MS Windows Server 2012: Installation Konfiguration

1 Installation

  1. Ist der Installationsassistent geladen, ist es neben der Installation von Windows Server auch möglich, eine bestehende Installation über die Computerreparaturoptionen im Fehlerfalle zu reparieren
  2. Jetzt installieren drücken
  3. Installationsarten
    • Core Installation
      • Textbasiert mit Powershell
      • Nur Tastatur ohne Maus
      • Aus Performancegründen anzuraten es laufen weniger Prozesse
    • oder mit grafischer Oberfläche
      • Maus und Tastatur Unterstützung
      • Spielen Ressourcen keine Rolle dann diese Art wählen
    • Standard
      • Maximal 2 virtuelle Maschinen
      • Weniger RAM wird unterstützt
    • oder Datacenter
      • Unterstützung von mehr RAM gegenüber der Standardversion
      • Nahezu unbegrenzt Anzahl von virtuellen Maschinen
      • Datenbanken
  4. Lizenzen
    • Einzelplatzlizenz (nicht bei Servern)
    • Volumen (so oft installieren wie gewünscht an Microsoft melden)
    • Die Lizenzgebühren pro Installation richten sich nach der Anzahl der physischen Prozessoren
      • Für je 2 ist eine Lizenz erforderlich
    • Zusätzliche Kosten:
      • Für jeden Client (der zugreifen könnte) ist eine CAL (Client Access Licence)(pro Gerät pro Benutzer) erforderlich
  5. Servermanager
    • Zentrales Konfigurationsprogramm
    • Verwalten und Einrichtung von Diensten

2 Konfiguration

  1. Statische IP
    • Netzwerk- und Freigabecenter Adaptereinstellungen
  2. Computername
    • Systemsteuerung System erweiterte Systemeinstellungen
  3. Treiberinstallation
    • Gerätemanager
    • Entpackte Treiber verwenden (es muss eine. inf oder .dll Datei zu finden sein)
      • Alternative : Setup.exe des jeweiligen Treibers verwenden (falls vorhanden)

3 Benutzerverwaltung

Computerverwaltung Lokale Benutzer und Gruppen
  1. Neue Benutzer und Gruppen haben keinerlei Rechte im System und im Dateisystem
  2. Vordefinierte Gruppen besitzen solche Grundrechte. Unsere Benutzer müssen also in einer vordefinierten Gruppe Mitglied werden
  3. Gruppe: Administratoren
    • Administrator
  4. Gruppe: Benutzer
    • Jeder neu erstellte Benutzer wird hier automatisch Mitglied

4 Lokale Sicherheitsrichtlinien

Konfiguration:
Systemsteuerung Verwaltung Lokale Sicherheitsrichtlinie
Kontorichtlinien:
  • Kennwortrichtlinien
    • Kennwort muss Komplexitätsvoraussetzungen entsprechen
    • Kennwortchronik erzwingen
    • Maximales Kennwortalter
    • Minimale Kennwortlänge
    • Minimales Kennwortalter
  • Kontosperrungsrichtlinien
    • Kontensperrungsschwelle
    • Kontosperrdauer
    • Zurücksetzungsdauer des Kontosperrungszählers
Lokale Richtlinien:
  • Überwachungsrichtlinie
  • Zuweisen von Benutzerrechten
  • Sicherheitsoptionen
Welche Benutzer haben welche Rechte wie:
  • Systemzeit ändern
  • Am System anmelden zulassen

4.1 Sicherheitsoptionen
Benutzerunabhängig

Richtlinie:
nicht definiert wirken sich aus
aktiviert (oder Wert)
deaktiviert
Beispiele für Richtlinien:
  • kein STRG+ALT+ENTF erforderlich
  • letzten Benutzernamen nicht anzeigen
  • Nachrichtentitel für Benutzer die sich anmelden wollen
  • Nachricht....

