Articles

Active Directory Verklarende Woordenlijst – Termen en Basisbegrippen

Posted on

In deze post ga ik de meest gebruikte terminologie in Active Directory en gerelateerde technologieën op een rij zetten en uitleggen.

Als je nieuw bent in Active Directory, is dit een goede bron om bekend te raken met de basisbegrippen en fundamentele concepten van Active Directory.

Ik heb de termen gegroepeerd in verschillende secties om het gemakkelijker te maken ze te begrijpen en te raadplegen. Sommige onderwerpen kunnen zeer technisch zijn, ik heb korte en gemakkelijk te begrijpen terminologie gegeven. Aan het eind van elke sectie geef ik aanvullende bronnen als u meer wilt weten.

Inhoudsopgave:

  • Active Directory Basics – Start Here
  • Active Directory Services
  • Active Directory DNS
  • Active Directory Replication
  • Active Directory Security (Authenticatie, Beveiligingsprotocollen, Permissions)
  • Active Directory Management Consoles
  • DHCP
  • Group Policy

Active Directory Basics

Dit zijn basistermen waarmee je bekend zou moeten zijn als je met Active Directory te maken hebt.

Active Directory

Active Directory is een directory service die het beheer van gebruikers, computers en andere objecten binnen een netwerk centraliseert. De belangrijkste functie is het verifiëren en autoriseren van gebruikers en computers in een Windows-domein. Wanneer een gebruiker zich bijvoorbeeld aanmeldt op een computer in het domein, controleert het de gebruikersnaam en het wachtwoord die werden opgegeven om de account te verifiëren. Als dat een geldige gebruikersnaam en een geldig wachtwoord zijn, wordt de gebruiker geauthenticeerd en op de computer ingelogd.

Wees niet in de war met de volgende drie termen, ze verwijzen allemaal naar Active Directory.

  • AD – Dit is gewoon een afkorting voor Active Directory
  • AD DS – Dit is een server waarop de Active Directory Domain Services Role draait
  • Domain Controller – Dit is ook een server waarop de Active Directory Domain Service Role draait. Het wordt aanbevolen om meerdere domeincontrollers te hebben voor failover-redenen.

Active Directory Web Services (ADWS)

Deze service is geïntroduceerd in Windows Server 2008 R2. De service wordt automatisch geïnstalleerd met de ADDS- of ADLDS-rol en is geconfigureerd om automatisch te worden uitgevoerd. Deze service biedt beheer op afstand van alle lokale directoryservices.

Domain

Het domein is een logische structuur van containers en objecten binnen Active Directory. Een domein bevat de volgende onderdelen:

  • Een hiërarchische structuur voor gebruikers, groepen, computers en andere objecten
  • Beveiligingsservices die authenticatie en autorisatie bieden voor bronnen in het domein en andere domeinen
  • Beleidsregels die worden toegepast op gebruikers en computers
  • Een DNS-naam om het domein te identificeren. Wanneer u inlogt op een computer die deel uitmaakt van een domein, logt u in op de DNS-domeinnaam. Mijn DNS-domein is ad.activedirectorypro.com, dit is hoe mijn domein wordt geïdentificeerd.

Domeinboom

Als je een kinderdomein toevoegt aan een moederdomein, creëer je wat een domeinboom wordt genoemd. Een domeinboom is gewoon een reeks domeinen die op een hiërarchische manier met elkaar verbonden zijn en allemaal dezelfde DNS namespace gebruiken. Als activedirectorypro.com een domein zou toevoegen met de naam training, of video’s zou het training.activedirectorypro.com en videos.activedirectorypro.com heten. Deze domeinen maken deel uit van dezelfde domeinboom en er wordt automatisch een trust gecreëerd tussen de ouder- en kind-domeinen.

Functionele niveaus

De functionele niveaus bepalen welke mogelijkheden beschikbaar zijn in het domein. Hogere functionele niveaus stellen u in staat om de nieuwste en beste technologieën te gebruiken in uw Active Directory domein. Gebruik waar mogelijk de hoogste functionele niveaus voor uw domeincontrollers.

Forest

Een forest is een verzameling van domain trees. De domeinboom deelt een gemeenschappelijk schema en configuratie container. De domeinboom is met elkaar verbonden via een transitieve trust. Wanneer u Active Directory voor het eerst installeert en een domein maakt, maakt u ook een forest.

