70-640 Konfigurieren von Active Directory Windows Server 2008 - Gattner
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
70-640 Konfigurieren von Active Directory
Windows Server 2008
Autor Simon Gattner
Autor Website http://gattner.name/simon
Dokument Name 70-640.doc
Dokument Titel Konfigurieren von Active Directory
Windows Server 2008 (R2)
Dokument URL http://gattner.name/simon/public/microsoft/Windows%20Server
%202008/70-640.doc
http://gattner.name/simon/public/microsoft/Windows%20Server
%202008/70-640.pdf
http://gattner.name/simon/public/microsoft/Windows%20Server
%202008/70-640.html
Dokument Datum 21.01.11
Dokument Namen, Eigennamen
$Befehle, ~DateinamenActive Directory-Domänendienste
Active Directory-Domänendienste (Active Directory Domain Services, AS DS) stellen
die Funktionalität einer Identitäts- und Zugriffslösung (Identity and Access, IDA) für
Organisationsnetzwerke bereit.
Active Directory Identität und Zugriff
IDA ist für die Aufrechterhaltung der Sicherheit von Organisationsressourcen wie
beispielsweise Dateien, E-Mails, Anwendungen und Datenbanken unerlässlich.
IDA-Infrastruktur sollte folgendes leisten:
• Speichern von Informationen zu Benutzern, Gruppen, Computern und
anderen Identitäten – Identität kann im weitesten Sinne als Darstellung einer
Entität beschrieben werden, die Aktionen in einem Organisationsnetzwerk
ausführt. Zum Beispiel möchte ein Benutzer ein Dokument in einer Freigabe
öffnen. Das Dokument wir mit einer Zugriffssteuerungsliste (Access Control
List, ACL) geschützt. Der Zugriff auf das Dokument wird vom Server über ein
Sicherheitssubsystem verwaltet, wobei ein Vergleich der Benutzeridentität mit
den in der ACL aufgeführten Identitäten vorgenommen wird, um zu ermitteln,
ob der Zugriffsanforderung des Benutzers stattgegeben wird.
Computer, Gruppen, Dienste und andere Objekte führen ebenfalls Aktionen im
Netzwerk aus und müssen durch Identitäten dargestellt werden.
Zur Identität gespeicherten Informationen umfassen Eigenschaften, die das
Objekt eindeutig kennzeichnet, wie beispielsweise ein Benutzername oder
eine Sicherheitserkennung (Security Identifier, SID) sowie Kennwort für die
Identität. Daher ist der Identitätsspeicher eine Komponente einer IDA-
Infrastruktur.
Active Directory-Datenspeicher, auch Verzeichnis, ist ein Identitätsspeicher.
Das Verzeichnis an sich wird auf einem Domänencontroller, einem Server der
die AD DS-Rolle ausführt, gehostet und verwaltet.
• Authentifizierung einer Identität – Benutzer bekommen nur dann Zugriff auf
Dokumente, wenn er die Gültigkeit der in der Zugriffsanforderung vorgelegten
Identität bestätigt bekommt.
Um die Identität zu bestätigen, stellt der Benutzer geheime Informationen
bereit, die nur ihm und der IDA-Infrastruktur bekannt sind.
Diese geheimen Informationen werden durch einen Prozess, der als
Authentifizierung bezeichnet wird, mit den im Identitätsspeicher vorhandenen
Informationen verglichen.
• Zugriffssteuerung – IDA-Infrastruktur ist für den Schutz vertraulicher
Informationen, wie zum Beispiel die in den Dokumenten gespeicherten Daten,
zuständig.
Zugriff auf die Informationen muss in Übereinstimmung mit den
Unternehmensrichtlinien verwaltet werden.
Mit einer ACL für Dokumente wird eine Sicherheitsrichtlinie implementiert, die
aus Berechtigungen besteht, die Zugriffsebenen für bestimmte Identitäten
festlegt. Die Zugriffssteuerungsfunktion in der IDA-Infrastruktur wird zum
Beispiel über das Sicherheitssubsystem des Servers ausgeführt.
• Bereitstellen eines Audit-Trails – Falls ein Unternehmen Änderungen an
und Aktivitäten innerhalb der IDA-Infrastruktur überwachen möchte, ist die
Bereitstellung eines Verwaltungsmechanismus für die Überwachung
erforderlich.Authentifizierung einer Identität wird in einer Active Directory-Domäne über das Kerberos-Protokoll geregelt. Wenn ein Benutzer sich an einer Domäne anmeldet, führt Kerberos eine Authentifizierung der Benutzeranmeldungsinformationen durch und gibt ein Informationspaket aus, das als ticketerteilendes Ticket (Ticket Granting Ticket, TGT) bezeichnet wird. Bevor der Benutzer zur Dokumentanforderung eine Verbindung mit dem Server herstellt, wird eine Kerberos-Anforderung an den Domänencontroller gesendet, gemeinsam mit dem TGT, das den authentifizierten Benutzer identifiziert. Der Domänencontroller gibt für den Benutzer ein weiteres Informationspaket aus, ein sogenanntes Dienstticket, das den authentifizierten Benutzer gegenüber dem Server identifiziert. Der Benutzer legt das Dienstticket beim Server vor, der das Dienstticket als Beweis der Benutzerauthentifizierung annimmt. Diese Kerberos-Transaktionen werden in einer einzelnen Netzwerkanmeldung zusammengefasst. Nachdem der Benutzer sich das erste Mal angemeldet hat und ihm ein TGT gewährt wurde, ist er innerhalb der gesamten Domäne authentifiziert, und ihm können Diensttickets gewährt werden, die ihn gegenüber jedem beliebigen Dienst identifizieren. Die gesamte Ticketaktivität wird durch die in Windows integrierten Kerberos-Clients und -Dienste verwaltet.
Active Directory umfasst fünf Technologien, die eine vollständige IDA-
Lösung bieten
• Active Directory-Domänendienste (Identität)
o AD DS stellt ein zentrales Repository für die Identitätsverwaltung
innerhalb einer Organisation.
o AD DS bietet Authentifizierungs- und Autorisierungsdienste in einem
Netzwerk und unterstützt Objektverwaltung über Gruppenrichtlinien.
o AD DS verfügt über Informationsverwaltungs- und Freigabedienste
wodurch Benutzer mit Suchläufen im Verzeichnis beliebige
Komponenten wie Dateiserver oder Drucker ermitteln können.
• Active Directory Lightweight Directory Services (Anwendung)
o AD LDS (Active Directory Leightweight Directory Services) oder auch
Active Directory-Anwendungsmodus (Active Directory Application
Mode, ADAM) bietet Unterstützung für Verzeichnisfähige
Anwendungen.
o AD LDS sind eine Untergruppe der AD DS
o AD LDS speichern und replizieren ausschließlich
Anwendungsbezogene Informationen.
o AD LDS ermöglicht die Bereitstellung von Benutzerdefinierten
Schemas.
o AD LDS unterstützt mehrere Datenspeicher auf einem System, sodass
jede Anwendung mit eigenem Verzeichnis, Schema, Lightweight
Directory Access Protocoll (LDAP), SSL-Port und Anwendungsprotokoll
bereitgestellt werden kann.
o AD LDS basieren nicht auf AD DS und können deshalb in einer
Eigenstständigen- oder Arbeitsgruppenumgebung eingesetzt werden.
o AD LDS kann AD DS für Benutzer- und Computeridentifizierung in
Domänenumgebungen verwenden.
o AD LDS kann für die Bereitstellung von Authentifizierungsdiensten in
verfügbaren Netzwerken, z.B. Extranets verwendet werden.
