Ursprünglich wollte ich eigentlich ein Video über die Neuerungen in Server 2022 zu machen. Nachdem ich das Ding installiert hatte, kam ich mir vor, wie wenn ich einen Server 2019 vor mir hätte. Mir ist nicht wirklich etwas DIREKT aufgefallen, was anders sein soll und nach kurzem googlen, habe ich mir dagegen entschieden. Da ich gerne aus mehreren Gründen gerne eine eigene Labumgebung hätte, so nehme ich euch einfach mit.
Diese Blogriehe gilt primär für werdende Admins als auch alte Hasen, die einfach Ihr Wissen aufpolieren möchten.
Microsoft Server 2022 AD: Vorbereitung
Zunächst einmal installiere ich 4 Maschinen:
- 1x Server 2022 mit Desktopdarstellung für den Domain-Controller
- 1x Server 2022 als Coreinstallation für den späteren Exchange
- 1x Server 2022 mit Desktopdarstellung für sonstige Dienste, die später folgen
- 1x Windows 10 Client
Hier eine absolut frische Installation eines Server 2022. Auf den ersten Blick könnte es auch ein Server 2019 sein:
Auch der Servermanager sieht für mich noch absolut identisch aus.
Machen wir uns also an die Installation.
Microsoft Server 2022 AD: Installation
Die Installation ist eigentlich kinderleicht. Wir nutzen den Server-Manager und gehen auf "Verwalten" --> Rollen und Features hinzufügen:
Das hier belassen wir, wie es ist.
Solltet ihr hier nichts anderes ausgewählt haben, dann wird hier der Server genutzt, auf dem Ihr euch befindet und klickt auch hier einfach auf weiter.
Wir nähern uns dem interessanten Part und zwar wählen wir hier "Active-Directory-Domänendienste"
Im Anschluss popt das Fenster hier auf welches wir so wie es ist einfach bestätigen.
Auch das nächste Fenster bestätigen wir, wie es ist.
Und noch einmal auf "weiter"
Und schon sind wir am Ende und beenden mit "installieren".
Mir ist bewusst, dass man noch mehr Sachen wie "DNS" benötigt, ABER das installiert er automatisch mit, daher braucht Ihr euch auch nicht darum kümmern.
Microsoft Server 2022 AD: Konfiguration
Nachdem die Installation sicher auch bei euch durchgelaufen ist, befindet sich im Servermanager am "Fähnchen" ein gelbes Dreieck mit einem Ausrufezeichen. Das besagt soviel, dass etwas installiert wurde und noch konfiguriert werden muss. Wir klicken also auf "Server zu einem Domänencontroller heraufstufen".
Da weder eine Domäne noch eine Gesamtstruktur vorhanden ist, wählen wir "Neue Gesamtstruktur hinzufügen" und vergeben eure Wunschdomäne.
Auch wenn ich es etwas eigene finde, einen neuen Server hervor zu bringen, der aber gefühlt immer noch auf einem alten Stand steht (siehe z.B. die Funktionsebenen, die immer noch auf Server 2016 stehen geblieben sind), so bin ich trotzdem der Meinung, dass man nicht alles neu erfinden muss und man auch gerne mal an Altbewährtem festhalten kann.
Wir belassen die Häkchen und vergeben das DSRM-Passwort (Directory Services Restore Mode. Übersetzt Verzeichnisdienst-Wiederherstellungs-Modus also quasi eine Hintertür).
Hier einfach bestätigen.
Hier eine letzte Sichtprüfung.
Für mich ist ausschlaggebend, dass oben ein grüner Haken ist und ich unten auf installieren klicken kann. Wenn also etwas nicht stimmt, dass beides nicht passt, so könntet Ihr im mittleren Bereich ersehen, was das Problem ist. Die beiden Meldungen können wir an der Stelle ignorieren.
Abschließend wird neu gestartet wobei dieser Neustart definitiv etwas länger dauern wird.
Nach dem Reboot erfolgt die Anmeldung ab sofort mit Domänen-Credentials. Der Admin ist natürlich weiterhin existent und hat nach wie vor auch noch das gleiche Passwort. Sprich das DSRM Passwort ist NICHT das Adminpasswort.
Microsoft Server 2022 AD: Erster Einblick
Wir haben nun die notwendigen Vorbereitungen getroffen und schauen uns einmal die interessanten Tools an. Am Wichtigsten sind in meiner Laufbahn bisher folgende gewesen:
- Active Directory Benutzer und Computer: Wie es der Name schon sagt, ist hier der Kern für sämtliche AD-Objekte
- Active Directory Verwaltungscenter: Für mich bisher nur interessant, dass ich gelöschte Benutzer wieder herstellen konnte.
- Active Directory Standort und Domänendienste: Eher selten genutzt aber gerade dann interessant, wenn es mehrere Standorte gibt und somit meistet mehreren Domaincontroller
- DNS: Ohne DNS keine funktionierende Domäne, daher muss hier sicher mal ein Blick rein geworfen werden!
- Gruppenrichtlinienverwaltung: Noch ein wichtiger Kern um eben die Objekte zu reglementieren
Also hefte ich mir mein täglich Brot an die Taskleiste an.
Schauen wir uns einmal "Active Directory Benutzer und -Computer" an. Wie oben schon beschrieben befindet sich hier die Domänenstruktur mit den entsprechenden Domänen-Objekten. Ordner mit einem kleinem Symbol drin nennt man Organisations-Units, welche man mit Gruppenrichtlinien versehen kann. Man sollte sich also in diesem Zuge schon vorab eine gute Strategie überlegen, wie eure Domäne später aussehen und gemanaged werden soll.
Eine weitere erste Empfehlung: "Ansicht" --> "Erweiterte Features" aktivieren.
Dadurch erscheinen bei den AD-Objekten weitere nützliche Registerreiter. Hier z.B. "Objekte" womit Ihr ersehen könnt, in welche OU sich ein Objekt befindet. Das benötige ich z.B. sehr oft und gerade bei größeren Umgebungen wird es sonst schwierig herauszufinden, wo sich ein Objekt befindet.
Microsoft Server 2022 AD: Berechtigungen
Objekte werden in der Regel berechtigt über Gruppen. Angenommen Ihr habt ein freigegebenes Verzeichnis, worin Ihr eine entsprechende Gruppe berechtigt, so müsst Ihr z.B. ein Benutzerobjekt nur über den Reiter "Mitglied von" in die entsprechend Gruppe heben.
Auch die Berechtigung an der AD selbst kann über Gruppen berechtigt werden. Nehmen wir an, wir hätten einen Helpdeskuser, der logischerweise auch mal einen Benutzer entsperren können muss oder in eine andere Gruppe heben, dann würde es an der Stelle reichen ihm "Konten-Operator" zu geben. Somit hat er die notwendigen Rechte für seine täglichen Todos, aber kann sich selbst nicht z.B. in die Domänen-Admingruppe heben.
Alternativ kann man die Berechtigungen im Feintuning via "Objekverwaltung zuweisen" steuern.
Dieser Fall trit hin und wieder ein bei Drittanbietersoftware, welche ein entsprechendes AD-Konto mit speziellen rechten benötigt.
Microsoft Server 2022 AD: Objekte anlegen
Wie oben schon beschrieben sollte man sich vorher gut überlegen, wie die Struktur aufgebaut werden soll, denn im Nachhinein ist das meist eine richtige Herausforderung! Ein Objekt anzulegen ist jedoch kinderleicht. Computer-Objekte z.B. landen schon automatisch in der AD indem sie der Domäne beitreten. Wenn nicht anders konfiguriert, dann landen Server und Clients immer im Ordner "Computer" und müssen später der richtigen OU zugewiesen werden.
Interessanter ist erst einmal die Struktur, hier arbeitet man in der Regel mit OUs (OrganisationsUnits) welche mit Gruppenrichtlinien belegt und gesteuert werden können. Mit z.B. einem rechten Mausklick und Neu können wir die Objekte entsprechend anlegen.
Ein Beispiel für solch eine Struktur wäre könnte z.B. nachfolgender Screen sein:
Wir hätten also einen Bereich für Abteilungen, worunter Benutzer und Clients fallen könnten und einen Bereich für Server, die selbst später wiederum untergliedert werden.
Microsoft Server 2022 AD: Einer Domäne beitreten
Bevor wir ein Client oder Server der Domäne hinzufügen können, muss natürlich der DNS funktionieren!
Core-Maschine zur Domäne hinzufügen
Wie oben angeben, habe ich diverse Maschinen vorinstalliert. Wir treten also einmal mit einem Core-Server der Domäne bei und anschließend mit einem Server mit grafischer Oberfläche.
Wichtig ist hierbei, dass der Domänencontroller als DNS eingetragen wird! Daher müssen wir über die Netzwerksteinstellungen über den Punkt 2 den DNS kontrollieren bzw. eintragen.
Beitreten dann über Domänen-Arbeitsgruppenmitgliedschaft ändern. Hierzu benötigen wir nur den Namen der Domäne und einen berechtigten Benutzer, der das Recht hat eine Maschine in die AD zu heben.
Maschine mit grafischer Oberfläche zur Domäne hinzufügen
Wir navigieren uns zur Netzwerkkarte und ändern auch hier den DNS-Server auf den Domaincontroller.
Anschließend treten wir auch hier der Domäne bei indem wir den Domänennamen eintragen und abschließend mit einem berechtigten Benutzer authentifizieren.
Hat alles geklappt, dann sollte dies so aussehen und benötigt anschließend einen Neustart.
Microsoft Server 2022 AD: Alternativen Administrator anlegen
Gleich vorweg, schaut in meinen anderen Beitrag zum Thema Tier-Berechtigungskonzept, denn das wäre der empfohlene Weg, dennoch hier kurz beschrieben, wie Ihr einen alternativen Benutzer zum Admin machen könnt. (nochmal, das ist NICHT der Beste Weg, aber der Schnellste!)
Wir zuvor auch beschrieben, legen wir einfach neues Objekt, in dem Falle ein Benutzerobjekt an.
Der Benutzer benötigt natürlich ein Passwort, auch wenn es sehr verlockend ist, sollte man jedoch nicht den Haken setzen, damit das Passwort nicht abläuft.
Standardmäßig wird ein neuer Benutzer IMMER der Gruppe "Domänen-Benutzer" hinzugefügt. Um mehr Rechte zu erhalten, muss der Benutzer in weitere Gruppen aufgenommen werden.
Schubst man Ihn in die "Domänen-Admins", dann hat er auf JEDER Maschine volle Adminrechte.
Warum ist das so? Das ist leicht erklärt, Wird eine Domäne frisch aufgesetzt, dann ist der Stanard, dass jede Maschine, die der Domäne beitritt, dort in die lokale Adminstratorengruppe die Domänen-Admins mit eingefügt werden.
Das ist zwar bequem aber unsicher! Daher bitte meinen Beitrag mit dem Tier-Berechtigungskonzept berücksichtigen!
Ich hoffe der Beitrag hat euch geholfen und eure AD wächst auch langsam.