ComputerBase Menü
Aktuelles

Richtlinien in Windows 2000 Server

M

meisteralex

Lieutenant
Registriert
Juni 2003
Beiträge
552
Hallo, habe gerade einen win2k server als domaincontroler laufen
kenn mich noch gar nicht damit aus und wollte mich jetzt einarbeiten
hab mal ne blöde frage: wie kann ich z.b. einer gruppe oder einem user erlauben ins internet zu gehen? kann mir einer mal die vorgehensweise erklären, damit ich so nen einsitieg in die vergabe von rechten etc. habe ?
 
Richtlinien erstellst Du in dem du in die Eigenschaften einer OU gehst und dort den Karteireiter "Gruppenrichtlinien" anklickst.
Änder nichts an der "default policy"!!
Mach am besten für jede Einstellung die Du änderst, eine eigene Richtlinie.
Sonst weisst Du irgendwann nicht mehr, was Du wo eingestellt hast.
Soll die Richtlinie domänenweit gelten, dann direkt den Domänennamen rechtsklicken.
 
was ist die ou ? sorry, hab das gerade zum ersten mal drauf
hast du mal ne schritt für schritt anleitung
 
Zuletzt bearbeitet:
OU = Organisation Unit

Ich würd ja gerne paar Screens anhängen, kann das aber erst frühestens am Mittwoch.

"Start - Verwaltung - Active Directory Benutzer und Computer".
In der Baumstruktur ist deine "Organisation" aufgelistet.

Dort legst Du z.B. neue OU an.
Mal als Bespiel "Vorstand" oder "EDV".
Das ADS sollte die Firmenstruktur wiederspiegeln.
Deshalb vorher überlegen, wie weit man das schachteln will.
Mein ADS sieht wie folgt aus:

domäne.de <- ADS-Domäne
...Niederlassung (z.B. "Oberhausen") <- OU
......Vermietung <- OU
.........Hans Mustermann <- User
.........PC1234 <- Rechner

Die OU-Zweige an sich haben noch keinerlei Auswirkung. Das ist alles nur "Show".
Sprich: dient der Übersichtlichkeit.
Interessant wird es erst mit den Gruppen-Richtlinien. Diese kannst du der Domäne oder auch einzelnen OU zuweisen.
 
Korrigiert mich wenn ich falsch liege, aber via GPO kann man nicht einstellen, wer ins Netz darf und wer nicht.
Man kann auf Internet bezogen lediglich Browsereinstellungen (Proxys, Sicherheitseinstellungen usw.) konfigurieren.

Um zu kontrollieren, wer ins Netz kann und wer nicht, brauchst Du nen dedizierten Proxyserver, zum Beispiel ISA (Internet Security and Acceleration Server). Der wird dann anhand von Benutzerkonton und Gruppenmitgliedschaften bestimmen, wer darf und wer nicht.


Active Directory ist lediglich die zentrale Verwalungsstelle für Benutzer- und Computerkonten. Man kann diverse Sicherheitseinstellungen vornhemen, beispielsweise wer sich wo anmelden darf, wo die Benutzerprofile liegen sollen, wies mit Homefoldern aussieht, Remotezugriffsberechtigungen, Sicherheitseinstellungen für Netzwerk und Computer (aber nicht Zugriff auf Ressourcen, das muss an der jeweiligen Resource konfiguriert sein) und viele Sachen mehr. Unter anderem kannste Schaltflächen in Windows ausblenden, nen Updateserver angeben und und und...

Wichtig ist folgendes: in AD sammelst Du alle Objekte, also Benutzer, Gruppen, Computerkonton usw.. Dort liegt die zentrale Stelle zur Benutzerauthentifizierung.
Die Berechtigung für Resourcen, also Dateien, Ordner oder auch den Zugriff aufs Internet musst Du aber auf dem Computer festlegen, der diese bereitstellt. Wenn dann ein Benutzer kommt und davon was haben will, wird er aber wieder in AD (also am Domänencontroller) authentifiziert und authorisiert. Er erhält einen "Schlüssel", ein Token, mit dem er dann auf die Resource zugriefen kann.