• Active Directory-Zertifikatdienste (Vertrauensstellung)
o Active Directory-Zertifikatdienste (Active Directory Certificate Service,
AD CS) kann zum einrichten einer Zertifizierungsstelle verwendet
werden.
o AD CS stellt eine Infrastruktur für öffentliche Schlüssel (Public Key
Infrastrukture, PKI) bereit.
o AD CS kann mit CA (Certification Authority) verknüpft werden um
externen Communities Identität zu bestätigen.
• Active Directory-Rechteverwaltungsdienst (Integrität)
o Active Directory-Rechteverwaltungsdienst (Right Management Service,
AD RMS) ermöglicht die Implementierung von Verwendungsrichtlinien
über die zulässige Nutzung definiert wird.
o AD RMS kann die Integrität von bereitgestellten Daten feststellen.
o AD RMS können die AD DS zum Einbetten von Zertifikaten in
Dokumente und in den AD DS sowie für die Zugriffsverwaltung
verwenden.
• Active Directory-Verbunddienste (Partnerschaft)o Active Directory-Verbunddienste (Active Directory Federation Services,
AD FS) kann eine Organsiation IDA auf mehrere Plattformen ausweiten
und Identitäts- und Zugriffsrechte über Sicherheitsgrenzen hinweg an
vertrauenswürdige Partner weitergeben.
o AD FS unterstützt Partnerschaften unterschiedlicher Organisationen die
gemeinsame Nutzung von Extranetanwendungen ermöglicht, während
die Organisation auf die eigene interne AD DS-Struktur zurückgreift, um
das eigentliche Authentifizierungsverfahren bereitzustellen.
o AD FS können mit AD CS vertrauenswürdige Server erstellen und mit
der AD RMS externen Schutz für Eigentum bereitstellen.
o AD FS unterstützt in Verbundsnetzwerken einmalige
Webanmeldetechnologien wie SSO (Single-Sing-On).
Active Directory bietet neben IDA
• Schemas
o Schemas sind Regelsätze die Objektklassen und Attribute definieren,
die im Verzeichnis enthalten sein können.
o Benutzerobjekte die Benutzernamen und Kennwort umfassen, werden
über das Schema der Objektklasse user definiert.
• Richtlinien
o Richtlinien sind beispielsweise Gruppenrichtlinien,
Überwachungsrichtlinien oder Kennwortrichtlinien.
o Richtlinienbasierte Verwaltung verringert den Verwaltungsaufwand,
besonders in komplexen und großen Netzwerken.
• Replikationsdienste
o Replikationsdienste helfen Verzeichnisdaten über das Netzwerk zu
verteilen.
o Replikationsdienste umfassen sowohl den Datenspeicher als auch das
Implementieren von Richtlinien und Konfigurationen, Anmeldescript
eingeschlossen.
o In einer als globalen Katalog (oder auch Teilattributsatz) bezeichneten
Partition im Datenspeicher sind Informationen zu jedem Objekt im
Verzeichnis enthalten.
o Programmierschnittstellen wie beispielsweise ADSI (Active Directory
Services Interface) und Protokolle wie LDAP können zum lesen und
bearbeiten des Datenspeichers genutzt werden.
o Active Directory-Datenspeicher kann Anwendungen unterstützen die
nicht direkt mit AD DS in Verbindung stehen.
o Datenbanken, wie zum Beispiel die des DNS-Dienstes, können als
Anwendungspartition im AD DS verwaltet werden und mit Hilfe des
Active Directory-Replikationsdienstes repliziert werden.Active Directory-Infrastruktur Komponenten
• Active Directory-Datenspeicher – In diesem Datenspeicher der auf dem
Domänencontroller gehostet wird, speichert die AD DS ihre Identitäten.
Bei dem Verzeichnis handelt es sich um eine Datei Namens Ntds.dit, die
im Standardverzeichnis %SystemRoot%\Ntds auf dem Domänencontroller
gespeichert wird.
Die Datenbank wird in mehrere Partitionen gegliedert: Schema, Konfiguration,
globale Katalog und Domänennamenkontext (Daten zu Objekten innerhalb der
Domäne wie zum Beispiel Benutzer, Gruppen und Computer).
• Domänencontroller – DCs sind Server, welche die AD DS-Rolle ausführen.
Als teil der Rolle führen sie ebenfalls den Kerberos-Schlüsselverteilgscenter-
Dienst (Key Distribution Center, KDC) aus, der Authentifizierung und andere
Active Directory-Dienste ausführt.
• Domäne – Zum erstellen einer AD-Domäne ist mindestens ein
Domänencontroller notwendig.
Domänen sind Verwaltungseinheiten, innerhalb derer bestimmte Funktionen
und Eigenschaften freigegeben sind.
Domänen umfassen bestimmte Verwaltungsrichtlinien wie beispielsweise die
Kennwortkomplexität und Kontosperrungsrichtlinien. Solche Richtlinien die
innerhalb einer Domäne gespeichert sind, haben Auswirkungen auf alle
Konten in der Domäne und werden auf jedem Domänencontroller repliziert.
• Gesamtstruktur – ist eine Sammlung einer oder mehrerer Active Directory-
Domänen.
Die erste Domäne in einer Gesamtstruktur installiert, wird als Gesamtstruktur-
Stammdomäne bezeichnet.
In einer Gesamtstruktur ist eine einzelne Netzwerkkonfigurationsdefinition
sowie eine einzelne Instanz des Verzeichnisschemas enthalten.
Gesamtstrukturen sind einzelne Instanzen eines Verzeichnisses.
Gesamtstrukturen stellen eine Sicherheitsgrenze dar, da Daten von Active
Directory nicht außerhalb der Gesamtstruktur repliziert werden.
• Struktur – DNS-Namespace von Domänen erstellt Strukturen innerhalb einer
Gesamtstruktur.
Domänen die untergeordnete Domänen einer anderen Domäne sind, werden
wie die Domäne selbst als Struktur betrachtet.
Die Gesamtstruktur example.org mit den Domänen example.org und
berlin.example.org, stellen eine einzelne Struktur da, da beide im
gleichen DNS-Namespace liegen.
Die Gesamtstruktur example.org mit den Domänen example.org und
gedit.net stellen zwei Strukturen dar, da beide Domänen nicht im gleichen
DNS-Namespace liegen.
Strukturen sind das direkte Ergebnis der für die Domänen in der
Gesamtstruktur vergebenen DNS-Namen.
• Funktionsebenen – sind AD DS-Einstellungen, die erweiterte domänen- oder
gesamtstrukturweite AD DS-Features aktivieren.
Drei Domänenfunktionsebenen: Windows 2000 einheitlich, Windows Server
2003 und Windows Server 2008
Zwei Gesamtstrukturfunktionsebenen: Microsoft Windows Server 2003 und
Windows Server 2008• Organisationseinheiten – Active Directory ist eine hierarchische Datenbank.
Objekte im Datenspeicher können in Containern gesammelt werden. Bei
einem Containertyp handelt es sich um die Objektklasse container.
Active Directory hat folgende Standardcontainer in Active Directory-Benutzer
und –Computer: Users, Computers, Builtin und Organisationseinheit.
Organisationseinheit (Organizational Unit, OU) bietet nicht nur einen
Container für Objekte, sondern darüber hinaus Möglichkeiten zum Verwalten
der Objekte.
OUs sind mit Gruppenrichtlinienobjekten (Group Policy Object, GPO)
verknüpft.
GPOs können Konfigurationseinstellungen enthalten, die von Benutzern oder
Computern in einer OU automatisch angewendet werden.
• Standorte – sind Objektklassen die als site bezeichnet werden.
Active Directory-Standorte sind Objekte, das ein Teil des Unternehmens mit
einer guten Netzwerkkonektivität repräsentiert.
Standorte bilden Replikations- und Dienstnutzungsgrenzen.
