Teil 4 - Erstellen der benötigten Freigaben, Anlegen von Usern, Zuweisen Basis- und Profilordner, Einführung Gruppenrichtlinien
Wir beginnen Teil 4 mit der Vorbereitung für das Anlegen der User, d.h. wir erstellen die Freigaben für die Profile und das Home-Laufwerk der User. Ich habe mich in diesem Fall für versteckte Freigaben entschieden, die später in der Netzwerkumgebung bzw. mit "net view" an der Konsole nicht sichtbar sind. Versteckte Freigaben tragen ein $-Zeichen am Ende des Freigabenamens.
Legt auf einem Laufwerk eures Servers zwei Verzeichnisse an, eines mit dem Namen Profile und eines mit dem Namen User.
Zum Freigeben dieser Verzeichnisse öffnen wir über "Start" => "Verwaltung" die Computerverwaltung und navigieren im linken Baum zu "Freigegebene Ordner" => "Freigaben". Ein Rechtsklick auf "Freigaben" fördert das Kontextmenü zu Tage.
Gebt nun die benötigten Daten ein.
Neue Freigabe |
Dann setzen wir die Berechtigungen für diese Freigabe.
Berechtigung für die Freigabe |
Fügt "Domänen-Benutzer" und "Domänen-Admin" hinzu und gebt beiden Gruppen Vollzugriff. Erst dann entfernt ihr "JEDER" aus den Freigabeberechtigungen und klickt auf OK.
Berechtigung für die Freigabe |
Das wiederholt ihr nun mit dem Verzeichnis "User" und setzt die Berechtigungen genau wie auch für das Profilverzeichnis.
Nun können wir den ersten User im Active Directory anlegen. Dazu starten wir über "Start" => "Verwaltung" das SnapIn "Active Directory Benutzer- und Computer" und navigieren im linken Baum zu "Users". Auf den Eintrag "Users" einen Rechtsklick und aus dem Kontextmenü dann "Neu" => "Benutzer" auswählen.
Das Anlegen eines Users ist beinahe selbsterklärend. Ihr ändert natürlich "TestUser" in einen brauchbaren Benutzernamen.
Neuer Account |
Nun noch ein Kennwort vergeben, dieses sollte mindestens 7 Zeichen lang sein und einen Großbuchstaben und/oder eine Zahl enthalten. Namensbestandteile sind nicht erlaubt, so will es die Kennwort-Komplexitäts-Richtlinie von Windows Server 2003.
Passwort vergeben |
Nachdem der User angelegt ist, erscheint er im Container "Users" auf der rechten Seite. Ein Doppelklick auf den User öffnet den Eigenschaften-Dialog, in dem ihr auf die Registerkarte "Profil" wechselt und folgende Einstellungen vornehmt.
Profilpfad und Basisordner vorgeben |
Die Variable %USERNAME% wird dabei durch den eigentlichen Usernamen ersetzt, was ihr durch erneutes Aufrufen der Eigenschaften des Users kontrollieren könnt.
Mit OK speichert ihr diese Einstellungen ab, die Einrichtung des ersten Users ist damit erstmal abgeschlossen: Der Profilpfad ermöglicht das Anmelden an jedem x-beliebigen Rechner im Netz, da der User nun ein servergespeichertes Profil besitzt. Der Basisordner ist ebenfalls von jedem Rechner im Netz aus verfügbar, im nächsten Schritt wird dann z.B. der Ordner "Eigene Dateien" via Gruppenrichtlinie in diesen Pfad umgeleitet (da er standardmäßig im Profilpfad gespeichert wird und somit die An-/Abmeldung mitunter recht lange dauern kann).
Des Weiteren werden wir über Gruppenrichtlinien die Berechtigungen der User an den Clients definieren, d.h. via Gruppenrichtlinie wird definiert, ob und welcher User an welchem Client Admin-Rechte bekommt, usw.
Das Bearbeiten der Gruppenrichtlinien realisiert man am besten mit der Group-Policy-Management-Console, kurz GPMC genannt. Diese ist bei Microsoft zum Download erhältlich, aber aufgepasst, es gibt sie in verschiedenen Sprachen und Versionen. Die aktuell für uns benötigte Version ist die GPMC 1.01 SP1 Deutsch.
Installiert diese bitte direkt auf dem Server. Wie man von einem Client aus die Domäne administriert, wird Thema eines der nächsten Artikelteile werden.
Group-Policy-Management-Console |
Ihr findet die GPMC nach der Installation unter Start => Verwaltung => Gruppenrichtlinienverwaltung.
Finger weg von der "Default Domain Policy" und der "Default Domain Controllers Policy" - falsche Einstellungen können die komplette Domäne lahm legen. Einzig die Kennwort-Komplexität muss und kann ausschließlich über die "Default Domain Policy" gesteuert werden, für alles andere erstellen wir uns eigene Gruppenrichtlinien-Objekte, kurz GPOs.
