Windows Server 2003 - Active Directory-Einrichtung
(Gastbeitrag von Eric Tierling)
Veröffentlicht: 28. Jan 2004
Von Eric Tierling
Dieser Artikel, ein Auszug aus dem Buch "Windows Server 2003 - Einrichtung, Verwaltung, Referenz" von Eric Tierling, beschreibt die erweiterte Konfiguration des Active Directory. Konkret erfahren Sie dabei, wie Sie Active Directory-Kontingente erstellen, einzelne Domänencontroller umbenennen und Standard-Container für neue Benutzer- und Computer-Objekte einer Domäne festlegen.
Eric Tierling ist vielen Administratoren und IT-Professionals als Experte für die Server- und Client-Betriebssysteme von Microsoft bekannt. Weitere Infos zu dem Buch und das ganze Inhaltsverzeichnis finden Sie auf der Website des Autors.
|
Auf dieser Seite |
Links zu verwandten Themen |
|---|---|
|
| |
|
Download Artikel im Word-Format Microsoft Word-Datei | |
|
Artikel im PDF-Format PDF-Datei |
.png "Dn308926.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png")
18.9 Erweiterte Konfiguration
.png "Dn308926.8806D110EB18CD71B1CE323B89624167(de-de,TechNet.10).png")
.png "Dn308926.8B3D04996314173E7583D7C6B55A6BAC(de-de,TechNet.10).png")
18.9 Erweiterte Konfiguration
.png "Dn308926.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png")
Zum Seitenanfang
18.9.1 Active Directory-Kontingente
Das Active Directory von Windows Server 2003 erlaubt die Verwendung von Active Directory-Kontingenten, die eher unter ihrer englischen Bezeichnung Active Directory-Quotas bekannt sind. Analog zu Datenträgerkontingenten im NTFS-Dateisystem lässt sich hierüber detailliert festlegen, für wie viele Objekte in einer Active Directory-Domäne ein Sicherheitsprincipal als Besitzer auftreten darf.
Hinweis
Die Nutzung dieser Funktion setzt keine bestimmte Domänen- oder Gesamtstrukturfunktionsebene, sondern lediglich Windows Server 2003-basierte Domänencontroller voraus.
Auf diese Weise ist es zum Beispiel möglich, dass ein Administrator einem Benutzer einer bestimmten Organisationseinheit die Berechtigung delegiert, eigenverantwortlich Benutzer in dieser OU zu erstellen - verbunden mit einem Limit auf maximal 350 erstellbare Objekte. Da Windows Server 2003-basierte Domänencontroller (nicht aber Windows 2000 Server-basierte Domänencontroller) der Domäne dieses Kontingent überwachen, ist es ausgeschlossen, dass der betreffende Benutzer eine über dieses Limit hinausgehende Anzahl von Benutzer-Objekten erstellen kann.
Tipp
Active Directory-Kontingente erweisen sich nicht zuletzt auch im Hinblick auf die Sicherheit der IT-Umgebung als hilfreich. Mit ihrer Hilfe werden Active Directory-Attacken, die durch die massenhafte Erstellung neuer Objekte auf einen Denial of Service (DoS) und somit auf die Situation abzielen, dass das Active Directory nicht mehr zur Verfügung steht, wirksam unterbunden.
Active Directory-Kontingente lassen sich an Sicherheitsprincipals und damit nicht nur an Objekte der Klassen Benutzer und inetOrgPerson, sondern auch an (Sicherheits-) Gruppen- und Computer-Objekte vergeben. Dabei gilt:
- Standardmäßig existieren für die Benutzer-, inetOrgPerson- und Gruppen-Objekte einer Domäne keine Active Directory-Kontingente.
- Wird eine Gruppe mit einem Active Directory-Kontingent belegt, sind davon alle ihr als Mitglieder angehörenden Objekte betroffen.
- Sicherheitsprincipals, die nicht über die Berechtigung »Computer erstellen« für einen bestimmten Container einer Active Directory-Domäne verfügen, können dort maximal zehn Computer-Objekte erstellen.
Hinweis
Diese Vorgabe ist im Attribut ms-DS-MachineAccountQuota des Domänen-Namenskontexts hinterlegt und kann beispielsweise mit dem MMC-Snap-In ADSI Edit geändert werden.
