Teil D
Active Directory
Kapitel 10: Active Directory â Grundlagen und erste Schritte
Kapitel 11: Active Directory â Installation und Betrieb
Kapitel 12: Active Directory â Erweitern und Absichern
Kapitel 13: Active Directory â Neue DomĂ€nen und DomĂ€nencontroller
Kapitel 14: Active Directory â Replikation
Kapitel 15: Active Directory â Fehlerbehebung und Diagnose
Kapitel 16: Active Directory â Sicherung, Wiederherstellung und Wartung
Kapitel 17: Active Directory â Vertrauensstellungen
Kapitel 18: Benutzerverwaltung und Profile
Kapitel 19: Richtlinien im Windows Server 2019-Netzwerk
Kapitel 10
Active Directory â Grundlagen und erste Schritte
In diesem Kapitel:
Einstieg in Active Directory
Active Directory mit Windows Server 2019 installieren und verstehen
Active Directory remote mit der PowerShell verwalten
Verwalten der Betriebsmasterrollen von DomÀnencontrollern
SchreibgeschĂŒtzte DomĂ€nencontroller (RODC)
Zusammenfassung
In diesem Kapitel zeigen wir Ihnen den praktischen Einsatz von Active Directory mit Windows Server 2019. In den weiteren Kapiteln gehen wir ausfĂŒhrlicher auf die Installation und Verwaltung sowie die Erweiterung von Active Directory ein.
DomĂ€nencontroller lassen sich in Windows Server 2019 leicht installieren und verwalten. Den Installations-Assistenten fĂŒr Active Directory hat Microsoft bereits mit Windows Server 2012 ĂŒberarbeitet. Dcpromo, der Einrichtungs-Assistent in VorgĂ€ngerversionen bis hin zu Windows Server 2008 R2, ist nicht mehr vorhanden.
Einstieg in Active Directory
Um Active Directory (AD) zu installieren, wĂ€hlen Sie die Serverrolle Active Directory-DomĂ€nendienste aus. Nach der Installation der notwendigen Systemdateien lĂ€sst sich der Einrichtungs-Assistent ĂŒber einen Link im letzten Fenster starten. Alternativ starten Sie die Einrichtung ĂŒber das Benachrichtigungsfenster im Server-Manager.
Active Directory im Detail
Active Directory besteht nicht nur aus DomĂ€nencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur VerfĂŒgung stellen. Wir geben einen Ăberblick.
Wer auf Active Directory setzt, muss natĂŒrlich zunĂ€chst eine Active Directory-DomĂ€ne aufbauen. Das erfolgt ĂŒber die Systemrolle Active Directory-DomĂ€nendienste, die auf einem Server installiert wird. Danach wird die Active Directory-Gesamtstruktur eingerichtet. AnschlieĂend lassen sich verschiedene Dienste nutzen, die das Verzeichnis fĂŒr die Authentifizierung der Benutzer und Dienste sowie zur Speicherung der eigenen Konfiguration nutzen.
Viele Microsoft-Dienste nutzen Active Directory, um die Benutzer zu authentifizieren, Daten zur Konfiguration zu speichern oder um Benutzerfunktionen zu erweitern. Durch die Installation von Microsoft Exchange Server werden zum Beispiel die Benutzerattribute um zusĂ€tzliche Funktionen fĂŒr E-Mail und Groupware erweitert. Exchange-Funktionen integrieren sich direkt in die Eigenschaften der Benutzer.
Active Directory verfĂŒgt ĂŒber ein erweiterbares Schema. Dieses ermöglicht, zusĂ€tzliche Informationen zu speichern. Diese Funktion wird von Exchange genutzt, aber auch von anderen Diensten, wie System Center Configuration Manager. Bei der Installation solcher Dienste wird das Schema von Active Directory um die notwendigen Attribute und Klassen erweitert. Allerdings setzen nicht alle Dienste das Erweitern des Schemas voraus, wenn Active Directory genutzt werden soll. Nur die Dienste, die mit den Standarddaten in Active Directory nicht zurechtkommen und mehr Daten speichern mĂŒssen, erweitern das AD.
Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Der erste installierte DomÀnencontroller der ersten DomÀne und Struktur einer Gesamtstruktur erhÀlt die Rolle des Schemamasters.
Active Directory-Systemrollen nutzen
Neben Zusatzprogrammen von Microsoft, aber auch von Drittherstellern, nutzen einige Serverdienste von Microsoft ebenfalls Active Directory als Speicherort der Konfiguration oder fĂŒr Benutzerinformationen oder zur Authentifizierung. Folgende Serverrollen stehen ĂŒber den Server-Manager zur Auswahl:
Active Directory Lightweight Directory Services
Active Directory-DomÀnendienste
Active Directory-Rechteverwaltungsdienste
Active Directory-Verbunddienste
Active Directory-Zertifikatdienste
Active Directory Lightweight Directory Services â Active Directory light
Bei Active Directory Lightweight Directory Services (AD LDS) handelt es sich um ein Mini-Active Directory, das unabhĂ€ngig von DomĂ€nencontrollern funktioniert. AD LDS wird zum Beispiel verwendet, wenn ein Verzeichnis notwendig ist, aber keine umfangreichen Funktionen wie in Active Directory. Ein Beispiel fĂŒr den Einsatz sind Edge-Transport-Server von Microsoft Exchange.
Active Directory-Rechteverwaltungsdienste
Mit Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) werden die Rechte fĂŒr Dateien und Dokumente in Active Directory gesteuert. Wie bei der Rechteverwaltung lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien fĂŒr den Zugriff auf Dateien erstellen. Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell. Danach lassen sich Richtlinien erarbeiten, auf deren Basis Anwender Dokumente nutzen dĂŒrfen. Hier kann zum Beispiel definiert werden, ob Anwender Dokumente drucken oder per E-Mail versenden dĂŒrfen.
Active Directory-Zertifikatdienste â Zertifikate in AD nutzen
Der Einsatz einer internen Zertifizierungsstelle ist in Active Directory nahezu unerlĂ€sslich. Viele aktuelle Serversysteme von Microsoft oder auch Drittanbietern benötigen Zertifikate fĂŒr den Zugriff. Beispiel dafĂŒr sind Exchange Server, die Remotedesktopdienste oder auch SharePoint. Auch SQL Server benötigt ein Zertifikat, wenn Verbindungen verschlĂŒsselt werden sollen.
Wer im Unternehmen mit Zertifikaten arbeitet, kann auf die Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) setzen. Computer und Server, die Mitglied in Active Directory sind, vertrauen automatisch Zertifikaten in den Diensten. Neben der Möglichkeit, Zertifikate ĂŒber Gruppenrichtlinien zuzuweisen, stellen die Zertifikatdienste auch eine eigene Webseite zur VerfĂŒgung, mit denen sich Zertifikate abrufen lassen.
Active Directory-Verbunddienste â Active Directory erweitern
Ăber Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) können Unternehmen eine zentrale Authentifizierungsinfrastruktur aufbauen, die Single-Sign-on-Szenarien zwischen verschiedenen Active Directory-Gesamtstrukturen bietet, aber auch die Möglichkeit, Benutzer sicher fĂŒr den Zugriff auf Office 365 und Microsoft Azure zu authentifizieren. In Windows Server 2019 können sich auĂerdem Benutzerkonten in AD FS authentifizieren, die nicht aus einem Active Directory kommen. Beispiele dafĂŒr sind X.50000-kompatible LDAP-Verzeichnisse oder auch SQL-Datenbanken:
- AD LDS
- Apache DS
- IBM Tivoli DS
- Novell DS
- Open LDAP
- Open DJ
- Open DS
- Radiant Logic Virtual DS
- Sun ONE v6, v7, v11
Passive Authentifizierungsmöglichkeiten wie SAML, OAuth, WS-Trust und WS-Federation sind ebenfalls möglich.
Active Directory mit dem Verwaltungscenter verwalten
Mit dem Active Directory-Verwaltungscenter bietet Microsoft eine zentrale Anlaufstelle fĂŒr alle Routineaufgaben in Active Directory in einer einzigen OberflĂ€che. Der Aufbau der Konsole ist aufgabenorientiert. Im Gegensatz zu den anderen Verwaltungstools basieren die Aufgaben im Verwaltungscenter auf Befehle aus der PowerShell.
Abbildung 10.1: Active Directory verwalten Administratoren mit dem Verwaltungscenter.
Die Standard-Verwaltungskonsolen fĂŒr Active Directory, zum Beispiel Active Directory-Benutzer und -Computer sind weiterhin verfĂŒgbar. Das gilt auch fĂŒr die Snap-ins Active Directory-Standorte und -Dienste und Active Directory-DomĂ€nen und -Vertrauensstellungen.
Das Active Directory-Verwaltungscenter bietet nicht alle Möglichkeiten der anderen beschriebenen Snap-ins, sondern dient vor allem der Abarbeitung von Routineaufgaben, wie das ZurĂŒcksetzen von Kennwörtern oder das Anlegen von neuen Objekten. Erstellen Sie neue Objekte, wie Organisationseinheiten (Organizational Units, OUs) oder Benutzerkonten, zeigt das Center ĂŒbersichtliche und leicht verstĂ€ndliche Formulare an.
Das Tool verbindet sich ĂŒber die Active Directory-Webdienste mit Active Directory. Sie starten das Active Directory-Verwaltungscenter entweder ĂŒber die Programmgruppe Tools im Server-Manager oder indem Sie dsac in der PowerShell oder der Eingabeaufforderung eingeben. Auf der linken Seite der Konsole lĂ€sst sich durch die DomĂ€nen und die Organisationse...