NTDS verstehen und nutzen

Active Directory im Windows 2003 Server

Mit dem Active Directory verwalten Sie beim Windows 2003 Server Ihre Computer und Benutzerkonten. Dazu existieren eigene Management Konsolen, mit denen Sie verschiedene Arbeiten im Zusammenhang mit der Domain-Verwaltung ausführen können. Welche das sind, und wie Sie damit arbeiten erfahren Sie in diesem Beitrag.

Um das Active Directory benutzen zu können müssen Sie auf einem Windows 2003 Server – dabei können alle Versionen aus der Web-Edition verwendet werden – in die Serververwaltung blicken und dort die Funktion Domänencontroller (Active Directory) installieren. Das führt dazu, dass der Server ein Domain Controller wird, welcher dann die Active Directory Funktionen zur Verfügung stellt. In diesem Zuge werden übrigens alle lokalen Benutzerkonten gelöscht: Nachdem der Server ein Active Directory Server geworden ist, können nur noch Active Directory Konten verwendet werden. Und das schafft auch gleich das erste Problem bei der Arbeit mit dem Active Directory: Direkt nach der Installation des Domänencontrollers tritt es ein.

Im Zuge der Installation hat man ein Administrator-Passwort vergeben und will nun einen User einrichten. Doch leider – die Benutzerverwaltung ist einfach nicht aufzufinden. Es gibt keinen entsprechenden Eintrag im Startmenü, auch der gewohnte Ast in der Computerverwaltung will nicht so recht auftauchen. Das ist natürlich ärgerlich, denn ohne die Möglichkeit User-Accounts einzurichten macht die ganze Sache nicht viel Sinn. Was ist also zu tun ?

Die Antwort auf diese Frage wirft ein klares Licht auf die Veränderung eines Netzwerkes durch die Einführung des Active Directory: Natürlich gibt es keine alte Benutzerverwaltung mehr. Genau so wenig wie einen Server-Manager und ähnliche Pre Active Directory Komponenten, denn die Verwaltung der Accounts – genau wie die der Rechner im LAN – erfolgt ab sofort über das Active Directory.

Aus für den Benutzer-Manager

Der Benutzermanager ist also überflüssig und daher weggefallen – dafür gibt es aber drei neue Anwendung im Menü ‚Verwaltung’, die alle mit dem Active Directory zu tun haben. Bei den drei Anwendungen handelt es sich um die Active Directory Standorte und Dienste, Active Directory Domänen und Vertrauensstellungen und um Active Directory Benutzer und Computer.

Bevor Sie nun diese drei Anwendungen untersuchen, sollten Sie zunächst über eine weit wichtigere Angelegenheit als über das Anlegen eines neuen Accounts nachdenken: Die Sicherung Ihres Active Directory.

Das Active Directory wird im Laufe der Zeit alle Informationen über Server, Active Directory Server, sonstige Computer im Netzwerk sowie über die Benutzer im Netzwerk aufnehmen. Diese Informationen sind obendrein mit einer Vielzahl an Eigenschaften ausgestattet: Ein Benutzer-Account ist im Active Directory nicht einfach nur ein Username und ein Passwort, sondern enthält ein ganze Menge zusätzlicher Informationen. Dazu zählen typische Informationen aus Adressbüchern wie eine eMail-Adresse, Telefonnummern und postalische Adresse und auch Informationen über die Art und Weise der Computerbenutzung. Dazu zählen zum Beispiel Informationen über RAS-Rückrufmöglichkeiten, Anmeldeskripte und auch ein spezielles Profil für die Nutzung von Terminaldiensten.


Den Benutzer-Manager sucht man auf einem Domain Controller vergeblich.

Obendrein ist ein Benutzeraccount natürlich auch noch mit Rechten ausgestattet. Diese Rechte legen fest, auf welche Ressourcen der Account wann und in welcher Weise zugreifen darf. Dabei erfolgt die Vergabe von Rechten auf der Basis von Gruppenmitgliedschaften: Sie werden später bestimmte Benutzergruppen anlegen und diese mit Zugriffsrechten versehen. Die einzelnen Accounts werden dann Mitglied von einer oder mehreren Benutzergruppen und erhalten dadurch die Rechte und Beschränkungen dieser Gruppen.