FQDN – Fully Qualified Domain Name

Fully Qualified Domain name is de hostnaam + het domein, bijvoorbeeld, mijn domein is ad.activedirectorypro.com, een computer in het domein met hostnaam PC1 dus de FQDN zou pc1.ad.activedirectorypro.com

FSMO

Een domeincontroller heeft meerdere functies die worden aangeduid als de FSMO-rollen. Deze rollen worden allemaal geïnstalleerd op de eerste domeincontroller in een nieuw forest, je kunt rollen verplaatsen over meerdere DC’s om te helpen met performance en failover.

  • Schema Master – De schema master is een forest brede rol die alle wijzigingen in het Active Directory schema afhandelt.
  • Domain Naming Master – Dit is een bosbrede rol die de beheerder is van domeinnamen. Hij regelt de namespace en het toevoegen en verwijderen van domeinnamen.
  • PDC-emulator – Deze rol regelt wachtwoordwijzigingen, blokkering van gebruikers, groepsbeleid en is de tijdserver voor de clients.
  • RID Master – Deze rol is verantwoordelijk voor het verwerken van RID-poolverzoeken van alle DC’s binnen het domein. Wanneer objecten, zoals gebruikers en computers, worden gemaakt, krijgen ze een unieke SID en een relatieve ID (RID) toegewezen. De RID-masterrol zorgt ervoor dat objecten niet dezelfde SID en RID krijgen toegewezen.
  • Infrastructuur-master – Dit is een domeinbrede rol die wordt gebruikt om naar objecten in andere domeinen te verwijzen. Als gebruikers uit domein A lid zijn van een beveiligingsgroep in domein B, wordt de infrastructuurmasterrol gebruikt om naar de accounts in het juiste domein te verwijzen.

Objecten

Wanneer u met Active Directory werkt, zult u voornamelijk met objecten werken. Objecten worden gedefinieerd als een groep attributen die een bron in het domein vertegenwoordigen. Aan deze objecten wordt een unieke security identifier (SID) toegekend die wordt gebruikt om het object toegang te verlenen of te ontzeggen tot resources in het domein. De standaard objecttypen die in een nieuw domein in Active Directory worden gemaakt, zijn:

  • Organizational Unit (OU) – Een OU is een containerobject dat verschillende objecten uit hetzelfde domein kan bevatten. U gebruikt OU’s om gebruikersaccounts, contactpersonen, computers en groepen op te slaan en te organiseren. U zult ook groepsbeleidsobjecten aan een OU koppelen.
  • Gebruikers – Gebruikersaccounts worden primair toegewezen aan gebruikers om toegang te krijgen tot domeinbronnen. Ze kunnen ook worden gebruikt om programma’s of systeemservices uit te voeren.
  • Computer – Dit is eenvoudigweg een computer die is aangesloten op het domein.
  • Groepen – Er zijn twee soorten objecten, een Beveiligingsgroep, en een distributiegroep. Een beveiligingsgroep is een groepering van gebruikersaccounts die kan worden gebruikt om toegang te verlenen tot bronnen. Distributiegroepen worden gebruikt voor e-maildistributielijsten.
  • Contactpersonen – Een contactpersoon wordt gebruikt voor e-maildoeleinden. U kunt zich niet aanmelden bij het domein als een contactpersoon en het kan niet worden gebruikt om machtigingen te beveiligen.
  • Gedeelde map – Wanneer je een gedeelde map publiceert in Active Directory wordt er een object aangemaakt. Het publiceren van gedeelde mappen in AD maakt het voor gebruikers gemakkelijker om gedeelde bestanden en mappen binnen het domein te vinden.
  • Gedeelde printer – Net als gedeelde mappen kunt u printers publiceren in Active Directory. Dit maakt het ook gemakkelijker voor gebruikers om printers in het domein te vinden en te gebruiken.

LDAP (Lightweight Directory Access Protocol)

LDAP is een open platform protocol dat wordt gebruikt om toegang te krijgen tot directory services. LDAP biedt het communicatiemechanisme dat applicaties en andere systemen kunnen gebruiken om te interageren met directoryservers. Eenvoudig gezegd is LDAP een manier om verbinding te maken en te communiceren met Active Directory.