Diese Authentifizierung läuft über sehr komplexe Mechanismen und die beiden Protokoll Kerberos und NTLM ab:

Wenn ein Domönencomputer startet, dann wird zuerst einmal der Computer in AD authentifiziert. Der Computer sendet ne LDAP Query:
_ladp._tcp.domain.de
Daraufhin erhält er ne Liste mit Domänencontrollern. Dann schickt er ne Anfrage für ein TGT (Ticket Granting Ticket). Dies erfolgt, falls der Client das kann, alles über Kerberos. Anschlißend wird verifiziert, dass der Computer wirklich der Computer ist, der er vorgibt zu sein. Dafür schickt der Client einen Zeitstempel, der mit einem Hash des Computerpassworts verschlüsselt wurde, zum DC. Außerdem ist eine Plaintext Kopie des Zeitstempels dabei.
Der DC nimmt den Plaintext Zeitstempel und den Hash des Computerpassworts (den er hat, da er DC ist) und errechnet daraus die Verschlüsselung wieder. Dann vergleicht er sein Ergebnis mit dem mitgelieferten verschlüsselten Zeitstempel. Kommt das selbe raus is alles ok und der DC schickt dem Client das TGT. Falls es nicht übereinstimmt oder die Zeit auf Client und DC um mehr als 5 Minuten abweicht, wird die Anfrage aufs TGT vewrweigert (um Replay Attacken zu vermeiden). Alles das passiert ohne Benutzereingriff.
Dann folgt die Benutzerauthentifizierung. Hier gibt der Benutzer seinen Namen und sein Passwort ein. Das wird dann wieder via Kerberos zum DC übertrage und dort mit den Daten verglichen. Dann erstellt der DC das Access Token für den User, das festlegt, was der user darf und was nicht. Zusammen damit werden einige weitere Kerberostickets übertragen.
Greift der Benutzer jetzt auf eine Dateifreigabe zu (oder in Deinem Fall auf nen Proxy), dann fragt dieser beim DC an, ob der User berechtigt ist. Der User erhält ein neues Ticket, bei ner Dateifreigabe z. B. ein CIFS Ticket, mit dem der User dann auf die Freigabe zugreifen kann.
Wenn der DC während der Anmeldung offline ist oder der Client kein Kerberos unterstützt, dann wird NTLM zur Authentifizerung verwendet (New Techoligy LAN Manager). Die Anmeldung an der Domäne selber erfolgt über "Cached Logons", auch etwas das man in AD einstellen kann. Kerberos wird überigens meines Wissens nach nur von Win2k, XP und 2003 unterstützt.

Das war jetzt von mir ausm Gedächtnis geschrieben und soll den ungefähren Ablauf verdeutlichen, damit dir klar wird, was in AD und auf nem DC passiert. Die wenigsten Berechtigungen werden am DC vergeben. Höchstens allgemeine Berechtigungen, wie die lokale Anmeldung an nem DC kann in AD konfiguriert werden. Der Zugriff auf Resourcen, seien es Dateien, Drucker oder auch das Internet, muss da konfiguriert werden, wo der Dienst bereitgestellt wird.


Ich hoffe ich hab jetzt alle Klarheiten mal wieder beseitigt... :D
 
Zuletzt bearbeitet:
vielen dank , besonder für die letzte ausfürhliche antwort, komme dennoch nicht weiter.

also, habe jetzt in der AD diese OU angelegt und auch einen Benutzer darinne angelegt. Jetzt habe ich für diese spezielle OU Richtlinien angelegt, zum Test z.B. nen paar Dinge ausgeblendet nen Proxy im IE eingetragen usw.
Melde ich mich jetzt mit dem Benutzer an, der ja nur in dieser OU liegt, passiert jedoch nix und das was ich ausgebledet habe ist trotzdem nochda ????
 
Mach an dem Client mal ne Commandline auf und tipp ein:
gpupdate /force

Dann ist es übernommen. Falls nicht, dann sind die Einstellungen ungültig, weil sie an höherer Stelle wieder überschrieben werden oder falsch zugewiesen wurden.


