Identitätsmanagement mit Windows Server 2016 (eBook)

Prüfungsziel 1.2:
Erstellen und Verwalten von Active Directory-Benutzern und -Computern

Nachdem Sie die Domänencontroller installiert und bereitgestellt haben, füllen Sie AD DS mit Objekten wie Benutzern und Computern. Für diese Verwaltungsaufgaben stehen verschiedene grafische Werkzeuge im Server-Manager zur Verfügung. Sie können jedoch auch die Windows PowerShell nutzen, um sie zu automatisieren.

Erstellen, Kopieren, Konfigurieren und Löschen von Benutzern und Computern

Für jeden Benutzer in Ihrer Organisation müssen Sie ein Benutzerkonto in AD DS anlegen. Dieses Konto identifiziert die Person, wenn sie versucht, Aufgaben auszuführen (Rechte) oder auf Ressourcen zuzugreifen (Berechtigungen).

In einem Benutzerkonto können Sie Eigenschaften (Attribute) angeben, die den Benutzer genauer beschreiben. Dazu gehören der vollständige Name, Kontaktdaten, die Rolle in der Organisation, die Abteilung und viele weitere Einstellungen, die festlegen, was die Person in dem Netzwerk tun kann.

Bevor Sie damit beginnen, müssen Sie sich etwas Zeit nehmen, um ein Namenssystem für Benutzerkonten festzulegen. Ein Kontoname muss den zugehörigen Benutzer eindeutig identifizieren und in der Organisation einmalig sein. Viele Organisationen verwenden eine Kombination aus dem Nachnamen und dem Anfangsbuchstaben des Vornamens o. Ä. In einer großen Organisation müssen Sie das System genau bedenken, da es oft mehrere Benutzer mit demselben Nachnamen und manchmal sogar mit demselben Vor- und Nachnamen gibt.

In AD DS müssen jedoch nicht nur die Benutzer über ein Konto verfügen. Computer, die Verbindung mit den Netzwerkressourcen der Organisation aufnehmen, müssen ebenfalls identifiziert werden. Das ist in mancher Hinsicht einfacher, da Sie die Entscheidung über den Computerkontonamen treffen, wenn Sie den Computer bereitstellen, und die Benennung bei der Installation durchführen. Es ist wichtig, die Namen der Computer für die Benutzer sorgfältig zu wählen.

Hinzufügen von Benutzerkonten

Es gibt verschiedene Werkzeuge, um Benutzerkonten zu erstellen und zu verwalten, nämlich die Windows PowerShell, das Befehlszeilenwerkzeug dsadd.exe, Active Directory-Benutzer und -Computer (siehe Abbildung 1–38) und das Active Directory-Verwaltungscenter (siehe Abbildung 1–39). In den Beschreibungen in diesem Kapitel verwenden wir Active Directory-Benutzer und -Computer und die Windows PowerShell.

Abb. 1–38Active Directory-Benutzer und -Computer

Abb. 1–39Active Directory-Verwaltungscenter

Nachdem Sie ein Namenssystem für Benutzerkonten aufgestellt haben, können Sie die folgende Vorgehensweise nutzen, um Benutzerkonten hinzuzufügen:

1. 1.Melden Sie sich als Mitglied der globalen Sicherheitsgruppe Domänen-Admins an.

PRÜFUNGSTIPP

Sie können sich auch als Mitglied der Gruppe Konten-Operatoren anmelden. Mitglieder dieser Gruppe haben ausreichend Rechte, um Aufgaben der Kontoverwaltung durchzuführen.

1. 2.Öffnen Sie Active Directory-Benutzer und -Computer und markieren Sie die Organisationseinheit, in der Sie das Benutzerkonto erstellen möchten.

PRÜFUNGSTIPP

Sie können Benutzerkonten auch in den Containern Builtin, Computers und Users erstellen, aber die empfohlene Vorgehensweise besteht darin, die Benutzer in der jeweils zugehörigen Organisationseinheit zu sammeln, um die Verwaltung zu erleichtern.

1. 3.Rechtsklicken Sie auf die Organisationseinheit, zeigen Sie auf Neu und wählen Sie Benutzer.
2. 4.Geben Sie im Dialogfeld Neues Objekt – Benutzer aus Abbildung 1–40 die folgenden Informationen ein und klicken Sie dann auf Weiter:

• Vorname, Mittelinitial und Nachname    Damit sollte der Benutzer eindeutig bezeichnet sein. Diese Elemente werden zum vollständigen Benutzernamen kombiniert, der innerhalb des AD DS-Containers, in dem der Benutzer erstellt wird, eindeutig sein muss. Es ist jedoch ratsam, dafür zu sorgen, dass der Name auch innerhalb der Gesamtstruktur eindeutig ist.
• Benutzeranmeldename    Dieser Name wird mit dem daneben angegebenen Suffix (in Abb. 1–40 @Adatum.com) kombiniert, um den Benutzerprinzipalnamen (User Principal Name, UPN) zu bilden, z. B. BurkeB@Adatum.com. Der UPN muss innerhalb der Gesamtstruktur eindeutig sein. Als UPN-Suffix wird gewöhnlich der Name der Domäne verwendet, in der Sie das Konto hinzufügen. Es ist jedoch auch möglich, in Active Directory-Domänen und -Vertrauensstellungen zusätzliche UPN-Suffixe zu definieren.
• Benutzeranmeldename (Prä-Windows 2000) Dieser Name wird manchmal auch als SAM-Kontoname bezeichnet. Er muss innerhalb der Domäne eindeutig sein.

Abb. 1–40Hinzufügen eines Benutzerkontos

1. 5.Geben Sie als Nächstes ein Kennwort ein, das den aktuellen Komplexitätsregeln der Domäne genügt, und bestätigen Sie es (siehe Abbildung 1–41). Richten Sie dann die weiteren Einstellungen ein und klicken Sie auf Weiter.

• Benutzer muss Kennwort bei der nächsten Anmeldung ändern   Es ist empfehlenswert, die Benutzer dazu zu zwingen, bei der ersten Anmeldung ein neues Kennwort zu wählen.
• Benutzer kann Kennwort nicht ändern   Aktivieren Sie diese Option für besondere Benutzerkonten, die nicht von einer Person, sondern von einer App oder einem Dienst verwendet werden. Diese Option und Benutzer muss Kennwort bei der nächsten Anmeldung ändern schließen sich gegenseitig aus.
• Kennwort läuft nie ab   Auch diese Option ist für Sonderkonten gedacht, die von einer App oder einem Dienst verwendet werden. Diese Option und Benutzer muss Kennwort bei der nächsten Anmeldung ändern schließen sich gegenseitig aus.
• Konto ist deaktiviert   Benutzerkonten sollten so lange deaktiviert bleiben, bis der Benutzer bereit ist, sich zum ersten Mal anzumelden. In vielen Organisationen werden Benutzer- und E-Mail-Konten für neue Mitarbeiter schon geraume Zeit vor ihrem ersten Arbeitstag erstellt. Es ist allerdings keine sichere Vorgehensweise, unbenutzte Benutzerkonten mit dem ursprünglichen Konto aktiviert zu lassen.

Abb. 1–41   Einrichten der Kennwort- und Kontooptionen

1. 6.Klicken Sie zum Abschluss auf Fertig stellen.

Nach dem Erstellen des Kontos können Sie Gruppenmitgliedschaften, organisatorische Angaben und besondere Eigenschaften ergänzen. Gehen Sie dazu auf folgende Weise vor:

1. 1.Suchen Sie in Active Directory-Benutzer und -Computer die Organisationseinheit mit dem neuen Benutzerkonto.
2. 2.Rechtsklicken Sie auf das Konto und wählen Sie Eigenschaften. Es gibt eine große Menge an einstellbaren Eigenschaften für Benutzerkonten, doch am wichtigsten sind die im Folgenden vorgestellten.
3. 3.Klicken Sie im Eigenschaftendialogfeld für den Benutzer auf die Registerkarte Konto aus Abbildung 1–42 und richten Sie folgende Eigenschaften ein:

Abb. 1–42Einstellen der Eigenschaften eines Benutzerkontos

• Anmeldezeiten   Geben Sie die Wochentage und die Tageszeiten an, zu denen das Konto genutzt werden kann. Die Standardeinstellung lautet Immer.
• Anmelden an   Legen Sie fest, an welchen Computern sich das Benutzerkonto anmelden kann. Die Standardeinstellung lautet Alle Computer.
• Kontosperrung aufheben   Diese Option steht nur zur Verfügung, wenn das Konto gesperrt wurde. Das kann geschehen, wenn der Benutzer versucht hat, sich mit einem falschen Kennwort anzumelden und dabei den Grenzwert für mögliche Fehleingaben überschritten hat.
• Kontooptionen   Neben den bereits beim Erstellen des Kontos festgelegten Optionen (Benutzer muss Kennwort bei der nächsten Anmeldung ändern usw.) können Sie hier erweiterte Optionen für Konten einrichten, die mehr Sicherheit erfordern. Unter anderem finden Sie hier die Einstellungen Benutzer muss sich mit einer Smartcard anmelden, Konto ist vertraulich und kann nicht...