Teil 4 - Erstellen der benötigten Freigaben, Anlegen von Usern, Zuweisen Basis- und Profilordner, Einführung Gruppenrichtlinien
Wir beginnen Teil 4 mit der Vorbereitung für das Anlegen der User, d.h. wir erstellen die Freigaben für die Profile und das Home-Laufwerk der User. Ich habe mich in diesem Fall für versteckte Freigaben entschieden, die später in der Netzwerkumgebung bzw. mit "net view" an der Konsole nicht sichtbar sind. Versteckte Freigaben tragen ein $-Zeichen am Ende des Freigabenamens.
Legt auf einem Laufwerk eures Servers zwei Verzeichnisse an, eines mit dem Namen Profile und eines mit dem Namen User. Zum Freigeben dieser Verzeichnisse öffnen wir über "Start" => "Verwaltung" die Computerverwaltung und navigieren im linken Baum zu "Freigegebene Ordner" => "Freigaben". Ein Rechtsklick auf "Freigaben" fördert das Kontextmenü zu Tage.
|
Neue FreigabeKlick aufs Bild zum Vergrößern
Neue Freigabe Klick aufs Bild zum Vergrößern
Gebt nun die benötigten Daten ein.
|
|
Neue Freigabe
Neue Freigabe
Dann setzen wir die Berechtigungen für diese Freigabe.
|
|
Berechtigung für die Freigabe
Berechtigung für die Freigabe
Fügt "Domänen-Benutzer" und "Domänen-Admin" hinzu und gebt beiden Gruppen Vollzugriff. Erst dann entfernt ihr "JEDER" aus den Freigabeberechtigungen und klickt auf OK.
|
|
Berechtigung für die Freigabe
Berechtigung für die Freigabe
Das wiederholt ihr nun mit dem Verzeichnis "User" und setzt die Berechtigungen genau wie auch für das Profilverzeichnis.
Nun können wir den ersten User im Active Directory anlegen. Dazu starten wir über "Start" => "Verwaltung" das SnapIn "Active Directory Benutzer- und Computer" und navigieren im linken Baum zu "Users". Auf den Eintrag "Users" einen Rechtsklick und aus dem Kontextmenü dann "Neu" => "Benutzer" auswählen.
|
Neuen Benutzer anlegenKlick aufs Bild zum Vergrößern
Neuen Benutzer anlegen Klick aufs Bild zum Vergrößern
Das Anlegen eines Users ist beinahe selbsterklärend. Ihr ändert natürlich "TestUser" in einen brauchbaren Benutzernamen.
|
|
Neuer Account
Neuer Account
Nun noch ein Kennwort vergeben, dieses sollte mindestens 7 Zeichen lang sein und einen Großbuchstaben und/oder eine Zahl enthalten. Namensbestandteile sind nicht erlaubt, so will es die Kennwort-Komplexitäts-Richtlinie von Windows Server 2003 .
|
|
Passwort vergeben
Passwort vergeben
Nachdem der User angelegt ist, erscheint er im Container "Users" auf der rechten Seite. Ein Doppelklick auf den User öffnet den Eigenschaften-Dialog, in dem ihr auf die Registerkarte "Profil" wechselt und folgende Einstellungen vornehmt.
|
|
Profilpfad und Basisordner vorgeben
Profilpfad und Basisordner vorgeben
Die Variable %USERNAME% wird dabei durch den eigentlichen Usernamen ersetzt, was ihr durch erneutes Aufrufen der Eigenschaften des Users kontrollieren könnt.
Mit OK speichert ihr diese Einstellungen ab, die Einrichtung des ersten Users ist damit erstmal abgeschlossen: Der Profilpfad ermöglicht das Anmelden an jedem x-beliebigen Rechner im Netz, da der User nun ein servergespeichertes Profil besitzt. Der Basisordner ist ebenfalls von jedem Rechner im Netz aus verfügbar, im nächsten Schritt wird dann z.B. der Ordner "Eigene Dateien" via Gruppenrichtlinie in diesen Pfad umgeleitet (da er standardmäßig im Profilpfad gespeichert wird und somit die An-/Abmeldung mitunter recht lange dauern kann).