5 Fileservices

Wir bieten Festplattenplatz bzw. Speicher im Netzwerk an

5.1 NTFS-Berechtigungen

Regeln, wer wie auf Dateien zugreifen darf:
Sie wirken immer im Moment des Zugriffs lokal wie auch über das Netzwerk.
Konfiguration:
Laufwerk Eigenschaften Sicherheit
Rechtepyramide
Berechtigungen und die Möglichkeiten:
Berechtigungen Möglichkeiten
Lesen Lesen, ausführen Dateien öffnen
Lesen Kopieren
Orderinhalt anzeigen ausführen(wenn ausführbar)
Schreiben Dateien/Verzeichnisse erzeugen
Dateien verändern(Inhalt)
Ändern =Lesen
+Schreiben
+
Löschen
Vollzugriff =Ändern
+
Berechtigungen zuweisen
+
Besitz übernehmen
BspRechte.png
Beispielfirmenstruktur
Gruppe Mitglieder
Vertrieb V1 AV1 (V2)
Einkauf E1 EV1 (E2)
Verwaltung VW1 VVW1 (VW2)
Produktion P1 PV1 (P2)
Vorgesetzte AV1, EV1, VVW1, PV11
BspRechte2.png
Vordefinierte Gruppen und Benutzer
Benutzer Gruppe Details
Ersteller-Besitzer Dies ist eigentlich keine Gruppe, sondern ein Platzhalter für Berechtigungen. Darüber lässt sich festlegen, dass der Benutzer, der ein Objekt (z.B. eine Datei) erzeugt hat, bestimmte Rechte an diesem Objekt erhalten soll.
Administratoren Mitglieder dieser Gruppe verfügen über Vollzugriff auf den Computer und können Benutzern nach Bedarf Benutzerrechte und Zugriffssteuerungsberechtigungen zuweisen. Das Administratorkonto ist standardmäßig Mitglied dieser Gruppe. Wenn dieser Computer einer Domäne hinzugefügt wird, wird die Gruppe „Domänen-Admins“ dieser Gruppe automatisch hinzugefügt. Da diese Gruppe über Vollzugriff auf den Computer verfügt, sollten Sie beim Hinzufügen von Benutzern zu der Gruppe mit Bedacht vorgehen.
Benutzer Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben ausführen, wie z. B. das Ausführen von Anwendungen, das Verwenden von lokalen und Netzwerkdruckern sowie das Sperren des Servers. Mitglieder dieser Gruppe dürfen keine Verzeichnisse freigeben oder lokale Drucker erstellen.
Jeder Diese Gruppe stellt alle aktuellen Benutzer dar, einschließlich Gäste und Benutzer. Wenn sich Benutzer im Netzwerk anmelden, werden die Benutzer automatisch der Gruppe „Jeder“ hinzugefügt.
Administrator Das Administratorkonto verfügt über Vollzugriff auf die Domäne. Über dieses Konto können Domänenbenutzern nach Bedarf Benutzerrechte und Zugriffssteuerungsberechtigungen zugewiesen werden. Verwenden Sie dieses Konto nur für Aufgaben, für die Administratorberechtigungen erforderlich sind. Sie sollten dieses Konto mit einem sicheren Kennwort einrichten. Das Administratorkonto ist Standardmitglied der folgenden Active Directory-Gruppen: Administratoren, Domänen-Admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer und Schema-Admins.
Gast Personen, die kein Konto in der Domäne besitzen, können das Gastkonto verwenden. Benutzer, deren Konto deaktiviert (jedoch nicht gelöscht) ist, können ebenfalls das Gastkonto verwenden. Für das Gastkonto ist kein Kennwort erforderlich. Sie können die Rechte und Berechtigungen für das Gastkonto wie für jedes andere Benutzerkonto festlegen. Standardmäßig ist das Gastkonto Mitglied der vordefinierten Gruppe Gäste sowie der globalen Gruppe Domänen-Gäste. Somit können sich die Benutzer an einer Domäne anmelden. Das Gastkonto ist standardmäßig deaktiviert, und es empfiehlt sich, das Konto deaktiviert zu lassen.

5.2 Freigabe-Berechtigungen

UNC(Universal Naming Convention):
\\Server\Freigabe-Name
Mögliche Berechtigungen für Netzwerkfreigaben:
  • Vollzugriff
  • Ändern
  • Lesen
Erweiterte Freigabe Bild 1 Erweiterte Freigabe Bild 2 Freigabe über CMD
Ermitteln des effektiven Zugriffs:
  1. Alle Gruppenmitgliedschaften des Users berücksichtigen (von Gruppen, die an der Stelle des Zugriffs Berechtigungen haben)
  2. Jeweils für NTFS und Freigabe die höchsten Berechtigungen ermitteln und dann beide Arten vergleichen die stärkste Einschränkung "gewinnt" (wirkt)
    Beispiele
    NTFS Freigabe Ergebnis
    Löschen Vollzugriff Löschen
    Lesen Ändern Lesen
    Lesen+Schreiben Lesen Lesen
    Vollzugriff Ändern Ändern
    Ändern Lesen Lesen
Versteckte Freigabe:
Diese Freigaben sind im Netzwerk nicht sichtbar.
Der Zugriff erfolgt durch Eintippen des UNC-Pfads: \\Server\Freigabe$
Administrative Freigaben: (Nur für Administratoren verwendbar)
Sind immer versteckt und automatisch vorhanden für:
  • Laufwerke (C$, A$,...)
  • C:\Windows (ADMIN$), egal wie es heißt und wo es liegt
  • oder PRINT$ für Druckertreiber
  • IPC$ für die Kommunikation zwischen den Maschinen
Erstellen und überwachen von Freigaben:
  • Servermanager Datei und Speicherdienste Freigaben
  • Computerverwaltung Freigegebene Ordner Freigaben
  • (Lokal) Windows Explorer