Global Catalog (GC)

De global catalog server bevat een volledige replica van alle objecten en wordt gebruikt om forest-wide zoekopdrachten uit te voeren. Standaard wordt de eerste domain controller in een domein aangewezen als GC server, het is aan te bevelen om tenminste een GC server voor elke site te hebben om de prestaties te verbeteren.

Jet Database Engine

De Active Directory database is gebaseerd op Microsoft’s Jet Blue engine en maakt gebruik van de Extensible Storage Engine (ESE) om met de gegevens te werken. De database is een enkel bestand met de naam ntds.dit, standaard wordt het opgeslagen in de %SYSTEMROOT%\NTDS map en elke domein controller.

Recycle Bin

De Active Directory prullenbak stelt beheerders in staat om verwijderde items eenvoudig terug te halen, dit is standaard niet ingeschakeld. Hoe de prullenbak in te schakelen stap voor stap handleiding.

Read-Only Domain Controller (RODC)

RODC servers bevatten een alleen-lezen kopie van de Active Directory database en staan geen wijzigingen in AD toe. Deze servers zijn vooral bedoeld voor bijkantoren en locaties met een slechte fysieke beveiliging.

Schema

Het Active Directory schema definieert elke object klasse die kan worden gemaakt en gebruikt in een Active Directory forest. Het definieert ook elk attribuut dat kan bestaan in een object. Met andere woorden, het is een blauwdruk van hoe gegevens kunnen worden opgeslagen in Active Directory. Bijvoorbeeld, een gebruikersaccount is een instantie van de gebruikersklasse, het gebruikt attributen om informatie op te slaan en te verstrekken over dat object. Een computeraccount is een instantie van een klasse die ook wordt gedefinieerd door haar attributen.

Er zijn vele klassen en attributen, tenzij je programmeert of een geavanceerd probleem oplost is het niet nodig om alles van het schema te weten.

SYSVOL

De sysvol is een zeer belangrijke map die op elke domeincontroller wordt gedeeld. De standaard locatie is %SYSTEMROOT%\SYSVOL\sysvol en bestaat uit het volgende:

  • Group Policy Objects
  • Folders
  • Scripts
  • Junction Points

Tombstone

Tombstone is een verwijderd object uit AD dat niet is verwijderd uit de database, het object blijft technisch gezien nog een periode in de database staan. Gedurende deze periode kan het object worden hersteld.

Object Name Attributes

Hieronder volgen enkele belangrijke attributen waarmee u bekend zou moeten zijn als u met Active Directory werkt.

  • userPrincipalName (UPN) – Dit is een veelgebruikte inlognaam in het formaat van een emailadres. Een UPN ziet er zo uit, [email protected], een UPN kan worden gebruikt om in te loggen op een windows domein.
  • objectGUID – Dit attribuut wordt gebruikt om een gebruikersaccount uniek te identificeren. Zelfs als de account wordt hernoemd of verplaatst, verandert de objectGUID nooit.
  • sAmAccountName – Dit attribuut is de gebruiker voor het aanmelden van accounts bij een domein. Het was de primaire manier om in te loggen op een domein voor oudere Windows versies, het kan nog steeds worden gebruikt op moderne versies van Windows.
  • objectSID – Dit attribuut is de security identifier (SID) van de gebruiker. De SID wordt gebruikt door de server om een gebruiker en hun groepslidmaatschap te identificeren om gebruikers toegang te geven tot domeinbronnen.
  • sIDHistory – Dit attribuut bevat eerdere SID’s voor het gebruikersobject. Dit is alleen nodig als een gebruiker naar een ander domein is verhuisd.
  • Relative Distinguished Name (RDN) – De RDN is de eerste component van de distinguished name. Het is de naam van het object in Active Directory ten opzichte van de plaats in de hiërarchische structuur van AD
  • Distinguished Name (DN) – Het DN-attribuut lokaliseert objecten in de directory. Dit attribuut wordt vaak door diensten en toepassingen gebruikt om objecten in Active Directory te lokaliseren. Een DN bestaat uit de volgende componenten:
    • CN – common name
    • OU – organizational unit
    • DC – domain component

Groups

Groups worden gebruikt om gebruikersaccounts, computer- en contactobjecten te verzamelen in beheereenheden. Het maken van groepen maakt het eenvoudiger om de rechten op bronnen te regelen en bronnen zoals printers en mappen toe te wijzen. Er zijn twee soorten groepen

  • Distributie – Distributiegroepen worden gebruikt door e-mailtoepassingen om eenvoudig een e-mail naar een groep gebruikers te sturen.
  • Beveiliging – Beveiligingsgroepen zijn een groep accounts die kunnen worden gebruikt om eenvoudig een resource toe te wijzen of machtigingen aan te vragen. Als ik bijvoorbeeld een map voor de HR-afdeling wil vergrendelen, kan ik alle medewerkers in een beveiligingsgroep plaatsen en de groep op de map toepassen in plaats van op elke individuele account.

