MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Replikation auf schreibgeschützten Domänencontrollern konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich anhand dieses Videos mit der Replikation auf schreibgeschützten Domänencontrollern (RODC) vertraut und lernen Sie, wie Sie wichtige Konfigurationsmaßnahmen durchführen.
05:52

Transkript

Die Replikation auf schreibgeschützte Domänencontroller konfigurieren ist das Thema in diesem Video. Ein Read-Only-Domänencontroller kommt wahrscheinlich aus einem spezifischen Grund zum Einsatz. Nämlich dann, wenn an einem kleinen Standort keine physische Sicherheit gewährleistet werden kann. Wenn Sie also zum Beispiel einen Server brauchen an einem Standort, der drei, vier Arbeitsplätze hat, dort ist keine physische Sicherheit verfügbar und Sie können den Server nur neben dem Kühlschrank in der Küche hinstellen, dann ist ein RODC wirklich genau das richtige Instrument. Wir wollen aber nicht, dass Sie sich zum Beispiel an diesem schreibgeschützten Domänencontroller als Administrator anmelden oder sogar noch als Organisationsadministrator. Dazu habe ich Ihnen als ersten Schritt eine Technet-Artikel vorbereitet, der genau dieses Szenario beschreibt. Read-Only Domain Controller Administration Wie sollte man einen Read-Only-Domaincontroller administrieren? Hier erhalten Sie die nötigen Hinweise, verwenden Sie die Management-Tools, setzen Sie die RSAT-Tools ein, verwenden Sie Windows Remote Management und Windows Remote Session und ein ganz wichtiger Punkt ist ein wenig weiter unten in diesem Artikel sehr schön beschrieben. Hier steht: Restrict logon with a privileged account in a site that has a Read-Only Domain Controller In diesem Satz steht genau beschrieben, You should never log on to it – locally or remotely with Terminal Services, by using highly privileged credentials – such as Domain Admins or Enterprise Admins Sie sollten also niemals sich mit einer Remote Desktop-Sitzung an diesem Read-Only-Domaincontroller anmelden und dann noch als Benutzername den Domänen-Admin verwenden oder den Enterprise-Admin. Denn es besteht die Möglichkeit, dass diese Informationen in einem Cache zwischengespeichert werden. Das ist ein ganz wichtiger Punkt, dass Sie das niemals vergessen. Nun denken Sie: Das ist ja gut, aber wie kann ich diesen Read-Only- Domaincontroller denn verwalten? Ich muss ja vielleicht einmal einen Treiber installieren oder Windows Updates konfigurieren. Ich möchte diese Konfiguration vielleicht ja einer bestimmten Person zuweisen. Genau da haben Sie recht. Da besteht nun die Möglichkeit, das in verschiedenen Schritten umzusetzen. Die erste Möglichkeit besteht darin, dass Sie Active Directory- Benutzer und -Computer verwenden. Dazu navigiere ich zum Server-Manager, starte Tools Active Directory- Benutzer und -Computer. Ich navigiere zu den Domänencontrollern. Ich öffne das Kontextmenü von BE-DC01. Sie sehen übrigens in der Beschreibung, das ist ein schreibgeschützter Domänencontroller. Mit Rechtsklick wähle ich Eigenschaften und dann wähle ich Verwaltet von. Ich kann hier eine entsprechende Sicherheitsgruppe hinterlegen. Zum Beispiel ist hier IT-Helpdesk hinterlegt. Sie können das ändern, indem Sie auf die Schaltfläche Ändern klicken. Ich möchte zum Beispiel eine neue Sicherheitsgruppe hinterlegen. Diese Sicherheitsgruppe heißt Bern RODC Admin. Nun habe ich die Sicherheitsgruppe RODC Admin hinterlegt. Ich kann nun in diese Sicherheitsgruppe einen Benutzer hinterlegen. Dieser Benutzer hat dann die Rechte, diesen Read-Only-Domänencontroller zu verwalten. Er kann Windows Updates installieren. Er kann sich lokal an diesem System anmelden. Er hat die Möglichkeit, Treiber-Software zu aktualisieren. Er kann also das System verwalten. Das ist ein ganz wichtiger Punkt. Sie haben selbstverständlich auch die Möglichkeit, sich mit dem System zu verbinden und dann mit den entsprechenden Security Policies zu arbeiten. Mit den lokalen Security Policies, zum Beispiel mit secpol.msc, können Sie hier in den lokalen Richtlinien hinterlegen, wie möchten Sie die verschiedenen Benutzerrechte zuweisen? Sie sehen hier sehr schön, auch da wiederum können Sie die entsprechende Sicherheitsgruppe auswählen und ganz spezifisch definieren, was diese Sicherheitsgruppe ausführen darf. Oder aber auch Sie können das Tool ntdsutil einsetzen. Dazu starten Sie eine Kommandozeile mit Administratorenrechten. Sie starten dann das Tool ntdsutil. Sie geben hier dann entsprechend local roles ein. Sie sehen, dann ist lokale Rollen die aktive Instanz. Mit einem Fragezeichen erhalten Sie die weiteren Befehle, damit Sie hier die Möglichkeit haben, einem spezifischen Administrator die Berechtigung zu geben, den Read-Only- Domänencontroller zu verwalten. Diese Informationen können Sie auch noch aus dem Technet-Artikel auslesen, den ich Ihnen bereits gezeigt habe. Sie sehen hier in dem Artikel, wenn Sie nach ntdsutil suchen, wie Sie diese Konfiguration umsetzen können. Sie sehen hier ntdsutil local roles, damit Sie einen delegierten Administrator erstellen können. Sie sehen also, es ist wirklich ganz wichtig, dass Sie sich Gedanken machen, wie wollen Sie Ihren Read-Only-Domänencontroller verwalten, damit Sie sich nicht versehentlich mit einem Domänen-Administratorkonto an diesem Server anmelden.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

2 Std. 56 min (26 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!