Verwalten von Active Directory- Domänendienstobjekten Präsentation: 75 Minuten Übungseinheit: 70 Minuten Am Ende dieser Unterrichtseinheit sollten die Kursteilnehmer in der Lage sein, die folgenden Aufgaben auszuführen: Verwalten von Benutzerkonten mit grafischen Tools Verwalten von Gruppen mit grafischen Tools Verwalten von Computerkonten Delegieren der Berechtigung zur Verwaltung der Active Directory®-Domänendienste (AD DS) Erforderliche Unterlagen Für diese Unterrichtseinheit benötigen Sie die Microsoft® Office PowerPoint®-Datei: 21410D_03.pptx. Wichtig: Verwenden Sie zum Anzeigen der Folien für diesen Kurs möglichst Office PowerPoint 2007 oder eine höhere Version. Wenn Sie PowerPoint Viewer oder eine frühere Version von PowerPoint verwenden, werden möglicherweise bestimmte Features der Folien nicht ordnungsgemäß angezeigt. Vorbereitung Zur Vorbereitung dieser Unterrichtseinheit gehen Sie folgendermaßen vor: Lesen Sie alle Unterlagen für diese Unterrichtseinheit. Erarbeiten Sie die Ausführung der Demos und der Übungseinheiten. Arbeiten Sie den Abschnitt Lernzielkontrolle und Hauptlernziele der Unterrichtseinheit durch, und überlegen Sie sich, wie Sie den Kursteilnehmern damit helfen können, den Lehrstoff zu vertiefen und ihre Kenntnisse im Rahmen ihrer Tätigkeit umzusetzen. Unterrichtseinheit 3 Verwalten von Active Directory- Domänendienstobjekten
Übersicht über die Unterrichtseinheit 3: Verwalten von Active Directory-Domänendienstobjekten Delegieren der Verwaltung Weisen Sie darauf hin, dass das Verwalten von Benutzern und Computern mit der Verbreitung von Verbrauchergeräten am Arbeitsplatz wesentlich komplexer geworden ist. Anstatt nur ein relativ einfaches System von Benutzern und Arbeitsstationen zu verwalten, verwalten Kursteilnehmer möglicherweise mehrere Gerätetypen, Betriebssysteme, Standorte, mehrere Geräte pro Benutzer, verschiedene Ebenen der Zugriffsanforderungen, verschiedene Sicherheitsebenen, je nach erforderlicher Zugriffsebene, sowie viele andere Faktoren.
Lektion 1: Verwalten von Benutzerkonten 21410D Lektion 1: Verwalten von Benutzerkonten 3: Verwalten von Active Directory-Domänendienstobjekten Demo: Verwenden von Vorlagen zum Verwalten von Benutzerkonten Sie können den Inhalt dieser Lektion vermitteln, indem Sie beispielsweise die Demos in den Mittelpunkt stellen. Starten Sie die Demos, und erläutern Sie den Themeninhalt, während Sie die Demos vorführen. Es erfordert möglicherweise ein bisschen Übung, bis Sie die Demos ohne Konsultierung der Hinweisseiten durchführen können, aber auf diese Weise können Sie die Lektion für die Kursteilnehmer anschaulicher gestalten.
AD DS-Verwaltungstools 3: Verwalten von Active Directory-Domänendienstobjekten Um AD DS-Objekte zu verwalten, können Sie die folgenden grafischen Tools verwenden Active Directory-Verwaltungs-Snap-Ins Active Directory-Verwaltungscenter Sie können auch die folgenden Befehlszeilentools verwenden Active Directory-Modul in Windows PowerShell Befehle des Verzeichnisdiensts Zeigen Sie bei Bedarf eine Demo zu jedem Tool, während Sie es erläutern. C:/
Erstellen von Benutzerkonten 21410D Erstellen von Benutzerkonten 3: Verwalten von Active Directory-Domänendienstobjekten Der Abschnitt Konto des Fensters Benutzer erstellen des Active Directory-Verwaltungscenters Zeigen Sie bei Bedarf eine Demo des Verfahrens zum Erstellen eines Benutzerkontos. Führen Sie dazu die Schritte im Kursteilnehmerhandbuch aus. Aufforderung zur Diskussion Fragen Sie die Kursteilnehmer, welche Namensstrategien für Benutzerkonten sie verfolgen.
Konfigurieren der Attribute von Benutzerkonten 3: Verwalten von Active Directory-Domänendienstobjekten Das Anmeldestunden-Dialogfeld Öffnen Sie bei Bedarf Benutzerkonten, und zeigen Sie die zugehörigen Kontoeigenschaften an, während Sie diesen Inhalt den Kursteilnehmern erläutern.
Erstellen von Benutzerprofilen 21410D Erstellen von Benutzerprofilen 3: Verwalten von Active Directory-Domänendienstobjekten Der Abschnitt Profil des Fensters Benutzereigenschaften Zeigen Sie bei Bedarf eine Demo dieser Vorgehensweise, während Sie den Kursteilnehmern den Inhalt erläutern.
