Skip to content

Betriebsmaster (Schema-Master) ändern

MCSE Mit dem Snap-In Active-Directory-Schemas kann der Schema-Master (eine der FSMO, "Flexible Single Master Operations") auf einen anderen Server verschoben werden.
http://de.wikipedia.org/wiki/FSMO
Die Übernahme der Schemamasterfunktion ist ein drastischer Schritt, das sollte man nur machen wenn der aktuelle Schemamasters nicht wieder in Betrieb gehen soll!


Als Domaincontroller muss der neue Controller gewählt werden.


Die übrigen Betriebsmaster-Rollen (RID, PDC, Infrastruktur) können komfortabel über Active-Directory Computer und Benutzer verschoben werden:

Active Directory Schema Snap-In zum "mmc" hinzufügen

MCSE Für das Schema-Snap-In muss zunächst die DLL für das Schema-Management registriert werden:
regsrv32 schmmgnt.dll

Danach kann das Snap-In ganz normal hinzugefügt werden und erlaubt den Zugriff auf das Schema des Schema-Masters.


Mit Windows Server 2003 erhält man die Möglichkeit Active Directory Anwendungspartitionen zu erstellen, um die Replikation gezielter zu steuern und nicht benötigte bzw. fehlerhaft erstellte Schema Klassen zu deaktivieren. Wenn man Software verwendet die Informationen im Active Directory abspeichert und neue Einträge im Activ Directory vornimmt, ist es sinnvoll die Gesamtstrukturfunktionsebene heraufzustufen.

Betriebsmaster-Rollen auf Backup DC übernehmen

MCSE Früher konnte man einen BDC zu einem PDC hochstufen. Das geht seit AD nicht mehr. Wenn also der DC (Rolle des PDC sozusagen) defekt ist und nicht wieder hergestellt werden kann, aber ein zweiter DC zur Verfügung steht, kann man diesen Vorgang mit "ntdsutil" erledigen.

Dazu müssen die fünf Betriebsmasterrollen übernommen werden: Schemamasterfunktion, Domänennamen-Masterfunktion, Infrastrukturmasterfunktion, PDC-Emulationsfunktion (sic!), RID-Masterfunktion.


Da der "primäre" DC ja nicht mehr zur Verfügung steht, muss man sich mit dem eigenen Server connecten und dann mit "seize" und nicht "transfer" alle Rollen der Reihe nach übernehmen.

Übernehmen der Betriebsmasterrollen

Zum Abschluss muss auf dem "Backup"-DC (sowas sollte man immer in grossen Netzen haben) der GC aktiviert werden:
globaler katalog aktivieren

Benutzerdefinierte Sicherheitsvorlage erstellen

MCSE Im MMC kann bei den Sicherheitsvorlagen eine benutzerdefinierte Sicherheitsvorlage erstellt werden. Der Name ist dazu frei wählbar:


Hier wird konfiguriert, dass Benutzerkonten nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb von 30 Minuten für 60 Minuten gesperrt werden.


Nun sollen alle fehlgeschlagenen Versuche der Kontenverwaltung und der Richtlinienänderung überwacht werden.


Schließlich soll noch das Gastkonto deaktiviert werden und der Admin einen neuen Namen bekommen:

Effektive Einstellungen ermitteln mit Richtlinienergebnissatz

MCSE Um die effektiven Einstellungen für einen Server zu ermitteln, kann man das Snap-In Richtlinienergebnissatz im MMC verwenden. Man kann dabei auch mehrere Richtlinienergebnissatz-Abfragen erstellen, indem man mehrere Snap-Ins für Richtlinienergebnissätze hinzufügt.
richtlinienergebnissatz

Der Richtlinienergebnissatz (Resultant Set of Policy, RSOP) ist eine Ergänzung zur Gruppenrichtlinie zur Implementierung und Problembehandlung von Richtlinien. Es kann bestehende Richtlinien und geplante Richtlinien abfragen und dann deren Ergebnisse melden.

Man bekommt Detailangaben zu allen von einem Administrator konfigurierten Richtlinieneinstellungen, bei Richtlinien auf mehreren Ebenen wird auch die Rangfolge ermittelt.
richtlinienergebnissatzdaten generierenrichtlinienergebnissatz assistent

Auch mit "gpresult.exe" kann das Ergebnis der Richtlinien kontrolliert werden:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/...
tweetbackcheck