Des Weiteren werden wir über Gruppenrichtlinien die Berechtigungen der User an den Clients definieren, d.h. via Gruppenrichtlinie wird definiert, ob und welcher User an welchem Client Admin-Rechte bekommt, usw.
Das Bearbeiten der Gruppenrichtlinien realisiert man am besten mit der Group-Policy-Management-Console, kurz GPMC genannt. Diese ist bei Microsoft zum Download erhältlich, aber aufgepasst, es gibt sie in verschiedenen Sprachen und Versionen. Die aktuell für uns benötigte Version ist die GPMC 1.01 SP1 Deutsch .
Installiert diese bitte direkt auf dem Server. Wie man von einem Client aus die Domäne administriert, wird Thema eines der nächsten Artikelteile werden.
|
|
Group-Policy-Management-Console
Group-Policy-Management-Console
Ihr findet die GPMC nach der Installation unter Start => Verwaltung => Gruppenrichtlinienverwaltung.
|
Group-Policy-Management-ConsoleKlick aufs Bild zum Vergrößern
Group-Policy-Management-Console Klick aufs Bild zum Vergrößern
Finger weg von der "Default Domain Policy" und der "Default Domain Controllers Policy" - falsche Einstellungen können die komplette Domäne lahm legen. Einzig die Kennwort-Komplexität muss und kann ausschließlich über die "Default Domain Policy" gesteuert werden, für alles andere erstellen wir uns eigene Gruppenrichtlinien-Objekte, kurz GPOs.
Zum Erstellen einer neuen Richtlinie Rechtsklick auf den Container "Gruppenrichtlinienobjekte" => "Neu". Benennt das neue GPO nach dessen Funktion:
|
|
Neues GPO
Neues GPO
Zum Bearbeiten des GPO in der Auflistung auf der rechten Seite das Objekt "Ordnerumleitung" rechts anklicken und "Bearbeiten" wählen.
|
GPO bearbeitenKlick aufs Bild zum Vergrößern
GPO bearbeiten Klick aufs Bild zum Vergrößern
Wie ihr seht, sind die Gruppenrichtlinien unterteilt in Computer- und Benutzerkonfiguration, soll heißen: Richtlinien, die unter Computerkonfiguration eingestellt werden, wirken sich unabhängig vom angemeldeten Benutzer auf jeden Rechner aus, für den dieses GPO gültig ist.
|
GPO bearbeitenKlick aufs Bild zum Vergrößern
GPO bearbeiten Klick aufs Bild zum Vergrößern
Die unter Benutzerkonfiguration eingestellten Richtlinien greifen an jedem Rechner, an dem sich ein bestimmter Benutzer anmeldet hat und zwar nur für ihn.
Wir wollen hier eine Ordnerumleitung konfigurieren, das ist eine Benutzereinstellung:
|
GPO bearbeitenKlick aufs Bild zum Vergrößern
GPO bearbeiten Klick aufs Bild zum Vergrößern
Ein Rechtsklick auf "Eigene Dateien" => "Eigenschaften" fördert den Optionen-Dialog zu Tage, den ihr wie folgt einstellt:
|
|
GPO bearbeiten
GPO bearbeiten
Auf der Registerkarte "Einstellungen" nehmt ihr folgende Einstellungen vor und bestätigt mit OK.
|
|
GPO bearbeiten
GPO bearbeiten
Nun schließt ihr den Gruppenrichtlinienobjekte-Editor und gelangt wieder in die GPMC zurück. Hier müssen wir nun noch das neue GPO verknüpfen und festlegen, für wen es gültig sein soll.
