Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197
Active Directory « Kategorie « festplatte.ch

Archiv der Kategorie 'Active Directory'



Global Catalog vs. Infrastructure Master

Active Directory, Windows 1 Comment »

Frage: Darf der Infrastruktur-Master auf einem Domänencontroller laufen, der auch Global Catalog Server ist?

Antwort: Eine übliche Antwort hierauf beruht auf einem falsch verstandenen Gerücht. Hiernach dürfe der Infrastruktur-Master (IM) nur dann auf einem Global Catalog Server (GC) laufen, wenn jeder Domänencontroller (DC) im gesamten Forest ein Global Catalog Server sei. Dieses Gerücht beruht allerdings auf missverständlichen Formulierungen.

Die Aufgabe des Infrastruktur-Masters besteht darin, Objekte der eigenen Domäne mit Objekten anderer Domänen im gleichen Forest zu vergleichen und mögliche Unterschiede (insbesondere domänenübergreifende Gruppenmitgliedschaften) zu korrigieren. Wenn nun der Server, der die IM-Rolle hält, gleichzeitig Globaler Katalog ist, wird er niemals einen Unterschied feststellen, weil er ja bereits eine Teilkopie jedes Objekts im ganzen Forest hat. Daher wird der IM in diesem Fall in seiner eigenen Domäne niemals eine Änderung an solchen Objekten durchführen. Wenn allerdings jeder DC innerhalb der Domäne auch GC ist, hat der IM schlicht nichts zu tun, denn jeder GC kennt ohnehin alle Objekte anderer Domänen. Wenn man sich nun also ansieht, was der IM zu tun hat, wird es klar, dass die IM-Rolle auf einem GC laufen darf, wenn es sich um ein Einzeldomänen-Netzwerk handelt (denn dann gibt es keine anderen Domänen, von denen Objekte repliziert werden). Ebenso klar ist, dass die IM-Rolle auf einem GC laufen darf, wenn der Forest aus mehreren Domänen besteht, aber jeder DC in der eigenen Domäne auch GC ist (kein Bedarf an Objektvergleichen, weil der GC sowieso “alles” weiss).

Domäne A

•A-DC1 (GC + IM)
•A-DC2 (GC)
•A-DC3 (muss GC sein!)

Domäne B

•B-DC1 (GC)
•B-DC2 (IM)
•B-DC3 bis B-DCx (GC oder nicht spielt hier keine Rolle)

In der ersten Domäne muss der IM keine Informationen aus anderen Domänen abrufen, weil der GC “alles” bereits kennt. Die andere Domäne hat den IM auf einem Nicht-GC, also ruft der IM Informationen aus den anderen Domänen ab und repliziert sie bei Bedarf auf die anderen DCs.

Um es also kurz zu machen:

Der Infrastruktur-Master darf nicht auf einem Global Catalog Server laufen, wenn alle folgenden Voraussetzungen gegeben sind:

•es gibt mehrere Domänen im Forest und
•es gibt Domänencontroller in derselben Domäne, die nicht Global Catalog Server sind.

Der Infrastruktur-Master darf auf einem Global Catalog Server laufen, wenn mindestens eine der folgenden Voraussetzungen gegeben ist:

•es gibt nur eine Domäne im Forest und/oder
•jeder Domänencontroller in derselben Domäne ist auch Global Catalog Server

Links:
http://support.microsoft.com/kb/223346/EN-US/
http://support.microsoft.com/?id=248047

Quelle: http://www.faq-o-matic.net

Share


DFS – FQDN als Rückgabewert

Active Directory, Windows No Comments »

Standardmässig gibt DFS auf Anfragen nur NetBIOS Namen zurück. Dies funktioniert ganz ordentlich, solange man sich nicht in einem anderen Forest, Domain etc befindet….
Sobald von ausserhalb der Domaine ein Zugriff auf DFS Ressourcen erfolgt, landet man im Nirvana.

Als unschöner Workaraound könnten die DFS Server beim lokalen DNS eingetragen werden. Oder die DNS-Suffix aller Clients werden mit den Präfixen erweitert.

Das Ganze kann aber auch direkt im DFS umkonfiguriert werden. Folgender RegKey muss auf allen DFS Servern hinzugefügt werden, welche Namespaces hosten:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs
Value Name: DfsDnsConfig
Data Type: REG_DWORD
Value Data: 1

Sind nun schon Namespaces vorhanden, müssen diese inkl. den Targets komplett neu eingerichtet werden. Am einfachsten mit dfsutil.exe arbeiten, Targets exportieren, Export File mit FQDN Namen umschreiben und in die neu konfigurierten Namespaces wieder importieren.