Group Scope

Group scope geeft aan of de groep kan worden toegepast in het domein of forest. Dit zijn de drie groepsscopes:

  • Universeel – Kan objecten bevatten van andere universele groepen en elk domein in de boom of het forest.
  • Globaal – Kan objecten van het domein bevatten en in elk domein in de boomstructuur of het bos worden gebruikt.
  • Domein Lokaal – Kan objecten uit elk domein bevatten, maar kan alleen worden toegepast op het domein waarin het is gemaakt.

Bronnen:

Inzicht in grafstenen, Active Directory, en hoe deze te beschermen

Active Directory Schema

Functionele niveaus van Forest en Domain

Active Directory: Concepten Deel 1

Active Directory Services

Active Directory omvat verschillende andere services die onder de Active Directory Domain Services vallen, deze services omvatten:

Active Directory Certificate Services (AD CS)

Dit is een serverrol waarmee u een public key infrastructure (PKI) kunt bouwen en digitale certificaten voor uw organisatie kunt verzorgen. Certificaten kunnen worden gebruikt voor het versleutelen van netwerkverkeer, applicatieverkeer en voor het authenticeren van gebruikers en computers. Wanneer u https in een browseradres ziet, betekent dit dat er een certificaat wordt gebruikt om de communicatie van de client naar de server te versleutelen.

Active Directory Domain Services (AD DS)

Zie de beschrijving van Active Directory

Active Directory Federation Services (AD FS)

De federation service maakt eenmalige aanmelding bij externe systemen zoals websites en applicaties mogelijk. Office 365 is een veelgebruikte federation service. Wanneer u zich aanmeldt bij Office 365, worden de gebruikersnaam en het wachtwoord doorgestuurd via de federatieserver en worden de inloggegevens gecontroleerd aan de hand van uw lokale Active Directory. Zo kunt u authenticatie bieden aan externe systemen door uw lokale Active Directory te gebruiken om de gebruikersnaam en het wachtwoord te verifiëren.

Active Directory Lightweight Directory Services (AD LDS)

Deze service biedt directory services met behulp van het LDAP-protocol zonder de noodzaak om domeincontrollers in te zetten. Deze dienst wordt voornamelijk gebruikt om directorydiensten functioneel aan te bieden aan directoryapplicaties. Dit is geen vervanging voor AD DS.

Active Directory Rights Management Services (AD RMS)

Deze service biedt methoden voor het beschermen van informatie over digitale inhoud. Documenten worden beschermd door te definiëren wie documenten mag openen, wijzigen, afdrukken, doorsturen of andere handelingen op documenten mag verrichten. U kunt ook certificaten gebruiken om documenten te coderen voor een betere beveiliging.

Active Directory DNS

Domain Name System is een service die naamresolutie biedt, meestal hostnaam naar IP-adres resolutie. In deze sectie leert u enkele van de belangrijke onderdelen van DNS kennen.

Resource Records

Een resource record is een record in het DNS-systeem dat helpt bij het lokaliseren van bronnen op basis van IP of een domeinnaam. Er zijn vele soorten resource records, hieronder volgt een lijst van veel voorkomende record types:

  • A – wijst een hostnaam toe aan een IPv4-adres
  • AAAA – wijst een hostnaam toe aan een IPv6-adres
  • CNAME – wijst een alias toe aan een hostnaam
  • MX – wordt gebruikt om een mailserver te lokaliseren
  • NS – specificeert een naamserver voor een domein
  • PTR – wijst een IPv4-adres toe aan een hostnaam. Het omgekeerde van een A-record.
  • SOA – Bevat administratieve informatie
  • SRV – Wordt gebruikt om servers te lokaliseren die specifieke diensten hosten
  • TXT – Kan verschillende gegevens bevatten. Vaak gebruikt voor het verifiëren van domeinen en veiligheidsredenen.

