Active Directory

Active Directory-Domänendienste unter Windows Server 2016 installieren und konfigurieren

Dieser Artikel ist Teil der Artikelserie Active Directory Domäne unter Windows Server 2016 installieren und konfigurieren.

In diesem Artikel beschreibe ich die Installation und Konfiguration des Active Directory (AD) unter Windows Server 2016. Dabei wird der erste Domänencontroller installiert. Die Anleitung richtet sich an erfahrene Anwender, die Grundkenntnisse in Netzwerktechnik besitzen.

Hinweis: Die rot markierten Inhalte m√ľssen an das lokale Netzwerk angepasst werden.

Bevor mit der Installation der Active Directory-Dom√§nendienste begonnen werden kann, m√ľssen einige Voraussetzungen erf√ľllt sein. Es sollte sich um ein frisch installiertes Windows Server 2016 System handeln, welches mit Windows Update auf den aktuellen Softwarestand gebracht wurde.

Gruppenrichtlinie für Mitglieder einer Active Directory Gruppe nicht anwenden

Eine Gruppenrichtlinie gilt f√ľr alle Objekte in einer Organisationseinheit. Durch weitere Ma√ünahmen wie die Beschr√§nkung auf eine Gruppe oder ein WMI Filter l√§sst sich die Verteilung detaillierter steuern.

In manchen F√§llen ist der umgekehrte Fall sinnvoller. Die Gruppenrichtlinie soll immer angewendet werden, nur Mitglieder einer bestimmten Gruppe sollen die Gruppenrichtlinie nicht √ľbernehmen. 

Dazu im Gruppenrichtlinienobjekt den Reiter Delegierung aufrufen und die Gruppe hinzuf√ľgen, welche die Gruppenrichtlinie nicht anwenden soll. Anschlie√üend auf Erweitert klicken.

clip_image001

Die Gruppe ausw√§hlen und unter Gruppenrichtlinie √ľbernehmen die Einstellung Verweigern w√§hlen.

Domänen-Benutzer automatisch an Windows anmelden

In bestimmten F√§llen kann es sinnvoll¬†sein, einen Dom√§nen-Benutzer automatisch an Windows anzumelden. In den Gruppenrichtlinien gibt keine direkte Vorlage f√ľr diesen Fall. Da da die automatische Anmeldung durch vier einfache Eintr√§ge in der Registry erfolgt, k√∂nnen die Registry-Eintr√§ge¬†wiederum¬†durch eine Gruppenrichtlinie erstellt¬†werden.

Dazu in der Gruppenrichtlinienverwaltung eine vorhandene Richtlinie aufrufen oder eine neue Richtlinie erstellen. Unter Computerkonfiguration/ Einstellungen/Windows-Einstellungen/Registrierung im Kontextmen√ľ den Punkt Registrierungselement aufrufen.

clip_image001

Die vier Registrierungselemente wie in der Tabelle angegeben erstellen.

Basisordner für Active-Directory Benutzer erstellen

Das Active Directory bietet die M√∂glichkeit einem Benutzer ein Basisordner (pers√∂nliches Netzlaufwerk) zur Verf√ľgung zu stellen. Das Recht, dass nur der Benutzer selbst auf sein Ordner zugreifen kann, wird durch die Active-Directory Konsole vorgenommen. Bei der Anmeldung des Benutzers an einem Computer wird der Basisordner automatisch als Netzlaufwerk verbunden.

Als Voraussetzung muss eine Dateifreigabe wie im Artikel Dateifreigabe f√ľr die Basisordner von Active-Directory Benutzern erstellen beschrieben erstellt werden.

Um den Basisordner f√ľr einen Benutzer zu erstellen im Server-Manager unter Tools/Active Directory-Benutzer und -Computer aufrufen. Im Reiter Profil unter Verbinden von: ein Laufwerksbuchstabe ausw√§hlen, unter welchem der Basisordner als Netzlaufwerk zur Verf√ľgung stehen soll.

Dateifreigabe für die Basisordner von Active-Directory Benutzern erstellen

Das Active Directory bietet die M√∂glichkeit einem Benutzer ein Basisordner (pers√∂nliches Netzlaufwerk) zur Verf√ľgung zu stellen. Das Recht, dass nur der Benutzer selbst auf sein Ordner zugreifen kann, wird durch die Active-Directory Konsole vorgenommen. Bei der Anmeldung des Benutzers an einem Computer wird der Basisordner automatisch als Netzlaufwerk verbunden.

Zun√§chst muss auf dem Windows Server eine Dateifreigabe erstellt werden, unter welcher sp√§ter die Basisordner angelegt werden. Dazu einen neuen Ordner (z.B. Users) anlegen und im Kontextmen√ľ des Ordners Eigenschaften w√§hlen.

clip_image001

Im Reiter Freigabe auf Freigabe… klicken.

Passwort zur Active Directory Wiederherstellung (DSRM-Kennwort) ändern

W√§hrend der Installation eines Dom√§nencontrollers muss ein Passwort f√ľr die Wiederherstellung des Active Directory vergeben werden (DSRM-Kennwort). Dieses wird zwar nur ben√∂tigt, wenn man das Active Directory aus einer Sicherung wiederherstellen muss. Im Normalfall tritt dieses Ereignis niemals auf. Schlie√ülich sollte eine Active Directory Dom√§ne √ľber mindestens zwei Dom√§nencontroller verf√ľgen. Dennoch ist es ratsam dieses Passwort sicher zu verwahren. Sollte man das Passwort vergessen haben oder ein anderer Umstand ein neues Passwort erfordern, so kann man dieses als Dom√§nen-Administrator jederzeit √§ndern.

Dazu auf dem Dom√§nencontroller das Kommandozeilenprogramm¬†ntdsutil.exe √∂ffnen und den Befehl set dsrm password ausf√ľhren.

Artikelserie: Active Directory Domäne unter Windows Server 2012 R2 installieren und konfigurieren

Diese Artikelserie ist eine Aktualisierung der beliebten Artikelserie Active Directory Domäne unter Windows Server 2012 installieren und konfigurieren. Windows Server 2012 R2 hat im Vergleich zu Windows Server 2012 hauptsächlich neue Funktionen erhalten. Vorhandene Funktionen wurden nicht verändert. Dazu zählt auch die Installation und Konfiguration der Active Directory Domäne. Wer bereits unter Windows Server 2012 eine Active Directory Domäne eingerichtet hat, wird keinen Unterschied feststellen.

Die Artikelserie erklärt jeden Schritt von der Installation des Domänencontrollers, der Konfiguration von DNS und DHCP bis zum anlegen der Benutzer und das einbinden der Clients in die Domäne.