6 Active-Directory - ADDS: Active Directory Domain Services

Was ist eine Domäne?
Eine Domäne ist eine Gruppe von PCs in einem Netzwerk, die eine gemeinsame Datenbank- und Sicherheitsrichtlinie haben. Eine Domäne wird als eine Einheit mit gemeinsamen Regeln und Verfahren verwaltet, wobei jede Domäne über einen eindeutigen Namen verfügt.
Vorteile:
  • Zentrale Verwaltung (Benutzer, Computer, Sicherheitseinstellungen)
  • Einheitliches Sicherheitskonzept
  • Verteilte (LDAP-)Datenbank
  • Kerberos-Authentifizierung
Nachteile:
  • Replikation benötigt viel Zeit

6.1 Domain Controller(DC)

Führt ADDS aus (und weitere wichtige Dienste für die Domäne)

Domain Controller Pyramide

6.1.1 Dienste(Rollen):

DNS
Globaler Katalog:
enthält Informationen über jedes Objekt im Verzeichnis.
Benutzer und Administratoren können mit dem Katalog nach Verzeichnisinformation suchen.
Betriebsmasterfunktionen:
führt bestimmte Aufgaben aus um die Konsistenz der Daten sicherzustellen
und in Konflikt stehende Einträge im Verzeichnis auszuschließen.
PDC(Primary Domain Controller)
Domänennamenmaster

ADDS installieren und dann zum DC heraufstufen(dcpromo)

6.1.2 Wie soll der neue DC installiert werden?

  1. Domänencontroller zu einer vorhandenen Domäne hinzufügen:
    • Lastenausgleich/Redundanz
    DC1
  2. Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen:
    • neuen Verwaltungsbereich erstellen (jede Domäne kann separat verwaltet werden)
    DC2
  3. Neue Gesamtstruktur hinzufügen
    • Neue Domäne in neuer Gesamtstruktur
    DC3

6.1.3 Beitritt zur Domäne(verschiedene Wege)

  1. Erweiterte Systemeigenschaften Domäne(als lokaler Admin)
    • Benutzer: Domäne\Administrator
      Kennwort: *********
  2. Erweiterte Systemeigenschaften Domäne(als lokaler Admin)
    • Benutzer: Domäne\User_der_die_Erlaubnis_hat
      Kennwort: *********
    Vorbereitung durch den Domänen-Admin
    Computerobjekt im AD erstellen und dabei User/Gruppe angeben,
    die zum Beitritt berücksichtigts sind.

6.1.4 Was geschieht beim Beitritt

Im Active Directory:

Auf dem Client

BeitrittDomaeneClient

6.1.5 Probleme mit Computerkonten

Meldungen wenn sich ein User anmelden möchte:
...fehlende Vertrauensstellung zur Domäne...
...Computerkonto...
Gründe
  • Computerkonto nicht vorhanden
  • Computerkonto deaktiviert
  • Kennwort defekt
  • Kennwort zurückgesetzt(aus Versehen)
Fehler beheben:
  • Deaktiviert aktivieren(im AD)
  • Kennwort-Probleme
    • Im AD: Computerkonto zurücksetzen
    • Lokaler Admin am PC: Der Domäne erneut beitreten Neustart

6.1.6 Löschschutz im Objektsystem(AD)

OU's sind standardmäßig vor versehentlichen Löschen geschützt
Objektberechtigung JederLöschen Verweigert

Soll ein Objekt mit Löschschutz verschoben oder gelöscht werden:
Gruppe Jeder aus Objekt-ACL entfernen
oder
in den Objekteigenschaften Objekt