Zur Bearbeitung von Active Directory-Kontingenten ist bei Windows Server 2003 kein grafisches Programm vorgesehen. Vielmehr muss die Erstellung, Modifizierung und Aufhebung von Active Directory-Kontingenten für Sicherheitsprincipals mit den Befehlen DSADD und DSMOD - jeweils unter Verwendung der Option QUOTA - erfolgen. Domänen-weite Active Directory-Kontingente für den Domänen-Namenskontext lassen sich über den Befehl DSMOD unter Verwendung der Option PARTITION bearbeiten. Analog dazu dienen die Befehle DSGET und DSQUERY - bei Angabe der Optionen QUOTA oder PARTITION - dazu, Informationen über die existierenden Active Directory-Kontingente von Sicherheitsprincipals und der Domänen-Partition in Erfahrung zu bringen.
Lassen Sie uns dies an einem kleinen Beispiel verdeutlichen: Angenommen, der in der Organisationseinheit »Vertrieb« der Domäne »corp.ticg.de« (NetBIOS-Name TICG) befindliche Benutzer Thomas Wagner (Benutzername »twagner«) soll zwar in der Lage sein, eigene Benutzer-Objekte zu erstellen, doch nicht für mehr als 350 Objekte als Besitzer auftreten können. Um dies umzusetzen, geben Sie als Administrator der Domäne
DSADD QUOTA -PART DC=CORP,DC=TICG,DC=DE -ACCT TICG\twagner -qlimit 350 (Enter)
in einer Eingabeaufforderung ein. Daraufhin wird ein entsprechendes Active Directory-Kontingent erstellt - erkennbar an dem zugehörigen Objekt, das sich nun im Container NTDS Quotas der Domäne befindet und standardmäßig die Bezeichnung TICG_Benutzername trägt. Der Inhalt dieses Containers einer Active Directory-Domäne lässt sich beispielsweise mit dem MMC-Snap-In Active Directory-Benutzer und -Computer (nach Aktivierung von Erweiterte Funktionen aus dem Menü Ansicht) in Erfahrung bringen.
Hinweis
Ein Active Directory-Kontingent von »-1« entspricht einem unlimitierten Kontingent.
Gezielte Informationen über das jeweilige Active Directory-Kontingent bzw. das dafür im Container NTDS Quotas der Domäne erstellte Objekt lassen sich jederzeit mit dem Befehl DSGET QUOTA in Erfahrung bringen, in Bezug auf unser Beispiel also durch Eingabe von
DSGET QUOTA 'CN=TICG_twagner,CN=NTDS Quotas,DC=CORP,DC=TICG,DC=DE' -ACCT -QLIMIT (Enter)
Um alle existierenden Active Directory-Kontingente in der aktuellen Domäne einzusehen, können Sie
DSQUERY QUOTA (Enter)
eingeben. Und nach Eingabe von
DSGET PARTITION DC=CORP,DC=TICG,DC=DE -TOBOBJOWNER 0 (Enter)
erhalten Sie gezielte Informationen darüber, welche in der Domäne vorhandenen Eigentümer die meisten Objekte besitzen.
.png "Dn308926.BB9CE85B18BDA6A94D9F016E7E10DF88(de-de,TechNet.10).png")
Abbildung 18.64: Erstellung von Active Directory-Kontingenten
In die Berechnung der Anzahl der im Besitz befindlichen Active Directory-Objekte werden nicht nur die in der Domäne existierenden, sondern auch gelöschte Objekte mit Tombstone-Status (siehe Kapitel 16.4.4) mit einbezogen - also solche Objekte, die vor weniger als den über die Tombstone-Lifetime festgelegten Anzahl von Tagen (standardmäßig 60 Tage) gelöscht und daher noch nicht aus dem Active Directory entfernt worden sind. In welchem Verhältnis diese zwar gelöschten, aber noch nicht aus dem Active Directory entfernten Objekte mit Tombstone-Status für die Berechnung der Anzahl der einem Eigentümer gehörenden Objekte zu berücksichtigen sind, lässt sich frei definieren. Auf diese Weise ist es möglich, ein Active Directory-Kontingent exakt auf die jeweiligen Anforderungen abzustimmen, selbst wenn der Eigentümer viele der von ihm erstellten Objekte nach kurzer Zeit schon wieder löscht.