Replikationen innerhalb eines Standorts werden in Sekunden schnelle
durchgeführt.
Replikationen zwischen Standorten werden in der Annahme einer langsamen,
teueren und unzuverlässigen Verbindung durchgeführt.
Clients beanspruchen Dienste nach folgender Hierarchie: eigener Standort,
nächstligender, anderer Standort.Active Directory Installation Active Directory-Domänencontroller installieren und konfigurieren • Domänen- und DNS-Name (FQDN und NetBIOS-Name) • Funktionsebene (DCs Microsoft Windows Versionen) • DNS-Unterstützung (AD DNS-Dienst oder Drittanbieter) • IP-Konfiguration (statische IP-Adressen, Subnetzmasken, DNS-Server) • Benutzernamen und Kennwörter • Verzeichnis des Datenspeichers $netsh interface ipv4 set address name=““ source=static address= mask= gateway= $netsh interface ipv4 set dns name=”” source=static address= primary $ipconfig /all $shutdown -r -t 0 $netdom join %computername% / domain: $shutdown -r -t 0 $oclist $ocsetup DNS-Server-Core-Role $dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName: /ConfirmGC:Yes /UserDomain: /UserName: /Password: /safeModeAdminPassword: $mmc servermanager.msc -> Rollen -> Rollen hinzufügen -> Active Directory-Domänendienste $dcpromo
Windows 2008 Server Core
Systemvoraussetzungen
• Min. 3GB Festplattenspeicher
• Min. 256MB RAM
Serverrollen
• Active Directory-Domänendienste
• Active Directory Lightweight Directory Services (AD LDS)
• DHCP-Server (Dynamic Host Configuration Protocol)
• DNS-Server
• Dateidienste
• Druckserver
• Streaming Media-Dienste
• Webserver (IIS als statischer Webserver – kein ASP.NET)
• Hyper-V (Windows Server-Virtualisierung)
Features
• Microsoft Failovercluster
• Netzwerklastenausgleich
• Subsystem für UNIX-basierte Anwendungen
• Windows-Sicherung
• Multipfad-E/A
• Wechselmedienverwaltung
• Windows Bitlocker-Laufwerksverschlüsselung
• Simple Network Managment-Protokoll (Simple Network Management
Protocol, SNMP)
• WINS (Windows Internet Name Services)
• Telnet-Client
Quality of Services (QoS)Active Directory Verwaltung
Microsoft Management Console Snap-Ins für die Active Directory-Verwaltung:
$mmc dsa.msc Active Directory-Benutzer und –Computer
$mmc dssite.msc Active Directory-Standort und –Dienste
$mmc domain.msc Active Directory-Domänen und –Vertrauensstellungen
$mmc dsac.msc Active Directory-Verwaltungscenter
MMC muss als Administrator ausgeführt werden.
MMC kann auch benutzerdefinierte Konsolen erstellen und speichern.
MMC kann mit Hilfe von Datei -> Snap-In hinzufügen/entfernen Konsolen-Snap-Ins
hinzufügen und entfernen.
MMC kann benutzerdefinierte Konsolen in verschiedenen Modi abspeichern unter
Datei -> Optionen
• Autorenmodus (Anpassungen der Konsole sind erlaubt)
• Benutzermodus – Vollzugriff (Konsolennavigation aller Snap-Ins erlaubt,
Snap-In hinzufügen/entfernen und Eigenschaften gesperrt)
• Benutzermodus – beschränkter Zugriff, mehrere Fenster
(Konsolennavigation nur in vorhandenen Snap-Ins erlaubt, kein neues Fenster
öffnen erlaubt, mehrere Fenster vordefiniert)
• Benutzermodus – beschränkter Zugriff, Einzelfenster
(Konsoltennavigation nur im angezeigten Fenster)
MMC die nicht im Autorenmodus gespeichert sind, können nur vom
Ursprungsautoren verändert werden.
MMC werden mit der Dateienerweiterung .msc standardmäßig in %userprofile
%\Anwendungsdaten\Roaming\Microsoft\Windows\Startmenü gespeichert
und im Startmenü unter Verwaltung angezeigt.
MMC Snap-Ins sind Windows-Verwaltungstools die zu einem MMC hinzugefügt
werden können.
MMC Snap-Ins die in einer Konsole angezeigt werden, funktionieren nur, wenn sie
auch installiert sind.
MMC Active Directory-Remoteverwaltung benötigt das Feature RSAT-Snap-In,
falls der Remote-Client kein Domänencontroller ist. RSAT findet sich im Knoten
Features im Server-Manager oder muss für Windows Vista und Windows 7 bei
Microsoft heruntergeladen werden. RSAT unterstützt Windows ab Vista SP1.
Active Directory definierte Namen
Active Directory definierte Namen (Distinguished Names, DNs) sind eine Art Pfad
zu einem Objekt in Active Directory.
DNs sind im Gegensatz zu RDNs (Relative Distinguished Names) volle
Pfadangaben.
DNs sind jedem Objekt im Active Directory zugeordnet.
DNs sind unterteilt in:
• CN (Common Name)
• OU (Organisation Unit)
• DC (Domain Component)
"CN=Simon Gattner,OU=berlin,OU=personal,DC=foo,DC=local"Active Directory Objekte
Objekte können von Active Directory in sogenannten OUs (Organisationseinheiten)
zusammengefasst und gesammelt werden.
OUs (Organisationseinheiten) sind Sammlungen von Objekten die unter dem
Gesichtspunkt der Verwaltung zusammengehören.
OUs dienen als Verwaltungscontainer dazu eine Verwaltungshierachie
bereitzustellen.
OUs enthalten Gruppenobjekte in denen wiederum Benutzerobjekte
zusammengefasst werden denen Berechtigungen für Ressourcen erteilt werden.
$mmc dsa.msc -> -> Neu -> Organisationseinheit
$mmc dsa.msc -> -> ->
Eigenschaften
$mmc dsa.msc -> -> < Organisationseinheit > | -> Neu -> Benutzer -> Neues Objekt – Benutzername
$mmc dsa.msc -> -> < Organisationseinheit > | -> Neu -> Gruppe -> Neues Objekt – Gruppe
$mmc dsa.msc -> -> < Organisationseinheit > | -> Neu -> Computer -> Neues Objekt – Computer
OUs delegieren und verwalten mit dem Assistenten zum Zuweisen der
Objektverwaltung.
Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf
eine Organisationseinheit klicken und die Option Objektverwaltung zuweisen wählen,
um den Assistenten zum Zuweisen der Objektverwaltung zu starten.
