Windows Server Domäne einrichten #Teil 3

Aufbauend auf den ersten Teil und zweiten Teil dieses Tutorials kommen wir in diesem Artikel zur Einrichtung unserer Windows-Domäne. Nach wie vor befinden wir uns auf einem Windows Server 2008 R2.

Active Directory

Active Directory-Benutzer und -ComputerIn der Verwaltung finden sich die ActiveDirectory Einstellungen unter “Active Directory-Benutzer und -Computer”.

Standardmäßig finden wir hier unsere Domäne, sowie Windows-Standard OUs wieder.

Bei Aufbau eines neuen Netzwerkes bietet es sich an, eine übergeordnete OU für die gesamte Firma/Organisation zu erstellen, da wir dieser bereits „globale“ Gruppenrichtlinien (GP) zuordnen können und sie diese an die untergeordneten OUs vererbt.

Neue Organisatiosneinheit erstelllen

Eine OU erstellen wir mit einem Rechtsklick → Neu → Organisationseinheit.

 

Standardmäßig ist eine OU vor zufälligem Löschen geschützt. Dies ist auch sinnvoll, da eine gelöschte OU nicht wiederhergestellt werden kann.
Sollte man eine OU dennoch löschen wollen geht dies über “Ansicht → erweiterte Features → Eigenschaften im Kontextmenu der OU → Haken für versehentliches Löschen entfernen → Löschen”

OUsOUs sollten die Struktur des Unternehmens der Übersichtlichkeit wegen möglich gut abbilden.
Der genaue Aufbau ist von Fall zu Fall zu entscheiden.

Clients/Hosts im Netzwerk können der Struktur per Drag&Drop hinzugefügt werden. Zu Beginn befinden sie sich in der von Windows vordefinierten OU “Computers”.

Mit einem „Rechtsklick → Neu“ können wir auch Benutzer anlegen. Zu beachten ist hierbei, dass ggf. erste Gruppenrichtlinien, das Kennwort betreffend vorher festgelegt werden sollten:

Zu finden ist diese unter Gruppenrichtlinienverwaltung → Default Domain Policy → Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinien

Weitere Einstellungen der Default Domain Policy sollten nicht verändert werden.

Wichtige Befehle/Kommandos in Bezug auf die Aktualisierung von Gruppenrichtlinien:

  • gpupdate                      → übernimmt nur die letzten Änderungen
  • gpupdate /force          → aktualisierte alle GPs

Freigaben

Freigaben sind grundsätzlich wie folgt aufgebaut:
\\Computername\Freigabename

Möchte man eine Freigabe verstecken, lässt sich der Name durch ein $ erweitern:
\\Computername\Freigabename$

Das $-Zeichen ist dabei Bestandteil des Namens!

Bei Erstellung einer Freigabe ist grundsätzlich immer “Jeder” Vollzugriff zu gestatten.

Erweiterte Freigabe Windows ServerWenn wir den Zugriff hier bereits beschränken, können wir diesen später über die Sicherheitsgruppen nicht wieder gestatten.

NETLOGON SYSVOL

 

Einige Freigaben sind bereits durch Installation des Domänencontrollers erstellt worden.

 

home profileZwei weitere Freigaben erstellen wir nun im folgenden Schritt. An einem Ort unserer Wahl, beispielsweise eine extra Partition oder Festplatte erstellen wir die Ordner “profile” und “home” und geben diese wie im Schritt zuvor beschrieben frei.

 

Weitere Freigaben, wie zum Beispiel Ordner für einzelne Abteilungen legen wir im späteren Verlauf an. Dafür werden dann auch die genauen Berechtigungen wie folgt angelgt:

Sicherheit → Erweitert → Berechtigungen ändern

Erweiterte Sicherheitseinstellungen

BerechtigungseinstellungenIn diesem Fenster können wir nun eine Sicherheitsgruppe hinzufügen und dieser auch entsprechend detailliert Berechtigungen zuweisen.

