O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 263
Sitename=MyBranch
databasePath="e:\ntds"
logPath="e:\ntdslogs"
sysvolpath:"f:\sysvol"
SafeModeAdminPassword:P@ssw0rd
RebootOnCompletion:yes
Weitere Informationen Server Core-Features
Weitere Informationen über die Features, die Sie auf einer Server Core-Installation installie-
ren können, finden Sie unter http://technet.microsoft.com/de-de/library/cc771345.aspx.
Weitere Informationen Optionen beim Installieren eines RODCs
Weitere Informationen über die RODC-Installation, darunter Hinweise zur delegierten
Installation, finden Sie im Artikel „Schrittweise Anleitung für schreibgeschützte Domänen-
controller“ unter http://technet.microsoft.com/de-de/library/cc772234.aspx.
Kennwortreplikationsrichtlinien
Eine Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) legt fest, über wel-
che Benutzer ein bestimmter RODC Anmeldeinformationen zwischenspeichern darf. Wenn
die PRP einem RODC erlaubt, die Anmeldeinformationen eines Benutzers in seinem Cache
zu speichern, ist der RODC in der Lage, Authentifizierungs- und Dienstticketoperationen
dieses Benutzers selbst zu verarbeiten. Dürfen die Anmeldeinformationen eines Benutzers
nicht auf einem RODC zwischengespeichert werden, leitet der RODC alle entsprechenden
Authentifizierungs- und Dienstticketoperationen an einen beschreibbaren Domänencontrol-
ler weiter.
Eine RODC-PRP wird durch zwei Attribute des RODC-Computerkontos festgelegt. Diese
Attribute werden als Zulassen-Liste (engl. allowed list) und Verweigern-Liste (engl. denied
list) bezeichnet. Ist das Konto eines Benutzers in der Zulassen-Liste enthalten, werden die
Anmeldeinformationen dieses Benutzers zwischengespeichert. Sie können auch Gruppen in
die Zulassen-Liste eintragen, dann werden die Anmeldeinformationen aller Benutzer, die zu
diesen Gruppen gehören, auf dem RODC zwischengespeichert. Steht ein Benutzer sowohl
auf der Zulassen-Liste als auch der Verweigern-Liste, werden seine Anmeldeinformationen
nicht zwischengespeichert: Die Verweigern-Liste hat Vorrang.
Konfigurieren einer domänenweiten Kennwortreplikationsrichtlinie
Um die Verwaltung der PRP zu erleichtern, erstellt Windows Server 2008 zwei domänen-
lokale Sicherheitsgruppen im AD DS-Container Users. Die erste heißt Zulässige RODC-
Kennwortreplikationsgruppe, sie wird zur Zulassen-Liste aller neuen RODCs hinzugefügt.
In der Standardeinstellung hat die Gruppe keine Mitglieder. Daher speichert ein neuer
RODC keinerlei Anmeldeinformationen in seinem Cache. Gibt es Benutzer, deren Anmelde-
informationen
Sie auf allen RODCs der Domäne zwischenspeichern wollen, können Sie diese
Benutzer zur Gruppe Zulässige RODC-Kennwortreplikationsgruppe hinzufügen.
264 Kapitel 5: Konfigurieren von AD LDS und RODCs
Die zweite Gruppe heißt Abgelehnte RODC-Kennwortreplikationsgruppe. Sie wird zur Ver-
weigern-Liste aller neuen RODCs hinzugefügt. Wenn Sie verhindern wollen, dass die An-
meldeinformationen bestimmter Benutzer jemals in den RODCs der Domäne zwischenge-
speichert werden, können Sie diese Benutzer zur Gruppe Abgelehnte RODC-Kennwortrepli-
kationsgruppe hinzufügen. In der Standardeinstellung enthält diese Gruppe sicherheitsrele-
vante Konten, die Mitglieder von Gruppen wie Domänen-Admins, Organisations-Admins
und Richtlinien-Ersteller-Besitzer sind.
Hinweis Zwischenspeichern von Computeranmeldeinformationen
Neben den Benutzern der Zweigstellen generieren auch Zweigstellencomputer Authentifi-
zierungs- und Dienstticketoperationen. Um die Leistung der Systeme in einer Zweigstelle zu
verbessern, sollten Sie dem Zweigstellen-RODC erlauben, sowohl Benutzer- als auch Com-
puteranmeldeinformationen zwischenzuspeichern.
Konfigurieren einer RODC-spezifischen Kennwortreplikationsrichtlinie
Mithilfe der Gruppen Zulässige RODC-Kennwortreplikationsgruppe und Abgelehnte
RODC-Kennwortreplikationsgruppe ist es möglich, die PRP für alle RODCs zu verwalten.
Meist wollen Sie aber dem RODC in jeder Zweigstelle erlauben, die Benutzer- und Com-
puteranmeldeinformationen der Konten in seinem jeweiligen Standort zwischenzuspeichern.
Daher müssen Sie für jeden RODC individuelle Zulassen- und Verweigern-Listen konfigu-
rieren.
Sie konfigurieren eine RODC-PRP, indem Sie in der Organisationseinheit Domain Control-
lers die Eigenschaften des RODC-Computerkontos öffnen. Auf der Registerkarte Kennwort-
replikationsrichtlinie (Abbildung 5.14) können Sie sich die aktuellen PRP-Einstellungen
ansehen und Benutzer oder Gruppen zur PRP hinzufügen und daraus entfernen.
Abbildung 5.14 Die Registerkarte Kennwortreplikationsrichtlinie eines RODCs

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required