Link:
http://support.microsoft.com/kb/244380/en-us

Share


GPO Proxy Settings über Computerobjekte steuern

Active Directory, GPO, Security, Windows No Comments »

Normal werden die Proxysettings über User Configurations gesteuert. Dies kann z.B mit den Explorer Maintenance Policy erfolgen.
Es kann aber durchaus nützlich sein, dass die Settings der Proxyeinstellungen über Computer Configurations (Computer Objekt) gesteuert werden können. So können z.B mit OUs Desktops und Notebooks unterschieden und entsprechend über die GPO anders konfiguriert werden.

Damit dies möglich ist, muss die Policy “Make proxy settings per-machine (rather than per-user) aktiviert werden. Diese ist unter Computer Configuration/Administrativ Templates/Windows Components/Internet Explorer zu finden.

Die Settings selbst können nach wie vor im Explorer Maintenance Objekt zentral über den User konfiguriert werden. Es wird keine doppelte Pflege der Settings nötig.

Share

lokale, globale, universelle Gruppen

Active Directory, Windows No Comments »

Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt. Diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.

Lokale Gruppen:
Lokale Domänengruppen werden vor allem verwendet, um Berechtigungen für Ressourcen zuzuweisen. Eine lokale Gruppe hat folgende Eigenschaften:

• Offene Mitgliedschaft
Es können Personen aus beliebigen Domänen hinzugefügt werden

• Zugriff auf Ressourcen in einer Domäne
Über eine lokale Domänengruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in der gleichen Domäne befindet, wie die lokale Gruppe
Globale Gruppen:
Globale Gruppen werden in der Regel verwendet, um Benutzer zu organisieren. Eine globale Gruppe hat folgende Merkmale:

• Eingeschränkte Mitgliedschaften
Nur Personen aus der gleichen Domäne können in die Gruppe aufgenommen werden.

•Zugriff auf Ressourcen in allen Domänen
Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden

Universelle Gruppen:
Universelle Gruppen werden vor allem verwendet, um verbundene Ressourcen in mehreren Domänen Berechtigungen zuzuweisen. Eine universelle Sicherheitsgruppe hat folgende Merkmale:

• Offene Mitgliedschaft
Es können Personen aus beliebigen Domänen hinzugefügt werden
• Zugriff auf Ressourcen in allen Domänen
Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden
• Nur im einheitlichen Modus verfügbar (d.h. auch im Mixed Mode 2000/2003)

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden, und sie können in deren ACL (Access Control Lists) auftauchen. Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft, und alle Benutzerrechte werden hiermit geregelt.


Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst, wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.

Zwei Modi (Mixed/Native Mode)
Will man jetzt betrachten, welche Gruppe in anderen Gruppen aufgenommen werden kann, muss man einen wichtigen Punkt beachten. Je nachdem, in welchem Modus Windows betrieben wird, unterscheidet sich diese Übersicht.

Arbeitet Windows noch im so genannten “gemischten Modus – Mixed Mode” (Windows und NT BDC Server werden noch zusammen eingesetzt) oder im “einheitlichen Modus . Native Mode” (nur noch Windows Server werden eingesetzt) (weitere Infos unter “Gemischter und einheitlicher Modus”). Da sich im “gemischten Modus” der NT BDC noch mit dem Windows FSMO abgleichen muss (dieser übernimmt die Rolle des PDC), müssen auch die Gruppen die Regeln von Windows NT beachten.

Gemischter Modus (Mixed Mode):
mixmode
Im gemischten Modus gibt es die Gruppenart “universell nicht!

Einheitlicher Modus (Native Mode):
nativmode

Berechtigungsvergabe:

A – G – DL – P Prinzip
Accounts go in Global Groups nested in Domain Local Groups that are granted Permissions.

Links:
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1147.htm

Share

This page has an unspecified potential security risk

Active Directory, GPO, Security, Windows No Comments »

Werden Files mit XP/Vista aus einem Share kopiert, erscheint die IE Sicherheitswarnung:

This page has an unspecified potential security risk. Would you like to continue?

popup_sec_msg

Die tritt auf, weil das OS mein, dass das Netzlaufwerk sich in der Internet und nicht mehr in der Intranetzone befindet. Dieser Effekt tritt vorallem dann auf, wenn über ein DFS Namespace, welcher ein Domainnamen abbildet, verbunden wird.

Mit folgender Anpassung kann dies umgangen werden:

Control Panel > Internet Options > Security.
Select Local intranet > click Sites > Advanced.
Type your server name / DFS Namespace into the textbox (e.g. If the server is called FileServer just type FileServer) and click Add.
Click Close > OK > OK.

Über die GPO kann der Eintrag wie folgt geändert werden:
User Configuration -> Administrative Templates -> Internet Explorer -> Security Page -> Site to Zone Assignment List

Share