Leitfaden zur Verwaltung von Active Directory

Dieser Leitfaden bietet eine Einführung in die Verwaltung des Verzeichnisdienstes Active Directory unter Windows Server 2003 und das Snap-In Active Directory-Benutzer und -Computer.

Auf dieser Seite

	Einführung
	Übersicht
	Verwenden des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen
	Verwenden des Snap-Ins Active Directory-Benutzer und -Computer
	Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

•	Teil I: Installieren von Windows Server 2003 als Domänencontroller
•	Teil II: Installieren einer Arbeitsstation unter Windows XP Professional und Integration in eine Domäne

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Die Leitfäden zur Bereitstellung von Windows Server 2003 können in einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Mit VM-Technologie (Virtual Machine) sind Kunden in der Lage, mehrere Betriebssysteme parallel auf einem einzigen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die hierin verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Übersicht

Dieser Leitfaden bietet eine Einführung in die Verwaltung des Verzeichnisdienstes Active Directory unter Windows Server 2003. Mit den von Active Directory gebotenen Verwaltungstools lässt sich die Verwaltung des Verzeichnisdienstes erheblich vereinfachen. Sie können die Standardtools verwenden oder mithilfe von MMC (Microsoft Management Console) benutzerdefinierte Tools für spezielle Einzelaufgaben erstellen. Hierbei können mehrere Tools zu einer Konsole zusammengefasst werden. Darüber hinaus können die benutzerdefinierten Tools auch einzelnen Administratoren mit bestimmten administrativen Zuständigkeiten zugewiesen werden.

Die Active Directory-Verwaltungstools können nur auf einem Computer mit Zugriff auf eine Domäne verwendet werden. Über das Menü Verwaltungkann auf die folgenden Active Directory-Verwaltungstools zugegriffen werden:

•	Active Directory-Benutzer und -Computer
•	Active Directory-Domänen und -Vertrauensstellungen
•	Active Directory-Standorte und -Dienste

Active Directory kann auch remote von einem Computer verwaltet werden, der nicht als Domänencontroller betrieben wird, also z. B. von einem Computer unter Windows XP Professional. Zu diesem Zweck müssen die Verwaltungstools für Windows Server 2003 installiert werden.

Das Snap-In Active Directory-Schema ist ein Active Directory-Verwaltungstool für die Verwaltung des Schemas. Es steht standardmäßig nicht über das Menü Verwaltung zur Verfügung, sondern muss manuell hinzugefügt werden.

Für erfahrene Administratoren und Netzwerksupportspezialisten stehen zudem zahlreiche Befehlszeilentools für die Konfiguration, die Verwaltung und die Problembehandlung von Active Directory zur Verfügung. Darüber hinaus können Skripts erstellt werden, die auf ADSI zugreifen (Active Directory Service Interfaces). Auf dem Betriebssystem-Installationsmedium finden Sie eine Reihe von Beispielskripts.

Voraussetzungen

•	Teil I: Installieren von Windows Server 2003 als Domänencontroller
•	Teil II: Installieren einer Arbeitsstation unter Windows XP Professional und Integration in eine Domäne
•	Leitfaden zum Einrichten zusätzlicher Domänencontroller

Anforderungen des Leitfadens

•	Sie müssen als Benutzer mit Verwaltungsrechten angemeldet sein, um die im vorliegenden Dokument erläuterten Verfahren durchführen zu können.
•	Wenn Sie auf einem Domänencontroller arbeiten, sollten Sie prüfen, ob das Snap-In Active Directory-Schema installiert ist. So installieren Sie das Snap-In • Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: regsvr32 schmmgmt.dll.  Damit steht das Snap-In für die Verwaltung des Active Directory-Schemas in MMC zur Verfügung.

•

Auf eigenständigen Servern unter Windows Server 2003 oder auf Arbeitsstationen unter Windows XP Professional können die Active Directory-Verwaltungstools optional installiert werden. Diese Tools können über die Systemsteuerung und das Feature Software mit dem Assistenten für Windows-Komponenten oder mithilfe von ADMINPAK auf der Windows Server 2003-CD installiert werden.

Verwenden des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen

Das Snap-In Active Directory-Domänen und -Vertrauensstellungen zeichnet sich durch eine grafische Ansicht aller Domänenstrukturen in der Gesamtstruktur aus. Mit diesem Tool kann der Administrator jede Domäne in der Gesamtstruktur sowie die Vertrauensstellungen zwischen den Domänen verwalten, er kann den Betriebsmodus jeder Domäne (nativer oder gemischter Modus) konfigurieren, und er kann die alternativen Benutzerprinzipalnamens-Suffixe festlegen.

Starten des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen

So starten Sie das Snap-In

1.

Klicken Sie auf HQ-CON-DC-01 auf die Schaltfläche Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie nun auf Active Directory-Domänen und -Vertrauensstellungen. Das Snap-In Active Directory-Domänen und -Vertrauensstellungen wird wie in Abbildung 1 dargestellt angezeigt. Abbildung 1.  Snap-In Active Directory-Domänen und -Vertrauensstellungen

Der Benutzerprinzipalname bietet eine einfach zu verwendende Benennungskonvention für die Anmeldung von Benutzern an Active Directory. Die Benennungskonvention des Benutzerprinzipalnamens basiert auf dem Internetstandard RFC 822 und wird gelegentlich auch als Mailadresse bezeichnet. Als standardmäßiges Benutzerprinzipalnamens-Suffix gilt der DNS-Name der Gesamtstruktur, also der DNS-Name der ersten Domäne in der ersten Struktur der Gesamtstruktur. In diesem und anderen Leitfäden der vorliegenden Reihe wird contoso.com als standardmäßiges Benutzerprinzipalnamens-Suffix verwendet.

Es können alternative Benutzerprinzipalnamens-Suffixe hinzugefügt werden, um die Anmeldesicherheit zu erhöhen. Die Benutzeranmeldenamen können zudem vereinfacht werden, indem ein einziges Benutzerprinzipalnamens-Suffix für alle Benutzer verwendet wird. Das Benutzerprinzipalnamens-Suffix wird nur innerhalb der Windows Server 2003-Domäne verwendet und muss daher kein gültiger DNS-Domänenname sein.

So fügen Sie weitere Benutzerprinzipalnamens-Suffixe hinzu

1.	Markieren Sie im oberen linken Teilfenster den Eintrag Active Directory-Domänen und -Vertrauensstellungen, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
2.	Geben Sie im Feld Alternative UPN-Suffixe beliebige bevorzugte alternative Benutzerprinzipalnamens-Suffixe ein, und klicken Sie dann auf Hinzufügen.
3.	Klicken Sie auf OK, um das Fenster zu schließen.

Ändern der Funktionalität von Domäne und Gesamtstruktur

Die mit Active Directory unter Windows Server 2003 eingeführte Domänen- und Gesamtstrukturfunktionalität ermöglicht das Aktivieren von domänen- oder gesamtstrukturweiten Active Directory-Funktionen in der Netzwerkumgebung. Je nach Umgebung stehen verschiedene Ebenen der Domänen- und Gesamtstrukturfunktionalität zur Verfügung.

Wenn alle Domänencontroller in der Domäne oder der Gesamtstruktur mit Windows Server 2003 ausgerüstet sind und die Funktionsebene auf "Windows Server 2003" festgelegt wurde, stehen alle domänen- und gesamtstrukturweiten Funktionen zur Verfügung. Wenn sich in der Domäne oder der Gesamtstruktur neben Domänencontrollern unter Windows Server 2003 jedoch auch Domänencontroller unter Windows NT^® 4.0 oder Windows 2000 befinden, steht nur eine Untermenge der domänen- und gesamtstrukturweiten Funktionen von Active Directory bereit.

Das Konzept der Aktivierung weiterer Funktionen in Active Directory wurde unter Windows 2000 mit dem gemischten und dem nativen Modus eingeführt. Domänen im gemischten Modus können Reservedomänencontroller unter Windows NT 4.0 enthalten, können jedoch nicht mit Funktionen wie universellen Sicherheitsgruppen, Gruppenschachtelung und SID-Verläufen (SID = Sicherheits-ID) arbeiten. Befindet sich die Domäne im nativen Modus, stehen diese Funktionen hingegen zur Verfügung. Domänencontroller unter Windows 2000 Server kennen keine domänen- und gesamtstrukturweiten Funktionen.

Warnung:  Nachdem die Funktionsebene der Domäne heraufgestuft wurde, können Domänencontroller, auf denen ältere Betriebssysteme ausgeführt werden, nicht mehr in die Domäne aufgenommen werden. Wird die Domänenfunktionsebene z. B. auf "Windows Server 2003" heraufgestuft, können dieser Domäne keine Domänencontroller unter Windows 2000 Server mehr hinzugefügt werden.

Die Domänenfunktionalität ermöglicht Vorgänge, die die gesamte Domäne und nur diese Domäne betreffen. Es stehen vier Domänenfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standard), Windows 2000 nativ, Windows Server 2003-interim und Windows Server 2003. Standardmäßig werden Domänen auf der Funktionsebene "Windows 2000 gemischt" betrieben.

So stufen Sie die Domänenfunktionalität herauf

1.	Klicken Sie mit der rechten Maustaste auf das Domänenobjekt (im Beispiel contoso.com), und klicken Sie dann auf Domänenfunktionsebene heraufstufen.
2.	Klicken Sie in der Dropdownliste Wählen Sie eine verfügbare Domänenfunktionsebene auf den Eintrag Windows Server 2003, und klicken Sie dann auf Heraufstufen.
3.	Klicken Sie in der Warnung zum Heraufstufen der Domänenfunktionsebene auf OK. Klicken Sie erneut auf OK, um den Vorgang abzuschließen.
4.	Schließen Sie das Fenster Active Directory-Domänen und -Vertrauensstellungen.

Verwenden des Snap-Ins Active Directory-Benutzer und -Computer

So starten Sie das Snap-In Active Directory-Benutzer und -Computer

1.	Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie abschließend auf Active Directory-Benutzer und -Computer.
2.	Erweitern Sie Contoso.com durch Klicken auf das Pluszeichen (+).

Abbildung 2 zeigt die wichtigsten Komponenten des Snap-Ins Active Directory-Benutzer und -Computer.

Erkennen von Active Directory-Objekten

Die in der folgenden Tabelle aufgeführten Objekte werden bei der Installation von Active Directory erstellt.

Symbol	Ordner	Beschreibung
	Domäne	Der Stammknoten des Snap-Ins steht für die zu verwaltende Domäne.
	Computer	Enthält alle Computer unter Windows NT, Windows 2000, Windows XP und Windows Server 2003, die Mitglied einer Domäne sind. Hierzu gehören auch Computer unter Windows NT, Versionen 3.51 und 4.0. Beim Aktualisieren einer Vorläuferversion migriert Active Directory das Computerkonto in diesen Ordner. Diese Objekte können verschoben werden.
	System	Enthält Informationen zu Active Directory-Systemen und -Diensten.
	Benutzer	Enthält alle Benutzer in der Domäne. Bei einer Aktualisierung werden alle Benutzer aus der vorherigen Domäne migriert. Wie Computerobjekte können auch Benutzerobjekte verschoben werden.

Mit Active Directory können die folgenden Objekte erstellt werden:

Symbol	Objekt	Beschreibung
	Benutzer	Ein Benutzerobjekt ist ein Objekt, das als Sicherheitsprinzipal im Verzeichnis abgelegt ist. Ein Benutzer kann sich mit diesen Anmeldeinformationen am Netzwerk anmelden, und dem Benutzer können Zugriffsberechtigungen gewährt werden.
	Kontakt	Ein Kontaktobjekt ist ein Konto, das nicht über sicherheitsrelevante Berechtigungen verfügt. Eine Anmeldung am Netzwerk als Kontakt ist nicht möglich. Kontakte werden in der Regel verwendet, um externe Benutzer zum Zwecke des E-Mail-Versands abzulegen.
	Computer	Dies ist ein Objekt, das einen Computer im Netzwerk repräsentiert. Bei Arbeitsstationen und Servern unter Windows NT ist dies ein Computerkonto.
	Organisationseinheit	Organisationseinheiten (Organizational Units, OUs) werden als Container für die logische Ordnung von Verzeichnisobjekten wie Benutzern, Gruppen und Computern verwendet. Sie sind mit den Ordnern vergleichbar, mit denen die Dateien auf der Festplatte organisiert werden.
	Gruppe	Gruppen können Benutzer, Computer und andere Gruppen enthalten. Gruppen vereinfachen die Verwaltung von großen Objektmengen.
	Freigegebener Ordner	Ein freigegebener Ordner ist eine Netzwerkfreigabe, die im Verzeichnis veröffentlicht wurde.
	Freigegebener Drucker	Ein freigegebener Drucker ist ein Netzwerkdrucker, der im Verzeichnis veröffentlicht wurde.

Hinzufügen einer Organisationseinheit

Mit diesem Verfahren wird in der Domäne Contoso eine weitere OU erstellt. Beachten Sie, dass geschachtelte OUs mit einer unbegrenzten Anzahl Schachtelungsebenen erstellt werden können.

Die nachstehenden Schritte setzen das Vorhandensein einer Active Directory-Struktur voraus, die gemäß der Leitfäden zum Einrichten der allgemeinen Infrastruktur erstellt wurde. Wurde diese Struktur nicht erstellt, fügen Sie die OUs und Benutzer direkt unter Contoso.com hinzu, d. h. Sie ersetzen Konten im Verfahren durch Contoso.com.

So fügen Sie eine OU hinzu

1.	Klicken Sie auf das Pluszeichen (+) neben Accounts, um den Knoten zu erweitern.
2.	Klicken Sie mit der rechten Maustaste auf Accounts.
3.	Zeigen Sie auf Neu, und klicken Sie dann auf Organisationseinheit. Geben Sie Construction als Namen der neuen Organisationseinheit ein, und klicken Sie dann auf OK.

Wiederholen Sie die vorstehenden Schritte, um auch die folgenden OUs zu erstellen:

•	Organisationseinheit Engineering unter Accounts.
•	Organisationseinheit Manufacturing unter Accounts.
•	Organisationseinheit Consumer unter der Organisationseinheit Manufacturing. (Hierzu klicken Sie mit der rechten Maustaste auf Manufacturing, zeigen dann auf Neu und klicken anschließend auf Organisationseinheit.
•	Organisationseinheiten Corporate und Government unter der Organisationseinheit Manufacturing. Klicken Sie auf Manufacturing, damit der Inhalt der OU im rechten Teilfenster angezeigt wird.

Nach Abschluss des Verfahrens sollte eine Hierarchie wie in Abbildung 3 dargestellt entstanden sein.

Erstellen eines Benutzerkontos

Mit dem folgenden Verfahren wird in der OU Construction das Benutzerkonto John Smith erstellt.

So erstellen Sie ein Benutzerkonto

1.	Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Construction, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer, oder klicken Sie auf der Symbolleiste des Snap-Ins auf Neuer Benutzer.
2.	Geben Sie die Benutzerinformationen wie in Abbildung 4 gezeigt ein.       Abbildung 4.  Dialogfeld "Neues Objekt – Benutzer"
3.	Klicken Sie auf Weiter.
4.	Geben Sie pass#word1 in die Felder Kennwort und Kennwort bestätigen ein, und klicken Sie dann auf Weiter. Hinweis:  Die Rolle des Kennwortes bei der Sicherung des Netzwerkes eines Unternehmens wird häufig unterschätzt und übersehen. Kennwörter stellen die erste Verteidigungslinie bei der Abwehr des unbefugten Zugriffs auf das Netzwerk der Organisation dar. Die Windows Server 2003-Produktfamilie umfasst ein neues Feature, das für alle neu erstellten Benutzerkennwörter komplexe Kennwörter zwingend voraussetzt. Weitere Informationen über diese Funktion finden Sie im Leitfaden zum Durchsetzen der Richtlinien für sichere Kennwörter.
5.	Klicken Sie auf Fertig stellen, um das nun folgende Bestätigungsdialogfeld zu schließen.

Sie haben in der OU Construction ein Konto für John Smith erstellt.

So fügen Sie weitere Information über diesen Benutzer hinzu

1.	Klicken Sie im rechten Teilfenster auf die OU Construction, klicken Sie im gleichen Teilfenster auf John Smith, und klicken Sie dann auf Eigenschaften.
2.	Fügen Sie im Dialogfenster Eigenschaften auf der Registerkarte Allgemein wie in Abbildung 5 gezeigt weitere Informationen über den Benutzer hinzu, und klicken Sie dann auf OK. Klicken Sie auf die vorhandenen Registerkarten, und prüfen Sie die optionalen Benutzerinformationen, die definiert werden können. Abbildung 5.  Weitere Benutzerinformationen

Verschieben eines Benutzerkontos

Benutzerkonten können von einer OU in eine andere OU in der gleichen oder in einer anderen Domäne verschoben werden. Mit dem folgenden Verfahren wird beispielsweise das Benutzerkonto von John Smith aus dem Geschäftsbereich Construction in den Geschäftsbereich Engineering verschoben.

So verschieben Sie ein Benutzerkonto von einer OU in einer andere

1.	Markieren Sie im rechten Teilfenster das Benutzerkonto John Smith, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Verschieben.
2.	Klicken Sie im Fenster Verschieben auf das Pluszeichen (+) neben Accounts, um den Knoten wie in Abbildung 6 gezeigt zu erweitern. Abbildung 6.  Liste der verfügbaren OUs
3.	Klicken Sie auf die OU Engineering, und klicken Sie dann auf OK.

Erstellen einer Gruppe

So erstellen Sie eine Gruppe

1.	Klicken Sie mit der rechten Maustaste auf die OU Engineering, klicken Sie auf Neu, und klicken Sie dann auf Gruppe.
2.	Geben Sie im Dialogfeld Neues Objekt – Gruppe den Begriff Tools als Namen der Gruppe ein.
3.	Prüfen Sie Typ und Bereich der in Windows Server 2003 verfügbaren Gruppen wie in der folgenden Tabelle aufgeführt. Behalten Sie die Standardeinstellungen bei, und klicken Sie auf OK, um die Gruppe Tools zu erstellen. • Der Gruppentyp legt fest, ob die Gruppe zum Zuweisen von Berechtigungen für andere Netzwerkressourcen wie Dateien und Drucker genutzt werden kann. Für E-Mail-Verteilerlisten können sowohl Sicherheitsgruppen als auch Verteilergruppen verwendet werden. • Der Gruppenbereich bestimmt die Sichtbarkeit der Gruppe und den Objekttyp, der in der Gruppe enthalten sein kann. Bereich Sichtbarkeit Möglicher Inhalt Lokale Domäne Domäne Benutzer, lokale Domäne, globale oder universelle Gruppen Global Gesamtstruktur Benutzer oder globale Gruppen Universell Gesamtstruktur Benutzer, globale oder universelle Gruppen

Hinzufügen eines Benutzers zu einer Gruppe

So fügen Sie einer Gruppe einen Benutzer hinzu

1.	Markieren Sie im rechten Teilfenster die OU Engineering.
2.	Klicken Sie im rechten Teilfenster mit der rechten Maustaste auf die Gruppe Tools, und klicken Sie dann auf Eigenschaften.
3.	Klicken Sie auf die Registerkarte Mitglieder, und klicken Sie nun auf Hinzufügen.
4.	Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den Namen John ein, und klicken Sie dann auf OK. Abbildung 7.  Hinzufügen von John Smith zur Sicherheitsgruppe "Tools"
5.	Prüfen Sie im Fenster Eigenschaften von Tools, dass John Smith nun Mitglied der Sicherheitsgruppe Tools ist, und klicken Sie auf OK.

Veröffentlichen eines freigegebenen Ordners

Wenn Sie den Benutzern das Auffinden von freigegebenen Ordnern erleichtern möchten, können Sie Informationen über diese Ordner in Active Directory veröffentlichen. Alle freigegebenen Netzwerkordner einschließlich DFS-Ordner (Distributed File System, verteiltes Dateisystem) können in Active Directory veröffentlicht werden. Mit dem Erstellen eines Objekts Freigegebener Ordner im Verzeichnis wird der Ordner allerdings nicht automatisch freigegeben. Hierfür ist ein aus zwei Schritten bestehendes Verfahren erforderlich, bei dem der Ordner zunächst freigegeben und dann in Active Directory veröffentlicht werden muss.

So geben Sie einen Ordner frei

1.	Erstellen Sie in Windows Explorer auf einem der vorhandenen Festplattenlaufwerke einen neuen Ordner mit Namen Engineering Specs.
2.	Klicken Sie in Windows Explorer mit der rechten Maustaste auf den Ordner Engineering Specs, und klicken Sie dann auf Eigenschaften. Klicken Sie auf Freigabe, und klicken Sie dann auf Diesen Ordner freigeben.
3.	Geben Sie im Fenster Eigenschaften von Engineering Specs den Namen ES im Feld Freigabename ein, und klicken Sie dann auf OK. Schließen Sie nun den Windows Explorer. Hinweis:  Standardmäßig verfügt die vordefinierte Gruppe Jeder über Berechtigungen für diesen freigegebenen Ordner. Sie können die Standardberechtigung ändern, indem Sie auf die Schaltfläche Berechtigungen klicken.

Veröffentlichen des freigegebenen Ordners im Verzeichnis

So veröffentlichen Sie den freigegebenen Ordner im Verzeichnis

1.	Klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Organisationseinheit Engineering, zeigen Sie auf Neu, und klicken Sie anschließend auf Freigegebener Ordner.
2.	Geben Sie im Fenster Neues Objekt – Freigegebener Ordner im Feld Name den Namen Engineering Specs ein.
3.	Geben Sie im Namensfeld Netzwerkpfad den Namen \\hq-con-dc-01.contoso.com\ES ein, und klicken Sie auf OK.
4.	Klicken Sie mit der rechten Maustaste auf Engineering Specs, und klicken Sie dann auf Eigenschaften.
5.	Klicken Sie auf Schlüsselwörter. Geben Sie im Feld Neuer Wert den Begriff Specifications ein, und klicken Sie auf Hinzufügen, um fortzufahren. Klicken Sie zwei Mal auf OK, um den Vorgang abzuschließen.

Die Benutzer können in Active Directory nun anhand des Freigabenamens oder des Schlüsselworts nach dieser freigegebenen Ressource suchen.

Suchen nach einem freigegebenen Ordner

So suchen Sie einen freigegebenen Ordner

1.	Klicken Sie in der MMC-Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf Contoso, und klicken Sie dann auf Suchen.
2.	Klicken Sie in der Dropdownliste Suchen auf Freigegebene Ordner. Geben Sie im Textfeld Schlüsselwörter den Begriff Specifications ein, und klicken Sie dann auf Suche starten.
3.	Klicken Sie im Fenster Suchergebnisse mit der rechten Maustaste auf Engineering Specs, und klicken Sie dann auf Öffnen. Abbildung 8.  Suchen nach freigegebenen Ordnern in Active Directory Hinweis:  Die Inhalte des freigegebenen Ordners ES können, sofern vorhanden, vom Endbenutzer mithilfe von Verzeichnissuchen angezeigt werden. Die Benutzer können diese freigegebene Ressource auch als Netzlaufwerk zuordnen.
4.	Schließen Sie das Dialogfeld Freigegebene Ordner suchen.

Veröffentlichen eines Druckers

In Active Directory können auch Informationen über freigegebene Drucker veröffentlicht werden. Informationen über Drucker, die unter Windows NT freigegeben wurden, müssen manuell veröffentlicht werden. Informationen über Drucker, die unter den Produktfamilien Windows Server 2003 oder Windows 2000 Server freigegeben wurden, werden beim Erstellen eines freigegebenen Druckers automatisch im Verzeichnis veröffentlicht. Verwenden Sie Active Directory-Benutzer und -Computer, um Informationen zu einem freigegebenen Drucker manuell zu veröffentlichen.

Das Druckersubsystem gibt Änderungen an den Druckerattributen (Standort, Beschreibung, geladenes Papier usw.) automatisch an das Verzeichnis weiter.

Hinweis:  In diesem Abschnitt werden die einzelnen Schritte zum Konfigurieren und Veröffentlichen eines Druckers erläutert, dessen Ausgabe direkt in eine Datei erfolgt. Wenn Sie einen auf IP, LPT oder USB basierenden Drucker verwenden möchten, müssen Sie die Schritte entsprechend ändern.

Hinzufügen eines neuen Druckers

So fügen Sie einen neuen Drucker hinzu

1.	Klicken Sie auf die Schaltfläche Start, klicken Sie auf Drucker und Faxgeräte, und doppelklicken Sie dann auf Drucker hinzufügen. Der Druckerinstallations-Assistent wird aufgerufen. Klicken Sie auf Weiter.
2.	Klicken Sie auf Lokaler Drucker, der an den Computer angeschlossen ist, deaktivieren Sie das Kontrollkästchen Plug & Play-Drucker automatisch ermitteln und installieren, und klicken Sie dann auf Weiter.
3.	Klicken Sie in der Dropdownliste Folgenden Anschluss verwenden auf die Option FILE: Ausgabe in Datei, und klicken Sie dann auf Weiter.
4.	Klicken Sie im Ergebnisfenster Hersteller auf Generisch. Klicken Sie im Ergebnisfenster Drucker auf Generisch/Nur Text. Klicken Sie auf Weiter.
5.	Ändern Sie auf der Seite Drucker benennen den Namen des Druckers in Print to File, und klicken Sie dann auf Weiter.
6.	Ändern Sie auf der Seite Druckerfreigabe den Freigabenamen in FilePrinter, und klicken Sie auf Weiter.
7.	Geben Sie auf der Seite Standort und Kommentar im Feld Druckerstandort als Position Headquarters – Bldg 4 – Room 2200 ein. Klicken Sie auf Weiter.
8.	Klicken Sie auf Weiter, um eine Testseite zu drucken, und klicken Sie dann auf Fertig stellen, um den Assistenten abzuschließen.
9.	Wenn Sie dazu aufgefordert werden, geben Sie Test Print als Dateinamen für die Druckertestseite ein. Klicken Sie auf OK, um den Vorgang abzuschließen.

Der Drucker wird automatisch in Active Directory veröffentlicht.

Suchen eines Druckers in Active Directory

So suchen Sie einen Drucker in Active Directory

1.	Doppelklicken Sie im Fenster Drucker und Faxgeräte auf das Symbol Drucker hinzufügen.
2.	Das Dialogfeld des Druckerinstallations-Assistenten wird aufgerufen. Klicken Sie auf Weiter.
3.	Klicken Sie auf Netzwerkdrucker oder Drucker, der an einen anderen Computer angeschlossen ist, und klicken Sie anschließend auf Weiter.
4.	Klicken Sie auf Einen Drucker im Verzeichnis suchen (Standard), und klicken Sie dann auf Weiter.
5.	Das Dialogfeld Drucker suchen wird angezeigt. Klicken Sie auf Suche starten, um nach allen in Active Directory veröffentlichten Druckern zu suchen. Legen Sie weitere Suchkriterien fest, um die Suchergebnisse anhand von vorhandenen Funktionen oder Druckerstandorten einzuschränken. Druckerstandortüberwachung:  Mithilfe der Druckerstandortüberwachung kann die Suche nach Druckern rationalisiert werden. Wenn die Druckerstandortüberwachung aktiviert ist und der Benutzer auf Suche starten klickt, führt Active Directory alle Drucker am Standort des Benutzers auf, die der Abfrage des Benutzers entsprechen. Der Benutzer kann das Feld Druckerstandort ändern, indem er auf Durchsuchen klickt und so nach Druckern an anderen Standorten sucht. Weitere Informationen über das Konfigurieren der Druckerstandortüberwachung finden Sie im Hilfe- und Supportcenter von Windows Server 2003.
6.	Doppelklicken Sie auf der Seite Drucker suchen im Feld Suchergebnisse auf Ausgabe in Datei umleiten, um den Drucker zu installieren. Klicken Sie auf Ja (Standard), um diesen Drucker als Standarddrucker des Systems festzulegen, und klicken Sie dann auf Weiter. Abbildung 9.  Suchen nach freigegebenen Druckern in Active Directory
7.	Klicken Sie auf Fertig stellen, um die Druckerinstallation abzuschließen.
8.	Schließen Sie das Fenster Drucker und Faxgeräte.

In Active Directory können auch Drucker veröffentlicht werden, die unter anderen Betriebssystemen als Windows Server 2003, Windows 2000 oder Windows XP freigegeben wurden. Die einfachste Möglichkeit hierzu bietet das Skript pubprn.vbs. Daneben kann auch das Snap-In Active Directory-Benutzer und -Computer verwendet werden. Mit diesem Skript werden alle freigegebenen Drucker auf einem bestimmten Server veröffentlicht. Sie finden das Skript im Verzeichnis \winnt\system32.

Manuelles Veröffentlichen eines Druckers mithilfe des Skripts "pubprn.vbs"

So veröffentlichen Sie einen Drucker manuell mithilfe des Skripts "pubprn.vbs"

1.	Klicken Sie auf die Schaltfläche Start, und klicken Sie dann auf Ausführen. Geben Sie im Textfeld cmd ein, und klicken Sie dann auf OK.
2.	Geben Sie cd  \windows\system32 ein, und drücken Sie die EINGABETASTE.
3.	Geben Sie cscript pubprn.vbs prserv1 "LDAP://ou=accounts,dc=contoso,dc=com" ein, und drücken Sie die EINGABETASTE. Hinweis:  In diesem Beispiel werden alle Drucker auf dem Server Prserv1 in der OU Accounts veröffentlicht. Das Skript kopiert lediglich die folgende Untermenge an Druckerattributen, einschließlich Standort, Modell, Kommentar und UNC-Pfad. Das Skript funktioniert nicht unter Windows Server 2003, sondern wird als Tool für das manuelle Veröffentlichen von Druckern auf Servern unter älteren Betriebssystemen in Active Directory bereitgestellt.
4.	Schließen Sie das Fenster.

Manuelles Veröffentlichen eines Druckers mit dem Snap-In Active Directory-Benutzer und -Computer

1.	Klicken Sie mit der rechten Maustaste auf die OU Marketing, klicken Sie auf Neu, und klicken Sie dann auf Drucker.
2.	Das Dialogfeld Neues Objekt – Drucker wird angezeigt. Geben Sie im Textfeld den Pfad zum Drucker ein, z. B. \\Server\Freigabename, und klicken Sie dann auf OK.

Hiermit ist ein problemloser Zugriff der Endbenutzer auf im Verzeichnis veröffentlichte Drucker sichergestellt, da nach Druckern gesucht werden kann, Druckaufträge an diese Drucker übermittelt und die Druckertreiber direkt vom Server installiert werden können.

Erstellen eines Computerobjekts

Wenn ein Computer einer Domäne beitritt, wird automatisch ein Computerobjekt erstellt. Wenn nicht alle Benutzer über das Recht zum Hinzufügen von Computern zur Domäne verfügen sollen, können Computerobjekte auch manuell oder per Skript vor dem Beitritt des Computers zur Domäne erstellt werden.

So fügen Sie der Domäne manuell einen Computer hinzu

1.	Klicken Sie mit der rechten Maustaste auf die OU Engineering, zeigen Sie auf Neu, und klicken Sie dann auf Computer.
2.	Geben Sie als Computernamen Legacy ein, und klicken Sie auf Weiter.
3.	Wenn es sich bei dem Computer um ein verwaltetes System handelt, können Sie die GUID des Systems eingeben. Lassen Sie in diesem Beispiel das Feld für die System-GUID leer, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
4.	Zum Verwalten dieses Computers über das Snap-In Active Directory-Benutzer und -Computer klicken Sie mit der rechten Maustaste auf das Computerobjekt und klicken dann auf Verwalten.

Optional können Sie auch festlegen, welche Benutzer Computer zur Domäne hinzufügen dürfen. Auf diese Weise kann der Administrator das Computerkonto erstellen, und eine Person mit geringeren Rechten kann den Computer konfigurieren und der Domäne hinzufügen.

Umbenennen, Verschieben und Löschen von Objekten

Jedes Objekt im Verzeichnis kann umbenannt und gelöscht und die meisten Objekte können zudem in anderen Container verschoben werden. Das folgende Verfahren ist eine Erweiterung des Beispiels zum Erstellen eines Computerobjekts.

So verschieben Sie das Computerobjekt "Legacy" in einen anderen Container

1.	Klicken Sie in der OU Accounts auf die OU Engineering.
2.	Klicken Sie mit der rechten Maustaste auf das Computerobjekt Legacy, und klicken Sie dann auf Verschieben.
3.	Erweitern Sie die OU Resources, und klicken Sie dann auf Servers wie in Abbildung 10 gezeigt. Abbildung 10.  Verschieben eines Computerobjekts
4.	Klicken Sie auf OK, um den Computer in der OU Resources in die OU Servers zu verschieben.

Verwalten von Computerobjekten

Computerobjekte in Active Directory können direkt mit dem Snap-In Active Directory-Benutzer und -Computer verwaltet werden. Die Computerverwaltung ist eine Komponente, die zum Anzeigen und Steuern zahlreicher Aspekte der Computerkonfiguration verwendet werden kann. Die Computerverwaltung fasst verschiedene Verwaltungsprogramme zu einer einzigen Konsolenstruktur zusammen und bietet so einfachen Zugriff auf die Verwaltungseigenschaften und -tools von lokalen und Remotecomputern.

Hinweis:  Das folgende Beispiel geht davon aus, dass Sie an der Konsole HQ-CON-DC-01 arbeiten und dass HQ-CON-DC-02 gegenwärtig ausgeführt wird.

Verwalten eines Remotecomputers

So verwalten Sie einen Remotecomputer

1.	Klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf contoso.com, und klicken Sie dann auf Verbindung zur Domäne herstellen.
2.	Klicken Sie auf Durchsuchen, und klicken Sie dann auf das Pluszeichen (+) neben contoso.com. Doppelklicken Sie auf vancouver.contoso.com, und klicken Sie dann auf OK.
3.	Erweitern Sie den Knoten vancouver.contoso.com, indem Sie auf das Pluszeichen (+) klicken, und klicken Sie dann auf Domänencontroller.
4.	Klicken Sie mit der rechten Maustaste auf HQ-CON-DC-02, und klicken Sie anschließend auf Verwalten. Das System kann nun wie in Abbildung 11 gezeigt remote verwaltet werden. Abbildung 11.  Remoteverwaltung eines Computers Bild maximieren
5.	Schließen Sie das Fenster Computerverwaltung.

Geschachtelte Gruppen

Geschachtelte Gruppen ermöglichen die Bereitstellung von unternehmensweitem oder abteilungsweitem Zugriff auf Ressourcen mit minimalem Wartungsaufwand. Die Erstellung einer einzelnen unternehmensweiten Ressource für jede Teamkontengruppe stellt keine effiziente Lösung dar, da dies die Erstellung und Pflege einer großen Anzahl von Mitgliedschaftsverknüpfungen voraussetzt. Bei der Verwendung von geschachtelten Gruppen erstellt der Administrator eine Reihe von Kontengruppen, die für Verwaltungsbereiche des Unternehmens stehen.

So könnte die übergeordnete Kontengruppe beispielsweise "All Employees" heißen und einer Ressourcengruppe zugeordnet sein, die den Zugriff auf Ressourcen und freigegebene Verzeichnisse ermöglicht. Die nächste Ebene könnte Kontengruppen umfassen, die die wichtigsten Geschäftsbereiche des Unternehmens repräsentieren. Jede Gruppe auf dieser Ebene ist Mitglied von "All Employees" und einer Ressourcengruppe zugeordnet, die den Zugriff auf Freigaben und andere Ressourcen ermöglicht, die für den jeweiligen Geschäftsbereich spezifisch sind.

Innerhalb des Geschäftsbereichs befinden sich ggf. die Abteilungen auf der nächst untergeordneten Ebene. Zu den freigegebenen Ressourcen einer Abteilung könnten Projektzeitpläne, Besprechungspläne, Urlaubspläne und sämtliche Netzwerkinformationen gehören, die für die gesamte Abteilung von Interesse sind. Die Abteilungskontengruppen sind jeweils Mitglied der Geschäftsbereichskontengruppe.

Innerhalb einer Abteilung kann die Verwaltungsstruktur auf jeder beliebigen Detailebene in Sicherheitsgruppen organisiert werden. Hierbei kann es sich um Teamkontengruppen handeln, die wiederum Endknoten im Hierarchiebaum der Organisation darstellen.

Im Rahmen dieser Gruppenhierarchie kann jedem neuen Mitarbeiter sofortiger Zugriff auf die Ressourcen des Teams, der Abteilung, des Geschäftsbereichs und des Unternehmens als solchem gewährt werden, indem der Mitarbeiter der jeweils geeigneten Teamkontengruppe hinzugefügt wird. Auf diese Weise wird das Prinzip der niedrigsten Berechtigungsstufe durchgesetzt, da der neue Mitarbeiter die Ressourcen von benachbarten Teams oder von anderen Abteilungen oder Geschäftsbereichen nicht sehen kann.

Erstellen von geschachtelten Gruppen

So erstellen Sie eine geschachtelte Gruppe

1.	Klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf vancouver.contoso.com, und klicken Sie dann auf Verbindung zur Domäne herstellen.
2.	Klicken Sie auf Durchsuchen, und klicken Sie dann auf contoso.com. Klicken Sie zwei Mal auf OK, um den Vorgang abzuschließen.
3.	Erweitern Sie contoso.com, und erweitern Sie dann die OU Accounts.
4.	Erstellen Sie eine neue Gruppe, indem Sie mit der rechten Maustaste auf Engineering klicken, dann auf Neu zeigen und anschließend auf Gruppe klicken. Geben Sie All Engineering ein, und klicken Sie auf OK.
5.	Klicken Sie mit der rechten Maustaste auf die Gruppe All Engineering, und klicken Sie dann auf Eigenschaften.
6.	Klicken Sie auf die Registerkarte Mitglieder, und klicken Sie nun auf Hinzufügen.
7.	Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den Namen Tools ein, und klicken Sie dann auf OK.
8.	Klicken Sie erneut auf OK. Es wurde eine geschachtelte Gruppe erstellt.

Suchen bestimmter Objekte

In groß angelegten Verzeichnisumgebungen ist es ggf. nicht sinnvoll, auf der Suche nach einem einzigen Objekt eine umfangreiche Objektliste zu durchsuchen. Oftmals ist es effizienter, bestimmte Objekte anhand von diversen Kriterien zu suchen. Im folgenden Beispiel werden alle Benutzer in der Domäne Contoso gesucht, deren Anmeldename mit "J" beginnt.

So finden Sie Benutzer, deren Anmeldename mit "J" beginnt

1.	Markieren Sie contoso.com. Klicken Sie mit der rechten Maustaste auf contoso.com, und klicken Sie dann auf Suchen.
2.	Klicken Sie auf die Registerkarte Erweitert. Klicken Sie in der Dropdownliste Feld auf Benutzer, und klicken Sie dann auf Anmeldename.
3.	Geben Sie ím Feld Wert den Buchstaben J ein, und klicken Sie auf Hinzufügen. Klicken Sie auf Suche starten. Ihre Ergebnisse sollten den in Abbildung 12 dargestellten entsprechen. Abbildung 12.  Verwenden von fortgeschrittenen Active Directory-Suchtechniken
4.	Schließen Sie das Fenster Benutzer, Kontakte und Gruppen suchen.

Filtern einer Objektliste

Wird die Liste der vom Verzeichnis zurückgegebenen Objekte gefiltert, kann das Verzeichnis effizienter verwaltet werden. Mit der Filteroption können die an das Snap-In zurückgegebenen Objekttypen eingeschränkt werden. So können Sie beispielsweise festlegen, dass nur Benutzer und Gruppen angezeigt werden, oder es können noch wesentlich komplexere Filter erstellt werden. Wenn eine OU mehr als eine angegebene Anzahl Objekte enthält, kann mithilfe der Filterfunktion die Anzahl der im Ergebnisfenster angezeigten Objekte eingeschränkt werden. Diese Option kann über die Filterfunktion konfiguriert werden.

So erstellen Sie einen Filter, mit dem nur Benutzer angezeigt werden

1.	Klicken Sie im Snap-In Active Directory-Benutzer und -Computer unter der OU Accounts auf Engineering.
2.	Öffnen Sie das Menü Ansicht, und klicken Sie auf Filteroptionen.
3.	Klicken Sie auf das Optionsfeld Nur folgende Objekttypen anzeigen, wählen Sie Benutzer, und klicken Sie auf OK.
4.	Erweitern Sie Accounts, und klicken Sie dann auf Engineering, um die Filterergebnisse zu überprüfen.
5.	Entfernen Sie den Filter.

Weitere Ressourcen

Weitere Informationen finden Sie in den folgenden Ressourcen:

•	Wissenswertes zu den Active Directory-Entwurfskonzepten unter http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dpgdss_overview.asp
•	Microsoft Solutions for Management: Managing the Windows Server Platform Active Directory Directory Service Product Operations Guide an http://www.microsoft.com/downloads/details.aspx?familyid=84dfe61e-fb7b-4673-89b8-55bcc801b431&displaylang=en (nur auf Englisch verfügbar)
•	Aktuelle Informationen über Windows Server 2003 unter /germany/windowsserver2003/