Einführung
In diesem Tutorial erfahren Sie, wie Sie durch die Installation des ersten Domänencontrollers eine Active Directory-Domäne einrichten.
Zusammenfassend ist eine Active Directory-Umgebung ein Verzeichnis in Form einer Datenbank (LDAP), das eine Reihe von Objekten (Benutzer, Computer usw.) enthält und mehrere Dienste bereitstellt:
- Zentralisierung von Objekten im Netzwerk in einer einzigen Datenbank
- Benutzerauthentifizierung
- Rechteverwaltung
- Richtliniendurchsetzung (GPO)
- …
Die AD-Architektur basiert auf:
- Domain: die möglicherweise registriert ist oder nicht.
- Baum: bestehend aus einer Domäne und Subdomänen (untergeordnete Domäne)
- Wald: Bestehend aus miteinander verbundenen Bäumen mit einer Vertrauensbeziehung.
- Globaler Katalog: Domänencontroller, der Informationen über die gesamte Gesamtstruktur enthält.
- FSMO-Rollen, von denen es 5 gibt.
- …
In diesem Tutorial erstellen wir eine Gesamtstruktur mit einem Baum, der aus der Domäne lab.lan besteht.
Was Sie benötigen, um dieses Tutorial abzuschließen:
- Ein Windows-Server (2012/2012R2/2016) mit einer festen IP-Adresse
- Eine Client-Workstation (Windows 7 oder höher) mit einer IP-Adresse, sie muss auch einen Serverkommentar auf dem Windows-Server haben.
Gemäß den Best Practices von Microsoft wird empfohlen, mindestens zwei Domänencontroller (globaler Katalog) pro Domäne zu haben.
Installation der Rollen: Domänencontroller / DNS
Klicken Sie im Server-Manager auf Rollen und Funktionen hinzufügen 1.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie Installation basierend auf einer Rolle oder Funktion 1 und klicken Sie dann auf Weiter 2.
Überprüfen Sie die DNS-Serverrolle 1.
Klicken Sie auf Funktionen hinzufügen 1.
Überprüfen Sie die Rolle: AD DS-Dienste 1.
Klicken Sie auf Funktionen hinzufügen 1, um die Verwaltungskonsolen hinzuzufügen.
Klicken Sie auf Weiter 1.
Überspringen Sie die Funktionen, indem Sie auf Weiter 1 klicken.
Klicken Sie auf Weiter 1, um die DNS-Rollenzusammenfassung zu übergeben.
Überspringen Sie die Zusammenfassung des Active Directory-Dienstes, indem Sie auf Weiter 1 klicken.
Klicken Sie auf die Schaltfläche „Installieren 1“.
Warten Sie, während die verschiedenen Rollen installiert werden …
Sobald die Rollen installiert sind, beenden Sie den Assistenten, indem Sie auf Schließen 1 klicken.
Nachdem die Rollen nun installiert sind, müssen Sie den Server zu einem Domänencontroller heraufstufen.
Heraufstufen des Domänencontrollerservers
Klicken Sie im Server-Manager auf das Benachrichtigungssymbol 1 und dann auf den Link Diesen Server zum Domänencontroller hochstufen 2, um den Assistenten zu starten.
Wählen Sie die Option „Neue Gesamtstruktur hinzufügen“ 1, geben Sie den Domänennamen 2 ein und klicken Sie dann auf „Weiter“ 3.
Geben Sie das Passwort für den Wiederherstellungsmodus 1 ein und klicken Sie dann auf Weiter 2.
Notieren Sie sich das Passwort sorgfältig, im Falle einer AD-Wiederherstellung sind Wartungsarbeiten erforderlich.
Klicken Sie auf Weiter 1, um die DNS-Optionen zu überspringen.
Überprüfen Sie den NETBIOS-Namen 1 und klicken Sie dann auf Weiter 2.
Validieren Sie die Pfade und klicken Sie auf Weiter 1.
Bestätigen Sie die Konfiguration, indem Sie auf Weiter 1 klicken.
Sobald die Tests validiert wurden, klicken Sie auf „Installieren 1“.
Warten Sie während der Installation…
Am Ende startet der Server automatisch neu.
Sobald die Installation abgeschlossen und der Server neu gestartet ist, melden Sie sich mit dem Administratorkonto an.
Überprüfen Sie im Server-Manager, ob der Server Mitglied der Domäne 1 ist.
Nachdem wir nun einen Domänencontroller haben, werfen wir einen Überblick über die verschiedenen Konsolen.
Active Directory-Verwaltungskonsolen
Auf alle Administrationskonsolen kann über den Server-Manager zugegriffen werden, indem Sie auf „Extras“ 1 klicken.
Active Directory-Domänen und Vertrauen
Diese Konsole wird hauptsächlich für Vertrauensbeziehungen zwischen Domänen und Gesamtstrukturen verwendet.
Wenn Sie Ihrer Domain ein UPN-Suffix hinzufügen möchten, können Sie dies über diese Konsole tun. Wenn Ihre Domäne your-company.local ist und Sie Ihren Benutzern erlauben möchten, sich mit ihrer E-Mail-Adresse (your-company.com) zu verbinden, müssen Sie das Suffix über diese Konsole hinzufügen.
Gruppenrichtlinienverwaltung
Diese Konsole dient der Verwaltung der GPOs, hier können Sie Netzwerklaufwerke, Windows-Einstellungen usw. konfigurieren.
ADSI-Modifikation
Diese Konsole sollte mit großer Vorsicht verwendet werden, da sie es Ihnen ermöglicht, die LDAP-Datenbankeinträge direkt zu ändern und deren Struktur zu ändern.
Active Directory-Sites und -Dienste
Diese Konsole wird hauptsächlich in der Multi-Site-Umgebung verwendet. Sie können damit Sites und IP-Adressen deklarieren, die Replikation zwischen Domänencontrollern verwalten usw.
Aktive Verzeichnisse Benutzer und Computer
Diese Konsole ist sicherlich die bekannteste und am häufigsten verwendete, sie ermöglicht die Verwaltung von Benutzern, Computern und Gruppen.
ADAC Active Directory Admin Center
Es handelt sich um die neueste von Microsoft entwickelte Konsole, die die Active Directory-Benutzer- und Computerkonsole ersetzen wird.
Es ermöglicht die Verwaltung von Benutzern, Gruppen und Computern, den Active Directory-Papierkorb, dynamische Zugriffskontrollen usw.
Nachdem wir uns nun mit den Verwaltungstools befasst haben, erfahren Sie, wie Sie eine Organisationseinheit, einen Benutzer und einen Computer hinzufügen.
Erster Schritt mit Active Directory
In diesem Teil werden wir mehrere Dinge sehen:
- Organisationseinheiten (OU), die Ordnern ähneln und es uns ermöglichen, das Verzeichnis zu organisieren.
- Einen Benutzer erstellen
- Die Verknüpfung eines Beitrags mit der Domain
- Melden Sie sich mit dem zuvor erstellten Benutzer am Computer an.
Wir verwenden den Begriff Objekt, um die verschiedenen Elemente zu definieren, die im Active Directory gespeichert werden können.
Alle Vorgänge werden auf der Active Directory-Benutzer- und Computerkonsole ausgeführt.
Öffnen Sie die Konsole „Active Directory-Benutzer und -Computer“.
Schaffung von Organisationseinheiten OU
In diesem Teil erstellen wir 3 OUs. Die erste IT, in der wir zwei weitere OUs (Benutzer und Computer) erstellen, die zur Speicherung der Objekte der IT-Abteilung verwendet werden.
Wir finden auch Organisationseinheiten in der Gruppenrichtlinien-Verwaltungskonsole, die die Anwendung von Gruppenrichtlinienobjekten auf einige AD-Objekte ermöglichen.
Klicken Sie mit der rechten Maustaste auf die Domäne 1, gehen Sie zu Neu 2 und klicken Sie auf Organisationseinheiten 3.
Geben Sie den Namen der Organisationseinheit 1 ein und klicken Sie dann auf OK 2.
Die OU wird erstellt 1.