Demo: Verwalten von Benutzerkonten 3: Verwalten von Active Directory-Domänendienstobjekten In dieser Demo wird Folgendes gezeigt Verwenden des Active Directory-Verwaltungscenters, um Benutzerkonten zu verwalten Löschen eines Benutzerkontos Erstellen eines neuen Benutzerkontos Verschieben des Benutzerkontos Anzeigen des WINDOWS POWERSHELL-VERLAUFS Verwenden von Windows PowerShell zum Verwalten von Benutzerkonten Suchen von inaktiven Benutzerkonten Suchen von deaktivierten Benutzerkonten Löschen von deaktivierten Benutzerkonten Aufforderung zur Diskussion Wenn Sie den Inhalt vor den Demoschritten erläutern, könnte es für die Kursteilnehmer interessant sein, auf welche Weise die Änderung eines Kennworts anderen Benutzern mitgeteilt wird. Fragen Sie die Kursteilnehmer, wie sie aktuell vorgehen, und fordern Sie sie auf, über andere Benachrichtigungsmethoden nachzudenken. Mögliche Lösungen sind beispielsweise das Senden einer SMS zu ihren Handys, das Senden einer E-Mail an eine alternative Adresse, wie beispielsweise Microsoft Live-Konto, oder ein Telefonanruf. Windows PowerShell Sie können gegebenenfalls gegenüber Ihren Kursteilnehmern erwähnen, dass sie auch Windows PowerShell®-Befehle verwenden können, um allgemeine Benutzerverwaltungsaufgaben durchzuführen, wie z. B. das Kennwort eines Benutzers mit dem Befehl Set-ADAccountPassword zurückzusetzen. Mit dem folgenden Befehl wird z. B. das Kennwort von Amy zurückgesetzt: Set ADAccountPassword -identity ‘cn=amy, ou=IT, dc=contoso, dc=com’ -Reset -NewPassword (ConvertTo SecureString -AsPlainText "Pa$$w0rd2" -Force) Um ein Benutzerkonto mit Windows PowerShell zu entsperren, können Sie den folgenden Befehl verwenden: Unlock ADAccount -identity ‘cn=amy strand, ou=IT, dc=contoso, dc=com’ Um ein Benutzerkonto mit Windows PowerShell zu deaktivieren oder zu aktivieren, geben Sie die folgenden Cmdlets an einer Windows PowerShell-Eingabeaufforderung ein: Enable ADAccount -identity <name> Disable ADAccount -identity <name> Vorbereitungsschritte Starten Sie den erforderlichen virtuellen Computer, 21410D-LON-DC1. (Weitere Hinweise auf der folgenden Folie)
Demo: Verwenden von Vorlagen zum Verwalten von Benutzerkonten 3: Verwalten von Active Directory-Domänendienstobjekten In dieser Demo wird Folgendes gezeigt Erstellen eines Benutzervorlagenkontos Verwenden von Windows PowerShell, um einen Benutzer aus der Benutzervorlage zu erstellen Überprüfen der Eigenschaften des neuen Benutzerkontos Aufforderung zur Diskussion Erläutern Sie die Gründe für die Verwendung von Vorlagenkonten. In der Regel verwenden Sie Vorlagenkonten, um den Zeitaufwand für das Ausfüllen der Eigenschaften für die Benutzerkonten zu speichern. Erläutern Sie, dass bei Verwenden von Windows PowerShell zum Erstellen von Benutzern aus einer Vorlage, nur die angegebenen Eigenschaften kopiert werden. Zu den Eigenschaften, die nicht kopiert werden können, gehört die Eigenschaft Mitglied von. Wenn die Gruppenmitgliedschaften aus einer Vorlage enthalten sein sollen, müssen Sie entweder Active Directory-Benutzer und -Computer oder das Active Directory-Verwaltungscenter verwenden. Referenz: Eine vollständige Liste der Eigenschaften, die aus einer Vorlage für einen neuen Benutzer kopiert werden können, finden Sie unter Copy a User's Properties (Eigenschaften eines Benutzers kopieren) unter http://go.microsoft.com/fwlink/?LinkID=331092. Vorbereitungsschritte Stellen Sie sicher, dass der erforderliche virtuelle Computer 21410D-LON-DC1 ausgeführt wird. Demoschritte Erstellen eines Vorlagenkontos Klicken Sie auf LON-DC1 im Server-Manager auf Tools und dann auf Active Directory- Verwaltungscenter. Klicken Sie im Active Directory-Verwaltungscenter auf Adatum (lokal), und doppelklicken Sie dann auf Sales. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Benutzer. Geben Sie im Dialogfeld Benutzer erstellen im Feld Vorname die Zeichenfolge _LondonVertrieb ein, im Feld Nachname geben Sie die Bezeichnung Vorlage ein. Geben Sie im Feld Benutzer-UPN-Anmeldung die Zeichenfolge _LondonVertrieb ein. Wählen Sie die Option Vor versehentlichem Löschen schützen. (Weitere Hinweise auf der folgenden Folie)
Lektion 2: Verwalten von Gruppen 21410D Lektion 2: Verwalten von Gruppen 3: Verwalten von Active Directory-Domänendienstobjekten Demo: Verwalten von Gruppen Für Kursteilnehmer ohne Windows Server-Erfahrung kann es oft schwierig sein, das Konzept von Gruppen innerhalb von Gruppen zu verstehen. Erwägen Sie, folgende Beispiele mithilfe des Whiteboards zu behandeln: Zeichnen Sie drei Domänen als Dreiecke und fügen Sie jeder Domäne eine Dateiressource hinzu. Fragen Sie Ihre Kursteilnehmer, wie viele Dateiberechtigungen erforderlich sind, wenn jede Domäne 100 Benutzer hostet, von denen alle Zugriff auf die drei Dateiressourcen in den drei Domänen benötigen. Gruppieren Sie die drei Sätze mit jeweils 100 Benutzern, und wiederholen Sie die Frage. Gruppieren Sie die Gruppen, und wiederholen Sie die Frage. Mit diesem Beispiel wird der Vorteil der Verschachtelung von Gruppen anschaulich dargestellt. Sie müssen nur noch die Besonderheiten der Typen und Bereiche in Windows Server erklären. Wie in Lektion 1 können Sie auch hier bei Bedarf die Demo in den Mittelpunkt der Lektion stellen.