Dynamische DNS (DDNS)

Dynamische DNS is een methode voor clients om hun resource records bij een DNS-server te registreren en dynamisch bij te werken. Hierdoor kunnen clients die DHCP gebruiken hun DNS-record automatisch bijwerken wanneer hun IP-adres verandert.

Host Name

Dit is meestal het DNS A record, de DNS naam van een apparaat waar mee gecommuniceerd kan worden. Bijvoorbeeld, een server met de naam DC1. Als DC1 geregistreerd was in DNS zou je daarnaar verwijzen als de hostnaam.

Zones

Een zone wordt gebruikt om de DNS records voor een bepaald domein te hosten. Het belangrijkste en meest gebruikte zonetype is Active Directory geïntegreerde zones. Er zijn verschillende andere zones die je zou moeten kennen, ik behandel de andere zones in mijn artikel, Windows DNZ Zones Uitlegd.

DNS Aging and Scavenging

Dit is een functie die kan worden ingeschakeld om het opschonen van verouderde DNS records te automatiseren. Ik heb een aparte post gemaakt die meer uitlegt en stap voor stap instructies geeft voor het configureren van DNS Aging en Scavenging.

SRV Records gebruikt door Active Directory

In een Windows Domain worden SRV records door clients gebruikt om domeincontrollers voor Active Directory te lokaliseren. Wanneer je de AD DS service installeert, worden automatisch de SRV records voor Active Directory aangemaakt.

  • Active Directory maakt de SRV-records aan in de volgende mappen, waarbij Domain_Name de naam van uw domein is:
    • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

Hier volgt een screenshot van mijn DNS:

Forwarders

DNS-forwarders zijn servers die hostnamen omzetten die uw interne DNS-server niet kan omzetten, voornamelijk externe domeinen zoals surfen op internet. U kunt instellen om DNS verzoeken door te sturen naar een server van uw keuze, vaak wordt een ISP gebruikt.

Root Hints

Root hint server is een andere methode om hostnamen op te lossen die uw interne server niet kan oplossen. Het verschil is dat deze servers dienen als de root DNS zone voor het internet. Ze worden beheerd door verschillende grote organisaties voor veiligheid en redundantie. U kunt root hints of forwards gebruiken om externe namen om te zetten.

Bronnen:

Volledige lijst van DNS resource record types

Hoe te verifiëren dat SRV DNS records zijn aangemaakt voor een domeincontroller

Root Hints vs Forwarders

DNS Best Practices

Active Directory Replicatie

Replicatie is het proces dat ervoor zorgt dat wijzigingen die worden aangebracht op één domeincontroller worden gerepliceerd naar andere domeincontrollers in het domein.

Connection Objects

Het connection object specificeert welke domain controllers met elkaar repliceren, hoe vaak en hun naming contexts.

KCC

De Knowledge Consistency Checker (KCC) is een proces dat op alle domeincontrollers wordt uitgevoerd en een replicatietopologie genereert op basis van de sites, subnetten en site-linkobjecten.

Subnets

Een subnet is een logisch deel van een IP-netwerk. Subnets worden gebruikt om apparaten te groeperen in een specifiek netwerk, vaak per locatie, gebouw of verdieping. Als u een multisite-omgeving hebt, moet Active Directory op de hoogte zijn van uw subnetten, zodat het de meest efficiënte bronnen kan identificeren. Als deze informatie niet wordt verstrekt, kunnen clients zich authenticeren en de verkeerde domeincontroller gebruiken.

Site

Een site is een verzameling subnets. De Active Directory-sites helpen bij het definiëren van de replicatiestroom en de locatie van bronnen voor clients zoals een domeincontroller.

Site Link

Site links stellen u in staat te configureren welke sites met elkaar zijn verbonden.

Site link Bridge

Een site link bridge is een logische verbinding tussen sites. Het is een methode om transitieve connectiviteit tussen sites logisch weer te geven.

Sitetopologie

De sitetopologie is een kaart die de netwerkconnectiviteit definieert voor replicatie en de locatie voor bronnen in het Active Directory-bos. De sitetopologie bestaat uit verschillende onderdelen, waaronder sites, subnetten, sitelinks, sitelinkbruggen en verbindingsobjecten.

Intra-Site Replication

Dit is replicatie die plaatsvindt tussen domeincontrollers in dezelfde site.

Inter-Site Replication

In een omgeving met meerdere sites moet een wijziging in de ene site worden gerepliceerd naar de andere site. Dit wordt inter-site replicatie genoemd.

