Zum Inhalt wechseln


Foto

AD Fragen


  • Bitte melde dich an um zu Antworten
53 Antworten in diesem Thema

#1 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 02. Juli 2014 - 19:51

Hallo,

 

Während ich AD lerne und verstehe, würde ich nun gerne wissen ob ich paar Dinge richtig verstanden habe.

 

Um ein Rechner in die Domäne anzumelden, bracht man ein Login/PWD von einem Konto am DC der dazu berechtigt ist. Unter anderem auch der Administrator Konto. Nutzt man idR dieses Konto dafür? Sofern man nur alleine als Sysadmin arbeitet, sehe ich keine Nachteile.

 

Weiterhin, wenn man dieses Login für die Anmeldung verwendet, heißt noch lang nicht, dass man für diesen Rechner je ein Konto auf dem DC erstellen bzw. nutzen wird. Bei einem anderen Server, wie FS, SQL-SRV, wird die IP vermutlich fix vergeben und zum einloggen üblicherweise Administrator Konto verwendet (der lokale Administrator Konto). Korrekt?

 

Sind vermutlich eher simple Fragen.

 

Danke :)

Kosta



#2 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 02. Juli 2014 - 20:35

Zu 1: "Arbeitsstationen zur Domäne hinzufügen" ist Dein Suchbegriff.

Zu 2: Das verstehe ich nicht  - was ist die Frage?


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#3 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 02. Juli 2014 - 21:00

Hallo Martin,

Danke für die rasche Antwort.

1) ich weiss "wie" man die Arbeitsstation zur Domäne hinzufügt. Meine Frage war bloss, ob man das Administrator Konto dafür üblicherweise nutzt, oder erstellt man sich ein anderes? Es ist mehr oder weniger eine Sicherheitsfrage. Ich sehe kein Nachteil darin dass ich das Administrator Konto nutze, nun frage ich mich ob sinnvoll und notwendig ist, ein anderes Konto, wie zB. "Admin" zu erstellen, und diesen dann die Berechtigung geben, die Nutzer der Domäne hinzufügen.

 

2) Die Frage ist, ob Sinn macht, die Server der Domäne hinzufügen, wenn man eigentlich nur das lokale Administrator Konto nutzt? Grundsätzlich ist es bei einem Server so, dass man meistens nur das Administrator Konto nutzt, und dieser dann als Fileserver, SQL-Server oder was auch immer sonst dient. Hier gehe ich noch nicht in das Thema Terminalserver, da dieser auch in unseren Netzwerk existiert, und da sind die Sachen anders, da dieser natürlich Nutzer enthält.

Die Grundfrage unter 2 ist: was bringt eine Domänenteilnahme einen Server, wenn man nur das lokale Konto nutzt?


Bearbeitet von kosta88, 02. Juli 2014 - 21:02.


#4 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 02. Juli 2014 - 21:03

Zu 2: (hoffentlich habe ich die implizierten Fragen verstanden)

a) Computer-Konten werden beim Beitritt zur Domäne erstellt - können auch vorab bereitgestellt werden

B) Das 'Administrator' Konto würde ich nicht verwenden, sondern ein zusätzliches Konto mit den selben Berechtigungen anlegen und den 'Administrator' deaktivieren

c) mit lokalen Konten wird in einer Domäne nur gearbeitet, wenn es eine Notwendigkeit dafür gibt. Ein Zweck der Domäne ist die zentrale Benutzerverwaltung, um nicht lokale Konten nutzen zu müssen.


Bearbeitet von Dunkelmann, 02. Juli 2014 - 21:03.

Keep It Small - Keep It Simple


#5 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 02. Juli 2014 - 22:19

 Ein Zweck der Domäne ist die zentrale Benutzerverwaltung, um nicht lokale Konten nutzen zu müssen.

 

Eh klar, dafür will ich es auch haben - spezifisch eigentlich nur für 10 Rechner, die ich nicht einzeln konfigurieren will.

 

Nun, zu den Servern: d.H. ich kann mir wohl ein einziges Konto im AD erstellen, den ich dann für alle Server nutze? Ein Konto mit vollen Admin Rechten und mit gewissen Einstellungen, die dann vom Server zum Server übernommen werden? Sagen wir es wird srvadmin heissen, dann gebe ich diesen User bestimmte Einstellungen und die Sache hat sich. Muss natürlich den Nutzer auch am jeden Server (lokal) erstellen?