Objektvor löschen schützen

6.1.7 Zugriffe im Dateisystem steuern

AGDLP_Zuordnung
Gruppenbereiche:
Gruppe Wofür?
Domain Local
(Lokal in Domäne) DL*
für NTFS- und Freigabeberechtigungen
Global* Organisieren von Benutzern mit gleichen Aufgaben (z.B. Abteilung Projekte)
Universal können statt globalen und/oder Domain Local-Gruppen verwendet werdendomänenübergreifend
grpuniversal
*jeweils pro Domäne

6.1.8 Container-Admins

Sind Admins die einen Teil der Domäne verwalten kann/darf

6.1.9 Objektverwaltung delegieren

Ein gutes Praxisbeispiel für das Delegieren von Benutzerrechten im Active Directory ist das Zurücksetzen von Kennwörtern, die zum Beispiel Support-Mitarbeiter erhalten sollen. Wenn Anwender ihr Kennwort vergessen oder ein neues Kennwort zugewiesen bekommen, sollte das nicht die Aufgabe der Systemadministratoren sein.

In diesem Fall könnte zum Beispiel der Abteilungsleiter oder ein Power-User diese Aufgaben übernehmen. Es besteht außerdem die Möglichkeit, an eine bestimmte Gruppe genau diese Rechte für seine OU zu delegieren:

  1. Legen Sie zunächst eine globale oder universelle Benutzergruppe an, die die Rechte der Delegierung erhalten soll. Auch wenn die Gruppe zunächst keinen Benutzer enthält, sollten Sie in den Berechtigungen des Active Directory niemals nur einzelne Konten eintragen, da ansonsten die Berechtigungsstruktur sehr kompliziert wird. Außerdem müssen Sie bei jeder Änderungen dann direkt Änderungen am System vornehmen, anstatt nur Benutzer der Gruppe hinzuzufügen oder sie aus der Gruppe zu entfernen.
  2. Klicken Sie mit der rechten Maustaste auf die OU, in der die Benutzerkonten abgelegt sind, deren Verwaltung Sie delegieren wollen. Wählen Sie im Kontextmenü den Befehl Objektverwaltung zuweisen aus.
  3. Fügen Sie im Assistenten die angelegte Gruppe hinzu, der Sie das Recht zur Verwaltung der OU geben wollen. Welche Rechte die Gruppe erhält, wählen Sie erst später aus.
  4. Aktivieren Sie im nächsten Fenster als zuzuweisende Aufgabe zum Beispiel das Recht Erstellt, entfernt und verwaltet Benutzerkonten. Wenn Sie den entsprechenden Nutzern nur das Recht zum Ändern der Kennwörter geben wollen, können Sie hier auch die Option Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung verwenden. Möchten Sie speziellere Rechte erteilen, aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen.

6.1.10 Besondere Funktionen im Active Directory

fsmo

6.1.11 Flexible Single Master Operations(fsmo) - Betriebsmaster

Rollen Wirkungsbereich Beschreibung
Domain Naming Master 1x pro Gesamtstruktur (in der Stammdomäne) Der Domänenmaster wird beim erstellen, umbenennen und verwalten von Domänen benötigt. Domänen benötigen eindeutige Namen.
Schema-Master 1x pro Gesamstruktur (in der Stammdomäne) Aufbau der AD-Datenbank wird verändert(zusätzliche Objekte) oder nur ein einzelnes Objekt mit einer weiteren Eigenschaft ausgestattet.
z.B. wird Exchange installiert oder es wird geplant, ein neueres Serverbetriebssystem(als die vorhandene DC's) als Domain-Controller einzusetzen.
Mit der Microsoft Management Console(MMC) mit dem Schemamaster verbinden
PDC (Primary Domain Controller)-Emulator 1x pro Domäne
  • Zeitsynchronisation: Alle DC's gleichen ihre Uhrzeit mit dem PDC ab
  • Gruppenrichtlinien
  • Zertifikatsvorlagen
  • Kennwörter von Computerkonten erneuern
Domain Infrastructure Master 1x pro Domäne Bei Domänen-übergreifenden Kontakten werden die Infrastrukturmaster der Domänen Missverständnisse vermeiden z.B. Objekte werden Mitglied in Gruppen einer Domäne.
Problem: SID-Eindeutigkeit zwischen Domänen nicht gewährleistet.
RID (Relative ID)-Master 1x pro Domäne SIDs im Active Directory sind Kennungen, die zum Beispiel einem User zugewiesen werden, wenn er bei Login einer bestimmten Gruppe angehört.
Sie haben folgendes Schema:
RID-Pool Die RID ist eine fortlaufende Nummer, beginnend bei 1000. Es muss nun sichergestellt sein, dass die fortlaufenden Nummern der RID einmalig sind, um die Eindeutigkeit der Security ID zu gewährleisten. Da aber verschiedene Domain Controller verschiedene Gruppen und Objekte anlegen können, muss ein zentraler Domain Controller die Aufgabe übernehmen, für jeden Domain Controller gewisse „RID-Pools“ bereitzustellen.
Standardmäßig werden dem ersten Domain Controller in einem Forest alle fünf FSMO-Rollen zugewiesen. Ein Domain Controller in einer Sub-Domain bekommt standardmäßig die 3 domainweiten Funktionen übertragen. Die gesamtstrukturweiten Rollen können nur Domänen-Controllern der ersten Stammdomäne der Gesamtstruktur zugewiesen werden.
Siehe auch: http://www.fachadmin.de/index.php/FSMO_Roles

