106543
Goto Top

Einrichten eines Domaincontrollers auf Windows Server 2003 auf einem Primergy RX300 S2

Die Aufgabenstellung (von meinem Ausbilder) für mich lautete:
"Setzen Sie einen Domaincontroller auf Basis von Windows Server 2003 auf, erstellen Sie Testbenutzer und vertiefen Sie sich in die Group Policies."
Dann machte ich mich an die Arbeit face-smile

Ich fange ganz klein an und beschreibe die Schritte ausführlichst.

Die Installation des Betriebssystems:
Zuerst muss man natürlich die Installations-CD/-DVD einlegen und bei der Aufforderung, von der CD/DVD zu booten eine Taste drücken.
Dann wird man gefragt, ob man (natürlich nur wenn man bereits ein Betriebssystem von Microsoft installiert hat) das alte Betriebssystem reparieren möchte. Wir drücken in diesem Fall ESC und installieren somit das Betriebssystem neu.
Danach formatierte ich die alte Partition und installierte daraufhin Windows Server 2003 auf der neuen Partition.
Nun noch schnell Uhrzeit, Zeitzone und das Tastaturlayout festgelegt und dann beginnt endlich die Installation.
Es muss während der Installation auch noch ein Administratoren-Kennwort und ein Rücksetzungs-Passwort vergeben.
Beide sollte man sich notieren oder merken, weil man ohne Sie den Server auch gleich nochmal neu aufsetzen kann.


Konfiguration als Domaincontroller (DC):
Man öffnet die Serververwaltung und klickt auf "Funktion hinzufügen oder entfernen". Daraufhin werden die Netzwerkverbindungen des Servers geprüft und wenn keine statischen IP-Adressen vergeben sind wird eine Meldung über die Unsicherheit von dynamischen IP-Adressen für einen Server ausgegeben.
Im darauf folgenden Menü wählen wir Benutzerdefinierte Konfiguration, da die Standard-Einstellungen nicht unseren Erwartungen entsprechen (es wird dabei auch ein DNS-Server installiert, welchen wir nicht brauchen). Danach muss man auswählen, welche Rolle der Server zukünftig einnehmen soll.
In diesem Fall wählen wir Domänencontroller (Active Directory).
Es öffnet sich ein neues Fenster, dort gibt es dann mehrere Optionen. Ich nehme hier die Optionen "Domänencontroller für neue Domäne" (hab keine Lust irgendwas bei uns in der Firma kaputtzumachen) und "Domäne in neuer Gesamtstruktur" (selber Punkt wie gerade). Dann muss man den Domänen-Namen eingeben. Hier eignen sich nicht persönliche Daten und die Endung .local, weils ja eine Testdomäne sein soll (in meinem Fall Testdomain.local). Danach muss man einen NetBIOS-Namen eingeben oder den bereits eingetragenen lassen. Ich lasse diesen Namen, da ich in meinem Netzwerk keine weiteren Domänen habe, die denselben NetBIOS-Namen haben. Die Datenbank-, Protokol- und Sysvolordner lasse ich so bestehen. Dies würde nur Sinn machen, wenn auf dem Server sehr wenig Platz wäre und das Ganze auf einen externen Fileserver ausgelagert werden sollte.
Danach wird ein Reboot fällig et voilà bei der Anmeldung fällt uns auf, dass wir uns fortan an unserer gerade erstellten Domäne anmelden.

Installation der Gruppenrichtlinienverwaltungsconsole (gpmc.msi):
Da Windows Server 2003 nicht automatisch dieses Tool zur Verwaltung der Gruppenrichtlinien an Bord hat, muss man es nachinstallieren.
Der aktuell gültige Download-Pfad lautet:
http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=F39E9D60 ...
Nach dem Heruterladen einfach auf die gpmc.msi doppelklicken.
Sie wird automatisiert installiert und ist danach zur Verfügung.

Verwaltung des DC:
Zur zentralen Verwaltung des Domaincontrollers kann die Microsoft-Management-Console (mmc) verwendet werden.
Diese wird über (Start -> Ausführen -> mmc -> Enter) aufgerufen.
Ich verwende die mmc eigentlich für alle Aufgaben, die auf einem Server anfallen können, deswegen füge ich gleich vorab wichtige Funktionen wie z.B. die Computerverwaltung hinzu.
Zum Hinzufügen sogenannter "Snap-Ins" drückt man in der mmc STRG+M. Daraufhin öffnet sich ein Fenster, in dem sich viele Möglichkeiten finden, einen Server zu verwalten. Hier füge ich "Active Directory Benutzer und Computer", "Computerverwaltung(lokal)", "Gerätemanager(lokal)" und "Gruppenrichtlinienverwaltung".
Damit die mmc nicht jedesmal eingerichtet werden muss, kann man sie speichern. Dazu auf Datei klicken -> Speichern unter ...
Ich empfehle sie auf den Desktop (des Administrators) abzulegen, wo sie jederzeit griffbereit liegt. Denn nur der Administrator sollte Systemarbeiten durchführen.