Die Funktion “Verweigern” sollte hierbei möglichst nicht bzw. mit Bedacht gewählt werden, weil sie auf die Unterordner vererbt wird und ein “Zulassen” in jedem Fall sticht.

Ist man auf der Fehlersuche, kann man sich in den “Erweiterten Sicherheitseinstellungen” auch die “Effektiven Berechtigungen” eines Benutzers oder einer Gruppe anzeigen lassen.

 

Benutzer & Benutzerprofile

Die soeben angelegten Freigaben sind relevant für unsere Benutzeranmeldung bzw. die Benutzerprofile und -daten.

Grundsätzlich wird zwischen Servergespeicherten und Lokalen Profilen unterschieden:

  • Bei Servergespeicherten Profilen werden die Einstellungen und der Desktopinhalt bei Anmeldung vom Server auf den Client kopiert und bei Abmeldung wird das Serverprofil wieder überschrieben.
  • Ein Lokales Profil bleibt nur auf dem Client an dem er erstellt wurde und der Benutzer muss seine Einstellungen an jedem anderen Client erneut tätigen.

Im ActiveDirectory erstellen wir per Rechtsklick → Neu → Benutzer einen neuen Benutzer und gehen anschließend in die Profileinstellungen dieses Benutzers:

Benutzer ProfileigenschaftenDie entscheidenden Stichwörter sind hier Profilpfad, Anmeldescript und Basisordner.

Den Profilpfad geben wir mit unserer Freigabe “profile” und dem Benutzernamen in Form von “%username%” an.

Das Anmeldeskript benötigt keine Pfadangaben. Es befindet sich immer in der Systemfreigabe “NETLOGON”.

Als Basisordner legen wir den Pfad auf unsere “home” Freigabe. Ebenfalls mit %username%.

Die Umgebungsvariable %username% wird mit Klick auf Übernehmen sofort in den Benutzernamen umgewandelt. Dies ist so beabsichtigt.

Das Anmeldeskript selbst befüllen wir später. – Zuerst benötigen wir noch einige Gruppenrichtlinien.

Sicherheitsgruppe Universal

 

Zudem legen wir noch eine Sicherheitsgruppe für unseren Nutzer an. Die geschieht mit Rechtsklick → Neu → Gruppe

Der Gruppenbereich ist “Universal” und kann damit für diverse Zwecke verwendet werden.

 

 

Mit Klick auf die Gruppen oder den Benutzer fügen wir diesen nun noch der Gruppe hinzu.

Wir wechseln jetzt in die Gruppenrichtlinienverwaltung um die Vorbereitungen für unser Anmeldescript und die Benutzer zu treffen.

Insgesamt brauchen wir in diesem Beispiel 3 Gruppenrichtlinien:

  • “lokalen admin zu servergespeicherten profilen hinzufügen”
    • um Zugriff auf andere Profile bekommen zu können
    • Computerkonfiguration → Richtlininen → Administrative Vorlagen → System → Benutzerprofile → “Sicherheitsgruppe ‘Administratoren’ zu servergespei…..”
  • “Berechtigung Systemzeit ändern”
    • um normalen Benutzer per LoginScript das ändern der Zeit zu ermöglichen
    • Computerkonfiguration → Richtlininen → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Zuweisen von Benutzerrechten → “Ändern der Systemzeit” und “Domänen-Benutzer” hinzufügen
  • “offline dateien deaktivieren”
    • um Fehlermeldungen beim Anmelden zu verhindern, weil keine Offline-Dateien genutzt werden
    • Benutzerkonfiguration → Richtlininen → Administrative Vorlagen → Netzwerk → Offlinedateien
      Gruppenrichtlininen Offlinedateien

 

 

 

 

Es sollte jetzt wie folgt aussehen:Gruppenrichtlininen

Schreibe einen Kommentar