$mmc dsa.msc -> -> Objektverwaltung zuweisen ->
Assistent zum Zuweisen der Objektverwaltung
Aufgaben deren Verwaltung delegiert werden kann:
• Erstellt, entfernt und verwaltet Benutzerkonten
• Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der
nächsten Anmeldung
• Liest alle Benutzerinformationen
• Erstellt, löscht und verwaltet Gruppen
• Ändert die Mitgliedschaft einer Gruppe
• Fügt einen Computer einer Domäne hinzu
• Verwaltet Gruppenrichtlinien-Verknüpfungen
• Richtlinienergebnissatz erstellen (Planung)
• Richtlinienergebnissatz erstellen (Protokollierung)
• Erstellt, löscht und verwaltet Konten für inetOrgPerson
• Setzt Kennwörter für inetOrgPerson zurück und erzwingt Kennwortänderung
bei der nächsten Anmeldung
• Liest alle Informationen für inetOrgPersonOUs löschen – müssen folgende zwei Schritte durchgeführt werden, da Microsoft
mit Server 2008 eine neue Option (Objekte vor zufälligem löschen Schützen)
eingeführt hat und sonst eine Meldung „Sie haben nicht die erforderliche
Berechtigung“ erscheint:
$mmc dsa.msc -> Ansicht -> Erweiterte Features
$msc dsa.msc -> -> Eigenschaft -> Objekte vor zufälligem löschen
Schützen (deaktivieren)
OUs suchen und finden:
• Erteilen von Berechtigungen bei Ordnern oder Dateien benötigt Gruppen
oder Benutzer
• Hinzufügen von Mitgliedern zu einer Gruppe können Objekte sein wie:
Benutzer, Computer, Gruppen oder alle drei dieser Objekte
• Erstellen von Verknüpfungen bezieht sich auf ein Objekt. Beispiele für
Verknüpfungen sind Gruppen oder das Attribut Verwaltet von
• Suchen eines Objekts kann sich auf jedes beliebige Objekt einer Active
Directory-Domäne beziehen
$mmc dsa.msc -> Aktion -> Suchen
$mmc dsa.msc -> Ansicht -> Filter
$%windir%\system32\dsac.exe Active Directory Verwaltungscenter
$dsquery
$dsquery user -name (Wildcards wie * sind
erlaubt)
$dsquery user -name *simon*
"CN=Simon Gattner,OU=berlin,OU=personal,DC=foo,DC=local"
"CN=Patrizia Simons,OU=Abteilungsleiter,OU=stuttgart,
OU=personal,DC=foo,DC=local"
$dsquery /?
Beschreibung: Die Befehle dieser Toolsammlung ermöglichen Ihnen, das
Verzeichnis laut angegebenen Suchkriterien zu durchsuchen.
Jeder
der folgenden dsquery-Befehle sucht nach Objekten eines
bestimmten Objekttyps; nur dsquery * sucht nach allen
Objekttypen:
dsquery computer - Sucht nach Computern im Verzeichnis.
dsquery contact - Sucht nach Kontakten im Verzeichnis.
dsquery subnet - Sucht nach Subnetzen im Verzeichnis.
dsquery group - Sucht nach Gruppen im Verzeichnis.
dsquery ou - Sucht nach Organisationseinheiten im Verzeichnis.
dsquery site - Sucht nach Standorten im Verzeichnis.
dsquery server - Sucht nach Active Directory-Domänencontrollern/
LDS-Instanzen im Verzeichnis.
dsquery user - Sucht nach Benutzern im Verzeichnis.
dsquery quota - Sucht nach Spezifikationen für Datenträgerkontingente
im Verzeichnis.
dsquery partition - Sucht nach Partitionen im Verzeichnis.
dsquery * - Sucht mit einer Standard-LDAP-Abfrage
nach Objekten im Verzeichnis.
Geben Sie zum Anzeigen einer bestimmten Befehlsyntax"dsquery /?" ein, wobei einer der oben angezeigten
Objekttypen ist, Beispiel: dsquery ou /?.
Anmerkungen:
Die dsquery-Befehle ermöglichen Ihnen, nach Objekten im Verzeichnis
laut angegebenen Suchkriterien zu suchen: die Eingabe bei dsquery ist
ein Suchkriterium und die Ausgabe eine Liste der übereinstimmenden
Objekte. Verwenden Sie die dsget-Befehle (dsget /?), um die
Eigenschaften eines bestimmten Objekts abzurufen.
Die Ergebnisse eines dsquery-Befehls können als Eingabe an eines der
anderen Verzeichnisdienst-Befehlszeilentools wie dsmod, dsget,
dsrm oder dsmove weitergeleitet werden.
Kommas, die nicht als Trennzeichen in definierten Namen verwendet werden,
müssen einem umgekehrten Schrägstrich folgen ("\") (z.B.
"CN=Firma\, GmbH,CN=Benutzer,DC=microsoft,DC=com").
Umgekehrte Schrägstriche in definierten Namen müssen einem umgekehrten
Schrägstrich folgen (z.B.
"CN=Verkauf\\Südamerika,OU=Verteilerlisten,
DC=microsoft,DC=com").
Beispiele:
Der folgende Befehl sucht nach allen Computern, die in den letzten vier
Wochen nicht aktiv waren und entfernt diese aus dem Verzeichnis:
dsquery computer -inactive 4 | dsrm
Der folgende Befehl sucht nach allen Organisationseinheiten
"ou=Marketing,dc=microsoft,dc=com" und fügt diese der
Marketingmitarbeitergruppe hinzu:
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group
"cn=Marketingmitarbeiter,ou=Marketing,dc=microsoft,dc=com" -addmbr
Der folgende Befehl sucht nach allen Benutzern, deren Namen mit "Jens"
beginnen, und zeigt deren Büronummern an:
dsquery user -name Jens* | dsget user -office
Verwenden Sie den Befehl "dsquery *" um einen zufälligen Attributsatz
eines angegebenen Objekts im Verzeichnis anzuzeigen. Der folgenden Befehl
zeigt den SAM-Kontonamen, Benutzerprinzipalnamen und Abteilungsattribute
des Objekts mit DN gleich ou=Test,dc=microsoft,dc=com an:
dsquery * ou=Test,dc=microsoft,dc=com -scope base
-attr sAMAccountName userPrincipalName department
Folgender Befehl zeigt alle Attribute des Objekts mit DN gleich
ou=Test,dc=microsoft,dc=com an:
dsquery * ou=Test,dc=microsoft,dc=com -scope base -attr *
Hilfe der Verzeichnisdienst-Befehlszeilentools:
dsadd /? - Zeigt die Hilfe für das Hinzufügen von Objekten an.
dsget /? - Zeigt die Hilfe für das Anzeigen von Objekten an.
dsmod /? - Zeigt die Hilfe für das Bearbeiten von Objekten an.
dsmove /? - Zeigt die Hilfe für das Verschieben von Objekten an.
dsquery /? - Zeigt die Hilfe für das Suchen von Objekten an, die mit
den Suchkriterien übereinstimmen.
dsrm /? - Zeigt die Hilfe für das Löschen von Objekten an.Active Directory Objekte Delegierung und Sicherheit Delegierung der administrativen Steuerung, auch Objektverwaltung oder einfach Delegierung genannt, bezeichnet die Zuweisung von Berechtigungen, über die der Zugriff auf Objekte und Eigenschaften im Active Directory verwaltet wird. Delegierung dient beispielsweise dazu dem Helpdeskteam administrative Aufgaben zu übertragen. Delegierung erfolgt über die Zugriffssteuerungsliste (Access Control List, ACL) für Active Directory Objekte. Delegierung greift dabei auf die Zugriffssteuerungseinträge (Access Control Entry, ACE), die Berechtigungen für ein Objekt zu, die Benutzern, Gruppen oder Computern (Sicherheitsprinzipale) zugewiesen werden. $mmc dsa.msc -> Ansicht -> Erweiterte Features (Falls die Registrierkarte Sicherheit [ACL] nicht angezeigt wird) $mmc dsa.msc -> -> Eigenschaften -> Sicherheit (ACL) ACEs werden in der freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL) des Objekts gespeichert. $mmc dsa.msc -> -> Eigenschaften -> Sicherheit -> Erweitert -> Erweiterte Sicherheitseinstellungen -> Berechtigungen -> -> Bearbeiten (vollständige Liste der ACEs) DACL ist ein Teil der ACL des Objekts, die darüber hinaus auch die Systemzugriff- Steuerungsliste (System Access Control List, SACL) umfasst, welche in den Überwachungseinstellungen bereitgestellt werden. DACLs können bestimmte Eigenschaften (Eigenschaftssätze) eines Objekst Berechtigungen zuweisen. Berechtigungen zum Ändern von Telefon- und E-Mail-Optionen oder Zurücksetzen von Kennwörtern können beispielsweise zugelassen oder verweigert werden. $mmc dsa.msc -> -> Eigenschaften -> Sicherheit -> Erweitert -> Erweiterte Sicherheitseinstellungen -> Berechtigungen (DACL)
Berechtigungen können für einzelne Benutzerobjekte zugewiesen werden. Im
Normalfall werden Berechtigungen Organisationseinheiten (OUs) zugewiesen.