Mit folgenden Befehl kann man die FSMO-Rollen prüfen

NETDOM QUERY FSMO
                

6.1.12 Globaler Katalog

Index-Datenbank(aller Active Directory-Domänen), damit ein gesuchtes Objekt gefunden werden kann.
Ein mal muss ein DC in der Stammdomäne GC(Global Catalog) sein, andere DC's(alle?) können zusätzlich GC-Server sein.

Sind alle DC's einer Domäne globale Katalogserver, so ist der Infrastrukturmaster abgeschaltet.
Ist ein DC kein GC, so muss er der Infrastrukturmaster sein.

6.1.13 Steuern der Replikation

Zeigt den Replikationsstatus für den Zeitpunkt an, zu dem vom angegebenen Domänencontroller zuletzt versucht wurde, eingehende Active Directory-Partitionen zu replizieren.

repadmin /showrepl
                

Synchronisiert einen angegebenen Domänencontroller mit allen Replikationspartnern.

repadmin /syncall
                

6.1.14 Einheitliche Sicherheitseinstellungen Gruppenrichtlinien

Gruppenrichtlinienverwaltung - Group Policy Management Console(GPMC)

GPMC

Default Domain Policy(DDP) und Default Domain Controllers Policy(DDCP)

GPMC:

Neue oder geänderte Richtlinien können mit folgenden Befehlen umgehend verfügbar gemacht werden.

gpupdate           Aktualisiert mehrere Gruppenrichtlinieneinstellungen.
gpupdate /force    Wendet alle Richtlinieneinstellungen erneut an.
                

Gruppenrichtlinien werden über den PDC erstellt und in der SYSVOL-Freigabe anderen DC's der Domäne bereitgestellt(Replikation) und auch allen Clients denn diese holen sich ihre Richtlinien-Einstellungen selbst ab.

Gruppenrichtlinienaktualisierungsintervalle:
Domainintern: 5 Minuten
Standortintern: 15 Minuten
Standortübergreifend: 3 Stunden

Es gibt eine Lesereihenfolge, um Konflikte zu vermeiden.
Bei Konflikten "gewinnt" die zuletzt gelesene Einstellung.

Lesenreihenfolge

Mehrere GPO's mit mehreren Objekten verknüpft

gpo1

Mehrere GPO's mit einem Objekt verknüpft

gpo2

Verknüpfungen erzwingen

Für Richtlinien, die garantiert Benutzer/Computer erreichen müssen und nicht tiefer im Baum verändert werden können. "Zwangsvererbung ist durch nichts aufhaltbar

Vererbung deaktivieren

Dient in erster Linie zur Fehleranalyse, wenn unerwünschte Nebeneffekte bei der Modellierung auftreten.

vererbdeak

Hilft nicht gegen erzwungene Vererbung. Besser nicht dauerhaft, also z.B. zur Fehlersuche.

Fehlerkatalog - Häufige Fehler

Woran liegt es, dass meine konfigurierten Computer/Benutzerrichtlinien nicht wirken?

Bereichsfilterung mit Sicherheitsgruppen

Bereichsfilter

Damit ein Zielobjekt die Richtlinien eines GPO übernehmen darf, benötigt es Gruppenrichtlinien übernehmen als Berechtigung auf das GPO.

Softwareinstallation per Gruppenrichtlinie

Grafik einfügen

GPO-Softwareverteilung(SWV)

Hiermit ist es möglich bestimmte Softwarepakete auf Clients zu installieren die von der konfigurierten SWV-Richtlinie betroffen sind.

Bereitstellungsart:

Wird das Paket gelöscht, bekommen "neue" Clients keine Software-Installation und "alte" Clients Zwangsdeinstallation der Software