Organisation der Benutzer:
Wenn man nun die mmc befüllt hat, kann man die Domäne durch aufklappen von "Active Directory Benutzer und Computer" verwalten.
Nun erstelle ich neue Organisationseinheiten (OUs) für die bessere Übersicht und Benutzerverwaltung.
Rechtsklick auf die Domäne in der mmc -> Neu -> Organisationseinheit
Nun noch einen Namen für die OU eingeben. Ich erstelle gerne eine OU für "normale" Useraccounts und Administratorenaccounts.
Nun die Domain erweitern. Dann auf die Benutzer-OU rechtsklicken -> Neu -> Benutzer
Dann müssen Vorname, Nachname und der Benutzeranmeldename eingegeben werden. Nun noch ein Startpasswort vergeben und einen Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" setzen, damit der Benutzer nicht das Startpasswort behält. Ein passendes Startpasswort (welches ich immer Verwende) ist Start123+, da es allen Sicherheitsrichtlinien entspricht.
Bei der OU für die Admins muss man genau die selben Schritte beachten, nur soll hier das Kennwort nie ablaufen (passenden Haken setzen).
Nun sollten die User in den passenden OUs vorhanden sein.
Durch diese Vorgehensweise können beliebig viele User erstellt werden (falls der Domaincontroller in den Betrieb soll).

Einschränken der User mit den Group Policy Objects (GPOs):
Nun kann man noch ein wenig seine User einschränken. Man will ja nicht, dass jeder beliebige Nutzer den Server rebooten kann oder seine eigenen kleinen Programme installieren. Vor allem sollte verhindert werden, dass User den Server oder das Betriebssystem beschädigen können.
Dazu die die Gruppenrichtlinienverwaltungskonsole (gpmc). Mit diesem Tool (das wir vorhin in weiser Voraussicht der mmc hinzugefügt haben) können wir etliche Dinge für unsere User einstellen. Z.B. wie lange dürfen Sie angemeldet bleiben, welche Software dürfen sie installieren oder dürfen sie überhaupt Software installieren, dürfen die User sich überhaupt anmelden, den Server rebooten, etc.
Hierzu werde ich noch ein Tutorial erstellen und hier später verlinken.

Über Feedback freue ich mich immer face-smile

Grüße und viel Erfolg mit eurem eigenen Domaincontroller
Exzellius

Content-Key: 188452

Url: https://administrator.de/contentid/188452

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Hubert.N
Hubert.N 24.07.2012 aktualisiert um 20:00:53 Uhr
Goto Top
Moin

Zitat von @106543:
Nun kann man noch ein wenig seine User einschränken. Man will ja nicht, dass jeder beliebige Nutzer den Server rebooten kann
oder seine eigenen kleinen Programme installieren.

Frage: Hast du schon mal versucht mit einem normalen Benutzeraccount einen Domaincontroller neu zu starten ?

Antwort: Nein - denn dann hättest du sicher festgestellt, dass ihm die Rechte dazu fehlen. Das Recht den Computer neu zu starten ist per GPO voreingestellt und da stehen auf jeden Fall keine Domänen-Benutzer drin. Du wirst dich nicht einmal an dem Server lokal oder per RDP anmelden können.

Gruß
Mitglied: 106543
106543 25.07.2012 um 09:55:53 Uhr
Goto Top
Zitat von @Hubert.N:

Frage: Hast du schon mal versucht mit einem normalen Benutzeraccount einen Domaincontroller neu zu starten ?
Antwort: Nein - denn dann hättest du sicher festgestellt, dass ihm die Rechte dazu fehlen. Das Recht den Computer neu zu
starten ist per GPO voreingestellt und da stehen auf jeden Fall keine Domänen-Benutzer drin. Du wirst dich nicht einmal an
dem Server lokal oder per RDP anmelden können.

Ach ja stimmt face-smile hatte ich vergessen, dass das nicht möglich ist. Aber was ich eigentlich meinte war, wenn man z.B. Terminalserver der Domäne hinzufügt. Damit die User diese dann nicht rebotten,etc. können.

Danke für die Info
Exzellius
Mitglied: builder4242
builder4242 25.07.2012 um 10:39:51 Uhr
Goto Top
kein Hallo,

Was genau tut eure Firma?

Wieso installiert ihr im Jahre 2012 einen 2003 Domaincontroller (vermutlich nicht mal R2)?

gruß
Mitglied: 106543
106543 25.07.2012 um 11:08:56 Uhr
Goto Top
Hi face-smile,

unsere Firma ist ein führendes IT-Unternehmen ^^
die Installation eines Win Server 2003 war einfach nur eine Aufgabe, die mir als Auszubildender gestellt wurde. Zu Übungszwecken.

Grüße
Exzellius
Mitglied: goscho
goscho 25.07.2012 um 11:25:05 Uhr
Goto Top
Morgen

@106543,
warum muss man im Jahr 2012 eine Anleitung für die Installation und Grundeinrichtung eines Windows Servers 2003 veröffentlichen?
Das war vor 5-9 Jahren o.k., aber heute ist es vollkommen daneben, zumal fast niemand mehr W2K3 einzurichten hat.
Wo ist dann der Sinn einer solchen Anleitung, wenn sie niemandem mehr hilft?

Aktuell dürfen wir uns mit der Metrooberfläche und Windows Server 2012 beschäftigen.
Vielleicht lässt du dir von deinem Ausbilder diesen als nächstes geben und schreibst dann dazu eine Anleitung (aber bitte vor 2021). face-wink
Mitglied: 106543
106543 25.07.2012 um 11:31:42 Uhr
Goto Top
Hallo Goscho,

ich hab darüber sowieso schon eine Doku schreiben müssen und hab die dann nur mit der Welt teilen wollen face-smile
(nennen wirs Geltungssucht ok ? xD) außerdem denke ich wenn mal wieder ein Auszubildender auf der Suche nach einer hilfreichen Dokumentation ist, wird er hier garantiert eine gute Einleitung zum Thema finden face-smile

Grüße
Exzellius