Active Directory Glossar – Begriffe und grundlegende Konzepte

In diesem Beitrag werde ich die am häufigsten verwendete Terminologie in Active Directory und verwandten Technologien auflisten und erklären.

Wenn Sie neu in Active Directory sind, ist dies eine großartige Ressource, um sich mit den Grundlagen und grundlegenden Konzepten von Active Directory vertraut zu machen.

Ich habe Begriffe in verschiedenen Abschnitten zusammengefasst, um das Verständnis und die Referenzierung zu erleichtern. Einige Themen können sehr technisch sein, ich habe kurze und leicht verständliche Terminologie zur Verfügung gestellt. Ich stelle dann am Ende jedes Abschnitts zusätzliche Ressourcen zur Verfügung, wenn Sie mehr erfahren möchten.

Inhaltsverzeichnis:

  • Active Directory–Grundlagen – Hier starten
  • Active Directory-Dienste
  • Active Directory DNS
  • Active Directory-Replikation
  • Active Directory-Sicherheit (Authentifizierung, Sicherheitsprotokolle, Berechtigungen)
  • Active Directory-Verwaltungskonsolen
  • DHCP
  • Gruppenrichtlinien

Active Directory-Grundlagen

Dies sind grundlegende Begriffe, mit denen Sie vertraut sein sollten, wenn Sie umgang mit Active Directory.

Active Directory

Active Directory ist ein Verzeichnisdienst, der die Verwaltung von Benutzern, Computern und anderen Objekten innerhalb eines Netzwerks zentralisiert. Seine Hauptfunktion besteht darin, Benutzer und Computer in einer Windows-Domäne zu authentifizieren und zu autorisieren. Wenn sich ein Benutzer beispielsweise bei einem Computer in der Domäne anmeldet, überprüft er den Benutzernamen und das Kennwort, die zur Überprüfung des Kontos übermittelt wurden. Wenn es sich um einen gültigen Benutzernamen und ein gültiges Kennwort handelt, wird der Benutzer authentifiziert und am Computer angemeldet.

Lassen Sie sich nicht mit den folgenden drei Begriffen verwechseln, die sich alle auf Active Directory beziehen.

  • AD – Dies ist nur eine Abkürzung für Active Directory
  • AD DS – Dies ist ein Server, auf dem die Active Directory–Domänendienstrolle ausgeführt wird
  • Domänencontroller – Dies ist auch ein Server, auf dem die Active Directory-Domänendienstrolle ausgeführt wird. Aus Failover-Gründen wird empfohlen, mehrere Domänencontroller zu verwenden.

Active Directory-Webdienste (ADWS)

Dieser Dienst wurde in Windows Server 2008 R2 eingeführt. Es wird automatisch mit der ADDS- oder ADLDS-Rolle installiert und für die automatische Ausführung konfiguriert. Dieser Dienst bietet die Remoteverwaltung aller lokalen Verzeichnisdienste.

Domäne

Die Domäne ist eine logische Struktur von Containern und Objekten innerhalb von Active Directory. Eine Domäne enthält die folgenden Komponenten:

  • Eine hierarchische Struktur für Benutzer, Gruppen, Computer und andere Objekte
  • Sicherheitsdienste zur Authentifizierung und Autorisierung von Ressourcen in der Domäne und anderen Domänen
  • Richtlinien, die auf Benutzer und Computer angewendet werden
  • Ein DNS-Name zur Identifizierung der Domäne. Wenn Sie sich bei einem Computer anmelden, der Teil einer Domäne ist, melden Sie sich beim DNS-Domänennamen an. Meine DNS-Domain ist ad.activedirectorypro.com , so wird meine Domain identifiziert.

Domänenbaum

Wenn Sie einer übergeordneten Domäne eine untergeordnete Domäne hinzufügen, erstellen Sie einen sogenannten Domänenbaum. Ein Domänenbaum ist nur eine Reihe von Domänen, die hierarchisch miteinander verbunden sind und alle denselben DNS-Namespace verwenden. Wenn activedirectorypro.com war eine Domain namens Training hinzuzufügen, oder Videos würde es benannt werden training.activedirectorypro.com und videos.activedirectorypro.com. Diese Domänen sind Teil desselben Domänenbaums, und es wird automatisch eine Vertrauensstellung zwischen der übergeordneten und der untergeordneten Domäne erstellt.

Funktionsebenen

Funktionsebenen bestimmen, welche Funktionen in der Domäne verfügbar sind. Höhere Funktionsebenen ermöglichen es Ihnen, die neuesten und besten Technologien in Ihrer Active Directory-Domäne zu verwenden. Verwenden Sie nach Möglichkeit die höchsten Funktionsebenen für Ihre Domänencontroller.

Gesamtstruktur

Eine Gesamtstruktur ist eine Sammlung von Domänenbäumen. Die Domänenstruktur teilt sich ein gemeinsames Schema und einen gemeinsamen Konfigurationscontainer. Der Domänenbaum ist durch eine transitive Vertrauensstellung miteinander verbunden. Wenn Sie Active Directory zum ersten Mal installieren und eine Domäne erstellen, erstellen Sie auch eine Gesamtstruktur.