Bronnen:

Hoe Active Directory replicatie werkt

Active Directory Replicatie Concepten

Active Directory Beveiliging (Authenticatie, Beveiligingsprotocollen, Machtigingen)

Kerberos

Kerberos is een beveiligingsprotocol waarmee gebruikers op een veilige manier hun identiteit kunnen aantonen om toegang te krijgen tot domeinbronnen.

Key Distribution Center (KDC)

KDC is een service die draait op domeincontrollers en sessietickets levert die worden gebruikt in het Kerberos-authenticatieprotocol.

Service Principal Names (SPN)

SPN is een unieke identificatie van een service-instantie.

NTLM

NTLM is een verzameling beveiligingsprotocollen die worden gebruikt om gebruikers te authenticeren en integriteit en vertrouwelijkheid te bieden. Kerberos is het voorkeurs authenticatieprotocol en wordt gebruikt in moderne Windows versies, NTLM is nog steeds beschikbaar voor oudere clients en systemen in een werkgroep.

NTFS permissies

NTFS permissies stellen u in staat om te bepalen wie er toegang heeft tot een bestand of map. Hieronder staat een lijst van de basis permissies die u kunt instellen:

  • Volledige controle – Dit geeft gebruikers de rechten om bestanden en mappen toe te voegen, te wijzigen, te verplaatsen en te verwijderen.
  • Wijzigen – Geeft gebruikers zicht en rechten om te wijzigen
  • Lezen & Uitvoeren – Geeft gebruikers zicht en rechten om uit te voeren
  • Lezen – alleen klaar rechten
  • Schrijven – recht op een bestand en het toevoegen van nieuwe mappen

Deelrechten

Deelrechten bepalen het niveau van toegang tot gedeelde bronnen zoals een map. Er zijn drie basis gedeelde permissies:

  • Lezen – Geeft gebruikers zichtrechten op de map en submappen
  • Wijzigen – Geeft gebruikers lees- en wijzigingsrechten
  • Volledige controle – Geeft gebruikers wijzigings-, wijzigings- en leesrechten.

Discretionaire toegangscontrolelijst (DACL)

Een DACL geeft aan welk account wel of geen toegang heeft tot een object, zoals een bestand of map.

Access Control Entries (ACE)

DACL bevat ACE’s, de ACE definieert welke account en welk toegangsniveau moet worden verleend tot de bron. Als er geen ACE aanwezig is, ontzegt het systeem alle toegang tot het object.

System Access Control List (SACL)

De SACL stelt beheerders in staat om pogingen tot toegang tot een beveiligingsobject te loggen.

Fine Grained Password Policy

Een functie in Windows 2008 en hoger waarmee u verschillende beleidsregels voor het blokkeren van wachtwoorden en accounts voor verschillende accounts kunt definiëren. In het algemeen zouden alle accounts hetzelfde beleid moeten hebben, maar misschien hebt u een serviceaccount of een heel specifieke account die een ander beleid nodig heeft. Bijvoorbeeld, onze gast wifi-account werd steeds geblokkeerd als gevolg van slechte wachtwoordpogingen. Ik gebruikte een fijn toegekend wachtwoordbeleid om een hogere accountvergrendeling in te stellen dan voor de rest van het domein.

Bronnen:

Kerberos voor de drukke admin

Windows Authentication Technical Overview

Differences Between Share and NTFS Permissions

Access Control Lists

Active Directory Management Consoles

Dit gedeelte bevat de management consoles die u moet gebruiken om de verschillende Active Directory technologieën te beheren. U moet de Remote Server Administration Tools (RSAT) installeren om toegang te krijgen tot deze beheerconsoles.

Active Directory Users and Computers (ADUC)

Dit is de meest gebruikte console voor het beheren van gebruikers, computers, groepen en contactpersonen.

Toetscombinatie: dsa.msc

Active Directory Administrative Center (ADAC)

Met ingang van Server 2008 R2 introduceert Microsoft de ADAC voor het beheer van hun directory service-objecten. Deze console kan worden gebruikt voor het maken en beheren van gebruikersaccounts, computeraccounts, groepen en organisatorische eenheden. Het biedt dezelfde functionaliteit als de Active Directory Gebruikers en Computers tool. Vanwege de ingewikkelde interface geef ik de voorkeur aan ADUC boven deze console.

