M159 Active Directory P2

Active Directory (AD) Begriffe:

  • Domain:

    • Definition: Organisationseinheit in AD, repräsentiert eine Sammlung von Objekten, Benutzern, Computern usw.
  • Forest:

    • Definition: Eine Sammlung von einem oder mehreren AD-Domänen, die ein gemeinsames Schema, Konfiguration und globalen Katalog teilen, verbunden durch Vertrauensstellungen.
  • Tree:

    • Definition: Eine hierarchische Anordnung von Domänen in AD, bildet einen zusammenhängenden Namensraum.
  • GC (Global Catalog):

    • Definition: Ein verteiltes Datenrepository, das eine durchsuchbare, teilweise Repräsentation aller Objekte im Forest enthält.
  • GPO (Group Policy Object):

    • Definition: Einstellungen, die auf Benutzer- und Computerobjekte in AD angewendet werden, um Konfigurationen und Sicherheitseinstellungen zu definieren.
  • DNS (Domain Name System):

    • Definition: Übersetzt Domainnamen in IP-Adressen und umgekehrt, entscheidend für die AD-Funktionalität.
  • OU (Organizational Unit):

    • Definition: Ein Container innerhalb einer Domäne, der zur Organisation und Verwaltung von Objekten für einfachere Administration verwendet wird.
  • AGDLP:

    • Definition: Ein Akronym für das Sicherheitsmodell "Account, Global, Domain Local, Permissions" - bewährte Praxis zur Vergabe von Berechtigungen in AD.
  • UPN (User Principal Name):

    • Definition: Der Benutzername und der Domainname eines AD-Benutzerkontos, oft für Anmeldungen verwendet.
  • RODC (Read-Only Domain Controller):

    • Definition: Ein Domänencontroller, der eine schreibgeschützte Kopie der AD-Datenbank enthält, nützlich an entfernten Standorten.

Berechtigungen mit AGDLP Setzen:

  • AGDLP:
    • Verwende AGDLP, um Berechtigungen festzulegen:
      • Weise Berechtigungen gemäß dem AGDLP-Sicherheitsmodell zu.
      • Befolge die bewährte Praxis, Berechtigungen über verschachtelte Gruppen zuzuweisen.

Was kann ich alles mit GPOs:

  • Group Policy Objects (GPOs):
    • Setze Konfigurationen und Richtlinien für Benutzer und Computer.
    • Erzwinge Sicherheitseinstellungen.
    • Verteile Software.
    • Kontrolliere Benutzerumgebungen.
    • Implementiere Skripte und Anmelde-/Abmeldeverhalten.
  • GPO-Verwaltung:
    • Links:
      • Ordne GPOs AD-Containern zu (Standorte, Domänen, OUs).
    • Verteilung:
      • GPOs werden automatisch an alle DCs in der Domäne verteilt.
    • Forcierung:
      • Erzwinge GPO-Einstellungen, auch wenn sie auf einer niedrigeren Ebene überschrieben wurden.
    • Versionierung:
      • GPOs haben Versionsnummern zur Nachverfolgung von Änderungen.

Erstellen von GPOs:

  • Erstellen von GPOs:
    • Verwende die Gruppenrichtlinienverwaltungskonsole (GPMC).
    • Navigiere zu "Forest" -> "Domains" -> "Deine Domäne" -> "Gruppenrichtlinienobjekte".
    • Klicke mit der rechten Maustaste, um ein neues GPO zu erstellen.

Update und "Debugging von GPOs mit CMD":

  • Update und Debugging von GPOs mit CMD:
    • GPO aktualisieren:
      • gpupdate /force - Erzwinge eine sofortige Aktualisierung von GPOs.
    • Debugging von GPOs:
      • gpresult /r - Zeige das Ergebnis der angewandten Richtlinien.

Logische Sicht auf ein AD:

  • Logische Sicht auf ein AD:
    • Verstehe OUs, Domänen, Trees und Forests.
    • Erkenne die logische Organisation von AD-Komponenten.

Physische Elemente einer Domain:

  • Physische Elemente einer Domäne:
    • DC (Domänencontroller):
      • Server, die Benutzer authentifizieren, Sicherheitsrichtlinien durchsetzen und AD-Datenbanken verwalten.
    • Standorte:
      • Physische Standorte in AD, verbunden durch ein Hochgeschwindigkeitsnetzwerk.

Vertrauensstellungen:

  • Vertrauensstellungen:
    • Unidirektional:
      • Das Vertrauen fließt in eine Richtung.
    • Bidirektional:
      • Das Vertrauen fließt in beide Richtungen.
    • (Nicht) Transitiv:
      • Nicht Transitiv: Direkte Verbindungen zwischen bestimmten Domänen, ohne automatische Ausdehnung auf andere.