Active Directory

System Management 1

Was ist Active Directory?

Ein Verzeichnisdienst von Microsoft für Windows-Netzwerke. Er speichert Objekte (Benutzer, Computer, Gruppen, Drucker) hierarchisch, bietet Authentifizierung (Kerberos) und Autorisierung, zentrales Management über Gruppenrichtlinien. Er ermöglicht die Verwaltung von Benutzerzugriffsrechten, Sicherheitsrichtlinien und die Organisation von Netzwerkressourcen.

Was ist ein Domain Controller (DC)?

Ein Server mit der Active Directory Domain Services (AD DS) Rolle. Er speichert eine Kopie der AD-Datenbank, authentifiziert Benutzer, stellt LDAP-Informationen bereit. Ein Domain Controller (DC) ist verantwortlich für die Verwaltung von Benutzerdaten und Sicherheitsrichtlinien innerhalb einer Active Directory-Domäne. Er ermöglicht den Zugriff auf Netzwerkressourcen und sorgt für die Sicherheit durch Authentifizierung.

Was ist eine Organizational Unit (OU)?

Ein Container innerhalb einer AD-Domäne, der zur logischen Strukturierung dient (z.B. nach Abteilung oder Standort). An OUs können Gruppenrichtlinien verknüpft und Administrationsrechte delegiert werden. OUs helfen bei der Verwaltung von Benutzern, Computern und anderen Objekten, indem sie eine hierarchische Organisation innerhalb von Active Directory ermöglichen.

Was ist eine AD-Gesamtstruktur (Forest)?

Die oberste logische Grenze in Active Directory. Eine Forest kann mehrere Domänen enthalten, die ein gemeinsames Schema und Konfigurationen teilen. Domänen innerhalb einer Forest vertrauen sich automatisch. Die Gesamtstruktur umfasst die gesamte Sammlung von Active Directory-Domänen und -Organisationseinheiten, definiert die Sicherheitsgrenzen und ermöglicht eine zentrale Verwaltung von Benutzern und Ressourcen.

Was sind Sicherheitsgruppen in AD?

Gruppen, denen Berechtigungen zugewiesen werden können (z.B. auf Dateifreigaben). Sie erleichtern die Rechteverwaltung, da man Rechte einer Gruppe zuweist und dann Benutzer in die Gruppe aufnimmt.

Erklären Sie das IGDLM-Prinzip für AD-Berechtigungen.

I = Identitäten (Benutzer) werden in G = globale Gruppen aufgenommen. Diese werden in D = domänen-lokale Gruppen gesteckt. Diese werden dann L = lokal auf der Ressource (z.B. NTFS) mit Berechtigungen versehen (M = mit Rechten). Das IGDLM-Prinzip steht für eine effektive Verwaltung von Berechtigungen in Active Directory. Durch diese Struktur wird eine klare Hierarchie geschaffen, die eine effiziente Rechteverwaltung und -zuweisung gewährleistet.

Wofür werden Gruppenrichtlinien (GPO) verwendet?

Sie erlauben die zentrale Konfiguration von Windows-Einstellungen (z.B. Passwortrichtlinien, Desktop-Hintergrund, Softwareverteilung). Sie werden auf eine OU verknüpft.

Welches Protokoll wird in AD zur Authentifizierung verwendet?

Kerberos (vergibt „Tickets“ anstelle von Passwort-Übertragung) und sorgt für eine sichere Authentifizierung der Benutzer in einem Netzwerk.

Welches Protokoll wird in AD zum Abfragen und Ändern von Verzeichnisinformationen verwendet?

LDAP (Lightweight Directory Access Protocol) auf Port 389.

Warum ist DNS für Active Directory unverzichtbar?

Clients und Domain Controller finden einander über DNS-Einträge (insbesondere SRV-Records). Ohne funktionierenden DNS ist AD nicht nutzbar.

Was ist eine Namenskonvention? Geben Sie ein Beispiel für einen Servernamen.

Eine systematische Regel zur Vergabe von Namen für IT-Ressourcen. Beispiel: ZRH-V-ADC001 = Standort Zürich, virtuell, Domain Controller, Nummer 001. Eine Namenskonvention definiert formale Richtlinien zur einheitlichen Benennung von IT-Ressourcen, um deren Identifikation zu erleichtern.

Welche maximale Länge hat ein NetBIOS-Computername in Windows?

Ein NetBIOS-Computername in Windows kann maximal 15 Zeichen lang sein.

Was ist der Unterschied zwischen einer globalen und einer universellen Gruppe in AD?

Globale Gruppen enthalten Benutzer aus der gleichen Domäne. Universelle Gruppen können Benutzer aus jeder Domäne in der Gesamtstruktur enthalten, werden aber nur auf Domain Controllern im globalen Katalog abgebildet.

Was ist ein FSMO-Rolle?

Flexible Single Master Operation – spezielle Rollen, die nur von einem Domain Controller ausgeführt werden (z.B. PDC-Emulator, RID-Master). Sie verhindern Konflikte bei Schreibvorgängen.