Gruppentypen Verteilergruppen Sicherheitsgruppen 21410D Gruppentypen 3: Verwalten von Active Directory-Domänendienstobjekten Verteilergruppen Nur in Verbindung mit E-Mail-Anwendungen Nicht für die Sicherheit aktiviert (keine SID); kann keine Berechtigungen erhalten Sicherheitsgruppen Sicherheitsprinzipal mit einer SID; kann Berechtigungen erhalten Kann auch E-Mail-aktiviert sein Sowohl Sicherheitsgruppen als auch Verteilergruppen können in den anderen Gruppentyp konvertiert werden Erklären Sie den Kursteilnehmern, dass sie mithilfe von Verteilergruppen E-Mail-Nachrichten an Sammlungen von Benutzern senden können, aber nur mit Messaging-Programmen wie Microsoft Exchange Server. Betonen Sie, dass bei Verteilungslisten nicht die Sicherheit aktiviert ist, sodass sie nicht in besitzerverwalteten Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgeführt werden können. Erklären Sie den Kursteilnehmern auch, dass sie mithilfe der Sicherheitsgruppen beiden Gruppen von Benutzern und Gruppen von Computern Rechte und Berechtigungen zuweisen können. Bei einer Sicherheitsgruppe ist die Sicherheit aktiviert, und Sie können damit lokalen Ressourcen und Netzwerkressourcen Berechtigungen zuweisen.
21410D Gruppenbereiche 3: Verwalten von Active Directory-Domänendienstobjekten Gruppen-bereich Mitglieder aus der gleichen Domäne Mitglieder aus Domäne in gleicher Gesamtstruktur Mitglieder aus vertrauenswürdiger externer Domäne Kann Berechtigungen zu Ressourcen zugewiesen bekommen Lokal B, C, GG, DLG, UG und lokale Benutzer GG, UG GG Nur auf dem lokalen Computer Lokal (in Domäne) GG, DLG, UG Irgendwo in der Domäne Universell – Irgendwo in der Gesamtstruktur Global Irgendwo in der Domäne oder einer vertrauenswürdigen Domäne Beschreiben Sie Gruppenbereiche mithilfe der Tabelle. Um zu veranschaulichen, wo Gruppen erstellt werden können, und um die Auswirkungen auf jeden Gruppenbereich zu zeigen, können Sie ein Diagramm mit mehreren Domänen zeichnen. B Benutzer C Computer GG Globale Gruppe DLG Lokale Gruppen einer Domäne UG Universelle Gruppe
Implementieren der Gruppenverwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Identitäten Benutzer bzw. Computer, die Mitglieder sind von I Diese und die folgenden fünf Folien erklären das Beispiel in den Hinweisen für die Kursteilnehmer. Diese Folie fasst das Beispiel zusammen, und die nächsten fünf Folien erstellen das Beispiel von Frame zu Frame. Die fünf Frames sind: Identitäten Globale Gruppen lokale Gruppen einer Domäne Zugewiesener Ressourcenzugriff Eine Kopie der Zusammenfassung, wie in der ersten Folie oben dargestellt. Sie können auch eine Abbildung auf das Whiteboard zeichnen und die folgenden Richtlinien beachten, um die Vorteile der Verschachtelung von Gruppen zu veranschaulichen: Zeichnen Sie drei Domänenobjekte, die jeweils fünf Benutzer enthalten. Zeichnen Sie ein Dateiobjekt in eine der drei Domänen. Frage: Wie viele Dateiberechtigungen sind erforderlich, um jedem Benutzer eine Berechtigung für diese Datei zuzuweisen? Antwort: Sie müssen 15 Dateiberechtigungen erstellen. Zeichnen Sie einen Kreis um die fünf Benutzer in jeder Domäne, und erklären Sie, dass die Kreise globale Gruppen darstellen. Frage: Wie viele Berechtigungen für die Datei müssen Sie auf der Ebene der globalen Gruppen zuweisen? Antwort: Sie müssen drei Berechtigungen zuweisen. Zeichnen Sie einen Kreis neben der Datei. Zeichnen Sie Pfeile aus den globalen Gruppen zu diesem Kreis. Diese Pfeile zeigen an, dass Sie diese Gruppen zu einer lokalen Gruppe in der Domäne mit der Ressource hinzugefügt haben. Frage: Wie viele Berechtigungen müssen Sie der lokalen Gruppe zuweisen? Antwort: Sie müssen der lokalen Gruppe eine Berechtigung zuweisen. Globale Gruppen Nehmen Mitglieder basierend auf Mitgliederrollen auf, die Mitglieder sind von G Vertrieb (Globale Gruppe) Prüfer (Globale Gruppe) ACL_Vertrieb_Leseberechtigung (Lokale Gruppe der Domäne) lokale Gruppen einer Domäne Stellen Verwaltungsfunktionen bereit, z. B. Zugriff auf Ressourcen, denen DL Zugriff auf eine Ressource zugewiesen wurde (Access) A Diese bewährte Methode zum Verschachteln von Gruppen wird als IGDLA bezeichnet
Implementieren der Gruppenverwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Identitäten Benutzer bzw. Computer, die Mitglieder sind von I Dies ist der erste von 5 Frames. Identitäten werden Benutzern oder Gruppen zugewiesen.
Implementieren der Gruppenverwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Identitäten Benutzer bzw. Computer, die Mitglieder sind von I Vertrieb (Globale Gruppe) Prüfer Globale Gruppen Nehmen Mitglieder basierend auf Mitgliederrollen auf, die Mitglieder sind von G Dies ist der zweite von 5 Frames. Die Benutzer und Computer wurden in zwei separaten Gruppen gesammelt, der Vertrieb (globale Gruppe) und die Prüfer (globale Gruppe).