FQDN – Vollqualifizierter Domänenname

Vollqualifizierter Domänenname ist der Hostname + die Domäne, zum Beispiel ist meine Domäne ad.activedirectorypro.com , ein Computer in der Domäne mit Hostname PC1, so dass der FQDN wäre pc1.ad.activedirectorypro.com

FSMO

Ein Domänencontroller verfügt über mehrere Funktionen, die als FSMO-Rollen bezeichnet werden. Diese Rollen sind alle auf dem ersten Domänencontroller in einer neuen Gesamtstruktur installiert.

  • Schema Master – Der Schema Master ist eine gesamtstrukturweite Rolle, die alle Änderungen am Active Directory-Schema übernimmt.
  • Domain Naming Master – Dies ist eine waldweite Rolle, die der Master von Domainnamen ist. Es behandelt den Namespace und das Hinzufügen und Entfernen von Domänennamen.
  • PDC Emulator – Diese Rolle übernimmt Passwortänderungen, Benutzersperrungen, Gruppenrichtlinien und ist der Zeitserver für die Clients.
  • RID–Master – Diese Rolle ist für die Verarbeitung von RID-Poolanforderungen von allen DCs innerhalb der Domäne verantwortlich. Wenn Objekte wie Benutzer und Computer erstellt werden, erhalten sie eine eindeutige SID und eine relative ID (RID). Die RID-Masterrolle stellt sicher, dass Objekten nicht dieselben SID und RIDs zugewiesen werden.
  • Infrastructure Master – Dies ist eine domänenweite Rolle, die verwendet wird, um Objekte in anderen Domänen zu referenzieren. Wenn Benutzer aus Domäne A Mitglieder einer Sicherheitsgruppe in Domäne B sind, wird die Infrastrukturmasterrolle verwendet, um auf die Konten in der richtigen Domäne zu verweisen.

Objekte

Wenn Sie mit Active Directory arbeiten, arbeiten Sie hauptsächlich mit Objekten. Objekte werden als eine Gruppe von Attributen definiert, die eine Ressource in der Domäne darstellen. Diesen Objekten wird eine eindeutige Sicherheits-ID (SID) zugewiesen, die verwendet wird, um dem Objekt den Zugriff auf Ressourcen in der Domäne zu gewähren oder zu verweigern. Die in einer neuen Domäne in Active Directory erstellten Standardobjekttypen sind:

  • Organisationseinheit (OU) – Eine OU ist ein Containerobjekt, das verschiedene Objekte aus derselben Domäne enthalten kann. Sie verwenden Organisationseinheiten zum Speichern und Organisieren von Benutzerkonten, Kontakten, Computern und Gruppen. Sie verknüpfen auch Gruppenrichtlinienobjekte mit einer Organisationseinheit.
  • Benutzer – Benutzerkonten werden in erster Linie Benutzern zugewiesen, um Zugriff auf Domänenressourcen zu erhalten. Sie können auch zum Ausführen von Programmen oder Systemdiensten verwendet werden.
  • Computer – Dies ist einfach ein Computer, der der Domäne beigetreten ist.
  • Gruppen – Es gibt zwei Arten von Objekten, eine Sicherheitsgruppe und eine Verteilergruppe. Eine Sicherheitsgruppe ist eine Gruppierung von Benutzerkonten, die verwendet werden können, um Zugriff auf Ressourcen bereitzustellen. Verteilergruppen werden für E-Mail-Verteilerlisten verwendet.
  • Kontakte – Ein Kontakt wird für E-Mail-Zwecke verwendet. Sie können sich nicht als Kontakt an der Domäne anmelden und sie kann nicht zum Sichern von Berechtigungen verwendet werden.
  • Freigegebener Ordner – Wenn Sie einen freigegebenen Ordner in Active Directory veröffentlichen, wird ein Objekt erstellt. Das Veröffentlichen freigegebener Ordner in AD erleichtert Benutzern das Auffinden freigegebener Dateien und Ordner in der Domäne.
  • Drucker freigeben – Genau wie freigegebene Ordner können Sie Drucker in Active Directory veröffentlichen. Dies erleichtert es Benutzern auch, Drucker in der Domäne zu finden und zu verwenden.

LDAP (Lightweight Directory Access Protocol)

LDAP ist ein offenes Plattform-Protokoll für den Zugriff auf Verzeichnisdienste. LDAP stellt den Kommunikationsmechanismus für Anwendungen und andere Systeme zur Interaktion mit Verzeichnisservern bereit. In einfachen Worten ist LDAP eine Möglichkeit, sich mit Active Directory zu verbinden und zu kommunizieren.

Global Catalog (GC)

Der Global Catalog Server enthält ein vollständiges Replikat aller Objekte und wird für die gesamtstrukturweite Suche verwendet. Standardmäßig wird der erste Domänencontroller in einer Domäne als GC-Server bezeichnet, es wird empfohlen, mindestens einen GC-Server für jeden Standort zu haben, um die Leistung zu verbessern.

