Skip to content

Dualbetrieb von Microsoft Windows XP Professional und Microsoft Windows Vista

MCSE Die Installation von Windows XP nach der Installation von Windows Vista auf einer zweiten Partition kann zu Schwierigkeiten führen da der Bootloader überschrieben wird und nicht mit den einfachen Tricks wieder hergestellt werden kann, es reicht nicht die Datei "boot.ini" zu bearbeiten und die Zeile "Multi(0)Disk(0)Rdisk(0)Partition(1)\Microsoft Windows" zu ergänzen.

Für Multiboot mit mehreren Windows-Versionen ist daher immer die älteste Version zuerst zu installieren. Die neueren Versionen können mit den Bootloadern der älteren Versionen umgehen! Verwendet wird schließlich der Bootloader der neuesten Version, da dieser zuletzt installiert wurde.

Außerdem sind unbedingt eigene Partitionen vorzusehen, alternativ können auch mehrere Festplatten verwendet werden, wenn man den Aufwand treiben kann. Als Dateisystem sollte NTFS verwendet werden.

Um auf einem Computer mit Windows XP zusätzlich Windows Vista zu installieren, sollte man auf eine zweite Festplatte oder Partition mit NTFS formatieren und dnach von der DVD Windows Vista booten und installieren.

Uni- oder bidirektionale externe Vertrauensstellung

MCSE Eine externe Vertrauensstellung kann als uni- oder bidirektionale Vertrauensstellung zu einer einzelnen Domäne (in einer anderen Gesamtstruktur) eingerichtet werden und ist nie transitiv!

Sie wird verwendet wenn Benutzer Zugriff auf Ressourcen einer anderen Domäne einer anderen Gesamtstruktur brauchen und keine Gesamtstrukturvertrauensstellung besteht. Da nicht transitiv spielt es keine Rolle ob diese Domäne weiteren Domänen vertraut.

Diese Vetrauensstellungen werden aufgebaut wenn kein Windows Server 2003 zur Verfügung steht. Hiermit könnte man direkt die Gesamstrukturen miteinander verbinden.

Die Richtung bei solchen Vertrauensstellungen kann man sich am besten mit einem Schlüssel merken. Wir haben zwei Standorte, A wie Atlanta und B wie Bangkok. Wenn die Mitarbeiter aus B sich bei A anmelden wollen, dann brauchen sie einen Schlüssel - auf Domänen bezogen muss A also B vertrauen, ihnen also den Schlüssel geben, damit die Mitarbeiter von B auf das Netzwerk in A zugreifen können.

Merkbild "unidirektionale Vertrauensstellung":
A (links) vertraut B (rechts).
A gibt B seinen Schlüssel.
Dann kann B alles bei A lesen, A aber nicht auf B zugreifen.


Bei der Einrichtung einer Vertrauensstellung über das MMC-Snap-In "Active Directory-Domänen und -Vertrauensstellungen" muss man zwischen einer "domänenweiten Authentifizierung" oder "selektiven Authentifizierung" wählen. Dies kann später noch geändert werden! Die domänenweite Authentifizierung ist Standardeinstellung und ermöglicht einen uneingeschränkten Zugriff durch jeden Benutzer der angegebenen Domäne auf alle Ressourcen der lokalen Domäne.

Selektive Authentifizierung ist sicherer und bedeutet: Domänencontroller überprüfen jedes einzelne Konto, ob es berechtigt ist, auf eine Ressource zuzugreifen.

Vertrauensstellung zwischen zwei Gesamtstrukturen

MCSE Gesamtstrukturvertrauensstellungen (Cross-Forest) dagegen bieten vollständige Kerberos-Integration zwischen Gesamtstrukturen und sind immer bidirektional und transitiv.

Typisches Beispiel ist die Fusion zweier Unternehmen mit jeweils eigener Windows Server 2003 Gesamtstruktur. Damit können die Benutzer einer Gesamtstruktur auf alle Ressourcen der beiden Gesamtstrukturen zugreifen sofern sie die Zugriffsberechtigung haben. Insbesondere die Administratoren können dann den Benutzern Berechtigungen für den Zugriff auf die benötigten Ressourcen beider Strukturen erteilen.

Nach der Auflösung einer Vetrauensstellung können in den Domainlokalen Gruppen Konten mit wenig benutzerfreundlichen Namen stehen bleiben die man einfach löschen kann.

Zwischen zwei Gesamtstrukturen eine Gesamtstrukturvertrauensstellung zu erstellen geht erst seit Windows Server 2003 und nur wenn sich die Gesamtstruktur in dem Gesamtstrukturfunktionsmodus "Windows Server 2003" befindet. Es kann über das Snap-In "Active Directory-Benutzer und –Computer" oder auch über "Active Directory-Domänen und -Vertrauensstellungen" erledigt werden (Kontexmenü des FQDN).

Wenn man dazu die Gesamtstruktur in den Modus "Windows Server 2003" hochstufen will müssen sich alle Domänen die sich in der Gesamtstruktur befinden im Domänenfunktionsmodus "Windows Server 2003" sein. Es ist später nicht mehr möglich die Funktionsebenen zurückzustufen!

Wichtige Vorarbeit: Es muss eine Namensauflösung zwischen beiden Domänen/Gesamtstrukturen bestehen, entweder über eine bedingte Weiterleitung im DNS oder durch eine sekundäre DNS-Zone. Besonders in einer NT-Domäne sollte WINS mit Replikation eingesetzt werden.

Authentifizierungsvorgang optimieren mit Verknüpfungsvertrauensstellungen

MCSE Verknüpfungsvertrauensstellungen werden verwendet, um lange Wege der Authentifizierungsanforderungen bei Domänenstrukturen mit einer komplexen Gesamtstruktur abzukürzen. Die wird eingesetzt, wenn durch einen zu langen Vertrauenspfad z. B. der Authentifizierungsvorgang bei der Anmeldung extrem langsam verläuft.

Der Vertrauenspfad, also das Ergebnis aller Vertrauensstellungen zwischen Domänen, die von Authentifizierungsanforderungen durchlaufen werden müssen, wird nicht neu definiert sondern nur zum schnelleren Zugriff zwischengespeichert bereitgestellt.

Vertrauenswürdige Websites konfigurieren

MCSE Vertrauenswürdige Webseiten können der Domäne hinzugefügt werden. Dazu benötigt man eine Kopie des Zertifikates der Stammzertifizierungsstelle und trägt es als vertrauenswürdige Stammzertifizierungsstelle in die Default Domain Policy (DDP) der Domäne ein.

So kann man vermeiden auf den eigentlich sicheren Webseiten eines Anbieters Sicherheitswarnungen vom Browser zu erhalten weil die Stammzertifizierungsstelle nicht als vertrauenswürdig eingestuft wird.
tweetbackcheck