Implementieren der Gruppenverwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Identitäten Benutzer bzw. Computer, die Mitglieder sind von I ACL_Vertrieb_Leseberechtigung (Lokale Gruppe der Domäne) Vertrieb (Globale Gruppe) Prüfer Globale Gruppen Nehmen Mitglieder basierend auf Mitgliederrollen auf, die Mitglieder sind von G Dies ist der dritte von 5 Frames. Die beiden globalen Gruppen sind zu einer lokalen Gruppe der Domäne zusammengefasst worden, die als ACL_Vertrieb_Leseberechtigung bezeichnet wird. lokale Gruppen einer Domäne Stellen Verwaltungsfunktionen bereit, z. B. Zugriff auf Ressourcen, denen DL
Implementieren der Gruppenverwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Identitäten Benutzer bzw. Computer, die Mitglieder sind von I ACL_Vertrieb_Leseberechtigung (Lokale Gruppe der Domäne) Vertrieb (Globale Gruppe) Prüfer Globale Gruppen Nehmen Mitglieder basierend auf Mitgliederrollen auf, die Mitglieder sind von G Dies ist der vierte von 5 Frames. Der lokalen Gruppe der Domäne wurde Zugriff auf eine Ressource gewährt. lokale Gruppen einer Domäne Stellen Verwaltungsfunktionen bereit, z. B. Zugriff auf Ressourcen, denen DL Zugriff auf eine Ressource zugewiesen wurde (Access) A
Implementieren der Gruppenverwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Identitäten Benutzer bzw. Computer, die Mitglieder sind von I ACL_Vertrieb_Leseberechtigung (Lokale Gruppe der Domäne) Vertrieb (Globale Gruppe) Prüfer Dies ist der fünfte von 5 Frames. Dies ist eine Zusammenfassung des Beispiels. Sie ist identisch mit der Folie im Handbuch für Kursteilnehmer. Globale Gruppen Nehmen Mitglieder basierend auf Mitgliederrollen auf, die Mitglieder sind von G lokale Gruppen einer Domäne Stellen Verwaltungsfunktionen bereit, z. B. Zugriff auf Ressourcen, denen DL Zugriff auf eine Ressource zugewiesen wurde (Access) A Diese bewährte Methode zum Verschachteln von Gruppen wird als IGDLA bezeichnet
21410D Standardgruppen 3: Verwalten von Active Directory-Domänendienstobjekten Verwalten Sie die Standardgruppen, die Administratorrechte bereitstellen, sorgfältig, da diese Gruppen In der Regel umfangreichere Rechte, als für die meisten Umgebungen erforderlich wäre, besitzen Ihren Mitgliedern häufig Schutz bereitstellen Zeigen Sie den Kursteilnehmern die auf der Folie erwähnten Gruppen, während Sie sie erläutern. Gruppe Standort Organisations-Admins Benutzercontainer der Stammdomäne der Gesamtstruktur Schema-Admins Administratoren Vordefinierter Container jeder Domäne Domänen-Admins Benutzer-Container jeder Domäne Server-Operatoren Konten-Operatoren Sicherungs-Operatoren Druck-Operatoren Zertifikatherausgeber
Besondere Identitäten 3: Verwalten von Active Directory-Domänendienstobjekten Besondere Identitäten Sind Gruppen, für die die Mitgliedschaft durch das Betriebssystem gesteuert wird Können vom Windows Server-Betriebssystem zum Bereitstellen von Zugriff auf Ressourcen verwendet werden Auf Grundlage des Typs von Authentifizierung oder Verbindung Nicht auf Grundlage des Benutzerkontos Wichtige besondere Identitäten umfassen u. a. Zeigen Sie den Kursteilnehmern die auf der Folie erwähnten Identitäten, während Sie diese erläutern. Anonyme Anmeldung Authentifizierte Benutzer Jeder Interaktiv Netzwerk Ersteller-Besitzer
Demo: Verwalten von Gruppen 3: Verwalten von Active Directory-Domänendienstobjekten In dieser Demo wird Folgendes gezeigt Erstellen einer neuen Gruppe Hinzufügen von Mitgliedern zur Gruppe Hinzufügen eines Benutzers zur Gruppe Ändern des Gruppentyps und Gruppenbereichs Ändern der Gruppeneigenschaft Verwaltet von Vorbereitungsschritte Der erforderliche virtuelle Computer, 21410D-LON-DC1, sollte nach der vorherigen Demo noch ausgeführt werden. Demoschritte Erstellen einer neuen Gruppe Wechseln Sie auf LON-DC1 zum Active Directory-Verwaltungscenter. Erweitern Sie Adatum (lokal), und klicken Sie dann auf IT. Zeigen Sie in der Aufgaben-Liste unter IT auf Neu, und klicken Sie dann auf Gruppe. Geben Sie im Dialogfeld Gruppe erstellen im Feld Gruppenname die Zeichenfolge IT-Manager ein. Hinzufügen von Mitgliedern zur Gruppe Führen Sie einen Bildlauf nach unten durch, und klicken Sie unter der Mitglieder-Option auf Hinzufügen. Geben Sie im Dialogfeld Benutzer, Kontakte, Computer, Dienstkonten oder Gruppen auswählen unter Geben Sie die zu verwendenden Objektnamen ein (Beispiele) die Zeichenfolge April; Don ein. Klicken Sie auf Namen überprüfen und dann auf OK. Klicken Sie im Dialogfeld Gruppe erstellen: IT-Manager auf OK. Hinzufügen eines Benutzers zur Gruppe Klicken Sie im Detailbereich mit der rechten Maustaste auf Ed Meadows. Klicken Sie auf Zur Gruppe hinzufügen. Geben Sie Im Dialogfeld Gruppen auswählen im Feld Geben Sie die zu verwendenden Objektnamen ein (Beispiele) die Zeichenfolge IT-Manager ein. Klicken Sie auf Namen überprüfen und dann auf OK. (Weitere Hinweise auf der folgenden Folie)
Lektion 3: Verwalten von Computerkonten 21410D Lektion 3: Verwalten von Computerkonten 3: Verwalten von Active Directory-Domänendienstobjekten Mitbringen des eigenen Geräts (Bring Your Own Device) Zu dieser Lektion liegen keine Demos vor. Während Sie den Inhalt weiter durchgehen, können Sie kleine, improvisierte Demos durchführen, um den Inhalt zu veranschaulichen.
