Active Directory

Allgemein:

Verzeichnisdienst von Microsoft

Basics

Gruppenrichtlinienobjekte (GPO)

Allgemein:

→Gruppenrichtlinienobjekte enthalten Richtlinieneinstellungen. (die auf Computer und Benutzer angewendet werden)

  • Default Domain Controller Policy (Standarddomänencontroller-Richtlinie). Beim Installieren der AD DS-Serverrolle wird diese Richtlinie standardmäßig erstellt. Sie enthält Richtlinieneinstellungen, die speziell für Domänencontroller gelten.
  • Default Domain Policy (Standarddomänenrichtlinie). Beim Installieren der AD DS-Serverrolle wird diese Richtlinie standardmäßig erstellt. Sie enthält Richtlinieneinstellungen, die für alle Computer und Benutzer in der Domäne gelten.
  • Accounting Security

Verwaltung:
→Gruppenrichtlinien-Verwaltungskonsole (GPMC)

Rollen und Features

DNS Rolle

Allgemein:

  • Vergleichbar mit einem Telefonbuch
  • Namensauflösung

Reverse Lookup Zone:
→ Auflösung IP in Namen

Forward Lookup Zone
→Auflösung Name in Ip

FSMO Rollen

Allgemein:

Flexible Single Master Operations (FSMO) oder operations masters (Betriebsmaster) sind spezielle Aufgaben, die Domain Controller innerhalb des Active Directorys übernehmen. Die Aufgaben können auf verschiedene Server verteilt werden, jedoch darf keine dieser Rollen von mehreren Servern gleichzeitig übernommen werden.

  • Domain Naming Master → Gesamtstruktur-weite Rolle
    • Domain Namensverwaltung /hinzufügen, entfernen (nur von einem DC in der Gesamtstruktur möglich).
  • Schema-Master → Gesamtstruktur-weite Rolle
    • Verantwortlich für veränderungen des AD Schemas, wie Veränderung der Objektklassen und Attribute
  • RID-Master → Domain-weite Rolle
    • Verwaltung SID-Pool
  • PDC - Emulator (Primary Domain Controller) → Domain-weite Rolle
    • zum Beschleunigen von Replizierungen von Änderungen (Zeitsynchronisation, Gruppenrichtlinien, Kennwortänderungen, Anmeldeversuche und Kennwortsperrungen).
  • Domain Infrastructur Master → Domain-weite Rolle
    • Der Infrastrukturmaster kennt die Gruppenzugerhörigkeiten auch über Domänen-Grenzen hinweg und sorgt für deren Replikation.

FSMO Rollen Ermitteln

Welcher DC hostet welche Rolle.

Netdom Query Fsmo 
netdom query /domain:‹domain› fsmo

Global Catalog

Für Benutzeranmeldung

  • Er ermöglicht das Auffinden von Informationen im Verzeichnis, unabhängig davon in welcher Domäne der Gesamtstruktur.
  • Er ermöglicht die Netzwerkanmeldung, indem einem Domain Controller, bei Initialisierung eines Anmeldeprozesses, Informationen zu Mitgliedschaften in universellen Gruppen zur Verfügung gestellt werden.

Management Konsole (MMC) und SnapIns

ADSI Editor: Kann in der MMC als SnapIn hinzugefügt werden, Werkzeug zur Konfiguration aller Attribute.

ADRestore

Implementierung eines 2. Dcs in die bestehende Infrastruktur

 https://blogs.technet.microsoft.com/canitpro/2014/05/27/step-by-step-active-directory-migration-from-windows-server-2008-r2-to-windows-server-2012-r2/

-Hinweis Zeitserver. → PDC Master DC mit ntp server direkt (Über WMI Filter /GPO)

  1. > Die anderen Dcs in der Infrastruktur holen sich dann die Zeit vom PDC Master
  2. > Alle anderen Server ziehen sich die zeit von einem der DCs

Zeitserver NTP Settings

Debuglog manuel anlegen:

w32tm /debug /enable /file:c:\temp\w32debug.log /entries:0-300 /size:10240000

Status Abfrage:

 w32tm /query /status 


DC Diagnose

 dcdiag /v 

Berechtigungen

über Gruppen

Windows nutzt ein Access Token, das bei der Anmeldung generiert wird. Dort stehen die SIDs aller Gruppen drin, in denen der User bei Anmeldung Mitglied war. Nur dieses Token entscheidet über die tatsächlichen Berechtigungen. Du kannst es z.B. mit whoami.exe auswerten, siehe dazu auch den Artikel über lokale Administratoren und den über Gruppenmitgliedschaften.

Dass eine Änderung von Gruppenmitgliedschaften zunächst scheinbar keinen Effekt hat, liegt in aller Regel daran, dass der betreffende Benutzer noch sein altes Access Token mit den alten Mitgliedschaften nutzt. Er muss sich neu anmelden, damit die geänderten Mitgliedschaften auch wirksam werden. Das übersehen selbst gestandene Windows-Profis gerne, also bei Berechtigungsproblemen: Immer einmal neu anmelden.

Get SID - from Group or User Object

Get-ADUser -Identity "[Identity]" | select SID
Get-ADGroup -Identity "[Idenity]" | select SID
 
 active_directory.txt · Zuletzt geändert: 2019/07/09 08:59 von 165.225.72.69
[unknown button type]
 
Recent changes RSS feed Driven by DokuWiki