Active Directory Domains and Trusts

Deze console wordt gebruikt om de domeinmodus of het functionele niveau van een domein of forest te verhogen. Het wordt ook gebruikt om vertrouwensrelaties te beheren.

Snelkoppeling: domain.msc

Active Directory Sites and Services

Dit is de hoofdconsole voor het beheer van replicatie. Deze console wordt gebruikt voor het beheren van site topologie objecten, verbindingsobjecten, het plannen van replicatie, het handmatig forceren van replicatie, het inschakelen van de globale catalogus en het inschakelen van universele groep caching.

Snelkoppeling: dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor is een GUI-hulpprogramma dat kan worden gebruikt om objecten in Active Directory te beheren. Deze tool biedt toegang tot objectgegevens die niet beschikbaar zijn in Active Directory Users and Computers.

Snelkoppeling: adsiedit.msc

DFS Management

Deze console wordt gebruikt om DFS namespaces en DFS replicatie te beheren.

Snelkoppeling: dfsmgmt.msc

DHCP

Deze console wordt gebruikt om DCHP scopes aan te maken, lease informatie te bekijken en alles wat met DHCP te maken heeft.

Snelkoppeling: dhcpmgmt.msc

DNS

Deze console wordt gebruikt om DNS-zones en resource records aan te maken en om alle DNS-zaken te beheren.

Snelkoppeling: dnsmgmt.msc

Group Policy Management

Snelkoppeling: gpmc.msc

PowerShell

Hoewel dit geen beheerconsole is, is het de krachtigste tool om administratieve taken te automatiseren. PowerShell kan veel routinetaken versnellen die de GUI-beheertools niet kunnen uitvoeren.

Bronnen:

Dynamic Host Control Protocol (DHCP)

Dynamic Host configuration protocol is een service die gecentraliseerde controle over IP-adressen biedt. Wanneer uw computer verbinding maakt met een bekabeld of draadloos netwerk wordt een DHCP-server gecontacteerd om een beschikbaar IP-adres te vinden en aan u toe te wijzen.

Scope

Een DHCP-scope is een verzameling IP-adresinstellingen die worden geconfigureerd voor apparaten zoals een computer om te gebruiken. U kunt meerdere scopes maken voor verschillende apparaattypes en subnetten. Ik heb bijvoorbeeld een scope voor computers en verschillende scopes voor IP telefoons. Wanneer u een scope instelt, moet u het volgende configureren:

  • Scope naam – Dit is de naam van de scope. Geef het een beschrijvende naam zodat het gemakkelijk is om te identificeren voor welke apparaten het is.
  • IP adres range – Dit is de IP range die je wilt dat de apparaten gebruiken. Bijvoorbeeld 10.2.2.0/24
  • IP adres uitsluitingen – U kunt aangeven om IP adressen uit te sluiten van het bereik. Dit is handig als u apparaten op het subnet heeft die een statisch IP nodig hebben zoals een router of server.
  • Lease duur – De lease geeft aan hoe lang een client een IP-adres heeft voordat het wordt teruggegeven aan de pool.
  • DHCP-opties – Er zijn een aantal verschillende opties die u kunt opnemen wanneer DHCP een IP-adres toewijst. Meer hierover hieronder

DHCP opties

Er zijn veel DCHP opties, hieronder staan de meest gebruikte opties in een Windows domein.

  • 003 router – De standaard gateway van het subnet
  • 005 DNS server – Het IP adres van de DNS server die clients moeten gebruiken voor naamresolutie.
  • 015 DNS Domain Name – Het DNS suffix dat de client moet gebruiken, vaak hetzelfde als de domeinnaam.

DHCP filtering

DHCP filtering kan worden gebruikt om apparaten te weigeren of toe te staan op basis van hun MAC adres. Ik gebruik het bijvoorbeeld om te voorkomen dat mobiele apparaten verbinding maken met onze beveiligde wifi.

Superscopes

Een superscope is een verzameling van individuele DHCP scopes. Dit kan gebruikt worden om scopes samen te voegen. Eerlijk gezegd heb ik dit nog nooit gebruikt.

Split Scopes

Dit is een methode om fouttolerantie te bieden voor een DHCP scope. Het gebruik van DHCP failover is niet de voorkeursmethode voor fouttolerantie.