Jet Database Engine

Die Active Directory-Datenbank basiert auf Microsofts Jet Blue Engine und nutzt die Extensible Storage Engine (ESE), um mit den Daten zu arbeiten. Die Datenbank ist eine einzelne Datei namens ntds.dit, standardmäßig wird es im Ordner% SYSTEMROOT% \ NTDS und jedem Domänencontroller gespeichert.

Papierkorb

Mit dem Active Directory-Papierkorb können Administratoren gelöschte Elemente problemlos wiederherstellen. So aktivieren Sie den Papierkorb Schritt für Schritt Anleitung.

Schreibgeschützter Domänencontroller (RODC)

RODC-Server enthalten eine schreibgeschützte Kopie der Active Directory-Datenbank und erlauben keine Änderungen an AD. Sein Hauptzweck ist für Niederlassungen und Standorte mit schlechter physischer Sicherheit.

Schema

Das Active Directory-Schema definiert jede Objektklasse, die in einer Active Directory-Gesamtstruktur erstellt und verwendet werden kann. Es definiert auch jedes Attribut, das in einem Objekt vorhanden sein kann. Mit anderen Worten, es ist eine Blaupause dafür, wie Daten in Active Directory gespeichert werden können. Ein Benutzerkonto ist beispielsweise eine Instanz der Benutzerklasse und verwendet Attribute, um Informationen zu diesem Objekt zu speichern und bereitzustellen. Ein Computerkonto ist eine weitere Instanz einer Klasse, die ebenfalls durch ihre Attribute definiert ist.

Es gibt viele Klassen und Attribute, es sei denn, Sie programmieren oder beheben ein fortgeschrittenes Problem, es ist nicht notwendig, alles über das Schema zu wissen.

SYSVOL

Das sysvol ist ein sehr wichtiger Ordner, der auf jedem Domänencontroller freigegeben wird. Der Standardspeicherort ist %SYSTEMROOT%\SYSVOL\sysvol und besteht aus folgendem:

  • Gruppenrichtlinienobjekte
  • Ordner
  • Skripte
  • Knotenpunkte

Tombstone

Tombstone ist ein gelöschtes Objekt aus AD, das nicht aus der Datenbank entfernt wurde. Während dieser Zeit kann das Objekt wiederhergestellt werden.

Objektnamenattribute

Im Folgenden sind einige wichtige Attribute aufgeführt, mit denen Sie bei der Arbeit mit Active Directory vertraut sein sollten.

  • userPrincipalName (UPN) – Dies ist ein gebräuchlicher Anmeldename im Format einer E-Mail-Adresse. Ein UPN sieht so aus, [email protected] , ein UPN kann verwendet werden, um sich in eine Windows-Domäne einzuloggen.
  • objectGUID – Dieses Attribut wird verwendet, um ein Benutzerkonto eindeutig zu identifizieren. Selbst wenn das Konto umbenannt oder verschoben wird, ändert sich die objectGUID nie.
  • sAMAccountName – Dieses Attribut wird für Kontoanmeldungen an eine Domäne verwendet. Es war das primäre Mittel, um eine Domäne für ältere Windows-Versionen anmelden, kann es immer noch auf modernen Versionen von Windows verwendet werden.
  • objectSid – Dieses Attribut ist die Sicherheits-ID (SID) des Benutzers. Die SID wird vom Server verwendet, um einen Benutzer und seine Gruppenmitgliedschaft zu identifizieren und Benutzern den Zugriff auf Domänenressourcen zu autorisieren.
  • sIDHistory – Dieses Attribut enthält vorherige SIDs für das Benutzerobjekt. Dies ist nur erforderlich, wenn ein Benutzer zu einer anderen Domäne gewechselt ist.
  • Relativer Distinguished Name (RDN) – Der RDN ist die erste Komponente des definierten Namens. Es ist der Name des Objekts in Active Directory relativ zu seiner Position in der hierarchischen Struktur von AD
  • Distinguished Name (DN) – Das DN-Attribut sucht Objekte im Verzeichnis. Dieses Attribut wird häufig von Diensten und Anwendungen zum Suchen von Objekten in Active Directory verwendet. ein DN besteht aus den folgenden Komponenten:
    • CN – common name
    • OU – Organisationseinheit
    • DC – Domänenkomponente

Gruppen

Gruppen werden verwendet, um Benutzerkonten, Computer- und Kontaktobjekte in Verwaltungseinheiten zu sammeln. Durch das Erstellen von Gruppen können Sie die Berechtigungen für Ressourcen einfacher steuern und Ressourcen wie Drucker und Ordner zuweisen. Es gibt zwei Arten von Gruppen

  • Verteilung – Verteilergruppen werden von E-Mail-Anwendungen verwendet, um problemlos eine E-Mail an eine Gruppe von Benutzern zu senden.
  • Sicherheit – Sicherheitsgruppen sind eine Gruppe von Konten, die zum einfachen Zuweisen zu einer Ressource oder zum Beantragen von Berechtigungen verwendet werden können. Wenn ich beispielsweise einen Ordner für die Personalabteilung sperren möchte, kann ich einfach alle Mitarbeiter in eine Sicherheitsgruppe einfügen und die Gruppe anstelle jedes einzelnen Kontos auf den Ordner anwenden.

