danach als Admin nach Profil_PRO (Systemsteuerung nutzen!). Nun müssen Sie noch die ntuser.dat in ntuser.man umbenennen und die Mitglieder von PRO auf dieses Profil verweisen (UNC-Pfad unter Profil in den Benutzereigenschaften in AD Computer und Benutzer). NTFS Rechte für das Verzeichnis beachten!

 

Erstellen Sie einen DSF-Stamm (Freigabe: DFS-Stamm) unter dem Sie die Freigabe Infoaustausch als Verknüpfung angeben.

Im Internetdienste-Manager erstellen Sie ein neues virtuelles Verzeichnis unterhalb der Standardwebsite (RM), das auf den Ordner Infos (als Basisverzeichnis) verweist und info.htm alsStandarddokument nutzt. Legen Sie im Ordner Infos testweise eine info.htm Datei ab.

In der DNS Verwaltungkonsole konfigurieren Sie einen neuen Aliaseintrag, der den Alias www dem FQDN Ihres Rechners zuordnet.

 

Verwenden Sie den “Objektverwaltung zuweisen” Assistenten in AD Computer und Benutzer um Scott und Joey das Recht zum zurücksetzen der Kennwörter in Ihren Abteilungs-OUs zu geben.

 

Aktivieren Sie in Routing und RAS den RAS Server (falls noch nicht erfolgt). Über die Eigenschaften des Servers legen Sie den IP-Adressbereich fest (Reg.karte IP) und deaktivieren die Mehrfachverbindungseinstellung (Reg.karte PPP).

Legen Sie in den Benutzereigenschaften der Mitarbeiter von IT und GF die Einwahlerlaubnis und Rückrufoption fest (AD Computer und Benutzer).

Statt der Konfiguration auf Server und Einzelbenutzerbasis kann auch eine RAS Richtlinie eingesetzt werden.

 

Die Überwachung wird in den Überwachungsrichtlinien (Domänen GPO; AD Computer und Benutzer) aktiviert (erfolgreiche und fehlgeschlagene Objektzugriffe). In den erweiterten Sicherheitseinstellungen der Drucker wird die Gruppe SEK zur Überwachungsliste hinzugefügt und alle Zugriffe überwacht.

 

Konfigurieren Sie für jeden einzelnen Benutzer der VM Abteilung die erlaubten Anmeldezeiten (in AD Computer und Benutzer - Benutzereigenschaften)

Das Copyright liegt bei unserem Dozenten, der diese Übung und die dazugehörige Hilfestellung im Auftrag von Indisoft verfasst hat. Ich habe diesen Text mit Hilfe von Frontpage ins HTML-Format übersetzt. 15.11.2001

Hier einige Screenshots zur Hilfe:

Drucker-überwachung:

danach:

als letztes: