266 Kapitel 5: Konfigurieren von AD LDS und RODCs
auf dem RODC zwischengespeichert werden. Das geschieht aber erst, wenn Authentifizie-
rungs- oder Dienstticketereignisse auftreten, sodass der RODC die Anmeldeinformationen
von einem beschreibbaren Domänencontroller repliziert. Sie können dafür sorgen, dass Au-
thentifizierungs- und Dienstticketoperation sogar dann lokal vom RODC verarbeitet werden,
wenn sich der Benutzer oder der Computer zum ersten Mal authentifiziert. Dazu füllen
Sie Anmeldeinformationen der Benutzer und Computer aus der betreffenden Zweigstelle in
den RODC-Cache ein. Klicken Sie dazu auf Kennwörter auffüllen und wählen Sie die ge-
wünschten Benutzer und Computer aus. Normalerweise tun Sie das, wenn ein neuer Mitar-
beiter eine Stelle in einer Zweigstelle antritt (oder wenn Sie wissen, dass eine Führungskraft
eine Zweigstelle besucht und sich dort anmelden will).
Administratorrollentrennung
RODCs in Zweigstellen erfordern gelegentliche Wartung, wenn etwa ein aktualisierter Geräte-
treiber installiert werden muss. Außerdem kombinieren kleine Zweigstellen oft den RODC
auf einem einzelnen Computer mit anderen Rollen, etwa der des Dateiservers. Für diesen
Fall ist es wichtig, dass ein Mitarbeiter der Zweigstelle eine Datensicherung des Systems
vornehmen kann. RODCs unterstützen die lokale Administration über ein Feature, das als
Administratorrollentrennung bezeichnet wird. Jeder RODC verwaltet eine lokale Datenbank
der Gruppen, die bestimmte Administrationsaufgaben erledigen. Sie können Domänenbe-
nutzerkonten zu diesen lokalen Rollen hinzufügen, um den Support für einen bestimmten
RODC sicherzustellen.
Sie konfigurieren die Administratorrollentrennung mit dem Tool dsmgmt.exe. Gehen Sie
folgendermaßen vor, um einen Benutzer zur Administratorenrolle auf einem RODC hinzu-
zufügen:
1. Öffnen Sie auf dem RODC eine Eingabeaufforderung mit erhöhten Rechten.
2. Geben Sie den Befehl
dsmgmt ein.
3. Geben Sie
local roles ein.
4. Geben Sie an der
local roles-Eingabeaufforderung ein Fragezeichen (?) ein, um sich
eine Liste aller Befehle anzeigen zu lassen. Mit
list roles können Sie sich eine Liste
der lokalen Rollen anzeigen lassen.
5. Geben Sie
add Benutzername administrators ein, wobei Benutzername der Prä-Windows
2000-Anmeldename eines Domänenbenutzers ist.
Wiederholen Sie diesen Vorgang bei Bedarf, um weitere Benutzer zu den verschiedenen
lokalen Rollen auf einem RODC hinzuzufügen.
Weitere Informationen Verbessern von Authentifizierung und Sicherheit
Weitere Informationen darüber, wie RODCs Authentifizierung und Sicherheit in Zweig-
stellen verbessern, finden Sie unter http://technet.microsoft.com/de-de/library/cc772234.
aspx.
Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 267
Übung Konfigurieren eines RODCs
In dieser Übung konfigurieren Sie einen RODC, um den Betrieb einer Zweigstelle zu simu-
lieren. Sie installieren den RODC, konfigurieren eine Kennwortreplikationsrichtlinie, über-
wachen die Zwischenspeicherung von Anmeldeinformationen und füllen Anmeldeinforma-
tionen ein.
Hinweis RODC und AD LDS
In dieser Übung stufen Sie den Server Boston zu einem RODC hoch. Sofern Sie die Übun-
gen in Lektion 1 durchgearbeitet haben, ist auf diesem Server bereits die Serverrolle Active
Directory Lightweight Directory Services installiert. In einem Produktivnetzwerk sollten Sie
einen Server, auf dem die Serverrolle Active Directory Lightweight Directory Services läuft,
niemals zu einem Domänencontroller hochstufen. In Ihrer Testumgebung funktionieren die
Übungen wie beschrieben. Allerdings ist es sinnvoll, die Rolle Active Directory Lightweight
Directory Services von Boston zu entfernen, bevor Sie den Server hochstufen. Lektion 1
beschreibt genau, wie Sie vorgehen, um die Rolle Active Directory Lightweight Directory
Services zu entfernen.
Übung 1 Erstellen von Active Directory-Objekten
In dieser Übung erstellen Sie Active Directory-Objekte, die Sie in den nachfolgenden Übun-
gen benutzen.
1. Melden Sie unter dem Konto Kim_Akers am Domänencontroller Glasgow an.
2. Öffnen Sie Active Directory-Benutzer und -Computer.
3. Erstellen Sie folgende Active Directory-Objekte:
■
Eine globale Sicherheitsgruppe namens Branch_Office_USERS
■
Einen Benutzer namens Jeff Hay
■
Einen Benutzer namens Joe Healy
■
Einen Benutzer namens Tanja Plate
Fügen Sie Jeff Hay und Joe Healy zur Gruppe Branch_Office_USERS hinzu, Tanja
Plate aber nicht. Alle drei Konten sind standardmäßig Mitglieder von Domänen-
Benutzer.
4. Fügen Sie die Gruppe Domänen-Benutzer als Mitglied zur Gruppe Druck-Operatoren
hinzu.
Hinweis Die Gruppe Druck-Operatoren
Wenn Sie Standardbenutzer- oder -gruppenkonten zur Gruppe Druck-Operatoren hin-
zufügen, können sich diese Benutzer interaktiv an einem Domänencontroller anmel-
den. In einer Produktivumgebung sollten Sie das nicht tun.
5. Melden Sie sich vom Domänencontroller ab.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