Eine solche Vorgabe - und zwar für die gesamte Active Directory-Partition - lässt sich mit dem Befehl DSMOD PARTITION -QTMBSTNWT Prozent treffen. Prozent drückt dabei aus, zu wie viel Prozent gelöschte Objekte mit Tombstone-Status in die Berechnung der Anzahl der Objekte eines Eigentümers einfließt. Ein Wert von 25 Prozent beispielsweise drückt aus, dass ein Objekt mit Tombstone-Status nur zu einem Viertel bei der Berechnung der Objekte eines Eigentümers zählt. Besteht für den betreffenden Benutzer ein Active Directory-Kontingent von 200, kann er also wahlweise bis zu 200 (existierende) Objekte oder bis zu 800 Objekte mit Tombstone-Status besitzen - oder eine entsprechende Kombination daraus.
Hinweis
Standardmäßig geht das Active Directory von DSMOD PARTITION -QTMBSTNWT 100 aus, sodass ein gelöschtes Objekt mit Tombstone-Status genauso viel »zählt« wie ein existierendes, nicht gelöschtes Active Directory-Objekt.
Zum Seitenanfang
18.9.2 Umbenennung eines Domänencontrollers (Domain Controller Rename)
Wer mit dem Active Directory von Windows 2000 arbeitet, weiß, dass sich hier ein Domänencontroller nicht umbenennen lässt. Die einzige Möglichkeit, beim Active Directory von Windows 2000 einen Domänencontroller mit einem anderen DNS- oder NetBIOS-Namen zu versehen, besteht darin, den Domänencontroller zunächst herabzustufen, ihn dann umzubenennen und anschließend wieder zum Domänencontroller heraufzustufen.
Das Active Directory von Windows Server 2003 dagegen gestattet die Umbenennung eines Domänencontrollers, ohne dass dieser dazu seine Domänencontroller-Funktion aufgibt. Voraussetzung dazu ist jedoch, dass sich die Active Directory-Domäne mindestens in der Domänenfunktionsebene »Windows Server 2003« befindet - alle Domänencontroller dieser Domäne also mit Windows Server 2003 zu Werke gehen und eine Heraufstufung der Domäne auf mindestens diese Domänenfunktionsebene stattgefunden hat (siehe Abschnitt 18.8.1).
Wichtig
Einige Dienste und Anwendungen - wie zum Beispiel die Zertifikatdienste von Windows Server 2003 - verwenden direkt den Namen des Computers - wie zum Beispiel die Zertifikatdienste, die bei ihrer Installation ausdrücklich darauf hinweisen, dass der Computer nach ihrer Installation nicht umbenannt werden sollte.
.png "Dn308926.777E5526F4BE2CF8728937E34112A74E(de-de,TechNet.10).png")
Abbildung 18.65: Umbenennung eines Domänencontrollers über das Dialogfeld Systemeigenschaften
Prinzipiell sieht Windows Server 2003 zur Umbenennung eines Domänencontrollers zwei unterschiedliche Verfahren vor. Der erste Weg führt über das Dialogfeld Systemeigenschaften, das nach Öffnen des Applets System oder Drücken der Tastenkombination (Windows)+(Untbr) erscheint. Begeben Sie sich dort auf die Registerkarte Computername, können Sie die - bei einem Windows 2000 Server-basierten Domänencontroller unzugängliche - Schaltfläche Ändern anklicken und die anschließende Meldung, dass hierüber keine Verschiebung in eine andere Domäne möglich ist, mit OK bestätigen, um im darauf folgenden Dialogfeld den Namen des Computers zu ändern.
Hinweis
Die Umbenennung eines Domänencontrollers ist nur einem Benutzer möglich, der der Gruppe »Domänen-Admins« der betreffenden Active Directory-Domäne oder der Gruppe »Organisations-Admins« der zugehörigen Active Directory-Gesamtstruktur angehört.
Allerdings gibt Microsoft an, dass bei Verwendung dieses Verfahrens eine Replikationslatenz im Hinblick auf die Aktualisierung des Computernamens bei Active Directory und DNS auftreten kann - sodass Clients für eine gewisse Zeit eventuell Schwierigkeiten haben, den Domänencontroller unter seinem neuen Namen zu lokalisieren.
Stattdessen empfiehlt Microsoft, zur Umbenennung eines Domänencontrollers auf den Befehl NETDOM zurückzugreifen, der zu den Support-Tools von Windows Server 2003 gehört (diese lassen sich durch Aufruf von SUPTOOLS.MSI aus dem Ordner support\tools der Windows Server 2003-CD-ROM auf dem Domänencontroller installieren).
