Teil D
Active Directory
Kapitel 10: Active Directory – Grundlagen und erste Schritte
Kapitel 11: Active Directory – Installation und Betrieb
Kapitel 12: Active Directory – Erweitern und Absichern
Kapitel 13: Active Directory – Neue Domänen und Domänencontroller
Kapitel 14: Active Directory – Replikation
Kapitel 15: Active Directory – Fehlerbehebung und Diagnose
Kapitel 16: Active Directory – Sicherung, Wiederherstellung und Wartung
Kapitel 17: Active Directory – Vertrauensstellungen
Kapitel 18: Benutzerverwaltung und Profile
Kapitel 19: Richtlinien im Windows Server 2019-Netzwerk
Kapitel 10
Active Directory – Grundlagen und erste Schritte
In diesem Kapitel:
Einstieg in Active Directory
Active Directory mit Windows Server 2019 installieren und verstehen
Active Directory remote mit der PowerShell verwalten
Verwalten der Betriebsmasterrollen von Domänencontrollern
Schreibgeschützte Domänencontroller (RODC)
Zusammenfassung
In diesem Kapitel zeigen wir Ihnen den praktischen Einsatz von Active Directory mit Windows Server 2019. In den weiteren Kapiteln gehen wir ausführlicher auf die Installation und Verwaltung sowie die Erweiterung von Active Directory ein.
Domänencontroller lassen sich in Windows Server 2019 leicht installieren und verwalten. Den Installations-Assistenten für Active Directory hat Microsoft bereits mit Windows Server 2012 überarbeitet. Dcpromo, der Einrichtungs-Assistent in Vorgängerversionen bis hin zu Windows Server 2008 R2, ist nicht mehr vorhanden.
Einstieg in Active Directory
Um Active Directory (AD) zu installieren, wählen Sie die Serverrolle Active Directory-Domänendienste aus. Nach der Installation der notwendigen Systemdateien lässt sich der Einrichtungs-Assistent über einen Link im letzten Fenster starten. Alternativ starten Sie die Einrichtung über das Benachrichtigungsfenster im Server-Manager.
Active Directory im Detail
Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick.
Wer auf Active Directory setzt, muss natürlich zunächst eine Active Directory-Domäne aufbauen. Das erfolgt über die Systemrolle Active Directory-Domänendienste, die auf einem Server installiert wird. Danach wird die Active Directory-Gesamtstruktur eingerichtet. Anschließend lassen sich verschiedene Dienste nutzen, die das Verzeichnis für die Authentifizierung der Benutzer und Dienste sowie zur Speicherung der eigenen Konfiguration nutzen.
Viele Microsoft-Dienste nutzen Active Directory, um die Benutzer zu authentifizieren, Daten zur Konfiguration zu speichern oder um Benutzerfunktionen zu erweitern. Durch die Installation von Microsoft Exchange Server werden zum Beispiel die Benutzerattribute um zusätzliche Funktionen für E-Mail und Groupware erweitert. Exchange-Funktionen integrieren sich direkt in die Eigenschaften der Benutzer.
Active Directory verfügt über ein erweiterbares Schema. Dieses ermöglicht, zusätzliche Informationen zu speichern. Diese Funktion wird von Exchange genutzt, aber auch von anderen Diensten, wie System Center Configuration Manager. Bei der Installation solcher Dienste wird das Schema von Active Directory um die notwendigen Attribute und Klassen erweitert. Allerdings setzen nicht alle Dienste das Erweitern des Schemas voraus, wenn Active Directory genutzt werden soll. Nur die Dienste, die mit den Standarddaten in Active Directory nicht zurechtkommen und mehr Daten speichern müssen, erweitern das AD.
Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Der erste installierte Domänencontroller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters.
Active Directory-Systemrollen nutzen
Neben Zusatzprogrammen von Microsoft, aber auch von Drittherstellern, nutzen einige Serverdienste von Microsoft ebenfalls Active Directory als Speicherort der Konfiguration oder für Benutzerinformationen oder zur Authentifizierung. Folgende Serverrollen stehen über den Server-Manager zur Auswahl:
Active Directory Lightweight Directory Services
Active Directory-Domänendienste
Active Directory-Rechteverwaltungsdienste
Active Directory-Verbunddienste
Active Directory-Zertifikatdienste
Active Directory Lightweight Directory Services – Active Directory light
Bei Active Directory Lightweight Directory Services (AD LDS) handelt es sich um ein Mini-Active Directory, das unabhängig von Domänencontrollern funktioniert. AD LDS wird zum Beispiel verwendet, wenn ein Verzeichnis notwendig ist, aber keine umfangreichen Funktionen wie in Active Directory. Ein Beispiel für den Einsatz sind Edge-Transport-Server von Microsoft Exchange.