Gruppenbereich

Der Gruppenbereich gibt an, ob die Gruppe in der Domäne oder Gesamtstruktur angewendet werden kann. Hier sind die drei Gruppenbereiche:

  • Universal – Kann Objekte aus anderen universellen Gruppen und jeder Domäne in der Struktur oder Gesamtstruktur enthalten.
  • Global – Kann Objekte aus der Domäne enthalten und in jeder Domänenstruktur oder Gesamtstruktur verwendet werden.
  • Domain Local – Kann Objekte aus jeder Domäne enthalten, kann aber nur auf die Domäne angewendet werden, in der sie erstellt wurde.

Ressourcen:

Verständnis von Tombstones, Active Directory und wie man es schützt

Active Directory-Schema

Gesamtstruktur- und Domänenfunktionsebenen

Active Directory: Konzepte Teil 1

Active Directory-Dienste

Active Directory umfasst mehrere andere Dienste, die unter die Active Directory-Domänendienste fallen. Zu diesen Diensten gehören:

Active Directory Certificate Services (AD CS)

Dies ist eine Serverrolle, mit der Sie eine Public-Key-Infrastruktur (PKI) erstellen und digitale Zertifikate für Ihre Organisation bereitstellen können. Zertifikate können zum Verschlüsseln des Netzwerk- und Anwendungsverkehrs sowie zur Authentifizierung von Benutzern und Computern verwendet werden. Wenn Sie https in einer Browseradresse sehen, bedeutet dies, dass ein Zertifikat verwendet wird, um die Kommunikation vom Client zum Server zu verschlüsseln.

Active Directory-Domänendienste (AD DS)

Siehe Active Directory-Beschreibung

Active Directory-Verbunddienste (AD FS)

Der Verbunddienst ermöglicht die einmalige Anmeldung bei externen Systemen wie Websites und Anwendungen. Office 365 wird häufig für Verbunddienste verwendet. Wenn Sie sich bei Office 365 anmelden, werden Benutzername und Kennwort über den Verbundserver umgeleitet, und die Anmeldeinformationen werden mit Ihrem lokalen Active Directory abgeglichen. Auf diese Weise können Sie externe Systeme authentifizieren, indem Sie Ihr lokales Active Directory verwenden, um den Benutzernamen und das Kennwort zu authentifizieren.

Active Directory Lightweight Directory Services (AD LDS)

Dieser Dienst stellt Verzeichnisdienste unter Verwendung des LDAP-Protokolls bereit, ohne dass Domänencontroller bereitgestellt werden müssen. Dies wird hauptsächlich verwendet, um Verzeichnisdienste für verzeichnisfähige Anwendungen funktional bereitzustellen. Dies ersetzt nicht AD DS.

Active Directory Rights Management Services (AD RMS)

Dieser Dienst stellt Methoden zum Schutz von Informationen zu digitalen Inhalten bereit. Es schützt Dokumente, indem definiert wird, wer Dokumente öffnen, ändern, drucken, weiterleiten oder andere Aktionen ausführen kann. Sie können auch Zertifikate verwenden, um Dokumente für eine bessere Sicherheit zu verschlüsseln.

Active Directory DNS

Domain Name System ist ein Dienst, der die Namensauflösung bereitstellt, am häufigsten die Auflösung von Hostnamen in IP-Adressen. In diesem Abschnitt erfahren Sie mehr über einige der wichtigsten Komponenten von DNS.

Resource Records

Ein Resource Record ist ein Eintrag im DNS-System, der beim Auffinden von Ressourcen anhand der IP-Adresse oder eines Domänennamens hilft. Es gibt viele Arten von Ressourceneinträgen, unten finden Sie eine Liste gängiger Datensatztypen:

  • A – Ordnet einen Hostnamen einer IPv4–Adresse zu
  • AAAA – Ordnet einen Hostnamen einer IPv6–Adresse zu
  • CNAME – Ordnet einen Alias einem Hostnamen zu
  • MX – Wird zum Auffinden eines Mailservers verwendet
  • NS – Ordnet einen Nameserver für eine Domäne zu
  • PTR – Ordnet eine IPv4-Adresse einem hostname. Die Rückseite eines A-Datensatzes.
  • SOA – Enthält administrative Informationen
  • SRV – Wird verwendet, um Server zu finden, die bestimmte Dienste hosten
  • TXT – Kann verschiedene Daten enthalten. Wird häufig zur Überprüfung von Domains und aus Sicherheitsgründen verwendet.

Dynamisches DNS (DDNS)

Dynamisches DNS ist eine Methode, mit der Clients ihre Ressourceneinträge bei einem DNS-Server registrieren und dynamisch aktualisieren können. Auf diese Weise können Clients, die DHCP verwenden, ihren DNS-Eintrag automatisch aktualisieren, wenn sich ihre IP-Adresse ändert.

Hostname

Dies ist meistens der DNS-A-Eintrag, der DNS-Name eines Geräts, mit dem kommuniziert werden kann. Zum Beispiel ein Server mit dem Namen DC1. Wenn DC1 im DNS registriert wäre, würden Sie dies als Hostnamen bezeichnen.