#6 Sunny61

Sunny61

    Expert Member

  • 22.233 Beiträge

 

Geschrieben 02. Juli 2014 - 22:25

2) Die Frage ist, ob Sinn macht, die Server der Domäne hinzufügen, wenn man eigentlich nur das lokale Administrator Konto nutzt?



Weshalb nutzt Du nur ein lokales Konto wenn Du ein zentrales nutzen kannst? Welchen Vorteil hast du durch das lokale Konto? Wenn Du auf Ressourcen der Domain zugreifen willst, mußt Du dich erneut authentifizieren. Wenn nur das lokale Konto nutzen willst, weshalb brauchst Du dann überhaupt eine Domain?

Grundsätzlich ist es bei einem Server so, dass man meistens nur das Administrator Konto nutzt, und dieser dann als Fileserver, SQL-Server oder was auch immer sonst dient. Hier gehe ich noch nicht in das Thema Terminalserver, da dieser auch in unseren Netzwerk existiert, und da sind die Sachen anders, da dieser natürlich Nutzer enthält.



Wieso enthält ein TS Nutzer? Meinst Du lokale Konten? Er enthält keine Domainkonten, nur können die Konten in der Domain den Dienst nutzen, wenn es passend konfiguriert ist.

Die Grundfrage unter 2 ist: was bringt eine Domänenteilnahme einen Server, wenn man nur das lokale Konto nutzt?


Gruppenrichtlinien und eine zentrale Verwaltung des Objektes. Weshalb nutzt Du eine Domain wenn Du nur eine Arbeitsgruppe möchtest?

 
Nun, zu den Servern: d.H. ich kann mir wohl ein einziges Konto im AD erstellen, den ich dann für alle Server nutze? Ein Konto mit vollen Admin Rechten und mit gewissen Einstellungen, die dann vom Server zum Server übernommen werden?


Welche Einstellungen vom Benutzerkonto sollen von einem Server übernommen werden?

Sagen wir es wird srvadmin heissen, dann gebe ich diesen User bestimmte Einstellungen und die Sache hat sich. Muss natürlich den Nutzer auch am jeden Server (lokal) erstellen?


Wieso mußt Du einen User lokal erstellen wenn es ein Konto aus dem AD ist? Mir dünkt da fehlen noch Grundlagen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#7 Doso

Doso

    Board Veteran

  • 2.501 Beiträge

 

Geschrieben 02. Juli 2014 - 23:19

Kann man machen, sollte man aber nicht. Ein mächtiges "kann alles" Konto hat gewisse Risiken. Die Erfahrung macht man irgendwann. Wenn man sich z.B. als Domain Admin am Nutzer Pc einloggt und Druckerprobleme lösen will, dabei aber den Drucker vom Server löscht.



#8 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 03. Juli 2014 - 06:37

Best Practice ist: Ein Domainadministrator ist zum Anmelden am Domain Controller da. Für alles andere richtet man sich einen einfachen Admin-Account ohne Domainadministrator-Rechten ein und fügt ihn (oder eine entsprechende Gruppe) auf den Domainmitgliedern in die Gruppe der lokalen Administratoren hinzu. Das geht prima über Gruppenrichtlinien. Für das Hinzufügen zur Domäne kannst DU sogar einen nicht-administrativen Account anlegen und dem das Recht delegieren, diese Arbeit durchführen zu können.

 

Server gehören genauso wie Clients in die Domäne. Dann brauchst Du dort auch kein lokales Konto nutzen und die Anwender können problemlos mit ihren Domänenkonten auf den Server über das Netz zugreifen. Lies Dich doch mal in die Grundlagen von Active Directory rein. Ein gutes Administrator-Handbuch für Windows Server sollte da weiterhelfen.

 

Have fun!
Daniel


.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#9 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 03. Juli 2014 - 06:53

Weshalb nutzt Du nur ein lokales Konto wenn Du ein zentrales nutzen kannst? Welchen Vorteil hast du durch das lokale Konto? Wenn Du auf Ressourcen der Domain zugreifen willst, mußt Du dich erneut authentifizieren. Wenn nur das lokale Konto nutzen willst, weshalb brauchst Du dann überhaupt eine Domain?