Berechtigungen die OUs zugewiesen werden, werden an alle Objekte innerhalb
dieser OU vererbt.
Berechtigungen werden automatisch vererbt wenn die standardmäßig aktiviert
Option Vererbbare Berechtigungen des übergeordneten Objektes einschließen
aktiviert ist beim erstellen neuer Objekte.
Vererbbare Berechtigungen können generell über das deaktivieren obiger Option
oder für einzelne Berechtigungen, durch das zuweisen derselben Berechtigung im
untergeordneten Objekt aufgehoben werden.
Berechtigungen im untergeordneten Objekt haben immer Vorrang vor
Berechtigungen des übergeordneten Objekts.
Berechtigungen die verweigern, wie beispielsweise Verweigern::Kennwort
zurücksetzen überschreiben Berechtigungen die zulassen. Das trifft
beispielsweise zu, wenn ein Benutzerobjekt verschiedenen Gruppen angehört und in
der einen Gruppe die Berechtigung Zulassen::Kennwort zurücksetzen
aktiviert ist und in einer anderen Verweigern::Kennwort zurücksetzen.
$dsacls /?
Dient zum Anzeigen oder Ändern der Berechtigungen (Zugriffssteuerungslisten)
eines Active Directory-Domänendienste (AD DS)-Objekts.
DSACLS-Objekt [/I:TSP] [/N] [/P:YN] [/G :
[...]] [/R [...]]
[/D : [...]]
[/S] [/T] [/A] [/resetDefaultDACL] [/resetDefaultSACL]
[/takeOwnership] [/user:] [/passwd: | *]
[/simple]
Objekt Der Pfad zu dem AD DS-Objekt, für das die Zugriffs-
steuerungslisten angezeigt oder geändert werden sollen.
Der Pfad entspricht dem RFC 1779-Format des Namens. Beispiel:
CN=Jens Mander,OU=Software,OU=Engineering,DC=Widget,DC=com
Ein bestimmter AD DS kann angegeben werden, indem \\server[:Port]\
vor dem Objekt platziert wird. Beispiel:
\\ADSERVER\CN=Jens Mander,OU=Software,OU=Engineering,DC=Widget,DC=US
Keine Optionen Zeigt die Sicherheit für das Objekt an.
/I Vererbungsflags:
T: Dieses Objekt und untergeordnete Objekte
S: Nur untergeordnete Objekte
P: Vererbbare Berechtigungen nur um eine Ebene
propagieren
/N Ersetzt den aktuellen Zugriff auf das Objekt
(anstelle einer Bearbeitung).
/P Objekt als geschützt kennzeichnen:
Y: Ja
N: Nein
Ist die Option "/P" nicht vorhanden, wird das aktuelle
Schutzflag beibehalten.
/G :
Gewährt der ausgewählten Gruppe (oder dem ausgewählten
Benutzer) die angegebenen Berechtigungen. Informationen
zum Format für und
finden Sie weiter unten.
/D :
Verweigert der ausgewählten Gruppe (oder dem ausgewählten
Benutzer) die angegebenen Berechtigungen.
Informationen zum Format für und
finden Sie weiter unten./R Entfernt alle angegebenen Berechtigungen für die
angegebene Gruppe (oder den angegebenen Benutzer).
Informationen zum Format für und
finden Sie weiter unten.
/S Stellt für das Objekt die Standardsicherheit wieder her,
die für diese Objektklasse im Schema der AD DS definiert
ist. Diese Option kann verwendet werden,
wenn "dsacls" an NTDS gebunden ist. Verwenden Sie zum
Wiederherstellen der standardmäßigen Zugriffssteuerungs-
liste eines Objekts in AD LDS die Optionen
"/resetDefaultDACL" und "/resetDefaultSACL".
/T Stellt für die Objektstruktur die Standardsicherheit
wieder her, die für diese Objektklasse definiert ist.
Dieser Schalter kann ausschließlich mit der Option "/S"
verwendet werden.
/A Zeigt beim Anzeigen der Sicherheit für ein AD DS-Objekt
die Überwachungsinformationen sowie die Berechtigungs- und
Besitzerinformationen an.
/resetDefaultDACL Stellt für das Objekt die standardmäßige DACL wieder her,
die für die Objektklasse im Schema der AD DS definiert
ist.
/resetDefaultSACL Stellt für das Objekt die standardmäßige SACL wieder her,
die für diese Objektklasse im Schema der AD DS definiert
ist.
/takeOwnership Dient zum Übernehmen der Besitzrechte für das Objekt.
/domain: Stellt über dieses Domänenkonto des Benutzers
eine Verbindung mit dem LDAP-Server her.
/user: Stellt unter Verwendung dieses Benutzernamens eine
Verbindung mit dem LDAP-Server her. Wird diese
Option nicht verwendet, wird "dsacls" als aktuell
angemeldeter Benutzer unter Verwendung von SSPI gebunden.
/passwd: | * Das Kennwort für das Benutzerkonto.
/simple Stellt mithilfe der einfachen LDAP-Bindung eine Bindung
mit dem Server her. Hinweis: Das Klartextkennwort wird
über das Netzwerk gesendet.
muss in einem der folgenden Formate angegeben werden:
"Gruppe@Domäne" oder "Domäne\Gruppe"
"Benutzer@Domäne" oder "Domäne\Benutzer"
Vollqualifizierter Domänenname des Benutzers oder der Gruppe
Zeichenfolgen-SID
muss im folgenden Format angegeben werden:
[Berechtigungskürzel];[Objekt/Eigenschaft];[Vererbter Objekttyp]
Die Berechtigungskürzel können sich aus den folgenden Werten
zusammensetzen:
Allgemeine Berechtigungen
GR Lesen, allgemein
GE Ausführen, allgemein
GW Schreiben, allgemein
GA Alles, allgemein
Spezifische Berechtigungen
SD Löschen
DT Objekt und dessen untergeordnete Elemente löschen
RC Sicherheitsinformationen lesen
WD Sicherheitsinformationen ändern
WO Besitzerinformationen ändern
LC Untergeordneten Elemente eines Objekts auflisten
CC Untergeordnetes Element erstellen
DC Untergeordnetes Element löschen
Für diese beiden Berechtigungen gilt: Ist mithilfe von
[Objekt/Eigenschaft] kein bestimmter Typ für unter-
Geordnete Objekte angegeben, werden die Berechtigungen aufalle Typen untergeordneter Objekte angewendet.
Andernfalls gelten sie lediglich für den angegebenen Typ.
WS Selbst schreiben (auch: Bestätigter Schreibvorgang).
Bestätigte Schreibvorgänge sind in drei Arten unterteilt:
Self-Membership (bf9679c0-0de6-11d0-a285-00aa003049e2)
Wird auf ein Gruppenobjekt angewendet und ermöglicht
das Aktualisieren der Mitgliedschaft einer Gruppe
(Hinzufügen oder Entfernen aus dem eigenen Konto).
Beispiel: (WS; bf9679c0-0de6-11d0-a285-00aa003049e2; AU)
Wird auf die Gruppe X angewendet und ermöglicht einem
authentifizierten Benutzer, sich selbst (aber keine
anderen Benutzer) der Gruppe X hinzuzufügen oder daraus zu
entfernen.
