Kategorie: Windows Server

Einen schnellen Weg eine Active Directory-Domäne bzw. eine neue Gesamtstruktur zu erstellen ist diese per Powershell zu aktivieren. Als erstes wird die Active Directory Domain Services-Rolle auf dem Server installiert ebenso wie der DNS-Server und auch die Gruppenrichtlinien-Verwaltung:

Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools

Hiermit wird der die Voraussetzungen zur Konfiguration der neuen Gesamtstruktur geschaffen sowie die benötigten Verwaltungstools installiert.

Als nächstes erfolgt die Installation der Active Directory-Gesamtstruktur

Install-ADDSForest -DomainName „testing.loc“ -DatabasePath „C:\Windows\NTDS“ -DomainMode Win2012 -DomainNetbiosName „TESTING“ -ForestMode Win2012 -LogPath „C:\Windows\NTDS“ -NoRebootOnCompletion -SafeModeAdministratorPassword (Read-Host -AsSecureString -Prompt “Enter Recovery Password”) -SkipPreChecks -SysvolPath „C:\Windows\SYSVOL“ -Force:$true

In dem Aufruf müssen nur die Einstellungen hinter dem Parameter „DomainName“ und „DomainNetbiosName“ angepasst werden.

Da ich diesen Aufruf regelmäßig in virtuellen Umgebungen benutze, fehlt in diesem String die Option „CreateDNSDelegation“. Mit dieser Angabe wird die DNS-Verwaltung dem im Active Directory Domain Services integrierten DNS-Server übergeben.

Diese Befehlszeile kann auch für ältere Domänenumgebungen genutzt werden, in dem die Optionen „ForestMode“ und „DomainMode“ entsprechend editiert werden.

Im Bereich der Programmierung, des Skriptings oder Verwaltung von Zugriffsberechtigungen werden regelmäßig zur eindeutigen Identifizierung SIDs verwandt, da der Anzeigename verändert werden kann und es somit Probleme entstehen können. Bei der Nutzung von SIDs ist die Bezeichnung des entsprechenden Objekts nicht relevant.

Hier eine Auflistung meiner meist genutzten SIDs:

• S-1-1-0 = Jeder
• S-1-5-2 = Netzwerk
• S-1-5-4 = Interaktiv
• S-1-5-14 = Terminaldienste-Anmeldung
• S-1-5-18 = System
• S-1-5-32-544 = Gruppe der Administratoren
• S-1-5-32-545 = Gruppe der Benutzer
• S-1-5-32-548 = Gruppe der Konten-Operatoren (auf Domänencontrollern)
• S-1-5-32-550 = Gruppe der Server-Operatoren
• S-1-5-32-550 = Gruppe der Druck-Operatoren
• S-1-5-32-555 = Gruppe der Remote Desktop Benutzer
• S-1-5-32-573 = Gruppe der Ereignisanzeigen-Leser
• S-1-5-32-578 = Gruppe der Hyper-V-Administratoren
• S-1-5-32-580 = Gruppe der Remote-Management-Benutzer

Die nun folgenden Nutzer werden vom Computer bzw. einer Domäne mit einem zusätzlichen String identifiziert, der durch einen Zufallsgenerator bereits bei der Installation des Systems erzeugt wird. Als Platzhalter für diesen Eintrag verwende ich „xxx“:

• S-1-5-21-xxx-500 = Lokaler Administrator
• S-1-5-21-xxx-512 = Gruppe der Domänen-Administratoren
• S-1-5-21-xxx-513 = Gruppe der Domänen-Benutzer

Es gibt auch noch weitere Benutzer und Gruppen, die entsprechend nachgelesen werden können

Link

Am gestrigen Tage erhielt ich eine Anfrage aufgrund meines Artikels zum Active Directory-Schema und der Installation des entsprechenden SnapIns per DLL-Registrierung. Der Anfragende bekam immer die Fehlermeldung „The Module schmmgmt.dll Loaded but the Call to DllRegisterServer Failed with Error Code 0x80040201“.

Er hatte auch seinem Benutzer die höchstmöglichen Active-Directory-Rechte eingeräumt, was allerdings den Fehler nicht beseitigte. Das Hinderniss um den Befehl erfolgreich auszuführen war die UAC, die bei Windows Server 2008 R2 genauso aktiviert ist wie bei den Clientbetriebssystemen.

Nachdem der Fragende den Befehl „regsvr32 schmmgmt.dll“ in einem Konsolenfenster mit administrativer Berechtigung ausgeführt hatte bekam er von dem System eine Erfolgreiche Rückmeldung und konnte auch das SnapIn nutzen.