Zonen

Eine Zone wird zum Hosten der DNS-Einträge für eine bestimmte Domäne verwendet. Der wichtigste und am häufigsten verwendete Zonentyp sind integrierte Active Directory-Zonen. Es gibt mehrere andere Zonen, mit denen Sie vertraut sein sollten, ich behandle die anderen Zonen in meinem Artikel, Windows DNZ Zones Explained.

DNS Aging and Scavenging

Dies ist eine Funktion, die aktiviert werden kann, um die Bereinigung veralteter DNS-Einträge zu automatisieren. Ich habe einen separaten Beitrag erstellt, der mehr erklärt und Schritt für Schritt Anweisungen zum Konfigurieren der DNS-Alterung und -reinigung enthält.

Von Active Directory verwendete SRV-Datensätze

In einer Windows-Domäne werden SRV-Datensätze von Clients zum Auffinden von Domänencontrollern für Active Directory verwendet. Wenn Sie den AD DS-Dienst installieren, erstellt der Prozess automatisch die SRV-Datensätze für Active Directory.

  • Active Directory erstellt seine SRV-Einträge in den folgenden Ordnern, wobei Domain_Name der Name Ihrer Domain ist:
    • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

Hier ist ein Screenshot von meinem DNS:

Weiterleitungen

DNS-Weiterleitungen sind Server, die Hostnamen auflösen, die Ihr interner DNS-Server nicht auflösen kann, hauptsächlich externe Domänen wie das Surfen im Internet. Sie können DNS-Anfragen an einen beliebigen Server Ihrer Wahl weiterleiten, oft wird ein ISP verwendet.

Root Hints

Root hint Server ist eine weitere Methode, um Hostnamen aufzulösen, die Ihr interner Server nicht auflösen kann. Der Unterschied besteht darin, dass diese Server als Root-DNS-Zone für das Internet dienen. Sie werden aus Sicherheits- und Redundanzgründen von mehreren großen Unternehmen verwaltet. Sie können entweder Root-Hinweise oder Forwards verwenden, um externe Namen aufzulösen.

Ressourcen:

Vollständige Liste der DNS-Ressourceneintragstypen

Überprüfen, ob SRV-DNS-Einträge für einen Domänencontroller erstellt wurden

Root-Hinweise gegen Weiterleitungen

DNS-Best Practices

Active Directory-Replikation

Replikation ist der Prozess, der sicherstellt, dass an einem Domänencontroller vorgenommene Änderungen auf andere Domänencontroller in der Domäne repliziert werden.

Verbindungsobjekte

Das Verbindungsobjekt gibt an, welche Domänencontroller wie oft und in welchem Namenskontext miteinander repliziert werden.

KCC

Der Knowledge Consistency Checker (KCC) ist ein Prozess, der auf allen Domänencontrollern ausgeführt wird und eine Replikationstopologie generiert, die auf den Sites, Subnetzen und Site Link-Objekten basiert.

Subnetze

Ein Subnetz ist ein logischer Teil eines IP-Netzwerks. Subnetze werden verwendet, um Geräte in einem bestimmten Netzwerk zu gruppieren, häufig nach Standort, Gebäude oder Etage. Wenn Sie über eine Umgebung mit mehreren Standorten verfügen, muss Active Directory über Ihre Subnetze Bescheid wissen, damit die effizientesten Ressourcen ordnungsgemäß identifiziert werden können. Wenn diese Informationen nicht bereitgestellt werden, können sich Clients authentifizieren und den falschen Domänencontroller verwenden.

Site

Eine Site ist eine Sammlung von Subnetzen. Mithilfe der Active Directory-Standorte können Sie den Replikationsfluss und den Ressourcenstandort für Clients wie einen Domänencontroller definieren.

Site-Link

Mit Site-Links können Sie konfigurieren, welche Sites miteinander verbunden sind.

Site Link Bridge

Eine Site Link Bridge ist eine logische Verbindung zwischen Sites. Es ist eine Methode, um transitive Konnektivität zwischen Standorten logisch darzustellen.

Standorttopologie

Die Standorttopologie ist eine Zuordnung, die die Netzwerkkonnektivität für die Replikation und den Speicherort für Ressourcen in der Active Directory-Gesamtstruktur definiert. Die Standorttopologie besteht aus mehreren Komponenten, einschließlich Standorten, Subnetzen, Standortverknüpfungen, Standortverknüpfungsbrücken und Verbindungsobjekten.

Standortinterne Replikation

Hierbei handelt es sich um eine Replikation zwischen Domänencontrollern am selben Standort.

Standortübergreifende Replikation

In einer Umgebung mit mehreren Standorten muss eine Änderung an einem Standort auf den anderen Standort repliziert werden. Dies wird als standortübergreifende Replikation bezeichnet.

Ressourcen:

Funktionsweise der Active Directory-Replikation

Konzepte der Active Directory-Replikation

Active Directory-Sicherheit (Authentifizierung, Sicherheitsprotokolle, Berechtigungen)

Kerberos

Kerberos ist ein Sicherheitsprotokoll, mit dem Benutzer ihre Identität sicher nachweisen können, um Zugriff auf Domänenressourcen zu erhalten.