Active Directory-Rechteverwaltungsdienste
Mit Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) werden die Rechte für Dateien und Dokumente in Active Directory gesteuert. Wie bei der Rechteverwaltung lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen. Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell. Danach lassen sich Richtlinien erarbeiten, auf deren Basis Anwender Dokumente nutzen dürfen. Hier kann zum Beispiel definiert werden, ob Anwender Dokumente drucken oder per E-Mail versenden dürfen.
Active Directory-Zertifikatdienste – Zertifikate in AD nutzen
Der Einsatz einer internen Zertifizierungsstelle ist in Active Directory nahezu unerlässlich. Viele aktuelle Serversysteme von Microsoft oder auch Drittanbietern benötigen Zertifikate für den Zugriff. Beispiel dafür sind Exchange Server, die Remotedesktopdienste oder auch SharePoint. Auch SQL Server benötigt ein Zertifikat, wenn Verbindungen verschlüsselt werden sollen.
Wer im Unternehmen mit Zertifikaten arbeitet, kann auf die Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) setzen. Computer und Server, die Mitglied in Active Directory sind, vertrauen automatisch Zertifikaten in den Diensten. Neben der Möglichkeit, Zertifikate über Gruppenrichtlinien zuzuweisen, stellen die Zertifikatdienste auch eine eigene Webseite zur Verfügung, mit denen sich Zertifikate abrufen lassen.
Active Directory-Verbunddienste – Active Directory erweitern
Über Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) können Unternehmen eine zentrale Authentifizierungsinfrastruktur aufbauen, die Single-Sign-on-Szenarien zwischen verschiedenen Active Directory-Gesamtstrukturen bietet, aber auch die Möglichkeit, Benutzer sicher für den Zugriff auf Office 365 und Microsoft Azure zu authentifizieren. In Windows Server 2019 können sich außerdem Benutzerkonten in AD FS authentifizieren, die nicht aus einem Active Directory kommen. Beispiele dafür sind X.50000-kompatible LDAP-Verzeichnisse oder auch SQL-Datenbanken:
- AD LDS
- Apache DS
- IBM Tivoli DS
- Novell DS
- Open LDAP
- Open DJ
- Open DS
- Radiant Logic Virtual DS
- Sun ONE v6, v7, v11
Passive Authentifizierungsmöglichkeiten wie SAML, OAuth, WS-Trust und WS-Federation sind ebenfalls möglich.
Active Directory mit dem Verwaltungscenter verwalten
Mit dem Active Directory-Verwaltungscenter bietet Microsoft eine zentrale Anlaufstelle für alle Routineaufgaben in Active Directory in einer einzigen Oberfläche. Der Aufbau der Konsole ist aufgabenorientiert. Im Gegensatz zu den anderen Verwaltungstools basieren die Aufgaben im Verwaltungscenter auf Befehle aus der PowerShell.
Abbildung 10.1: Active Directory verwalten Administratoren mit dem Verwaltungscenter.
Die Standard-Verwaltungskonsolen für Active Directory, zum Beispiel Active Directory-Benutzer und -Computer sind weiterhin verfügbar. Das gilt auch für die Snap-ins Active Directory-Standorte und -Dienste und Active Directory-Domänen und -Vertrauensstellungen.
Das Active Directory-Verwaltungscenter bietet nicht alle Möglichkeiten der anderen beschriebenen Snap-ins, sondern dient vor allem der Abarbeitung von Routineaufgaben, wie das Zurücksetzen von Kennwörtern oder das Anlegen von neuen Objekten. Erstellen Sie neue Objekte, wie Organisationseinheiten (Organizational Units, OUs) oder Benutzerkonten, zeigt das Center übersichtliche und leicht verständliche Formulare an.
Das Tool verbindet sich über die Active Directory-Webdienste mit Active Directory. Sie starten das Active Directory-Verwaltungscenter entweder über die Programmgruppe Tools im Server-Manager oder indem Sie dsac in der PowerShell oder der Eingabeaufforderung eingeben. Auf der linken Seite der Konsole lässt sich durch die Domänen und die Organisationse...