Ja, sind alles berechtigte Fragen.
Wie schon oben erwähnt, die Domäne bzw. zentrale Nutzerverwaltung brauche ich eigentlich nur für die 10 Nutzer. Wir haben daneben aber noch andere 20 Mitarbeiter und einige VMs. Wenn ich schon eine Domäne aufziehe, werde ich dann wohl alle zur Domäne hinzufügen.


Wieso enthält ein TS Nutzer? Meinst Du lokale Konten? Er enthält keine Domainkonten, nur können die Konten in der Domain den Dienst nutzen, wenn es passend konfiguriert ist.


TS bekommt lokale Konten, damit sich die Nutzer per RDP einloggen können. Wenn ich das richtig verstehe, diese sind nicht Domänennutzer, sondern lokal für den TS. Jeder hat seinen Desktop etc.
Die Rechner selber (das sind die oben erwähnten 10 Rechner) sind aber schon in der Domäne, damit ich die Rechte zentral verwalten kann.

Gruppenrichtlinien und eine zentrale Verwaltung des Objektes. Weshalb nutzt Du eine Domain wenn Du nur eine Arbeitsgruppe möchtest?


Weil das, was ich wie oben beschrieben will, kann ich nicht über Arbeitsgruppe lösen. Die Rechner müssen fix in einer Domäne sein, und damit zentral verwaltet werden. Aus der Domäne kommt man auch nicht ohne dem Admin-Passwort.

Welche Einstellungen vom Benutzerkonto sollen von einem Server übernommen werden?


Verstehe die Frage nicht. Die Gruppenrichtlinien, wenn ich welche setzen will, wirken sich dann auf diesen Nutzer aus, egal wo der ist.

Wieso mußt Du einen User lokal erstellen wenn es ein Konto aus dem AD ist? Mir dünkt da fehlen noch Grundlagen.


Das war meinerseits ein Denkfehler. Ich will eigentlich einen Domänenadmin, und wenn man sich einloggt, wird dieser sowieso lokal gecached. Man erstellt eh keinen User lokal. Lokale Administrator Konto existiert weiterhin, hat aber mit der Domäne nichts zu tun.

#10 Dukel

Dukel

    Board Veteran

  • 9.309 Beiträge

 

Geschrieben 03. Juli 2014 - 06:56

TS bekommt lokale Konten, damit sich die Nutzer per RDP einloggen können. Wenn ich das richtig verstehe, diese sind nicht Domänennutzer, sondern lokal für den TS. Jeder hat seinen Desktop etc.
Die Rechner selber (das sind die oben erwähnten 10 Rechner) sind aber schon in der Domäne, damit ich die Rechte zentral verwalten kann.

 

Gleiches Thema wie mit den Administratoren. Wieso?

D.h. jeder Mitarbeiter hat ein Domänennutzer und ein TS Nutzer?


Stop making stupid people famous.


#11 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 03. Juli 2014 - 06:59

Best Practice ist: Ein Domainadministrator ist zum Anmelden am Domain Controller da. Für alles andere richtet man sich einen einfachen Admin-Account ohne Domainadministrator-Rechten ein und fügt ihn (oder eine entsprechende Gruppe) auf den Domainmitgliedern in die Gruppe der lokalen Administratoren hinzu. Das geht prima über Gruppenrichtlinien. Für das Hinzufügen zur Domäne kannst DU sogar einen nicht-administrativen Account anlegen und dem das Recht delegieren, diese Arbeit durchführen zu können.
 
Server gehören genauso wie Clients in die Domäne. Dann brauchst Du dort auch kein lokales Konto nutzen und die Anwender können problemlos mit ihren Domänenkonten auf den Server über das Netz zugreifen. Lies Dich doch mal in die Grundlagen von Active Directory rein. Ein gutes Administrator-Handbuch für Windows Server sollte da weiterhelfen.
 
Have fun!
Daniel

Okay, super. Das hilft. Und ja, bin gerade dabei diese Sachen zum lernen, genauso wie bei den anderen Themen :) Nun wie immer das so ist, lange mit der Einrichtung kann ich nicht warten, und ein simples Setup am Anfang wird reichen, um einige weitere Installationen durchführen zu können. Ich kann zB. sagen, nachdem ich vorige Woche erfolgreich VLAN eingerichtet habe, jetzt habe ich den WinSrv2008R2 DC mit DNS und DHCP der ordentlich funktioniert, und die VMs die den DNS sehen und via nslookup ordentlich Forward und Reverse Lookup Zonen eintragen :)

Bearbeitet von kosta88, 03. Juli 2014 - 06:59.