Was ist der Computercontainer? 3: Verwalten von Active Directory-Domänendienstobjekten Active Directory-Verwaltungscenter, geöffnet für den Adatum (lokal)\Computercontainer Definierter Name (Distinguished Name) lautet cn=Computers,DC=Adatum,DC=com Öffnen Sie bei Bedarf Active Directory-Benutzer und -Computer oder das Active Directory- Verwaltungscenter, um den Standardspeicherort für Computerobjekte zu veranschaulichen. Erläutern Sie, dass der definierte Name (Distinguished Name) cn=Computers,DC=Adatum,DC=com eine vollständige Beschreibung des Computerobjekts enthält. Das Objekt mit dem allgemeinen Namen (cn) Computer ist ein Container, der sich in der Domänenkomponente (DC) Adatum befindet, die sich in der Domänenkomponente mit dem Namen com befindet.
Festlegen des Speicherorts von Computerkonten 3: Verwalten von Active Directory-Domänendienstobjekten Die bewährte Methode ist, Organisationseinheiten für Computerobjekte zu erstellen Server In der Regel durch die Serverrolle unterteilt Clientcomputer In der Regel durch den Bereich unterteilt Unterteilen Sie Organisationseinheiten Nach Verwaltung Zum Erleichtern der Konfiguration mit Gruppenrichtlinie Heben Sie hervor, dass sich die Methode bewährt hat, benutzerdefinierte Organisationseinheiten für Computerobjekte zu erstellen, statt sich auf den Standardcomputercontainer zu verlassen. Bieten Sie den Kursteilnehmern genügend Informationen zum Konzept des Delegierens (Zuweisen von Berechtigungen zu Organisationseinheiten) und des Konfigurierens (Verknüpfen von Gruppenrichtlinienobjekten mit Organisationseinheiten), damit sie in der Lage sind, selbst zu entscheiden, wie sie Verzweigungen von Organisationseinheiten für Clients und Server entwerfen würden. In späteren Unterrichtseinheiten werden Gruppenrichtlinien und die Delegierung sowie ihre Auswirkungen auf den Entwurf von Organisationseinheiten ausführlicher behandelt. Gehen Sie an dieser Stelle nicht zu sehr ins Detail, sondern nutzen Sie die Gelegenheit, um den Kursteilnehmern einen Einblick in diese Konzepte zu vermitteln.
Steuern von Berechtigungen für das Erstellen von Computerkonten 3: Verwalten von Active Directory-Domänendienstobjekten Das Fenster des Assistenten zum Zuweisen der Objektverwaltung Der Administrator richtet eine benutzerdefinierte Delegierung von Computerobjekten ein Zeigen Sie bei Bedarf eine Demo des Verfahrens zum Delegieren der Verwaltung von Computererstellung und -löschung.
Ausführen eines Offlinedomänenbeitritts 3: Verwalten von Active Directory-Domänendienstobjekten Der Offlinedomänenbeitritt wird für den Beitritt von Computern zu einer Domäne verwendet, wenn sie keine Verbindung zu einem Domänencontroller herstellen können Erstellen einer Domänenbeitrittsdatei mithilfe von Importieren der Domänenbeitrittsdatei mithilfe von Erklären Sie, dass Offlinedomänenbeitritte eingeführt wurden, um den Beitritt von Computern zu Domänen über unzuverlässige Verbindungen zu erleichtern. In Windows 8 und Windows Server 2012 wurde der Domänenbeitritt erweitert, sodass er auch das DirectAccess-Feature umfasst. Dies ermöglicht Computern, der Domäne beizutreten, ohne mit dem Domänencontroller zu kommunizieren; und sobald die DirectAccess-Einstellungen übernommen wurden, können die Computer mit der Domäne über jede Internetverbindung interagieren. Erläutern Sie die Szenarien für den Offlinedomänenbeitritt. Fragen Sie Kursteilnehmer, wie sie dieses Feature in eigenen Umgebungen verwenden könnten. Kursteilnehmer von Organisationen, die keine Zweigniederlassungen haben, finden dieses Feature wahrscheinlich weniger nützlich als Kursteilnehmer, deren Organisationen Remote-Zweigniederlassungen haben. djoin.exe /Provision /Domain <Domänenname> /Machine <Computername> /SaveFile <Dateipfad> djoin.exe /requestODJ /LoadFile <Dateipfad> /WindowsPath <Pfad zum Windows-Verzeichnis des Offlineabbilds>
Computerkonten und sichere Kanäle 3: Verwalten von Active Directory-Domänendienstobjekten Computer besitzen Konten sAMAccountName und Kennwort Wird verwendet, um einen sicheren Kanal zwischen dem Computer und einem Domänencontroller zu erstellen Szenarien, in denen ein sicherer Kanal nicht funktionsfähig sein kann Bei einer Neuinstallation eines Computers wird eine neue SID und ein neues Kennwort erstellt, selbst, wenn dies mit gleichem Namen geschieht Wiederherstellen eines Computers von einer alten Sicherung oder Zurücksetzen eines Computers zu einem alten Snapshot Computer und Domäne erkennen unterschiedliche Kennwörter als gültig an Erklären Sie, dass der sichere Kanal zwischen einem Computer und einem Domänencontroller für die gesamte Kommunikation mit der Domäne verwendet wird, einschließlich der Authentifizierung einer Benutzeranmeldung am Computer. Der sichere Kanal wird festgelegt, wenn der Computer anhand des Benutzernamens und Kennworts in der Domäne authentifiziert wird. Computer verfügen wie Benutzer über Anmeldenamen und Kennwörter. Wenn sich der Computer nicht erfolgreich anmelden kann, wird der sichere Kanal nicht festgelegt. Das Ergebnis ist damit vergleichbar, wenn ein Benutzer den falschen Benutzernamen oder das