Validated-DNS-Host-Name
(72e39547-7b18-11d1-adef-00c04fd8d5cd)
Wird auf ein Computerobjekt angewendet. Ermöglicht das
Aktualisieren des DNS-Hostnamenattributs, das mit dem
Computer- und Domänennamen konform ist.
Validated-SPN (f3a64788-5306-11d1-a9c5-0000f80367c1)
Wird auf ein Computerobjekt angewendet. Ermöglicht das
Aktualisieren des SPN-Attributs, das mit dem DNS-
Hostnamen des Computers konform ist.
WP Eigenschaft schreiben
RP Eigenschaft lesen
Für diese beiden Berechtigungen gilt: Ist mithilfe von
[Objekt/Eigenschaft] keine bestimmte Eigenschaft
angegeben, werden die Berechtigungen auf alle Eigen-
schaften des Objekts angewendet. Andernfalls gelten sie
lediglich für die spezifische Eigenschaft des Objekts.
CA Zugriffssteuerungsrecht
Für diese Berechtigung gilt: Ist mithilfe von
[Objekt/Eigenschaft] kein bestimmtes erweitertes Recht für
die Zugriffssteuerung angegeben, wird die Berechtigung auf
alle zutreffenden Zugriffssteuerungen des Objekts
angewendet. Andernfalls wird die Berechtigung lediglich
auf das für das Objekt angegebene erweiterte Recht
angewendet.
LO Objektzugriff auflisten. Kann verwendet werden, um
Listenzugriff auf ein bestimmtes Objekt zu gewähren,
wenn dem übergeordneten Element die Berechtigung zum
Aufführen untergeordneter Elemente (List Children, LC)
nicht gewährt wurde. Kann auch für bestimmte Objekte
verweigert werden, um diese Objekte auszublenden, wenn der
Benutzer/die Gruppe nicht über eine LC-Berechtigung für
das übergeordnete Element verfügt.
HINWEIS: Diese Berechtigung wird NICHT standardmäßig von
AD DS erzwungen, sondern muss konfiguriert werden, damit
eine Überprüfung der Berechtigung vorgenommen wird.
Bei [Objekt/Eigenschaft] muss es sich um den Anzeigenamen des
Objekttyps oder der Eigenschaft handeln.
Beispiel: "user" ist der Anzeigename für Benutzerobjekte,
"telephonenumber" ist der Anzeigename für die entsprechende
Eigenschaft.
Bei [Vererbter Objekttyp] muss es sich um den Anzeigenamen des Objekt-
typs handeln, auf den die Berechtigungen übertragen werden sollen.
Die Berechtigungen müssen mit "Nur Vererbung" versehen sein.
HINWEIS: Darf nur beim Definieren objektspezifischer Berechtigungen
verwendet werden, von denen die im Schema der AD DS definierten
Standardberechtigungen für den Objekttyp außer Kraft gesetzt werden.
VERWENDEN SIE DIESE OPTIONEN MIT BEDACHT und NUR DANN, wenn Sie mit
dem Konzept objektspezifischer Berechtigungen vertraut sind.
Beispiele für gültige :
SDRCWDWO;;user
bedeutet:
Löschen, Sicherheitsinformationen lesen, Sicherheitsinformationen
ändern und Besitzrechte für Objekte vom Typ "user" ändern.
CCDC;group;
bedeutet:Untergeordnetes Element erstellen und untergeordnete Berechtigungen
löschen, um Objekte vom Typ "group" zu erstellen oder zu löschen.
RPWP;telephonenumber;
bedeutet:
Berechtigungen "Eigenschaft lesen" und "Eigenschaft schreiben" für die
telephonenumber-Eigenschaft.
Ein Befehl kann mehrere Benutzer enthalten.
Der Befehl wurde erfolgreich ausgeführt.
$dsacls “ou=Buchhaltung,dc=gattner,dc=name“ (Bericht über die mit
Buchaltung verbundenen Berechtigungen [effektive Berechtigungen])
$mmc dsa.msc -> -> Eigenschaften -> Sicherheit -> Erweitert ->
Erweiterte Sicherheitseinstellungen -> Berechtigungen -> Standard wiederherstellen
$dsacls “ou=Buchhaltung,dc=gattner,dc=name“ /resetDefaultDACL
$dsacls “ou=Buchhaltung,dc=gattner,dc=name“ /s /t (stellt die
Standardeinstellungen für das Objekt Buchhaltung und alle untergeordneten Objekte
wiederher)Active Directory Benutzer
Benutzerkonten Verwaltung
$mmc dsa.msc -> -> Eigenschaft
Active Directory-Benutzer und –Computer Snap-In
• Allgemein
• Adresse
• Konto
• Profil
• Rufnummer
• Organisation
• Remoteüberwachung
• Terminialdienstprofile
• COM+
• Attribut-Editor
• Objekt
• Sicherheit
• Umgebung
• Sitzung
• Veröffentlichte Zertifikate
• Mitglied von
• Kennwortreplikation
• Einwählen
Falls mehrere Benutzerobjekte in Active Directory-Benutzer und –Computer
gleichzeitig ausgewählt werden, steht ein Teilmenge (Allgemein, Konto, Adresse,
Profil, Organisation) der folgende Reiter zu Verfügung.
• Konto umfasst Eigenschaften wie Anmeldename, Kennwort oder Kontoflags
• Allgemein, Adresse, Rufnummern und Organisation
• Profil umfasst Eigenschaften wie Profilpfad, Anmeldeskript und Basisordner
• Mitglied von legt Gruppenmitgliedschaft fest
• Terminaldienstprofile, Umgebung, Remoteüberwachung und Sitzung
• Einwählen Remotezugriff
• Com+ Anwendungen
• Attribut-Editor zeigt alle Attribute anBenutzerobjektnamen sind mit einzelnen Werten verbunden, die die Eigenschaft
des Objektes beschreiben.
• sAMAccountName prä-Windows 2000-Anmeldename der eindeutig sein
muss
• userPrincipalName (UDP) Anmeldename plus UDP-Suffix das
standardmäßig der DNS-Name der Domain ist. UDP muss eindeutig sein.
• RDN muss innerhalb einer OU eindeutig sein. Für Benutzer bedeutet dies,
dass das Attribut cn innerhalb der OU eindeutig sein muss. Probleme können
beispielsweise auftreten, wenn ein Mitarbeiter mit gleichem Namen eingestellt
wird. Der CN könnte beispielsweise noch die Personalnummer umfassen.
• displayName wird in der globalen Adressliste (Global Address List, GAL)
Exchange angezeigt. Sollte im Normalfall die Syntax LastName, FirstName
haben.
$mmc dsa.msc -> -> Eigenschaft -> Attribut-Editor
Benutzerkonteneigenschaften stellen auf dem Reiter Konto der Eigenschaften des
Benutzerobjekts, eine direkte Verbindung zwischen den Attributen und der Tatsache
her, dass es sich bei Benutzern um Sicherheitsprinzipale handelt, d.h. um
Identitäten, denen Berechtigungen und Rechte zugewiesen werden können.