#12 Xanathos

Xanathos

    Senior Member

  • 524 Beiträge

 

Geschrieben 03. Juli 2014 - 08:55

Also bei AD Oder ADDC => Server gespeicherten Profilen, gibt es schon ein paar Dinge die zu beachten sind. (ja nach Version weicht es auch ab).

 

Aber Dazu empfehle ich dir einmal dir ein oder zwei Bücher zu kaufen oder nach Helpseiten zu schauen.

 

z.B.:

 

https://www.galileo-press.de/

 

Markt und Technik hatte auch einige Bücher über Server Technik, scheinen aber keine aktuelle mehr zu haben (hab nur kurz geguggt).

 

oder eben MS Press :)

 

 

Prinzipel würde ich dir empfehlen nicht mit dem Haupt-Administrators des DC herum zu spielen (s.o.). Dan das kann böse ins Auge gehen. Ich hatte mal einen Admin der Server gespeicherte Profile eingerichtet hat und mit dem Server Admin zum testen angefangen hat und auch auf den Lokalen Clients gearbeitet hat. Dann wurde das Profil in zu den Server gespeicherten hinzu gefügt und dann war es "weg". Bzw. es wurde auf das neue VZ der SErver gespeicherten Profile umgelenkz und die Ursprünglichen Einstellunge und der Desktop wird neu erstellt, weil ja keine Infos dort liegen... (bei SBS 2003 war das).

 

 

Zum besseren Verständis versuche ich dir das Grundlegende zu erklären (bitte um korrektur falls ich etwas Falsch reinschreibe).

 

Ein Admin Konto, ob Server oder Client, ist der oberste Chef auf seinem System und sollte nicht für Tests verwendet werden. Grundsätzlich sollte man auf dem Client und dem Server ein Arbeits- Admin-Konto einrichten (auf dem Server vlt. 2)
((bei XP muss das Admin Kto eh erst Aktiviert werden, aber das ist wieder eine andere Sache).

 

Zum Grundverständnis, ein Profil also der Account auf einem Rechner ist immer ein Lokale Instanz!

Bis du dieses Profil  an einer Domäne anmeldest!  Dann ist es auf dem Lokalen Rechner weg und wird nur noch beim Hoch fahren des Rechners mit dem Domänen Computer geladen.
(also hättest du keine Anmeldungsmöglichkeit mehr auf den Lokalen Client, du kannst aber auch, an Lokalen Rehner anmelden ohne Domäne, aber das würde dich jetzt verwirren).

 

Für deinen Client gibt es also nur drei Grund Konto Typen:

 

Login auf dem Client ohne Domäne

Login auf dem Client mit Domäne

Lokaler Admin ohne Domäne

 

Dieser Admin ist nich mit dem Admin des Servers oder des DC gleich zu setzten und sollte wie erwähnt, nicht mit einem Server Admin Konto bedient oder übernommen werden.

 

Das warum kommt jetzt!

 

Wenn du dein Server Grundssystem installiert hast,

(in diesem Falle 2008R2, ob es bei den Nachfolger anders ist kann ich jetzt nicht sagen)

dann ist das Admin Konto des Servers vorhanden und wie jedes andere Konto anzusehen.

 

Zum besseren Verständnis

Nun willst du die Rolle für den DC installieren und hier kommt der Punkt, wo dieses Konto nicht mehr als Lokales Konto existiert. Es wird ein Domänenkonto und der Server kennt keinen Lokalen Kontotyp mehr. D.H. dein Server Administrator ist nun nur noch der DC Administrator...

Daher, wie oben erwähnt, sollte man dieses Admin Konto wie die heilige Kuh hüten!. ^^

 

Wenn du die DC Rolle wieder deinstallierst, wird das wieder zurück gesetzt!

 

Achtung, immer brav ein PW für den DC Admin eingeben, sonst killst du deinen Server...