falsche Kennwort eingibt. In beiden Fällen kann der Benutzer in der Domäne nicht authentifiziert werden. Es gibt mehrere Szenarien, die dazu führen können, dass der sichere Kanal nicht mehr funktioniert. Drei davon sind auf der Folie aufgeführt. Die Folie listet Administratorfehler in AD DS nicht auf. Diese können gefährliche Active Directory-Aktionen umfassen, z. B. das Zurücksetzen eines Domänencontrollers, der einen Snapshot ausführt. Sie sollten erwähnen, dass es mehrere Methoden gibt, mit denen ein Administrator AD DS (manuell, automatisch, absichtlich oder unabsichtlich) beschädigen kann, und dass sich eine Beschädigung dann zeigen kann, wenn nicht funktionsfähige sichere Kanäle angezeigt werden. Aufforderung zur Diskussion Fragen Sie die Kursteilnehmer: Können Sie sich an Szenarien erinnern, in denen Sie festgestellt haben, dass der sichere Kanal nicht mehr funktioniert? Woran haben Sie erkannt, dass der sichere Kanal nicht mehr funktioniert? Nachdem die Kursteilnehmer über ihre Erfahrungen gesprochen haben, stellen Sie die Frage in etwas abgewandelter Form: In welchen Szenarien haben Sie einen Computer von der Domäne entfernt und anschließend erneut zur Domäne hinzugefügt? Dabei handelt es sich um eine häufig eingesetzte Technik, mit der Administratoren einen sicheren Kanal zurücksetzen. Dabei realisieren sie oft nicht, was sie eigentlich machen, wenn sie den Computer entfernen und wieder zur Domäne hinzufügen. (Weitere Hinweise auf der folgenden Folie)
Zurücksetzen des sicheren Kanals 3: Verwalten von Active Directory-Domänendienstobjekten Löschen Sie keinen Computer aus der Domäne, um ihn dann wieder hinzuzufügen Bei diesem Vorgang wird ein neues Konto erstellt. Dies führt zu einer neuen SID und zu verloren gegangenen Gruppenmitgliedschaften Optionen zum Zurücksetzen des sicheren Kanals Active Directory-Benutzer und -Computer Active Directory-Verwaltungscenter dsmod netdom nltest Windows PowerShell Ein nicht funktionsfähiges Computerkonto zeigt sich durch eine Vielzahl von Symptomen, Fehlermeldungen und Ereignisprotokolleinträgen. Erwähnen Sie, dass Benutzer mithilfe von zwischengespeicherten Anmeldeinformationen möglicherweise dazu in der Lage sind, sich an einem Computer mit einem nicht funktionierenden sicheren Kanal anzumelden, aber dass andere ungewöhnliche Funktionsweisen auftreten, da die Authentifizierung ohne funktionierenden sicheren Kanal kein Kerberos-Protokoll, Version 5 (V5), verwenden kann. Da nltest und netdom den sicheren Kanal zurücksetzen, ohne dass ein Neustart erforderlich ist, sollten Sie diese Befehle zuerst testen. Erst wenn Sie mit diesen beiden Befehlen nicht erfolgreich sind, sollten Sie dsmod oder die Auswahl Konto zurücksetzen in Active Directory-Benutzer und -Computer oder Active Directory-Verwaltungscenter verwenden, um das Computerkonto zurücksetzen. Für das Zurücksetzen des sicheren Kanals ist die Berechtigung zum Zurücksetzen des Kennworts für das Computerobjekt erforderlich.
Das eigene Gerät mitbringen (Bring Your Own Device) 3: Verwalten von Active Directory-Domänendienstobjekten AD FS wurde verbessert, um BYOD-Programme zu unterstützen Arbeitsplatzbeitritt erstellt ein AD DS-Objekt für Verbrauchergeräte Den Zugriff auf Inhalte auf bestimmte Geräte begrenzen Mit der Dynamischen Zugriffssteuerung oder Bedingungen für Berechtigungen können Sie den Inhaltszugriff auf Geräte begrenzen, die der Domäne beigetreten sind Unterstützung für iOS iOS-Geräte können ebenfalls dem Arbeitsplatz beitreten Dieses Thema bietet eine grobe Übersicht über neue Features in Windows Server 2012 R2, die die Unterstützung von Verbrauchergeräten in einem Bring Your Own Device (BYOD)-Szenario erleichtern,
Lektion 4: Delegieren der Verwaltung 3: Verwalten von Active Directory-Domänendienstobjekten Demo: Delegieren von Verwaltungsberechtigungen Starten Sie bei Bedarf das Thema der Demo, und erläutern Sie dann den Inhalt der anderen drei Themen. Fordern Sie die Kursteilnehmer am Anfang der Lektion zur Überlegung auf, wann der Punkt erreicht ist, an dem ein einzelner Administrator nicht mehr in der Lage ist, ein Netzwerk alleine zu verwalten, und welche Vorgehensweise beim Zuordnen der administrativen Aufgaben auf andere Administratoren am besten ist.
Überlegungen zum Verwenden von Organisationseinheiten 3: Verwalten von Active Directory-Domänendienstobjekten Organisationseinheiten ermöglichen es Ihnen, die Domäne für Verwaltungszwecke zu unterteilen Organisationseinheiten werden verwendet für Delegierung der Objektverwaltung Anwendung von Gruppenrichtlinienobjekten Die OU-Struktur kann wie folgt sein Flach, ein oder zwei Ebenen tief Tief, mehr als fünf Ebenen tief Gering, alles dazwischen Erläutern Sie den Entwurf einer Hierarchie von Organisationseinheiten (OU). Besprechen Sie Ihre Erfahrungen mit dem Entwurf der Organisationseinheiten und den Umgebungen der Kursteilnehmer sowie den Gründen, warum sie Organisationseinheiten erstellt haben. Erläutern Sie, dass man beim Erstellen von Organisationseinheiten ein bestimmtes Verwaltungsziel im Blick haben sollte, wobei eine einfache Verwaltung das Ziel sein soll.