• Anmeldezeit
• Anmelden an
• Benutzer muss Kennwort bei der nächsten Anmeldung ändern
• Benutzer kann Kennwort nicht ändern
• Kennwort läuft nie ab
• Konto ist deakiviert
• Kennwort mit umkehrbarer Verschlüsselung speichern (Beispielsweise
notwendig MAC-User die über das AppleTalk-Protokoll kommunizieren wollen)
• Benutzer muss sich mit einer Smartcard anmelden
• Konto für Delegierungszwecke vertraut (Dienstkonten die die Identität eines
Benutzers annehmen um beispielsweise auf Netzwerkressourcen zuzugreifen)
• Konto läuft nie ab
$mmc dsa.msc -> -> Eigenschaft -> Konto
$dsadd (erstellt Objekte im Verzeichnis)
$dsadd user ““ -samid -pwd (|)
-mustchpwd yes -email -hmdir
-hmdrv ($username$ ist die
SAMID [prä Windows 2000-Anmeldename])
$dsadd user “cn=Lieschen
Müller,ou=Buchhaltung,dc=gattner,dc=name“
$dsrm (entfernt ein Objekt)
$dsrm user “cn=Gido
Westerwelle,ou=Buchhaltung,dc=gattner,dc=name“
$dsget (gibt Attribute eines Objekts zurück)
$dsget user user “cn=Monica
Bellucci,ou=Empfang,dc=gattner,dc=name“ –hmdir
$dsget user user “cn=Monica
Bellucci,ou=Empfang,dc=gattner,dc=name“ -samid$dsget user “CN=Simon Gattner,OU=Personal,DC=gattner,DC=name“ –memberof –expand (listet alle Gruppenmitgliedschaften eines Benutzers auf) $dsmod (ändert Attribute eines Objekts) $dsmod “cn=Simon Gattner,ou=Administratoren,dc=gattner,dc=name“ -office “Berlin” $dsmod user -pwd -mustchpwd yes $dsmod user -disabled (no|yes) $dsmod user [-upn ][-fn ][-mi ][-ln ][-dn ] [-email ] $dsmove (verschiebt ein Objekt in einen Container oder OU) $dsmove -newparent $dsquery (führt Active Directory Abfragen durch) $dsquery user -name “* Müller” | dsmod user -office “Berlin” $dsquery user -name “ou=Personal,dc=gattner,dc=name” | dsmod user -hmdir “\\server03\Benutzer\%username%\Dokumente” -hmdrv “X:“ $dsquery user –office “Berlin“ | dsget user –samid $redirusr ““ (anstatt des standardmäßigen Benutzer Containers eine OU verwenden)
Automatisierte Benutzerkontenerstellung Benutzer Vorlagen dienen dazu Benutzer aus eigens dafür angelegten Benutzerobjekten zu kopieren. Solche Vorlagen sollten nicht für das Anmelden am Netzwerk berechtigt sein und daher deaktiviert werden. $mmc dsa.msc -> -> Kopieren Active Directory-Benutzer und –Computer Snap-In $csvd (Exportiert und Importiert Objekte) $csvd [-i] [-f ] [-k] (-i legt den Importmodus fest, -k überspringt Fehlermeldungen) .(txt|cvs) DN,objectClass,sAMAcountName,sn,givenName,userPrincipalName ”cn=Monica Bellucci,ou=Empfang,dc=gatter,dc=name”,user,monica.bellucci,Mo nica,Bellucci,monica.bellucci@gattner.name $ldifde (Exportiert und Importiert Objekte) $ldifde [-i] [-f ] [-k] DN: CN=Monica Bellucci,OU=Empfang,DC=gattner,DC=name changeType: (add|modify|delete) CN: Monica Bellucci objectClass: user sAMAccountName: monica.bellucci userPrincipalName: monica.bellucci@gattner.name givenName: Monica sn: Bellucci dispayName: Bellucci, Monica mail: monica.bellucci@gattner.name description: Empfangsdame am Standort Berlin title: Empfangsdame deparment: Empfang company: Gattner Inc.
Benutzerkontenverwaltung mit Windows PowerShell und VBScript Benutzerverwaltung mit Windows PowerShell und VBScript stellt über ADSI eine Verbindung mit Benutzerobjekten, ein Verfahren das als Bindung bezeichnet wird, her. #powershell # #get obj $objUser=[ADSI]“LDAP://cn=Simon Gattner,ou=Personal,dc=gattner,dc=name“ $objUser.Get(“sAMAccountName”) #obj erstellen oder ändern $objUser.put(“company”.”Netzkonstrukt”) $objUser.SetInfo() #obj löschen $objUser.PutEx(1, “office”, 0) $objUser.SetInfo() #obj pwd $objUser=[ADSI]”LDAP://” $objUser.SetPassword(““) $objUser.Put(“pwdLastSet“,0) $objUser.SetInfo #obj entsperren $objUser=[ADSI]“LDAP://“ $objUser.psbase.InvokeSet(’Account Disabled’,$true) $objUser.SetInfo() #obj löschen $objOU=[ADSI]“LDAP://“ $objOU.Delete(“user“,“CN=“) #obj verschieben $objUser=[ADSI]“LDAP://“ $objUser.psbase.MoveTo(“LDAP://“) #obj ändern $objUser=[ADSI]“LDAP://“ $objUser.psbase.rename(“CN=“)
//VBScript // //get obj Set objUser=GetObject(“LDAP://cn=Simon Gattner,ou=Personal,dc=gattner,dc=name”) WScript.Echo objUser.Get(“sAMAccountName”) //obj erstellen oder ändern objUser.put “company”.”Netzkonstrukt” objUser.SetInfo() //obj löschen objUser.PutEx 1, “office”, 0 objUser.SetInfo() //obj pwd Set objUser=GetObject(“LDAP://
Active Directory Gruppen
Gruppen sind Sicherheitsprinzipale mit einer Sicherheitskennung (Security Identifier,
SID), die über ihr Attribut member weitere Sicherheitsprinzipale (Benutzer,
Computer, Kontakte und weitere Gruppen) zusammenfügt, um die Verwaltung zu
vereinfachen.
Gruppen haben folgende Vorteile:
• Eine Schnittstelle für die Verwaltung von Berechtigungen
• Im Gegensatz zu Benutzerobjekten zugeteilten Berechtigungen, bleiben beim
löschen eines Benutzerkontos das Berechtigungen über seine
Gruppenzugehörigkeit erhält, keine nicht auflösbaren SIDs in ACLs zurück
• ACLs bleiben länger stabil (Beispiel: Gruppe::ACL_Freigabe-
Vertrieb_Lesen; diese Gruppe enthält wiederum
Gruppe::Angestellter_Vertrieb;
Gruppe::Angestellter_Verkauf und
Gruppe::Leitender_Angestellter_Verkauf)
• Rollen lassen sich Abbilden: Leitender Angestellter des Verkaufs; Angestellter
des Verkaufs oder Angestellter des Vertriebs
Gruppen dienen zur regelbasierten Verwaltung, die über die Rollen, die einzelne
Gruppen verdeutlichen, umgesetzt wird.
$mmc dsa.msc -> Neu -> Gruppe -> Neues Objekt – Gruppe
• Gruppenname wird vom System benutzt zum kennzeichnen des Objekts und
für die Attribute cn und name des Objekts.
• Gruppenname (Prä-Windows 2000) ist das Attribut sAMAccountName
Gruppenname _:
• ACL_Freigabe-Vetrieb_Lesen
• ACL_Freigabe-Buchhaltung_Lesen
• ACL_Netzlaufwerk-Vertrieb_Schreiben
• ACL_Netzlaufwerk-Verkauf_Schreiben
• MAIL_Intern-Vertrieb
• MAIL_Extern-Verkauf
Gruppentypen
• Sicherheitsgruppen sind Sicherheitsprinzipale mit SIDs. Diese Gruppen
können daher als Berechtigungseinträge in ACLs für Steuerung und Sicherheit
für den Ressourcenzugriff verwendet werden.
Sicherheitsgruppen können auch als Verteilergruppen für E-Mail-
Anwendungen benutzt werden.
• Verteilungsgruppen dienen als E-Mail-Verteiler Gruppe, ihnen wird keine
SID zugewiesenGruppenbereiche
Gruppenbereiche unterteilen sich in:
• Global
• Lokal (in Domäne)
• Lokal
• Universal
Gruppenbereiche festlegen:
• Replikation – An welcher Stelle wird die Gruppe definiert, und für welche
Systeme wird die Gruppe repliziert?