DHCP Failover

DCHP failover was een nieuwe functie vanaf serverversie 2012. Hiermee kunnen twee DHCP-servers lease-informatie delen voor een hoge beschikbaarheid van DCHP-services. Als een server niet meer beschikbaar is, neemt de andere het over.

Bronnen:

DHCP Parameters

Groepsbeleid

Groepsbeleid stelt u in staat om gebruikers- en computerinstellingen centraal te beheren. U kunt groepsbeleid gebruiken voor het instellen van wachtwoordbeleid, controlebeleid, vergrendelingsscherm, mapdrives, implementeren van software, één schijf, Office 365-instellingen en nog veel meer.

Group Policy Objects (GPO)

GPO’s zijn een verzameling beleidsinstellingen die u gebruikt om toe te passen op computers of gebruikers.

Frequentie voor het vernieuwen van groepsbeleid

De werkstations van de cliënten en de aangesloten servers vernieuwen hun beleid elke 90 minuten. Om te voorkomen dat de domeincontrollers worden overweldigd, wordt aan elke machine een willekeurig verversingsinterval toegevoegd. Dit voorkomt dat alle machines tegelijkertijd upgrades van hun groepsbeleid opvragen bij de DC en deze mogelijk laten crashen.

Policy Verwerking

Group policies worden in de volgende volgorde toegepast

  • Local
  • Site
  • Domain
  • Organizational Unit (OU)

Block inheritance

Bestandaard worden group policy objecten overgeërfd. Om dit gedrag te veranderen kunt u de optie overerving blokkeren op OU-niveau gebruiken.

No Override

Als u beleid wilt afdwingen en wilt voorkomen dat het wordt geblokkeerd, gebruikt u de optie No Override.

Gebruikersinstellingen

In een GPO zijn er gebruikers- en computerinstellingen. Gebruikersinstellingen zijn alleen van toepassing op gebruikersobjecten. Als u gebruikersinstellingen configureert in de GPO, moet de GPO worden toegepast op gebruikersobjecten.

Computerinstellingen

De computerinstellingen in een GPO zijn instellingen die op een computer kunnen worden toegepast. Als u de computerinstellingen configureert, moet de GPO worden toegepast op computerobjecten.

Resultant Set of Policy (RsoP)

Resultant Set of Policy is een Microsoft-hulpprogramma dat is ingebouwd in Windows 7 en latere versies. Het biedt beheerders een rapport over welke groepsbeleidsinstellingen worden toegepast op gebruikers en computers. Het kan ook worden gebruikt om instellingen te simuleren voor planningsdoeleinden.

Ik heb een complete tutorial in mijn artikel Hoe RSoP te gebruiken om groepsbeleidsinstellingen te controleren en problemen op te lossen.

Group Policy Preferences

Group Policy Preferences worden voornamelijk gebruikt om instellingen te configureren die later op client-niveau kunnen worden gewijzigd. Voorkeuren hebben ook de mogelijkheid om een aantal geavanceerde targeting te doen, zoals het toepassen op een bepaalde OU, Windows versie, gebruikers in een groep, enzovoort. Voorkeuren worden vaak gebruikt om het volgende te configureren:

  • Drive Mappings
  • Registry-instellingen
  • Printers installeren
  • Taken plannen
  • Bestands- en mapmachtigingen instellen
  • Voedingsinstellingen instellen

Templates

U kunt extra groepsbeleidsjablonen installeren om de standaard GPO’s die door Microsoft worden geleverd uit te breiden. Enkele veelgebruikte sjablonen zijn Office 365, Chrome, Firefox en sjablonen die worden geleverd door applicaties van derden. Sjablonen zijn bestanden op basis van xml, meestal in een ADM-indeling of ADMX-bestandsextensie.

Bronnen:

Group Policy Architecture

Group Policy Overview

Heb ik iets gemist? Heb je iets om te delen? Laat het me weten in de opmerkingen hieronder.

Aanbevolen tool: SolarWinds Server & Application Monitor

Dit hulpprogramma is ontworpen om Active Directory en andere kritieke services zoals DNS & DHCP te monitoren. Het zal snel domein controller problemen opsporen, replicatie fouten voorkomen, mislukte login pogingen bijhouden en nog veel meer.

Wat ik het beste vind aan SAM is het makkelijk te gebruiken dashboard en de waarschuwings functies. Het kan ook virtuele machines en opslag controleren.

Download uw gratis proefversie hier

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *