Skip to content

Überwachungsrichtlinie und Kennwortrichtlinie

MCSE Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden können nur auf Domänen-Ebene, bevorzugt in der Default Domain Policy.

Anmeldeversuche werden dagegen von den Domänencontrollern authentifiziert und eine Überwachung ist hier einzurichten.

Beispiel: In einer Domain mit Hauptsitz in Frankfurt werden hier die Kennwortrichtlinien auf dem DC hinterlegt, an den andere Standorten kann dann auf den DC die Überwachung von Anmeldeversuchen eingerichtet werden.

Struktur für die oberste Ebene der Organisationseinheiten

MCSE Zur Unterstützung der Delegierung von Verwaltungsrechten werden Standorte in Organisationseinheiten gegliedert.

Dabei sollen Netzwerkadministratoren an den Standorten nur eingeschränkten Zugriff auf das Active Directory erhalten. So können sie nur Wartung und Pflege der Benutzer- und Computerkonten Ihrer Verantwortungsbereiche vornehmen.

Beispiel: Die Standorte Berlin und München bekommen eine eigene OU, dagegen Bremen und Oldenburg eine gemeinsame OU, da der Admin von Bremen beide Standorte betreuen soll. Das ganze kann man in eine Active Directory Gesamtstruktur mit einer Domäne halten, um die Netzwerkumgebung einfach und effizient in der Administration zu gestalten.

Die oberste Ebene der Organisationseinheiten kann auf der Ebene der Kundenprojekte stattfinden. Wenn man für jedes Projekt eine OU erstellt kann man vertrauenswürdigen Personen für einzelne Kundenprojekte die Verwaltung von Benutzerkonten (z.B. Möglichkeiten zum zurücksetzen von Kennwörtern und der Änderung von persönlichen Informationen) gestatten.

Wenn nur mit wenigen grossen Kunden und Partnern zusammen in einer Struktur gearbeitet wird könnte die oberste Ebene auch aus diesen Kunden und Partnern gebildet werden. Es sollte aber nicht gemischt werden, also keine OUs für Standorte und OUs für Kunden gleichzeitig in der obersten Ebene.

Windows Server Versionen für verschiedene CPUs

MCSE Es gibt keine Version von Windows Server 2003 für RISC (Reduced Instruction Set) Prozessoren. Das bedeutet, dass man einen Server mit RISC-CPU nicht updaten kann.

Für Windows NT war eine solche Version noch verfügbar und falls es Server mit diesem System in der Domäne geben sollte, stören sie beim Update auf Windows 2003.

Gruppierung für DHCP-Bereiche (Superscope) im Multinet

MCSE Mehrere logische IP-Netze auf einem physikalischen Segment werden im Microsoft-Umfeld auch als Multinet bezeichnet.

­Mit einer Bereichsgruppierung (plattdeutsch: "Superscope") kann ein DHCP-Server den Clients IP-Adressen auch aus Netzen anbieten, für die der Server eigentlich nicht konfiguriert ist (für DHCP ist nämlich keine korrekte IP-Konfiguration erforderlich).

So kann ein Server auf dem Netz 192.168.10.0/24 auch Adressen aus dem Netz 192.168.11.0/24 vergeben, falls dies aus irgendwelchen Gründen erforderlich sein sollte.

Bei der Vergabe werden allerdings zunächst die Adressen aus dem eigenen Netz vergeben und die Adressen aus den zusätzlichen Bereichen erst dann wenn der eigene Bereich ausgeschöpft ist.

Mit DHCP-Relay-Agents funktioniert das auch über Segment-Grenzen hinaus, bei Verwendung von bootp auch über passende Router hinweg.

DHCP-Konflikte mit ICS (Internet Connection Sharing)

MCSE Das ICS (für "Internet-Connection-Sharing") ist ein Feature seit Windows 98 SE, mit dem mehrere Benutzer sich einen Internet-Zugang teilen können. Es ist speziell für Anwender konzipiert, die mit kleinen Heimnetz ins Internet möchten. ICS arbeitet als Gateway mit Routingfunktion. Im professionellen Bereich wird mal eher Routing und RAS verwenden.

Bei DHCP kann es in Verbindung mit dem ICS leicht zu Konflikten kommen. Man muss wissen dass das Netz 192.168.0.0/24 von dem ICS-internen DHCP-Server vergeben wird! Daher sieht man solche Adressen dann statt der APIPA-IPs aus dem 169.254.0.0/16 wenn man eigentlich gar keinen DHCP-Server im Netz hat.

Um die APIPA-Funktion auf Windows XP-Clients zu deaktivieren kann man in der Registry unter "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Parameters" einen Schlüssel namens "IpAutoConfigurationEnabled" mit dem Wert 0 setzen.
tweetbackcheck