Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 4)

Fortsetzung von: Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 3)


Schlag auf Schlag geht es weiter...



17. Anmerkungen und weiteres Vorgehen


Nun sollte man sich an jedem PC, der auch der Domäne beigetreten ist, mit jedem im Active Directory enthaltenen Benutzer anmelden können. Was im Moment allerdings noch nicht funktioniert ist die Synchronisation des servergespeicherten Benutzerprofils (Roaming Profile), das Einstellungen des Systems, der Programme und der Oberfläche und auch Teile der Benutzerdaten auf dem Server speichert bzw. synchronisiert. Dies ist erst mit der entsprechenden Konfiguration der Richtlinien möglich – dazu mehr später.


Wer es noch nicht gemacht hat, sollte spätestens jetzt die Berechtigungen für die Freigaben setzten. Dabei empfiehlt es sich, gerade bei Ordnern, auf die alle Benutzer Zugriff haben sollen, die Gruppe „Domain Users“ zu benutzen. In diese Gruppe wird automatisch jeder erstellte Domänen-Benutzer hinzugefügt und somit hat auch jeder Benutzer automatisch Zugriff. Bei Ordnern bei denen dies nicht erwünscht ist entsprechend andere Berechtigung vergeben, ab besten mit entsprechenden Gruppen.

Bei Ordnern auf den auch der Computer selbst bzw. das System Zugriff haben sollte oder muss, muss ebenfalls die entsprechende Berechtigung vergeben werden. Auch hier gibt es wieder eine automatische Gruppe, bei der alle Computer beim Beitreten automatisch hinzugefügt werden, die Gruppe „Domain Computers“.




Siehe auch Punkt: 7. Gruppen einrichten


Wichtig:

Hier reden wir nur noch von Benutzern, Computern, Berechtigungen, Administratoren, Freigaben etc. die über die Domäne verwaltet werden.


Für den reibungslosen Ablauf sind auch noch zwei zusätzliche Ordner notwendig, die eigentlich automatisch erstellt und konfiguriert werden sollten. Aber ein Überprüfen schadet nie. Dabei handelt es sich um die Ordnerfreigaben:

  • netlogon
  • sysvol


Netlogon: Ist für Inhalte, die für das Anmelden verwendet werden sollen, wie z.B. ein Script, welches beim Anmelden des Benutzers ausgeführt werden soll. Voraussichtlich werde ich darauf in diesem Beitrag nicht eingehen.





Sysvol: Dieser Ordner beinhaltet alle notwendigen Elemente für die Richtlinien des Active Directorys, also Gruppenrichtlinienobjekte (GPO) und Gruppenrichtlinienpreferenzen (GPP) etc.. Darauf werde ich in den nächsten Punkten eingehen.





Beiden Ordnern sollten schon die richtigen Berechtigungen zugeordnet worden sein:

  • Schreibe- und Leseberechtigungen für die Gruppen „Domain Admins“ und „Domain Computers“
  • Nur Leseberechtigungen für die Gruppe „Domain Users“. Die Benutzer benötigen nicht mehr Rechte, da sie sich sich ja daran halten und die selbigen nicht selbst ändern können sollen.





Meiner Meinung nach benötigt auch nicht jeder Computer Schreibrechte. Das Entziehen selbiger kann allerdings Probleme beim Administrieren verursachen. Also besser auf Standardeinstellung belassen und Rechteentzug gegeben Falls nur sehr gezielt einsetzen.


Aufmerksamen Benutzern wird nicht entgangen sein, dass im Freigabe-Ordner „homes“ ein zusätzlicher Ordner erstellt wurde: „DOMAIN=Domänenname“ in meinem Fall „DOMAIN=Test“. Vergibt man diesem Ordner entsprechende Rechte, wird hier ein Ordner mit dem Benutzername erstellt.

Für mich naheliegend wäre, dass hier das servergespeicherte Benutzerprofil hin soll. Aber mit falschen Benutzerrechten – ohne Schreibrechte relativ schwierig. Auch mit angepassten Rechten will hier kein Profil hin – zumindest bei mir. Dies geht erst mit einer Anpassung in den Richtlinien.