Key Distribution Center (KDC)

KDC ist ein Dienst, der auf Domänencontrollern ausgeführt wird und Sitzungstickets bereitstellt, die im Kerberos-Authentifizierungsprotokoll verwendet werden.

Dienstprinzipalnamen (SPN)

SPN ist ein eindeutiger Bezeichner einer Dienstinstanz.

NTLM

NTLM ist eine Sammlung von Sicherheitsprotokollen, die verwendet werden, um Benutzer zu authentifizieren, Integrität und Vertraulichkeit zu gewährleisten. Kerberos ist das bevorzugte Authentifizierungsprotokoll und wird in modernen Windows-Versionen verwendet, NTLM ist für ältere Clients und Systeme in einer Arbeitsgruppe weiterhin verfügbar.

NTFS-Berechtigungen

Mit NTFS-Berechtigungen können Sie festlegen, wer auf eine Datei oder einen Ordner zugreifen darf. Nachfolgend finden Sie eine Liste der grundlegenden Berechtigungen, die Sie festlegen können:

  • Volle Kontrolle – Dies gibt Benutzern die Rechte zum Hinzufügen, Ändern, Verschieben und Löschen von Dateien und Ordnern.
  • Modify – Gibt Benutzern Ansicht und Rechte zum Ändern
  • Read & Execute – Gibt Benutzern Ansicht und Rechte zum Ausführen
  • Read – ready only rights
  • Write – right to a file and add new folders

Share Permissions

Share permissions Definieren Sie die Zugriffsebene auf freigegebene Ressourcen wie einen Ordner. Es gibt drei grundlegende freigegebene Berechtigungen:

  • Lesen – Gibt Benutzern Rechte auf den Ordner und Unterordner anzuzeigen
  • Ändern – Gibt Benutzern Lese– und Änderungsrechte
  • Volle Kontrolle – Gibt Benutzern ändern, ändern und Leserechte.

Diskretionäre Zugriffssteuerungsliste (DACL)

Eine DACL identifiziert, welches Konto den Zugriff auf ein Objekt wie eine Datei oder einen Ordner zulässt oder verweigert.

Access Control Entries (ACE)

DACL enthält ACEs, das ACE definiert, welches Konto und welche Zugriffsebene auf die Ressource gewährt werden soll. Wenn kein ACE vorhanden ist, verweigert das System den Zugriff auf das Objekt.

System Access Control List (SACL)

Mit der SACL können Administratoren Zugriffsversuche auf ein Sicherheitsobjekt protokollieren.

Feinkörnige Kennwortrichtlinie

Eine Funktion in Windows 2008 und höher, mit der Sie unterschiedliche Kennwortrichtlinien und Kontosperrrichtlinien für verschiedene Konten definieren können. Im Allgemeinen sollten alle Konten dieselbe Richtlinie haben, aber Sie haben möglicherweise ein Dienstkonto oder ein ganz bestimmtes Konto, für das eine andere Richtlinie erforderlich ist. Zum Beispiel wurde unser Gast-WLAN-Konto aufgrund falscher Passwortversuche immer wieder gesperrt. Ich habe eine fein erteilte Kennwortrichtlinie verwendet, um eine höhere Kontosperre als den Rest der Domäne festzulegen.

Ressourcen:

Kerberos für den vielbeschäftigten Administrator

Technische Übersicht zur Windows-Authentifizierung

Unterschiede zwischen Freigabe- und NTFS-Berechtigungen

Zugriffssteuerungslisten

Active Directory-Verwaltungskonsolen

Dieser Abschnitt enthält die Verwaltungskonsolen, die Sie zum Verwalten der verschiedenen Active Directory-Technologien verwenden müssen. Sie müssen die Remote Server Administration Tools (RSAT) installieren, um auf diese Verwaltungskonsolen zugreifen zu können.

Active Directory-Benutzer und -Computer (ADUC)

Dies ist die am häufigsten verwendete Konsole zum Verwalten von Benutzern, Computern, Gruppen und Kontakten.

Abkürzung: dsa.msc

Active Directory Administrative Center (ADAC)

Ab Server 2008 R2 führt Microsoft den ADAC ein, um seine Verzeichnisdienstobjekte zu verwalten. Diese Konsole kann zum Erstellen und Verwalten von Benutzerkonten, Computerkonten, Gruppen und Organisationseinheiten verwendet werden. Es bietet die gleiche Funktionalität wie das Active Directory-Tool für Benutzer und Computer. Aufgrund der komplizierten Benutzeroberfläche bevorzuge ich ADUC gegenüber dieser Konsole.

Active Directory-Domänen und Vertrauensstellungen

Diese Konsole wird verwendet, um den Domänenmodus oder die Funktionsebene einer Domäne oder Gesamtstruktur zu erhöhen. Es wird auch verwendet, um Vertrauensbeziehungen zu verwalten.