Zum Erstellen einer neuen Richtlinie Rechtsklick auf den Container "Gruppenrichtlinienobjekte" => "Neu". Benennt das neue GPO nach dessen Funktion:
Neues GPO |
Zum Bearbeiten des GPO in der Auflistung auf der rechten Seite das Objekt "Ordnerumleitung" rechts anklicken und "Bearbeiten" wählen.
Wie ihr seht, sind die Gruppenrichtlinien unterteilt in Computer- und Benutzerkonfiguration, soll heißen: Richtlinien, die unter Computerkonfiguration eingestellt werden, wirken sich unabhängig vom angemeldeten Benutzer auf jeden Rechner aus, für den dieses GPO gültig ist.
Die unter Benutzerkonfiguration eingestellten Richtlinien greifen an jedem Rechner, an dem sich ein bestimmter Benutzer anmeldet hat und zwar nur für ihn.
Wir wollen hier eine Ordnerumleitung konfigurieren, das ist eine Benutzereinstellung:
Ein Rechtsklick auf "Eigene Dateien" => "Eigenschaften" fördert den Optionen-Dialog zu Tage, den ihr wie folgt einstellt:
GPO bearbeiten |
Auf der Registerkarte "Einstellungen" nehmt ihr folgende Einstellungen vor und bestätigt mit OK.
GPO bearbeiten |
Nun schließt ihr den Gruppenrichtlinienobjekte-Editor und gelangt wieder in die GPMC zurück. Hier müssen wir nun noch das neue GPO verknüpfen und festlegen, für wen es gültig sein soll.
Markiert im Container "Gruppenrichtlinienobjekte" den Eintrag "Ordnerumleitung" und klickt dann im rechten Fenster die Registerkarte "Delegierung" an.
Nun klickt unten rechts auf "Erweitert". Achtet darauf, dass bei "Authentifizierte Benutzer" der Haken bei "Gruppenrichtlinie übernehmen" bei "Zulassen" gesetzt ist.
GPO übernehmen |
Für die Domänen-Administratoren darf der Haken hingegen nicht gesetzt sein.
GPO für Domänen-Admins nicht übernehmen |
Nun ist das GPO fertig eingerichtet, aber noch nicht verknüpft, d.h. noch nicht aktiv. Um es zu verknüpfen, nehmt ihr das GPO "Ordnerumleitung" und zieht es bei gedrückter linker Maustaste auf den Eintrag "mydomain.local" bzw. auf den Eintrag, der eurem Domainnamen entspricht.
Bevor wir uns nun mit dem neu angelegten User erstmalig von einem Client aus anmelden, muss auf dem Server noch eine Datenfreigabe (oder gleich mehrere) erstellt werden, die dann später vom Client aus via "Netzlaufwerk verbinden" bzw. via Anmeldeskript zur Verfügung gestellt wird.
Dazu erstellen wir auf dem Server einen neuen Ordner (den wir dann freigeben werden) und nennen ihn z.B. Data, dann starten wir die Computerverwaltung und navigieren im linken Baum zu "Freigegebene Ordner" => "Freigaben". Das Erstellen einer neuen Freigabe für den Ordner "Data" erfolgt analog zur Freigabe der Profil- und Basisordner, einziger Unterschied: Der Freigabename bekommt jetzt KEIN $-Zeichen angehängt.
Neuen Ordner erstellen |
Die Freigabeberechtigungen setzt ihr genau wie für Profil- und Basisordner auch.
Nun ist es an der Zeit, sich das erste Mal vom Client aus mit dem neu angelegten User an der Domäne anzumelden. Nach der erfolgten Anmeldung sehen die Verzeichnisse auf dem Server so aus:
Profilordner |
User-Ordner |
Eigene Dateien |
Des Weiteren seht ihr auf dem Client im Arbeitsplatz/Explorer ein Laufwerk U:, das direkt auf den Server verbunden ist - dies ist der Basisordner, den wir in den Eigenschaften des Users beim Anlegen eingetragen haben.
Für euch wird es nun Sinn machen, die hier gezeigten Schritte zu wiederholen und erstmal alle für euer Netz benötigten Benutzer anzulegen sowie die benötigten Datenfreigaben auf dem Server. Des Weiteren solltet ihr euch Gedanken darüber machen, welcher User auf welchem Rechner welche Berechtigungen bekommt und welche Netzlaufwerke pro User verbunden werden sollen - alles Punkte, die in Teil 5 via Gruppenrichtlinie eingestellt werden.
Bis dahin sei euch die Lektüre von Mark Heitbrinks Webprojekt www.gruppenrichtlinien.de ans Herz gelegt - zumindest denjenigen, die künftig mehr über GPOs regeln wollen.