• Mitgliedschaft – Welche Sicherheitsprinzipaltypen kann die Gruppe als
Mitglieder umfassen? Kann die Gruppe Sicherheitsprinzipale von vertrauten
Domänen enthalten?
• Verfügbarkeit – An welcher Stelle kann die Gruppe verwendet werden? Kann
die Gruppe anderen Gruppen hinzugefügt werden? Kann die Gruppe einer
ACL hinzugefügt werden?
Lokale Gruppen werden auf einzelnen Computern definiert und sind auch nur dort
verfügbar.
Lokale Gruppen werden in der Datenbank der Sicherheitskontenverwaltung (Security
Accounts Manager, SAM) abgelegt.
Lokale Gruppen weisen folgende Merkmale auf:
• Replikation – es finden keine Replikationen auf anderen Systemen statt
• Mitgliedschaft – folgende Mitglieder kann eine Lokale Gruppe umfassen:
o Jedes Sicherheitsprinzipal aus einer Domäne: Benutzer, Computer,
globale Gruppen oder domänenlokale Gruppen
o Benutzer, Computer und globale Gruppen aus jeder beliebigen
Domäne in der Gesamtstruktur
o Benutzer, Computer und globale Gruppen aus jeder vertrauten
Domäne
o Universelle, in einer beliebigen Domäne in der Gesamtstruktur
definierte Gruppen
• Verfügbarkeit – lokale Gruppen können ausschließlich in ACLs auf dem
lokalen Computer verwendet werden. Eine lokale Gruppe kann kein Mitglied
einer anderen Gruppe sein.
Domänenlokale Gruppen werden vorwiegend für die Verwaltung von
Ressourcenberechtigungen verwendet.
Domänenlokale Gruppen sind besonders gut geeignet zum Definieren von
Geschäftsverwaltungsregeln, wie beispielsweise Zugriffsrechte.
Domänenlokale Gruppen weisen folgende Merkmale auf:
• Replikation – Das Gruppenobjekt und seine Mitgliedschaften (das Attribut
member) wird auf jeden Domänencontroller repliziert
• Mitgliedschaft – folgende Mitglieder kann eine Domänenlokale Gruppe
umfassen:
o Jedes Sicherheitsprinzipal aus einer Domäne: Benutzer, Computer,
globale Gruppen oder domänenlokale Gruppen
o Benutzer, Computer und globale Gruppen aus jeder beliebigen
Domäne in der Gesamtstrukturo Benutzer, Computer und globale Gruppen aus jeder vertrauten
Domäne
o Universelle, in einer beliebigen Domäne in der Gesamtstruktur
definierte Gruppen
• Verfügbarkeit – domänenlokale Gruppen können ACLs für jede beliebige
Ressource auf jedem beliebigen Domänenmitglied hinzugefügt werden.
Domänenlokale Gruppen können ein Mitglied andere domänenlokaler
Gruppen oder auch lokaler Gruppen auf einem Computer sein
Globale Gruppen werden, basierend auf Geschäftsrollen, vorwiegend für die
Definition von Domänenobjektsammlungen verwendet. Rollengruppen werden zum
Beispiel als Globale Gruppe erstellt.
Globale Gruppen sind am restriktivsten hinsichtlich der Mitgliedschaft, gewähren
aber die weitestreichende Verfügbarkeit.
Globale Gruppen eignen sich besonders gut zur Definition von Rollen, da Rollen in
der Regel Objektsammlungen aus dem gleichen Verzeichnis darstellen.
• Replikation – Das Gruppenobjekt und seine Mitgliedschaften (das Attribut
member) wird auf jeden Domänencontroller repliziert
• Mitgliedschaft – nur Benutzer, Computer und andere globale Gruppen
innerhalb der gleichen Domäne
• Verfügbarkeit – globale Gruppen sind für die Verwendung von allen
Domänenmitgliedern sowie allen anderen Domänen in der Gesamtstruktur
und allen vertrauenden externen Domänen verfügbar. Sie kann Mitglied jeder
beliebigen domänenlokalen Gruppe oder universellen Gruppe sein. Darüber
hinaus kann sie Mitglied jeder domänenlokalen Gruppe in einer vertrauenden
Domäne sein. Globale Gruppen können ACLs in der Domäne, der
Gesamtstruktur oder in vertrauenden Domänen hinzufügen
Universelle Gruppen sind in der Gesamtstruktur mit mehreren Domänen nützlich.
Universelle Gruppen sind bei der Darstellung und Konsolidierung von Gruppen, die
sich über mehrere Domänen in einer Gesamtstruktur erstrecken, so wie für die
Definition von Regeln hilfreich, die innerhalb der Gesamtstruktur angewendet werden
können.
• Replikation – die Gruppe wird zwar in einer einzelnen Domäne der
Gesamtstruktur Definiert, aber im globalen Katalog repliziert. Auf Objekte im
globalen Katalog kann von beliebiger Stelle innerhalb der Gesamtstruktur
zugegriffen werden
• Mitgliedschaft – Benutzer, globale Gruppen und weitere universelle Gruppen
von jeder beliebigen Domäne der Gesamtstruktur
• Verfügbarkeit – universelle Gruppen können Mitglieder einer universellen
Gruppe oder einer domänenlokalen Gruppe an beliebiger Stelle innerhalb der
Gesamtstruktur sein. Darüber hinaus können universelle Gruppen für die
Ressourcenverwaltung verwendet werden, beispielsweise zum Zuweisen von
Berechtigungen innerhalb der GesamtstrukturGruppen- Mitglieder der Mitglieder einer Mitglieder einer
bereich gleichen Domäne anderen Domäne in vertrauten externen
der gleichen Domäne
Gesamt-struktur
Lokal Benutzer Benutzer Benutzer
Computer Computer Computer
Globale Gruppen Globale Gruppen Globale Gruppen
Universelle Gruppen Universelle Gruppen
Domänenlokale
Gruppen
Lokale Benutzer, die
auf dem gleichen
Computer wie die
lokale Gruppe
definiert sind
Lokal Benutzer Benutzer Benutzer
(in Domäne)
Computer Computer Computer
Globale Gruppen Globale Gruppen Globale Gruppen
Domänenlokale Universelle Gruppen
Gruppen
Universelle Gruppen
Universal Benutzer Benutzer
Computer Computer
Globale Gruppen Globale Gruppen
Universelle Gruppen Universelle Gruppen
Global Benutzer
Computer
Globale GruppenGruppenmitgliedschaften Gruppenmitglieder hinzufügen und entfernen nimmt eine Änderung am Attribut member der Gruppe vor. Das Attribut member ist ein Mehrwertattribut. Jedes Mitglied entspricht einem Wert, der vom definierten Namen (Distinguished Name, DN) des Mitglieds dargestellt wird. Wenn das Mitglied verschoben oder umbenannt wird, nimmt Active Directory automatisch die Aktualisierung der Attribute member von den Gruppen vor, die das Mitglied umfassen. $mmc dsa.msc -> -> Eigenschaften -> Mitglied von $mmc dsa.msc -> -> Einer Gruppe hinzufügen Gruppenmitgliedschaften werden beim anmelden eines Benutzers oder beim Startvorgang eines Computers ermittelt. Um Mitgliedschaftsänderungen eines Benutzers zu übernehmen, ist ein Ab- und Anmeldevorgang notwendig. Darüber hinaus kann eine Verzögerung bei der Replikation der Gruppenmitgliedschaftsänderung auftreten. Um die Replikationsgeschwindigkeit zu erhöhen, sollten Änderungen mit dem Domänencontroller am Standort des Benutzers vorgenommen werden.
Sie können auch lesen