Abkürzung: Domäne.msc

Active Directory-Sites und -Dienste

Dies ist die Hauptkonsole zum Verwalten der Replikation. Diese Konsole wird verwendet, um Standorttopologieobjekte und Verbindungsobjekte zu verwalten, die Replikation zu planen, die Replikation manuell zu erzwingen, den globalen Katalog zu aktivieren und das universelle Gruppencaching zu aktivieren.

Abkürzung: dssite.msc

ADSI Edit

Der Active Directory Service Interfaces Editor ist ein GUI-Tool, mit dem Objekte in Active Directory verwaltet werden können. Dieses Tool bietet Zugriff auf Objektdaten, die in Active Directory-Benutzern und -Computern nicht verfügbar sind.

Verknüpfung: adsiedit.msc

DFS-Verwaltung

Diese Konsole wird zum Verwalten von DFS-Namespaces und DFS-Replikation verwendet.

Abkürzung: dfsmgmt.msc

DHCP

Diese Konsole wird verwendet, um DCHP-Bereiche zu erstellen, Lease-Informationen und alles, was mit DHCP zu tun hat, anzuzeigen.

Verknüpfung: dhcpmgmt.msc

DNS

Diese Konsole wird zum Erstellen von DNS-Zonen, Ressourceneinträgen und zum Verwalten aller DNS-Dinge verwendet.

Abkürzung: dnsmgmt.msc

Gruppenrichtlinienverwaltung

Verknüpfung: gpmc.msc

PowerShell

Obwohl dies keine Verwaltungskonsole ist, ist es das leistungsstärkste Tool zur Automatisierung administrativer Aufgaben. PowerShell kann viele Routineaufgaben beschleunigen, die die GUI-Verwaltungstools nicht ausführen können.

Ressourcen:

Dynamic Host Control Protocol (DHCP)

Das Dynamic Host Configuration Protocol ist ein Dienst, der die zentrale Steuerung der IP-Adresse ermöglicht. Wenn Ihr Computer eine Verbindung zu einem kabelgebundenen oder drahtlosen Netzwerk herstellt, wird ein DHCP-Server kontaktiert, um eine verfügbare IP-Adresse zu finden und zuzuweisen.

Scope

Ein DHCP-Bereich ist eine Sammlung von IP-Adresseinstellungen, die für Geräte wie einen Computer konfiguriert sind. Sie können mehrere Bereiche für verschiedene Gerätetypen und Subnetze erstellen. Zum Beispiel habe ich einen Bereich für Computer und verschiedene Bereiche für IP-Telefone. Wenn Sie einen Bereich einrichten, müssen Sie Folgendes konfigurieren:
  • Bereichsname – Dies ist der Name des Bereichs. Geben Sie ihm einen beschreibenden Namen, damit Sie leicht erkennen können, für welche Geräte er bestimmt ist.
  • IP-Adressbereich – Dies ist der IP-Bereich, den die Geräte verwenden sollen. Beispiel 10.2.2.0/24
  • IP–Adressausschlüsse – Sie können angeben, dass die IP-Adresse vom Gültigkeitsbereich ausgeschlossen werden soll. Dies ist nützlich, wenn Sie Geräte im Subnetz haben, die eine statische IP-Adresse benötigen, z. B. einen Router oder Server.
  • Lease duration – Die Lease gibt an, wie lange ein Client eine IP-Adresse hat, bevor er sie an den Pool zurückgibt.
  • DHCP-Optionen – Es gibt eine Reihe verschiedener Optionen, die Sie einschließen können, wenn DHCP eine IP-Adresse zuweist. Mehr dazu weiter unten

DHCP-Optionen

Es gibt viele DCHP-Optionen, unten sind die am häufigsten verwendeten Optionen in einer Windows-Domäne.

  • 003 Router – Das Standardgateway des Subnetzes
  • 005 DNS-Server – Die IP-Adresse des DNS-Servers, den Clients für die Namensauflösung verwenden sollen.
  • 015 DNS-Domänenname – Das DNS-Suffix, das der Client verwenden sollte, oft das gleiche wie der Domänenname.

DHCP-Filterung

Mit der DHCP-Filterung können Geräte basierend auf ihrer MAC-Adresse verweigert oder zugelassen werden. Zum Beispiel verwende ich es, um mobile Geräte daran zu hindern, eine Verbindung zu unserem sicheren WLAN herzustellen.

Superscopes

Ein Superscope ist eine Sammlung einzelner DHCP-Bereiche. Dies kann verwendet werden, wenn Sie Bereiche zusammen verbinden möchten. Ehrlich gesagt habe ich das noch nie benutzt.

Bereiche aufteilen

Dies ist eine Methode zur Bereitstellung von Fehlertoleranz für einen DHCP-Bereich. Die Verwendung von DHCP-Failover ist nicht die bevorzugte Methode für die Fehlertoleranz.

DHCP-Failover

DCHP-Failover war eine neue Funktion, die in der Serverversion 2012 gestartet wurde. Es ermöglicht zwei DHCP-Servern, Lease-Informationen gemeinsam zu nutzen und eine hohe Verfügbarkeit für DCHP-Dienste bereitzustellen. Wenn ein Server nicht verfügbar ist, übernimmt der andere Server.