/edit: die Clients sind aber schon Mitglieder in der Domain oder?? Eigentlich ne dumme Frage, aber sicher is sicher... ;)
 
Die entsprechenden Benutzer müssen die Gruppenrichtlinien auch "Lesen" und "Übernehmen" -> Häckchen müssen gesetzt sein. Sollte zwar standardmäßig so sein, aber man weiß ja nie :) .
 
ahhhhh verdammte scheiße ich dreh durch, bevor ich meinen rechner ausm fenster schmeiße probier ich es nochmal hier
also nochmal:
generelles ziel von mir ist es einem user der sich am domaincontroler anmeldet z.b. zu verbieten das er in systemsteuerung / anzeige den reiter darstellung sieht/bearbeiten kann

folgendes hab ich gemacht
active directory installiert
neue organisationseinheit angelegt
neuen user + gruppe darin angelegt (user ist nur in der gruppe mitglied , gruppe selber hat keine mitgliedschaften)
in den richtlinen der organisationseinheit mehrere dinge verboten (auch das oben genannte mit der anzeige)
zusätzlich nochmal in den richtlinien der domain (obersten stufe) alles verboten , obwohl er das ja auch so machen müsste
den letzten tip befolt das user und gruppe diese sache lesen und übernehmen dürfen/sollen
Einheitlichen Modus eingeschaltet (müsste aber auch ohne das gehen)

und noch 1000 andere sachen durchgeklickt, probier etc.

Normalerweise müsste ich doch, wenn ich mit vom client nun anmelde, die richtlinien auf den scheiß client übernehmen. aber nix tut sich, alles so wie vorher, als hätte er immernoch seine lokalen richtlinien ?!? was soll das??? hab hier ne anleitung ausm buch und da steht es auch so drinne , aber rein nix tut sich.
langsam bin ich echt am druchdrehen :-(

kann mir vielleicht irgendjemand noch irgendnen tip geben ?? das kann doch nicht so schwer sein oder ?
 
Ich habs grade ausprobiert und es ist problemlos möglich.

1. Ich habe die Gruppenrichtlinie der OU der Domänencontroller bearbeitet.
2. Ich habe einen Benutzer angelegt, mit Administratorrechten(damit der sich am DC anmelden kann).
3. Ich habe die Sicherheitseinstellungen der Gruppenrichtlinie bearbeitet, indem ich dem Benutzer die Parameter "Lesen" und "übernehmen" zugewiesen habe.
4. Ich habe den Benutzer in die Domänencontroller-OU verschoben.

Siehe da, der Benutzer kann sich am DC anmelden und hat den Reiter "Darstellung" nicht, trotz Adminrechten.
 
Für die die es Interessiert, hab endlich des Rätsels Lösung gefunden.
Es hing irgendwie damit zusammen, dass ich sowohl server wie auch client auf einem pc mit vmware emuliert habe. habe irgendwann mal aus zufall einen realen client an dem aber immer noch virtuellem server betriebne und dann hat es auf einmal funktioniert. keine ahung was vmware da angestellt hat, da sonst ja alles geklappt hat.
naja vielleicht kommt ja jemand nochmal in die selbe situation
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
[localGPO] Richtlinien auf Standalone Rechnern verteilen
Antworten
1
Aufrufe
1.319
t-6
t-6
T
Windows 7 Pro Rechner mit einem Windows 2000 Server verbinden
2
Antworten
23
Aufrufe
5.736
TomTom01
T
el_ivo666
Windows Server 2000 Virtualisierung eines Windows 2000 Servers
Antworten
7
Aufrufe
5.679
Benzer
Benzer
F
  • Gesperrt
Vor- und Nachteile eines Router auf der Basis von Windows 2000 Server
Antworten
2
Aufrufe
1.003
niz
niz
gehacktesmacher
Installation Windows 2000 Server als WTS?
Antworten
3
Aufrufe
2.662
gehacktesmacher
gehacktesmacher
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz