Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Kennwortreplikationsrichtlinie für schreibgeschützte Domänencontroller konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Wie wird eine Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) für schreibgeschützte Domänencontroller (RODCs) konfiguriert? Die Antwort darauf gibt Ihnen dieses Video.
06:46

Transkript

Wie eine Kennwortreplikationsrichtlinie – password replication policy – kurz PRP, für RODCs konfiguriert wird, erfahren Sie in diesem Video. In Bezug auf die zwischengespeicherten Benutzer- und Computeranmeldeinformationen haben RODCS ganz eigene Active Directory Domain Services-Replikationsanforderungen. Sie bestimmen mit Hilfe von Kennwortreplikationsrichtlinien die Anmeldeinformationen welcher Benutzer oder Computer auf dem Server zwischengespeichert werden dürfen. Wenn die Kennwortreplikationsrichtlinie es einem RODC gestattet, die Anmeldeinformationen eines Benutzers oder Computers zwischenzuspeichern, kann der RODC die Authentifizierung und die Dienstaktivitäten verarbeiten. Es besteht die Möglichkeit, diese Kennwortreplikationsrichtlinie in Active Directory- Benutzer und -Computer zu konfigurieren. Sie sehen, ich bin hier auf meinem Server, DCSVR01, habe den Server-Manager gestartet, Ich wähle Tools Active Directory- Benutzer und -Computer. Ich navigiere zu den Domänencontrollern und Sie sehen, hier habe ich einen schreibgeschützten Domänencontroller am Standort in Bern. Mit einem Rechtsklick auf diesen Server wähle ich Eigenschaften und dann habe ich ein Register Kennwortreplikationsrichtlinie, welches mir erlaubt, nun diese Kennwortreplikationsrichtlinie zu konfigurieren. Dazu wähle ich zum Beispiel Hinzufügen. Sie sehen, ich kann nun eine Entscheidung treffen: Möchte ich Kennwörter für das Konto auf dem RODC replizieren oder möchte ich sie nicht replizieren? Also erlauben oder verweigern? Wie bei allen Berechtigungen in der Windows-Umgebung: Verweigern ist immer stärker als erlauben. Ich möchte nun eine neue Sicherheitsgruppe hinterlegen. Ich wähle dazu OK und ich bestimme die Gruppe, zum Beispiel IT-Helpdesk. Ich wähle Namen prüfen und nun OK. Sie sehen, diese Gruppe hat nun das Recht, sich an diesem RODC anzumelden. Diese Anmeldeninformationen werden auf dem RODC lokal zwischengespeichert. Es gibt vordefinierte Gruppen für das Zwischenspeichern von Benutzeranmeldeinformationen, seien es abgelehnte oder auch erlaubte Gruppen. Hier haben wir die Standardgruppen: Abgelehnte RODC- Kennwortreplikationsgruppe und wir haben zulässige RODC- Kennwortreplikationsgruppe. Diese beiden Gruppen gelten für sämtliche Read-Only-Domänencontroller, die Sie in Ihren Umgebungen haben. Wenn Sie also einen Benutzer in dieser Gruppe hinzufügen und Sie mehrere Read-Only- Domänencontroller im Einsatz haben, dann gilt diese Gruppe für sämtliche Read-Only-Domänencontroller. Wenn Sie also für einen Standort eine spezifische Gruppe hinterlegen möchten, dass diese sich am RODC anmelden dürfen, müssen Sie mit einzelnen Sicherheitsgruppen arbeiten. Also, wie ich es gerade gemacht habe. Ich gehe nochmal zu den Domänencontrollern. Hier am Standort Bern habe ich einen schreibgeschützten Domänencontroller. Rechtsklick Eigenschaften Ich bestimme nun die IT-Helpdeskgruppe. Ich wähle sie nochmal aus. Erlauben OK IT-Helpdesk. Namen prüfen OK. Diese hat nun die Berechtigung. Und diese Gruppe würde ich entfernen, damit nur die Kennwörter der IT-Helpdesk-Sicherheitsgruppe auf diesem Server zwischengespeichert werden. Die Standard-Gruppe, welche für alle RODCs gilt, entfernen wir, damit nur eine Sicherheitsgruppe, die wir ausgesucht haben, diese Informationen zwischenspeichern kann. Das ist ein wichtiger Schritt, so dass Sie nicht versehentlich die Standardgruppe verwenden. Alle Benutzer in dieser Standard-Gruppe können auf Center RODC ihre Kennwortinformationen zwischenspeichern. Wir haben die Möglichkeit, wenn wir die Schaltfläche Erweitert klicken, mehrere Informationen auszulesen. Wir sehen zum Beispiel hier Konten, deren Kennwörter auf diesem schreibgeschützten Domänencontroller gespeichert sind. Das ist das Computer-Konto als solches und das Kerberos-Ticket. Wir können auch von diesem schreibgeschützten Domänencontroller authentifizierte Konten anschauen. Sie sehen selber, da sind sehr, sehr viele Konten hinterlegt. Unter anderem habe ich meine eigene Regel missachtet. Ich habe mich mit dem Domänenadministrator an diesem System angemeldet. Das ist wirklich eine nicht akzeptable Situation. Sie sollten wirklich darauf achten, dass Sie sich niemals mit einem Domänen-Administrator an einem Read-Only- Domänencontroller anmelden. Das sollten Sie wirklich, wann immer möglich, vermeiden. Sie können auch unter dem Richtlinienergebnis validieren, welche Konten dürfen sich an dem RODC anmelden und welche nicht. Dann können wir zum Beispiel mit der Schaltfläche Hinzufügen dies herausfinden. Ich wähle Administrator Namen prüfen, sehe hier, das wird aufgelöst, wähle OK und ich sehe, dieser Administrator ist explizit verweigert. Er darf sich also nicht am Read-Only-Domänencontroller anmelden. Wir können auch mit Hilfe der Eingabeaufforderung verifizieren, welche Konten sich bereits am Read-Only- Domänencontroller angemeldet haben. Dazu verwenden wir die Eingabeaufforderung mit Administratorenrechten. Ich habe hier den entsprechenden Befehl vorbereitet. Das ist repadmin /prp – password replication policy – view, dann den entsprechenden Domänencontroller angeben, mit reveal. Als Resultat werden uns ebenfalls die beiden Konten angezeigt, die wir vorhin bereits gesehen haben. Nämlich das Computerkonto und das Kerberos-Konto. Sie haben also gesehen, wie Sie Kennwortreplikationsrichtlinien erstellen können in der Konsole Active Directory- Benutzer und -Computer. Ich empfehle Ihnen, schauen Sie sich das genau an, damit Sie die richtigen Kennwortrichtlinien hinterlegen, damit die Passwörter zwischengespeichert werden, welche Sie wirklich wollen, und alle anderen sollen davon entfernt bleiben.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

2 Std. 56 min (26 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!