Download Safari Books Online apps: Apple iOS | Android

Entire Site

Safari Books Online

    Free Trial

    Safari Books Online is a digital library providing on-demand subscription access to thousands of learning resources.


    Konfigurieren von Windows Server 2008 Active Directory – Original Microsoft Training für Examen 70-640
    Einführung
    1. Erstellen einer Active Directory-Domäne
    2. Verwalten der Active Directory-Domänendienste
    3. Verwalten von Benutzerkonten
    4. Verwalten von Gruppen
    Bevor Sie beginnen
    Lektion 1: Verwalten eines Unternehmens mithilfe von Gruppen
    Lektion 2: Automatisieren der Erstellung und Verwaltung von Gruppen
    Lektion 3: Verwalten von Gruppen in einem Unternehmen
    Empfohlene Vorgehensweisen für Gruppenattribute
    Schützen von Gruppen vor versehentlichem Löschen
    Delegieren der Verwaltung von Gruppenmitgliedschaften
    Grundlagen von Schattengruppen
    Standardgruppen
    Spezialidentitäten
    Übung: Verwalten von Gruppen in einem Unternehmen
    Zusammenfassung der Lektion
    Lernzielkontrolle
    Rückblick auf dieses Kapitel
    Schlüsselbegriffe
    Übung mit Fallbeispiel
    Vorgeschlagene Übungen
    Machen Sie einen Übungstest
    5. Verwalten von Computerkonten
    6. Implementieren einer Gruppenrichtlinieninfrastruktur
    7. Verwalten der Unternehmenssicherheit und -konfiguration mit Gruppenrichtlinieneinstellungen
    8. Verbessern der Sicherheit für die Authentifizierung in einer AD DS-Domäne
    9. Integrieren von DNS in AD DS
    10. Verwalten von Domänencontrollern
    11. Verwalten von Standorten und Active Directory-Replikation
    12. Verwalten mehrerer Domänen und Gesamtstrukturen
    13. Business Continuity
    14. Active Directory Lightweight Directory Services
    15. Active Directory-Zertifikatdienste und PKIs
    16. Active Directory-Rechteverwaltungsdienste
    17. Active Directory-Verbunddienste
    A. Antworten
    B. Die Autoren
    Stichwortverzeichnis
    • Create BookmarkCreate Bookmark
    • Create Note or TagCreate Note or Tag
    • DownloadDownload
    • PrintPrint
    Share this Page URL
    Help

    Standardgruppen

    Auf einem Windows Server 2008 R2-Computer werden zahlreiche Gruppen automatisch erstellt. Diese Gruppen werden als lokale Standardgruppen bezeichnet und umfassen bekannte Gruppen wie Administratoren, Sicherungs-Operatoren und Remotedesktopbenutzer. Weitere Gruppen werden in einer Domäne in den Containern Builtin und Users erstellt, beispielsweise die Gruppen Domänen-Admins, Organisations-Admins und Schema-Admins. Die folgende Liste enthält eine Übersicht über die Funktionen der Standardgruppen, die über wichtige Berechtigungen und Benutzerrechte für die Verwaltung von Active Directory verfügen:

    • Organisations-Admins (Container Users der Stammdomäne der Gesamtstruktur) Diese Gruppe ist in jeder Domäne in der Gesamtstruktur ein Mitglied der Gruppe Administratoren, wodurch sie über uneingeschränkten Zugriff auf die Konfiguration aller Domänencontroller verfügt. Darüber hinaus ist sie im Besitz der Konfigurationspartition des Verzeichnisses, und sie kann den Domänennamenskontext in allen Gesamtstrukturdomänen vollständig steuern.

    • Schema-Admins (Container Users der Stammdomäne der Gesamtstruktur) Diese Gruppe ist im Besitz des Active Directory-Schemas und übernimmt dessen Steuerung.

    • Administratoren (Container Builtin in jeder Domäne) Diese Gruppe übernimmt die vollständige Steuerung aller Domänencontroller und der Daten im Domänennamenskontext. Sie kann Änderungen an der Mitgliedschaft aller anderen Administrationsgruppen in der Domäne vornehmen, und die Gruppe Administratoren in der Stammdomäne der Gesamtstruktur kann die Mitgliedschaft der Gruppen Organisations-Admins, Schema-Admins und Domänen-Admins ändern. Die Gruppe Administratoren ist in der Gesamtstruktur die wohl leistungsstärkste Dienstverwaltungsgruppe.

    • Domänen-Admins (Container Users in jeder Domäne) Diese Gruppe wird zur Gruppe Administratoren ihrer Domäne hinzugefügt. Daher übernimmt sie alle Funktionen der Gruppe Administratoren. Sie wird ferner standardmäßig zur lokalen Gruppe Administratoren jedes Mitgliedscomputers einer Domäne hinzugefügt, wodurch Domänen-Admins Besitzrechte für alle Domänencomputer erhält.

    • Server-Operatoren (Container Builtin in jeder Domäne) Diese Gruppe kann Wartungsaufgaben für Domänencontroller durchführen. Sie hat das Recht zur lokalen Anmeldung, kann Dienste starten oder anhalten, Sicherungs- und Wiederherstellungsvorgänge durchführen, Datenträger formatieren, Freigaben erstellen oder löschen und Domänencontroller herunterfahren. Diese Gruppe weist standardmäßig keine Mitglieder auf.