(ich hoffe ich habe jetzt keinen Stuz erzählt) :)


Es gibt nix Besseres wia was Guats


#13 Sunny61

Sunny61

    Expert Member

  • 22.233 Beiträge

 

Geschrieben 03. Juli 2014 - 11:22

Ja, sind alles berechtigte Fragen.
Wie schon oben erwähnt, die Domäne bzw. zentrale Nutzerverwaltung brauche ich eigentlich nur für die 10 Nutzer. Wir haben daneben aber noch andere 20 Mitarbeiter und einige VMs. Wenn ich schon eine Domäne aufziehe, werde ich dann wohl alle zur Domäne hinzufügen.


Genau, ab 3 Benutzern rentiert sich das.

TS bekommt lokale Konten, damit sich die Nutzer per RDP einloggen können. Wenn ich das richtig verstehe, diese sind nicht Domänennutzer, sondern lokal für den TS. Jeder hat seinen Desktop etc.


Du verwechselst Konten mit Profilen. Du brauchst kein lokales Konto anzulegen, wenn die passende Rolle installiert ist, Du einen Lizenzserver für die RD-Lizenzen hast, dann kann sich der Benutzer aus dem AD am TS anmelden. Je nach Einstellung im AD in seinem Benutzerkonto bekommt er ein lokales *Profil* oder ein Servergespeichertes *Profil* erstellt. Konto != Profil!

Verstehe die Frage nicht. Die Gruppenrichtlinien, wenn ich welche setzen will, wirken sich dann auf diesen Nutzer aus, egal wo der ist.


Wenn es ein lokaler Benutzer ist, zieht aber kein Benutzer-GPO.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#14 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 03. Juli 2014 - 19:36

Zum Grundverständnis, ein Profil also der Account auf einem Rechner ist immer ein Lokale Instanz!

Bis du dieses Profil  an einer Domäne anmeldest!  Dann ist es auf dem Lokalen Rechner weg und wird nur noch beim Hoch fahren des Rechners mit dem Domänen Computer geladen.
(also hättest du keine Anmeldungsmöglichkeit mehr auf den Lokalen Client, du kannst aber auch, an Lokalen Rehner anmelden ohne Domäne, aber das würde dich jetzt verwirren).

 

Hmmm, nicht wie ich es (aus dem Buch, und vom "Eli") verstanden habe.

Wenn man sich bei der Domäne anmeldet, ist zwar das Konto in der Domäne, die Dateien (Profil) liegen aber noch immer lokal. Aus der Domäne wird lediglich der Key bezogen (glaube so heisst es), im Prinzip nichts anderes als Berechtigungen. Also das Konto ist zwar weg, aber der Profil bleibt lokal. Die Gruppenrichtlinien kommen eben aus der Domäne durch das Konto.

Oder habe ich hier was verwechselt? (ist sicher möglich)

Zusätzlich kann man sich mit dem Benutzer auch ohne Netzwerkanschluss anmelden, dann bleiben einfach die Berechtigung vom letzten Bezug.

So hätte ich es verstanden.

 

 

Du verwechselst Konten mit Profilen. Du brauchst kein lokales Konto anzulegen, wenn die passende Rolle installiert ist, Du einen Lizenzserver für die RD-Lizenzen hast, dann kann sich der Benutzer aus dem AD am TS anmelden. Je nach Einstellung im AD in seinem Benutzerkonto bekommt er ein lokales *Profil* oder ein Servergespeichertes *Profil* erstellt. Konto != Profil!

 

 

 

Habe vorher noch im Laufe des Nachmittags das ausprobiert und du hast natürlich recht. Es sind lokale Nutzer am TS gar nicht notwendig, sondern es reicht wenn ich die Nutzer im AD anlege, und am TS lediglich unter Remote -> Benutzer auswählen das Erlaubnis für diesen Nutzer hinterlege.

Ich frage mich allerdings, ob man diese Eintragungen am TS (Systemeigenschaften -> Remote -> Benutzer auswählen) vermeiden kann? Ich habe ohne den Eintrag versucht, allerdings im AD für den Nutzer als Mitglied von Remotedesktopdienste eingetragen. Leider so klappt es nicht. Was verpasse ich denn?


Bearbeitet von kosta88, 03. Juli 2014 - 20:33.


#15 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 03. Juli 2014 - 20:13

Ich halt mich hier gerne raus - da fehlen zu viele Grundlagen. Und ein Forum ist kein Schulungsraum...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-: