Skip to content

Lokale, globale und universelle Gruppen

MCSE Globale Gruppen dienen der Gruppierung von Benutzern (korrekt: Benutzerobjekten). Abkürzung nach Microsoft ist "G_" vor dem eigentlichen Gruppennamen.


Domänenlokale Gruppen dienen der Berechtigungsvergabe. Vor dem Gruppennamen sollte ein "DL_" stehen um dies sofort erkennbar zu machen.

Universelle Gruppen werden über Domänen hinweg verwendet. Mit einem "U_" vor dem eigentlichen Gruppennamen kann man dies deutlich machen.

Man sollte Benutzerkonten nicht direkt zu einer domänenlokalen Gruppe hinzufügen. Stattdessen sollte man einzelne Benutzer mit gemeinsamen Merkmalen zu einer globalen Gruppe und diese globale Gruppe in eine domänenlokale Gruppe hinzufügen. So sind domänenlokale Gruppen einfacher zu verwalten.

Das ganze macht man, um nicht Benutzern Rechte geben zu müssen, es sollte immer ein Recht an eine Gruppe gegeben und der Benutzer dann der Gruppe zugeordnet werden!

Es gibt einen Unterschied zwischen Berechtigungen und Rechten! Berechtigungen beziehen sich auf Aktionen bei Objekten, z.B. Zugriff auf NTFS-Freigaben. Rechte sind Aktionen im System wie Ändern der Systemzeit oder Herunterfahren des Systems.

Domänenfunktionsebene heraufstufen

MCSE Um universelle Gruppen als Sicherheitsgruppen verwenden zu können muss die Domänenfunktionsebene mindestens auf "Windows 2000 pur" hochgestuft werden, "Windows 2000 gemischt" reicht nicht.


Danach lassen sich die RAS-Richtlinien nutzen und das Netz hat ein höheres Sicherheitsniveau, kann aber mit Rechnern unter Windows 2000 (also alte NT-Kisten) nicht mehr kommunizieren.


Die Domänen- und Gesamtstruktur- Funktionsebene zu Windows Server 2003 heraufzustufenist der letzte Schritt der Migration von NT4 nach Windows 2003 mit Active Directory. Dabei ist zu beachten dass das Heraufstufen der Funktionsebenen ein irreversibler Vorgang ist! Es ist nicht möglich, später wieder herunterzustufen.

"Windows 2003" als Modus setzt bestimmte Anmelde- und Verschlüsselungsverfahren voraus und funktioniert nur noch mit 2003 oder XP als Client oder Server.

Mehrere Benutzer ändern

MCSE Es können mehrere Benutzer-Objekte gleichzeitig geändert werden. Wenn in der Simulation in der Prüfung das Kontextmenü nicht einsetzbar ist, muss der Menüpunkt "Aktion/Eigenschaften" verwendet werden.


Werden Gruppen und Benutzer gleichzeitig markiert, kann nur die Beschreibung verändert werden.

Vorlage für Benutzerkonten verwenden und Anmeldung einschränken

MCSE Um mehrere ähnliche Benutzer anzulegen sollte man sich eine Vorlage machen, also einen Benutzer, der dann nur noch kopiert wird.

Diese Angaben werden aus einer Vorlage übernommen wenn sie kopiert wird um daraus einen Benutzer zu erstellen:
Adresse (alles bis auf Straße)
Konto (alles bis auf Anmeldename)
Profil (alles bis auf Profilpfad und Basisordner)
Organisation (alles bis auf Titel)
Mitglied von (alles)


Die Rückrufnummer wird also nicht aus der Vorlage übernommen!

Die Anmeldezeit und die zur Anmeldung verwendbaren Rechner lassen sich einstellen. Bei der Anmeldung gibts es entsprechende Fehlermeldungen, je nachdem ob Anmeldezeit oder Anmelde-Computer nicht in Ordnung sind.


Für die automatische Abmeldung muss eine Richtlinie konfiguriert werden, ein eingeloggter Benutzer wird nicht rausgeschmissen wenn er sich eigentlich nicht mehr einloggen könnte.


In der AD wird nur der Prinzipalname verwendet; dieser muss eindeutig sein, vor allem in grossen Netzen ist er daher wohlüberlegt zu planen!

Gespeicherte Abfragen

MCSE Active Directory-Benutzer und -Computer enthält den Ordner Gespeicherte Abfragen, darin kann man gespeicherte Abfragen erstellen, bearbeiten, speichern und anordnen. Diese stellen für Administratoren eine schnelle und einheitliche Methode für den Zugriff auf allgemeine Verzeichnisobjekte dar, für die bestimmte Aufgaben ausgeführt oder die überwacht werden sollen. Sie verwenden vordefinierte LDAP-Zeichenfolgen und die Suchvorgänge können auf ein einzelnes Containerobjekt eingeschränkt werden.


Das geht natürlich auch von der Kommandozeile mit "dsquery":


Weitere Konsolenbefehle aus diesem Bereich:
http://www.msexchangefaq.de/tools/DSxxx.htm

Um z.B. eine gespeicherte Abfrage zu erstellen um eine Liste aller Benutzer zu erhalten deren Kennwörter nie ablaufen wählt man in der Ergebnisliste der Abfrage alle Konten auf einmal aus und deaktiviert die Option "Kennwort läuft nie ab" in den Eigenschaften der Konten.
tweetbackcheck