AD DS-Berechtigungen Erweiterte Sicherheitseinstellungen für IT 21410D 3: Verwalten von Active Directory-Domänendienstobjekten Erweiterte Sicherheitseinstellungen für IT Zeigen Sie bei Bedarf eine Demo des Verfahrens zum Anzeigen von Berechtigungen.
Effektive AD DS-Berechtigungen 3: Verwalten von Active Directory-Domänendienstobjekten Benutzern und Gruppen zugewiesene Berechtigungen akkumulieren Bewährte Methode besteht im Zuweisen von Berechtigungen zu Gruppen, nicht zu einzelnen Benutzern Im Fall von Konflikten Verweigern Sie Berechtigungen das Überschreiben von Berechtigungen Explizite Berechtigungen überschreiben vererbte Berechtigungen Explizites Zulassen überschreibt vererbtes Verweigern Zum Auswerten effektiver Berechtigungen steht Ihnen Folgendes zur Verfügung Die Registerkarte Effektiver Zugriff Manuelle Analyse Zeigen Sie bei Bedarf eine Demo des Verfahrens zum Anzeigen von effektiven Berechtigungen.
Demo: Delegieren von Verwaltungsberechtigungen 3: Verwalten von Active Directory-Domänendienstobjekten In dieser Demo wird Folgendes gezeigt Erstellen einer Organisationseinheit Verschieben von Objekten in eine Organisationseinheit Delegieren einer Standardaufgabe Delegieren einer benutzerdefinierten Aufgabe Anzeigen der AD DS-Berechtigungen, die sich aus diesen Delegierungen ergeben Aufforderung zur Diskussion Sie können die Delegierung der Objektverwaltung in Active Directory-Domänendienste (AD DS) entweder manuell oder mithilfe von Assistent zum Zuweisen der Objektverwaltung verwalten. Wenn Sie ein komplexes Berechtigungsszenario haben, müssen Sie die Berechtigungen möglicherweise manuell konfigurieren, aber es ist in der Regel einfacher, Berechtigungen in AD DS mithilfe von Assistent zum Zuweisen der Objektverwaltung zuzuweisen. Vorbereitungsschritte Der erforderliche virtuelle Computer, 21410D-LON-DC1, sollte nach der vorherigen Demo noch ausgeführt werden. Demoschritte Erstellen einer Organisationseinheit Klicken Sie auf LON-DC1 im Server-Manager auf Tools, und klicken Sie dann auf Active Directory- Benutzer und -Computer. Erweitern Sie die Domäne Adatum.com. Klicken Sie mit der rechten Maustaste auf Adatum.com, zeigen Sie auf Neu, und klicken Sie dann auf Organisationseinheit. Geben Sie im Dialogfeld Neues Objekt – Organisationseinheit im Feld Name die Bezeichnung Führungskräfte ein. Hinweis: Erörtern Sie den Zweck der Einstellung Container vor zufälliger Löschung schützen. Klicken Sie im Dialogfeld Neues Objekt – Organisationseinheit auf OK. Verschieben von Benutzern in die Organisationseinheit „Führungskräfte“ Klicken Sie auf die Organisationseinheit Managers. Klicken Sie auf Carol Troup, und halten Sie dann die UMSCHALTTASTE gedrückt, während Sie auf Euan Garden klicken. Klicken Sie mit der rechten Maustaste auf Euan Garden, und klicken Sie dann auf Verschieben. Klicken Sie im Dialogfeld Verschieben auf Führungskräfte, und klicken Sie dann auf OK. (Weitere Hinweise auf der folgenden Folie)
Übungseinheit: Verwalten von Active Directory-Domänendienstobjekten Übung 3: Verwalten von Computerobjekten in AD DS Bevor Kursteilnehmer die Übungseinheit beginnen, lesen Sie das Szenario zur Übungseinheit, und zeigen Sie die nächste Folie an. Lesen Sie den Kursteilnehmern vor Beginn jeder Übungseinheit das entsprechende Szenario dieser Übung vor. Die Szenarien bieten Kontext für die Übungseinheit und die Übungen und erleichtern die Besprechung am Ende der Übungseinheit. Erinnern Sie die Kursteilnehmer daran, die Diskussionsfragen im Anschluss an die letzte praktische Übung zu beantworten. Übung 1: Delegieren der Zweigstellenverwaltung A. Datum delegiert die Verwaltung jeder Zweigniederlassung an eine bestimmte Gruppe. Auf diese Weise kann ein Mitarbeiter, der vor Ort arbeitet, ggf. als Administrator konfiguriert werden. In jeder Filiale wird eine Gruppe mit Filialadministratoren eingerichtet, die alle Verwaltungsaufgaben für die Filial-Organisationseinheit ausführen kann. Es gibt auch eine Helpdeskgruppe für die Zweigniederlassung, die die Benutzer in der Zweigniederlassungs-Organisationseinheit verwalten kann, jedoch keine anderen Objekte. Sie müssen diese Gruppen für die neue Zweigniederlassung erstellen und Berechtigungen an die Gruppen delegieren. Übung 2: Erstellen und Konfigurieren von Benutzerkonten in AD DS Sie haben eine Liste der neuen Benutzer für die Filiale, und Sie müssen für sie Benutzerkonten erstellen. Übung 3: Verwalten von Computerobjekten in AD DS Die Verbindung zwischen einer Arbeitsstation und der Domäne wurde unterbrochen, und die Benutzer können nicht ordnungsgemäß authentifiziert werden. Wenn Benutzer versuchen, auf Ressourcen von dieser Arbeitsstation zuzugreifen, wird der Zugriff verweigert. Sie müssen das Computerkonto zurücksetzen, um die Vertrauensstellung zwischen dem Client und der Domäne neu zu erstellen. Anmeldeinformationen Virtuelle Computer 21410D-LON-DC1 21410D-LON-CL1 Benutzername ADATUM\Administrator Kennwort Pa$$w0rd Geschätzte Dauer: 70 Minuten