Aber vielleicht weiß jemand von Euch wofür dieser Ordner eigentlich gedacht ist oder wofür man Ihn verwenden könnte. Mein Verdacht: Ein kleiner Bug. Macht aber nichts. Man weiß ich schließlich zu helfen. ;)



17. Microsoft Remoteserver-Verwaltungstools


Die Microsoft Remoteserver-Verwaltungstools, oder auch Remote Server Administration Tools kurz RSAT genannt, sind ab jetzt die erste Wahl für die Administration unseres Domänen Controllers und somit des:

  • Active Directory
  • DNS-Server
  • Gruppenrichtlinien

Manche werden schon schwer atmen: „Wollte doch keinen Microsoft Server haben“. Nun ist aber Active Directory einfach mal eine Microsoft Erfindung, weshalb auch ein Tool von Microsoft zum Einsatz kommt. Mit der WebGUI von QNAP kommt man hier leider so nirgends hin. Deshalb benötigen wir zuerst diese Tools.


Download und Informationen zur Installation siehe hier:

https://support.microsoft.com/…windows-operating-systems


Das für Eure Windows-Version passende Paket herunterladen und gemäß Microsoft-Anleitung installieren.


Zum Administrieren kann man sich entweder mit einem Administrator-Konto bzw. einem Konto mit administrativen Rechten – beides nur von der Domäne – anmelden oder startet die Tools mit administrativen Rechten. In meinem Beispiel zeige ich, wie das Einrichten mit administrativen Rechten unter einem Benutzer ohne administrativen Rechte funktioniert, als normal angemeldeter Domänen-Benutzer.


  • Mit <Windows-Taste>+<R> ein Ausführungsfenster öffnen
  • mmc eingeben und mit <Enter> bestätigen oder auf <OK> klicken
  • Nun öffnet sich eine Management Konsole



  • Mit > Datei > Speichern unter eine Microsoft Management Console Datei kurz msc abspeichern, z.B. auf dem Desktop. Ich nenne sie mal „Domaincontroller.msc“
  • Das Fenster wieder schließen
  • Mit Rechtsklick auf die neu erstellte Datei klicken und mit <Als Administrator ausführen> starten



  • Hier den Benutzernamen und Passwort des Domänen Administrators eingeben
  • Unter > Datei auf <Snap-In hinzufügen/entfernen...> klicken


Hier können nun verschiedene Verwaltungstools hinzugefügt werden. Für uns sind folgende von Interesse:

  • Active Directory-Benutzer und -Computer
  • DNS
  • Gruppenrichtlinienverwaltung


Diese mit <Hinzufügen >> zu den ausgewählten Snap-Ins hinzufügen und mit <OK> bestätigen.




Links unter <Konsolenstamm> werden jetzt die Tools aufgelistet.


Beim ersten Klick auf das Tool „DNS“ wird man nach der Verbindung zum DNS-Server gefragt. Hier auf <Folgendem Computer:> klicken und den Namen des DNS-Servers eingeben, also den Name des NAS, in meinem Fall „quirina“.




Hier kann den kurzen Gerätenamen oder den kompletten Domänenname – bei mir quirina.test.intern.de – verwendet werden. Ich bevorzuge den kompletten, spielt aber keine Rolle.

Wenn man die Ordner erweitert sollte dies dann etwa so aussehen:




Nun die Einstellungen unter

> Datei > Speichern

speichern, damit die Einstellungen beim nächsten Mal Öffnen erhalten bleiben.


Wie man sieht, hat man hier einiges mehr an Möglichkeiten am Domänen Controller Einstellungen vorzunehmen. Ganz so umfangreich wie bei einem echten Windows Domänen Controller sind sie nicht, aber für den Heimgebrauch und für kleine Unternehmen mehr als ausreichend.


So den einfachen Teil haben wir nun hinter uns und sind nun für die wirklich interessanten Dinge gerüstet. :)

Bis auf ein paar Besonderheit verhält sich der QNAP Domänen Controller jetzt eigentlich wie ein normaler Windows Domänen Controller. Deshalb werden wird als nächstes auf diese Eigenheiten eingehen. Aber Ihr ahnt es schon... Mehr dazu im nächsten Teil. :D