Erstellen Sie zwei Organisationseinheiten (Benutzer und Computer) in der IT.
Einen Benutzer erstellen
Klicken Sie auf das Benutzersymbol 1, geben Sie den Vor- und Nachnamen 2 und die Kennung 3 ein und klicken Sie dann auf Weiter 4.
Geben Sie das Passwort 1 ein und klicken Sie dann auf Weiter 2.
Wie Sie im Screenshot unten sehen können, habe ich die Option „Benutzer muss das Passwort bei der nächsten Anmeldung ändern“ aktiviert.
Klicken Sie auf Fertig stellen 1, um den Benutzer hinzuzufügen.
Der Benutzer wird zum Verzeichnis 1 hinzugefügt.
Fügen Sie einen Computer der Domäne hinzu
Voraussetzungen
Um einen Computer der Domäne hinzuzufügen, müssen Sie sicherstellen, dass er Kontakt mit ihm aufnehmen kann, ein Befehlsfenster öffnen und den Domänennamen anpingen.
Wenn Sie keine Ping-Antwort erhalten, müssen Sie die IP-Einstellungen des Computers mit dem Domänencontroller als DNS-Server konfigurieren.
Um externe Domänennamen aufzulösen, müssen DNS-Weiterleitungen eingerichtet werden.
Öffnen Sie die Systemeigenschaften und klicken Sie auf Bearbeiten 1.
Wählen Sie im Abschnitt „Mitglied eines“ die Domäne 1 aus, geben Sie den Domänennamen 2 ein und klicken Sie auf OK 3.
Geben Sie die Informationen 1 eines Kontos ein, das zum Beitritt von Arbeitsstationen zur Domäne berechtigt ist, und klicken Sie auf OK 2.
Schließen Sie das Bestätigungsfenster, indem Sie auf OK 1 klicken.
Starten Sie die Station neu, um den Zugang zur Domäne zu ermöglichen.
Möglicherweise blockiert die Firewall die Kommunikation mit dem Domänencontroller.
Kehren Sie zur Active Directory-Benutzer- und Computerkonsole zurück und gehen Sie zum Ordner Computer 1, in dem sich der Computerzähler 2 befinden sollte.
Wählen Sie das Objekt aus und ziehen Sie es per Drag-and-Drop in die Organisationseinheit IT/Computer.
An den Computer anschließen
Kehren Sie zum Computer zurück und drücken Sie STRG+ALT+ENTF.
Windows schlägt vor, sich mit dem zuletzt verwendeten Konto anzumelden, klicken Sie auf Benutzer ändern 1.
Klicken Sie auf Anderer Benutzer 1.
Geben Sie den Benutzernamen und das Passwort 1 des zuvor erstellten Kontos ein und bestätigen Sie durch Drücken der Eingabetaste.
Unter dem Passwortfeld sehen wir, dass die Sitzung auf der LAB-Domäne geöffnet ist.
Es erscheint eine Meldung, die darauf hinweist, dass der Benutzer sein Passwort ändern muss. Klicken Sie auf OK 1.
Geben Sie das neue Passwort (x2) 1 ein und bestätigen Sie 2.
Klicken Sie in der Bestätigungsmeldung auf OK 1.
Warten Sie, während die Sitzung geöffnet wird …
Die Sitzung wird mit dem im Active Directory erstellten Benutzer geöffnet.
Öffnen Sie ein Befehlsfenster und geben Sie set ein. Der Befehl gibt die Umgebungsvariablen des Systems zurück und ermöglicht es Ihnen, zu sehen, auf welchem Domänencontroller die Sitzung validiert wurde. LOGONSERVER und die Domäne mit USERDNSDOMAIN und USERDOMAIN.
Abschluss
Sie wissen jetzt, wie Sie eine Active Directory-Umgebung mit einem Domänencontroller einrichten.
Erwägen Sie die Konfiguration eines DNS-Redirectors, wenn Sie den Domänencontroller als DNS-Server konfigurieren.
In einer Produktionsumgebung empfehle ich Ihnen, eine zweite zu installieren.
Sie können jetzt Ihre ersten Gruppenrichtlinien bereitstellen.