Ressourcen:

DHCP-Parameter

Gruppenrichtlinien

Mit Gruppenrichtlinien können Sie Benutzer- und Computereinstellungen zentral verwalten. Sie können Gruppenrichtlinien verwenden, um Kennwortrichtlinien, Überwachungsrichtlinien, Bildschirm sperren, Laufwerke zuordnen, Software bereitstellen, ein Laufwerk, Office 365-Einstellungen und vieles mehr festzulegen.

Gruppenrichtlinienobjekte (GPO)

Gruppenrichtlinienobjekte sind eine Sammlung von Richtlinieneinstellungen, die Sie auf Computer oder Benutzer anwenden.

Häufigkeit der Aktualisierung von Gruppenrichtlinien

Client-Workstations und Mitgliedsserver aktualisieren ihre Richtlinien alle 90 Minuten. Um zu vermeiden, dass die Domänencontroller überfordert werden, wird jedem Computer ein zufälliges Offset-Intervall hinzugefügt. Dadurch wird verhindert, dass alle Computer gleichzeitig Gruppenrichtlinien-Upgrades vom DC anfordern und möglicherweise abstürzen.

Richtlinienverarbeitung

Gruppenrichtlinien gelten in der folgenden Reihenfolge

  • Lokal
  • Standort
  • Domäne
  • Organisationseinheit (OU)

Blockvererbung

Standardmäßig werden Gruppenrichtlinienobjekte vererbt. Um dieses Verhalten zu ändern, können Sie die Option Blockvererbung auf Organisationsebene verwenden.

Keine Überschreibung

Wenn Sie Richtlinien erzwingen und verhindern möchten, dass sie blockiert werden, verwenden Sie die Option Keine Überschreibung.

Benutzereinstellungen

In einem Gruppenrichtlinienobjekt gibt es Benutzer- und Computereinstellungen. Benutzereinstellungen gelten nur für Benutzerobjekte. Wenn Sie Benutzereinstellungen im Gruppenrichtlinienobjekt konfigurieren, muss das Gruppenrichtlinienobjekt auf Benutzerobjekte angewendet werden.

Computereinstellungen

Die Computereinstellungen in einem Gruppenrichtlinienobjekt sind Einstellungen, die auf einen Computer angewendet werden können. Wenn Sie die Computereinstellungen konfigurieren, muss das Gruppenrichtlinienobjekt auf Computerobjekte angewendet werden.

Resultant Set of Policy (RsoP)

Resultant Set of Policy ist ein Microsoft-Tool, das in Windows 7 und späteren Versionen integriert ist. Administratoren erhalten einen Bericht darüber, welche Gruppenrichtlinieneinstellungen auf Benutzer und Computer angewendet werden. Es kann auch verwendet werden, um Einstellungen für Planungszwecke zu simulieren.

Ich habe ein komplettes Tutorial in meinem Artikel Wie man RSoP verwendet, um Gruppenrichtlinieneinstellungen zu überprüfen und zu beheben.

Gruppenrichtlinieneinstellungen

Gruppenrichtlinieneinstellungen werden hauptsächlich zum Konfigurieren von Einstellungen verwendet, die später auf Clientebene geändert werden können. Sie haben auch die Möglichkeit, einige erweiterte Targeting wie die Anwendung auf eine bestimmte OU, Windows-Version, Benutzer in einer Gruppe und so weiter zu tun. Einstellungen werden häufig verwendet, um Folgendes zu konfigurieren:

  • Laufwerkzuordnungen
  • Registrierungseinstellungen
  • Drucker installieren
  • Aufgaben planen
  • Datei- und Ordnerberechtigungen festlegen
  • Energieeinstellungen festlegen

Vorlagen

Sie können zusätzliche Gruppenrichtlinienvorlagen installieren, um die von Microsoft bereitgestellten Standardrichtlinienobjekte zu erweitern. Einige häufig verwendete Vorlagen sind Office 365, Chrome, Firefox und solche, die von 3rd-Party-Anwendungen bereitgestellt werden. Vorlagen sind XML-basierte Dateien in der Regel in einem ADM-Format oder ADMX-Dateierweiterung.

Ressourcen:

Gruppenrichtlinienarchitektur

Gruppenrichtlinienübersicht

Habe ich etwas verpasst? Haben Sie etwas zu teilen? Lassen Sie es mich in den Kommentaren unten wissen.

Empfohlenes Tool: SolarWinds Server & Application Monitor

Dieses Dienstprogramm wurde entwickelt, um Active Directory und andere kritische Dienste wie DNS & DHCP zu überwachen. Es erkennt schnell Probleme mit dem Domänencontroller, verhindert Replikationsfehler, verfolgt fehlgeschlagene Anmeldeversuche und vieles mehr.

Was mir an SAM am besten gefällt, sind die einfach zu bedienenden Dashboard- und Alarmierungsfunktionen. Es hat auch die Fähigkeit, virtuelle Maschinen und Speicher zu überwachen.

Laden Sie hier Ihre kostenlose Testversion herunter



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.