Szenario der Übungseinheit 3: Verwalten von Active Directory-Domänendienstobjekten Sie arbeiten als Desktopsupportspezialist für A. Datum Corporation, und zu Ihren Aufgaben gehört die Behebung von App- und Netzwerkproblemen auf Desktopcomputern. Sie haben kürzlich eine Beförderung in das Serversupportteam angenommen. Als eine Ihrer ersten Aufgaben müssen Sie den Infrastrukturdienst für eine neue Zweigniederlassung konfigurieren Um mit der Bereitstellung der neuen Zweigniederlassung zu beginnen, bereiten Sie AD DS-Objekte vor. Im Rahmen dieser vorbereitenden Aufgaben müssen Sie eine Organisationseinheit für die Zweigniederlassung erstellen und eine Verwaltungsberechtigung delegieren. Anschließend müssen Sie Benutzer und Gruppen für die neue Filiale erstellen. Zum Schluss müssen Sie den sicheren Kanal für ein Computerkonto zurücksetzen, dessen Verbindung mit der Domäne in der Filiale verloren gegangen ist
21410D Lernzielkontrolle 3: Verwalten von Active Directory-Domänendienstobjekten Welche zwei Anmeldeinformationen sind erforderlich, damit jeder Computer einer Domäne beitreten kann? Fragen zur Lernzielkontrolle für die Übungseinheit Frage Mit welchen Optionen können die Attribute neuer und vorhandener Benutzer geändert werden? Antwort Sie können Attribute für neue und vorhandene Benutzer auf folgende Weise ändern: Mehrere Benutzer auswählen und danach das Dialogfeld Eigenschaften öffnen Den Befehl Dsmod verwenden Ein Benutzerkontos basierend auf einer Benutzerkontenvorlage erstellen Das Windows PowerShell-Cmdlet Set-ADUser verwenden Welche Objekttypen können Mitglieder von globalen Gruppen sein? Globale Gruppen können Benutzer und andere Rollen (globale Gruppen) aus der gleichen Domäne als Mitglieder enthalten. Welche Objekttypen können Mitglieder von lokalen Gruppen einer Domäne sein? Lokale Gruppen einer Domäne können Rollen (globale Gruppen) und einzelne Benutzer aus einer beliebigen vertrauenswürdigen Domäne in der gleichen Gesamtstruktur oder einer externen Gesamtstruktur und andere Gruppen der lokalen Domäne in der gleichen Domäne enthalten. Schließlich können lokale Gruppen einer Domäne universelle Gruppen aus der gesamten Gesamtstruktur enthalten. Welche zwei Anmeldeinformationen sind erforderlich, damit jeder Computer einer Domäne beitreten kann? Bei den notwendigen Anmeldeinformationen handelt es sich um die lokalen Anmeldeinformationen, die sich in der Gruppe der lokalen Administratoren des Computers befinden, und um Anmeldeinformationen der Domäne mit der Berechtigung, einen Computer zum Computerkonto hinzuzufügen.
Lernzielkontrolle und Hauptlernziele der Unterrichtseinheit 3: Verwalten von Active Directory-Domänendienstobjekten Best Practices Tools Frage(n) zur Lernzielkontrolle Verweisen Sie die Kursteilnehmer auf den entsprechenden Abschnitt im Kurs, sodass sie die in diesem Abschnitt gestellten Fragen beantworten können. Frage Ihre Firma verfügt über Filialen in mehreren Städten und jede Filiale verfügt über eine lokale Domäne, die Teil der Gesamtstruktur des Unternehmens ist. Jede Filiale verfügt auch über ihre eigenen Drucker, die mithilfe von lokalen Gruppen der Domäne aus ihren lokalen Domänen verwaltet werden. Das Vertriebspersonal der Firma ist häufig zwischen den Standorten unterwegs. Wie können Sie für Verbriebspersonen Zugriff auf verschiedene Drucker bereitstellen, während Sie zwischen Standorten unterwegs sind? Antwort Sie können eine Gruppe mit lokalem Domänenbereich erstellen und die Berechtigung für den Zugriff auf den Drucker zuweisen. Fügen Sie die Mitglieder des Vertriebsteams zu einer Gruppe mit globalem Bereich hinzu, und fügen Sie diese Gruppe dann zur Gruppe mit lokalem Bereich der Domäne hinzu. Wenn Sie den Vertriebsmitarbeitern Zugriff auf einen neuen Drucker ermöglichen möchten, erteilen Sie der Gruppe mit lokalem Bereich der Domäne die Berechtigung für den Zugriff auf den neuen Drucker. Alle Mitglieder der Gruppe mit globalem Bereich erhalten automatisch Zugriff auf den neuen Drucker. Sie sind für die Verwaltung von Konten und den Zugriff auf Ressourcen für die Mitglieder Ihrer Gruppe verantwortlich. Ein Benutzer in Ihrer Gruppe wechselt in eine andere Abteilung des Unternehmens. Wie müssen Sie mit dem Konto des Benutzers verfahren? In Ihrem Unternehmen gibt es zwar möglicherweise einen Mitarbeiter der Personalabteilung mit AD DS-Berechtigungen zum Verschieben von Benutzerkonten, die beste Lösung besteht jedoch darin, das Benutzerkonto in die entsprechende Organisationseinheit der neuen Abteilung zu verschieben. Auf diese Weise werden die der neuen Abteilung zugeordneten Gruppenrichtlinien erzwungen. Ist das Zuweisen der richtigen Gruppenrichtlinien von Bedeutung, sollte das Benutzerkonto deaktiviert werden, bis ein Benutzer mit den entsprechenden Sicherheitsberechtigungen dieses in die neue Organisationseinheit verschieben kann. (Weitere Hinweise auf der folgenden Folie)