    • Konten-Operatoren (Container Builtin in jeder Domäne) Diese Gruppe kann Konten für Benutzer, Gruppen und Computer erstellen, bearbeiten und löschen, die sich in einer beliebigen Organisationseinheit in der Domäne (mit Ausnahme der OU Domain Controllers) sowie in den Containern Users und Computers befinden. Konten-Operatoren sind nicht berechtigt, Änderungen an Mitgliedskonten der Gruppen Administratoren oder Domänen-Admins oder an den Gruppen selbst vorzunehmen. Sie können sich auch lokal an Domänencontrollern anmelden. Diese Gruppe weist standardmäßig keine Mitglieder auf.

    • Sicherungs-Operatoren (Container Builtin in jeder Domäne) Diese Gruppe kann Sicherungs- und Wiederherstellungsoperationen für Domänencontroller vornehmen und sich lokal an Domänencontrollern anmelden und diese auch herunterfahren. Diese Gruppe weist standardmäßig keine Mitglieder auf.

    • Druck-Operatoren (Container Builtin in jeder Domäne) Diese Gruppe kann Druckwarteschlangen auf Domänencontrollern verwalten. Sie kann sich darüber hinaus lokal an Domänencontrollern anmelden und diese herunterfahren.

    Bei der Verwaltung von Standardgruppen mit Administratorrechten sollten Sie besonders umsichtig vorgehen, da diese in der Regel über weitreichendere Berechtigungen verfügen, als für die meisten delegierten Umgebungen eigentlich erforderlich ist. Außerdem ist die Mitgliedschaft in diesen Gruppen oft geschützt.

    Die Gruppe Konten-Operatoren ist ein besonders gutes Beispiel. Wenn Sie sich den Funktionsumfang dieser Gruppe in der obigen Liste genauer ansehen, werden Sie feststellen, dass sie über weitreichende Rechte verfügt. Sie kann sich sogar lokal an einem Domänencontroller anmelden. In sehr kleinen Unternehmen sind diese Rechte unter Umständen für ein oder zwei Personen angemessen, die ohnehin über die Rechte von Domänenadministratoren verfügen. In größeren Unternehmen sind die Rechte und Berechtigungen der Gruppe Konten-Operatoren aber zu umfangreich.

    Außerdem handelt es sich bei der Gruppe Konten-Operatoren wie auch bei anderen zuvor aufgeführten Verwaltungsgruppen um eine geschützte Gruppe. Geschützte Gruppen werden vom Betriebssystem definiert, und ihr Schutz kann nicht aufgehoben werden. Mitglieder von geschützten Gruppen sind ebenfalls geschützt. Dieser Schutz führt dazu, dass Änderungen an den Berechtigungen (ACLs) der Mitglieder vorgenommen werden. Sie übernehmen dann nicht einfach die Berechtigungen von ihrer OU, sondern bekommen eine Kopie einer ACL, die viele Einschränkungen aufweist. Wird beispielsweise der Benutzer Jeff Ford zur Gruppe Konten-Operatoren hinzugefügt, wird sein Konto geschützt, und das Helpdeskteam, das über die Berechtigung zum Zurücksetzen aller Benutzerkennwörter in der OU Benutzerkonten verfügt, kann das Kennwort von Jeff Ford nicht mehr zurücksetzen.

    Weitere Informationen: Geschützte Konten

    Weitere Informationen zu geschützten Konten finden Sie im Knowledge Base-Artikel 817433 unter http://support.microsoft.com/?kbid=817433 und im Knowledge Base-Artikel 840001 unter http://support.microsoft.com/kb/840001. Im Internet können Sie nach dem Begriff »adminSDHolder« suchen.

    Vermeiden Sie es aufgrund der genannten Gründe – Überdelegierung und Schutz –, Benutzer zu den zuvor aufgeführten Gruppen hinzuzufügen, die standardmäßig keine Mitglieder aufweisen: Konten-Operatoren, Sicherungs-Operatoren, Server-Operatoren und Druck-Operatoren. Erstellen Sie stattdessen benutzerdefinierte Gruppen, denen Sie die Berechtigungen und Benutzerrechte zuweisen, die in Ihrem Unternehmen und für Ihre Verwaltungsanforderungen erforderlich sind.

    Wenn beispielsweise Scott Mitchell in der Lage sein muss, Sicherungsoperationen auf einem Domänencontroller durchzuführen, er jedoch keine Wiederherstellungsoperationen, die zu einem Rollback oder einer Beschädigung der Datenbank führen könnten, durchführen und auch keine Domänencontroller herunterfahren darf, dürfen Sie ihn nicht zur Gruppe Sicherungs-Operatoren hinzufügen. Erstellen Sie stattdessen eine Gruppe und weisen Sie ihr nur das Benutzerrecht Dateien und Verzeichnisse sichern zu. Fügen Sie Scott Mitchell anschließend als Benutzer zu dieser Gruppe hinzu.

    Weitere Informationen: Funktionen von Standardgruppen

    Auf der Website von Microsoft TechNet finden Sie umfangreiche Referenzen zu Standardgruppen in einer Domäne und zu den lokalen Standardgruppen. Wenn Sie mit den Standardgruppen und ihren Funktionen nicht vertraut sind, sollten Sie diese Referenzen in Ihre Vorbereitung auf die Zertifizierungsprüfung einbeziehen. Die Referenzen zu lokalen Standardgruppen und Standarddomänengruppen finden Sie unter http://technet.microsoft.com/de-de/library/dd728026(WS.10).aspx.