Markiert im Container "Gruppenrichtlinienobjekte" den Eintrag "Ordnerumleitung" und klickt dann im rechten Fenster die Registerkarte "Delegierung" an.
|
GPO delegierenKlick aufs Bild zum Vergrößern
GPO delegieren Klick aufs Bild zum Vergrößern
Nun klickt unten rechts auf "Erweitert". Achtet darauf, dass bei "Authentifizierte Benutzer" der Haken bei "Gruppenrichtlinie übernehmen" bei "Zulassen" gesetzt ist.
|
|
GPO übernehmen
GPO übernehmen
Für die Domänen-Administratoren darf der Haken hingegen nicht gesetzt sein.
|
|
GPO für Domänen-Admins nicht übernehmen
GPO für Domänen-Admins nicht übernehmen
Nun ist das GPO fertig eingerichtet, aber noch nicht verknüpft, d.h. noch nicht aktiv. Um es zu verknüpfen, nehmt ihr das GPO "Ordnerumleitung" und zieht es bei gedrückter linker Maustaste auf den Eintrag "mydomain.local" bzw. auf den Eintrag, der eurem Domainnamen entspricht.
|
GPO verknüpfenKlick aufs Bild zum Vergrößern
GPO verknüpfen Klick aufs Bild zum Vergrößern
Bevor wir uns nun mit dem neu angelegten User erstmalig von einem Client aus anmelden, muss auf dem Server noch eine Datenfreigabe (oder gleich mehrere) erstellt werden, die dann später vom Client aus via "Netzlaufwerk verbinden" bzw. via Anmeldeskript zur Verfügung gestellt wird.
Dazu erstellen wir auf dem Server einen neuen Ordner (den wir dann freigeben werden) und nennen ihn z.B. Data, dann starten wir die Computerverwaltung und navigieren im linken Baum zu "Freigegebene Ordner" => "Freigaben". Das Erstellen einer neuen Freigabe für den Ordner "Data" erfolgt analog zur Freigabe der Profil- und Basisordner, einziger Unterschied: Der Freigabename bekommt jetzt KEIN $-Zeichen angehängt.
|
|
Neuen Ordner erstellen
Neuen Ordner erstellen
Die Freigabeberechtigungen setzt ihr genau wie für Profil- und Basisordner auch.
Nun ist es an der Zeit, sich das erste Mal vom Client aus mit dem neu angelegten User an der Domäne anzumelden. Nach der erfolgten Anmeldung sehen die Verzeichnisse auf dem Server so aus:
|
|
Profilordner
Profilordner
|
|
User-Ordner
User-Ordner
|
|
Eigene Dateien
Eigene Dateien
Des Weiteren seht ihr auf dem Client im Arbeitsplatz/Explorer ein Laufwerk U:, das direkt auf den Server verbunden ist - dies ist der Basisordner, den wir in den Eigenschaften des Users beim Anlegen eingetragen haben.
Für euch wird es nun Sinn machen, die hier gezeigten Schritte zu wiederholen und erstmal alle für euer Netz benötigten Benutzer anzulegen sowie die benötigten Datenfreigaben auf dem Server. Des Weiteren solltet ihr euch Gedanken darüber machen, welcher User auf welchem Rechner welche Berechtigungen bekommt und welche Netzlaufwerke pro User verbunden werden sollen - alles Punkte, die in Teil 5 via Gruppenrichtlinie eingestellt werden.
Bis dahin sei euch die Lektüre von Mark Heitbrinks Webprojekt www.gruppenrichtlinien.de ans Herz gelegt - zumindest denjenigen, die künftig mehr über GPOs regeln wollen.
22 Bewertungen
Ähnliche Artikel:
Active Directory: Der Verzeichnisdienst von Windows…
PCloud im Test: Wir zeigen Ihnen was der Cloud-Anbieter kann
NAS-Software: NAS-Betriebssysteme im Vergleich
Fernzugriff auf die FRITZ!Box – So einfach richten…
Einfach erklärt: Was ist eine IP-Adresse?
Einfach erklärt: Was ist ein DS-Lite-Tunnel?
Was ist ein Thumbnail? Bedeutung & Beispiele
Der jüngste Zoom-Sicherheitsfehler und wie man sich…
Android-Dateimanager: Die besten kostenlosen Apps im Test
Plex Media Server im Test: Funktionen und Tipps zum…