.png "Dn308926.CC0805184D4FCB2C2612D1843E07504D(de-de,TechNet.10).png")
Abbildung 18.66: Umbenennung eines Domänencontrollers mit dem in den Support-Tools von Windows Server 2003 enthaltenen Befehl NETDOM
Angenommen, Sie möchten den in der Domäne »is-ik.de« befindlichen Domänencontroller »TICG-MS031« in »SERVER31« umbenennen, dann gehen Sie wie folgt vor:
- Begeben Sie sich zu dem Domänencontroller, den Sie umbenennen möchten. Dort melden Sie sich als ein Domänen-Benutzer an, der entweder der Gruppe »Domänen-Admins« der betreffenden Active Directory-Domäne oder aber der Gruppe »Organisations-Admins« der zugehörigen Active Directory-Gesamtstruktur als Mitglied angehört.
- Öffnen Sie eine Eingabeaufforderung, um dort (entsprechend der Syntax NETDOM COMPUTERNAME Bisheriger NetBIOS-Name /ADD:Neuer DNS-Name)
NETDOM COMPUTERNAME TICG-MS031 /ADD:SERVER31.IS-IK.DE (Enter)
einzugeben und so einen alternativen Namen für den Domänencontroller zu bestimmen. Durch Eingabe von
NETDOM COMPUTERNAME TICG-MS031 /ENUMERATE (Enter)
können Sie direkt verifizieren, dass der Domänencontroller nun einen primären (den bisherigen) und einen alternativen Computernamen (den neuen) trägt.
Tipp
Achten Sie darauf, dass NETDOM direkt hinter der Option COMPUTERNAME einen NetBIOS-Namen erwartet, der zweite Namensparameter jedoch als DNS-Name zu spezifizieren ist.
- Als Nächstes weisen Sie NETDOM mit
NETDOM COMPUTERNAME TICG-MS031 /MAKEPRIMARY:SERVER31.IS-IK.DE (Enter)
an, künftig den neuen Namen als primären Computernamen zu verwenden.
- Starten Sie den Server-Rechner neu und melden sich nach dem Hochfahren von Windows Server 2003 wieder als derselbe Benutzer wie zuvor an.
- Ihre letzte Aufgabe besteht nun darin, den früheren Computernamen mit NETDOM zu entfernen. Dazu öffnen Sie eine Eingabeaufforderung, um in dieser
NETDOM COMPUTERNAME SERVER31 /REMOVE:TICG-MS031.IS-IK.DE (Enter)
einzugeben. Von nun an sollte der Domänencontroller nur noch unter seinem neuen Namen bekannt sein.
.png "Dn308926.FBDE2933DCFA22777D9E1E35839A56E0(de-de,TechNet.10).png")
Abbildung 18.67: Nach dem Neustart ist der frühere Name endgültig zu entfernen
Falls erforderlich, müssen Sie nun alle Verweise auf den Domänencontroller anpassen, die seinen alten Namen enthalten - etwa, was Freigaben betrifft (sofern nicht DFS zum Einsatz kommt, siehe Kapitel 31.7). Des Weiteren empfiehlt es sich, die zugehörige Zone beim DNS-Server zu prüfen: Existiert doch noch ein »A«-Ressourceneintrag für den alten Computernamen, löschen Sie diesen. Prüfen Sie auch, wie es um den Delegierungseintrag für die in der Anwendungsverzeichnispartition ForestDnsZones enthaltenen Zone _msdcs bestellt ist (diese erlaubt eine leichte Lokalisierung von wichtigen Active Directory-Diensten in der Gesamtstruktur und wird automatisch durch Auswahl der vom Serverkonfigurations-Assistenten offerierten Option Standardkonfiguration für einen ersten Server erstellt): Findet sich hier noch ein Verweis auf den alten Namen des Domänencontrollers, sollten Sie diesen Eintrag manuell anpassen.
Zum Seitenanfang
18.9.3 Standard-Container für neue Benutzer- und Computer-Objekte einer Domäne individuell festlegen
Für die einer Active Directory-Domäne neu hinzugefügten Computer werden automatisch entsprechende Objekte im vordefinierten Container Computers erstellt, sofern es sich dabei nicht um Domänencontroller handelt (diese finden ihre Heimat standardmäßig in der Organisationseinheit Domain Controllers). Analog verhält es sich mit neu der Active Directory-Domäne hinzugefügten Benutzern (sofern diese nicht in einem bestimmten Container etwa mit dem MMC-Snap-In Active Directory-Benutzer und -Computer kreiert werden), deren Benutzer-Objekte standardmäßig im vordefinierten Container Users platziert werden. Die beiden in jeder Active Directory-Domäne vorhandenen Container Computers und Users entsprechen somit dem Standard-Container für neue Computer- bzw. Benutzer-Objekte.
Da sich im Container Users jedoch eine Reihe vordefinierter Benutzer (etwa der Benutzer »Administrator«) sowie vordefinierter Sicherheits-Gruppen befinden, ist es allein aus Gründen der besseren Übersichtlichkeit wünschenswert, einen anderen Container als Standard-Container für neue Benutzer-Objekte festzulegen. Neben der Übersichtlichkeit gibt es jedoch noch einen anderen wichtigen Grund, der diesen Wunsch vieler Administratoren nährt: Sowohl bei dem vordefinierten Container Computers als auch dem vordefinierten Container Users handelt es sich um Container, die über den Attribut-Typ CN anzusprechen sind - was sich zum Beispiel mit dem MMC-Snap-In Active Directory-Benutzer und -Computer oder dem MMC-Snap-In ADSI Edit gut erkennen lässt.
Doch genau hierin liegt das Problem: Die zur zentralen Administration von Computern und Benutzern dienenden Gruppenrichtlinien-Objekte lassen sich nicht mit Containern einer Active Directory-Domäne verknüpfen, die über den Attribut-Typ CN referenziert werden. Somit ist es nicht möglich, den zur Domäne neu hinzukommenden Computern und Benutzern gleich von vorneherein individuelle Gruppenrichtlinien-Einstellungen zukommen zu lassen. Dies ist nur dann möglich, wenn sich die Computer- bzw. Benutzer-Objekte in einer Organisationseinheit befinden - also einem Container, der das Namensattribut OU aufweist (wie es etwa bei der Organisationseinheit Domain Controllers der Fall ist). Beim Active Directory von Windows 2000 gibt es dafür nur eine Lösung: Neu zur Domäne hinzukommende Computer und Benutzer müssen aus den Containern Computers bzw. Users erst in eine geeignete OU verschoben werden.
Das Active Directory von Windows Server 2003 erweist sich hier als deutlich cleverer: Befindet sich eine Active Directory-Domäne mindestens in der Domänenfunktionsebene »Windows Server 2003«, kann ein Administrator der Domäne Standard-Container für neue Computer- und Benutzer-Objekte individuell festlegen - und so gleich geeignete Organisationseinheiten bestimmen, in denen neu zur Domäne hinzukommende Computer- bzw. Benutzer-Objekte platziert werden. Sind diese OUs mit Gruppenrichtlinien-Objekten verknüpft, werden neuen Computern bzw. Benutzern automatisch die darin enthaltenen Gruppenrichtlinien-Einstellungen zuteil. Eine Verschiebung aus dem Container Computers bzw. Users ist dazu nicht mehr erforderlich.
.png "Dn308926.F066E071405BE55DD4CCC707B4ACAED8(de-de,TechNet.10).png")
Abbildung 18.68: Über die Befehle REDIRCMP und REDIRUSR kann ein Administrator anstatt Computers und Users andere Container als Standard-Container für neue Computer- bzw. Benutzer-Objekte festlegen
Die Vorgabe eines anderen Standard-Containers durch einen Administrator der betreffenden Active Directory-Domäne gestaltet sich überaus einfach:
- Mit dem Befehl REDIRCMP lässt sich ein anderer Container als Computers als Standard-Container für neue Computer-Objekte in der Domäne festlegen.
- Über den Befehl REDIRUSR erfolgt die Vorgabe eines anderen Containers als Users als Standard-Container für neue Benutzer-Objekte in der Domäne.
Hinweis
Beide Standard-Container sind unabhängig voneinander und lassen sich wahlweise getrennt oder gleichzeitig verändern.
|
|
Eric Tierling, Windows Server 2003 - Einrichtung, Verwaltung, Referenz |
.png "Dn308926.E57769FD57374CA06A01BBFD6793EC05(de-de,TechNet.10).png")
Zum Seitenanfang