content.tex

\chapter*{Danksagung}

Ein besonderer Dank geb\"uhrt Ulli Kehrle. Ohne seine unerm\"udlichen Erkl\"arungen
zum Thema \LaTeX{} und seine Hilfestellungen, auch in den sp\"aten Abendstunden,
w\"urde diese Dokumentation nicht in dieser Form existieren.

\newpage

\tableofcontents
\listoffigures
\begingroup
\let\clearpage\relax
\lstlistoflistings{}
%\listoftables
\endgroup


%% autogenerated by pandoc
%% we need to review this block

%\PassOptionsToPackage{unicode=true}{hyperref} % options for packages loaded elsewhere
%\PassOptionsToPackage{hyphens}{url}
%
%%\documentclass[]{article} % do we need that?
%%\usepackage{lmodern} % do we need that package?
%\usepackage{amssymb,amsmath}
%\usepackage{ifxetex,ifluatex}
%\usepackage{fixltx2e} % provides \textsubscript
%\ifnum 0\ifxetex 1\fi\ifluatex 1\fi=0 % if pdftex
%  \usepackage[T1]{fontenc}
%  \usepackage[utf8]{inputenc}
%  \usepackage{textcomp} % provides euro and other symbols
%\else % if luatex or xelatex
%  \usepackage{unicode-math}
%  \defaultfontfeatures{Ligatures=TeX,Scale=MatchLowercase}
%\fi
% use upquote if available, for straight quotes in verbatim environments
%\IfFileExists{upquote.sty}{\usepackage{upquote}}{}
% use microtype if available
%\IfFileExists{microtype.sty}{%
%\usepackage[]{microtype}
%\UseMicrotypeSet[protrusion]{basicmath} % disable protrusion for tt fonts
%}{}
%\IfFileExists{parskip.sty}{%
%\usepackage{parskip}
%}{% else
%\setlength{\parindent}{0pt}
%\setlength{\parskip}{6pt plus 2pt minus 1pt}
%}
%\usepackage{hyperref}
%\hypersetup{
%            pdfborder={0 0 0},
%            breaklinks=true}
%\urlstyle{same}  % don't use monospace font for urls
%\usepackage{longtable,booktabs}
% Fix footnotes in tables (requires footnote package)
%\IfFileExists{footnote.sty}{\usepackage{footnote}\makesavenoteenv{longtable}}{}
%\usepackage{graphicx,grffile}
%\makeatletter
%\def\maxwidth{\ifdim\Gin@nat@width>\linewidth\linewidth\else\Gin@nat@width\fi}
%\def\maxheight{\ifdim\Gin@nat@height>\textheight\textheight\else\Gin@nat@height\fi}
%\makeatother
% Scale images if necessary, so that they will not overflow the page
% margins by default, and it is still possible to overwrite the defaults
% using explicit options in \includegraphics[width, height, ...]{}
%\setkeys{Gin}{width=\maxwidth,height=\maxheight,keepaspectratio}
%\setlength{\emergencystretch}{3em}  % prevent overfull lines
%\providecommand{\tightlist}{%
%  \setlength{\itemsep}{0pt}\setlength{\parskip}{0pt}}
%\setcounter{secnumdepth}{0}
% Redefines (sub)paragraphs to behave more like sections
%\ifx\paragraph\undefined\else
%\let\oldparagraph\paragraph
%\renewcommand{\paragraph}[1]{\oldparagraph{#1}\mbox{}}
%\fi
%\ifx\subparagraph\undefined\else
%\let\oldsubparagraph\subparagraph
%\renewcommand{\subparagraph}[1]{\oldsubparagraph{#1}\mbox{}}
%\fi

% set default figure placement to htbp
%\makeatletter
%\def\fps@figure{htbp}
%\makeatother

\chapter{Vorwort}\label{vorwort}

Als Vorbereitung f\"ur die Abschlusspr\"ufungen im Juni 2018 haben die Sch\"uler der
Fachklassen des Heinrich\hyp{}Hertz\hyp{}Europakollegs Bonn ein Szenario in dem
Bereich der Serveradministration gestellt bekommen. Dieses wurde innerhalb
eines Teams von zwei bis zu drei Leuten eigenst\"andig erarbeitet. Die Hardware,
worauf das Testszenario durchgef\"uhrt werden konnte, wurde von der Schule
gestellt. Den Sch\"ulern wurde freigestellt, ob Sie diese verwenden oder eigene
Mittel verwenden m\"ochten.

Die Aufgabenstellung wurde \"uber Moodle zur Verf\"ugung gestellt und kann dem
Anhang~\ref{pdf:requirements} entnommen werden. Die Arbeit und das Verfassen
dieser Dokumentation wurde eigenst\"andig durchgef\"uhrt.

\chapter{Vorbereitung}\label{vorbereitung}

Um eine vollst\"andige und schnelle Umsetzung des Projektes zu gew\"ahrleisten
wurde zun\"achst eine Testumgebung aufgebaut. Des Weiteren wurde zu Beginn ein
Konzept erarbeitet, welches die DNS Namenkonvention und die DHCP Vorgaben
beinhaltet. Dieses Konzept wurde abschließend dem zust\"andigen Lehrer, in diesem
Projekt als Rolle des Auftraggebers, vorgelegt und abgenommen. Eine
vorausschauende Planung und Konzeptionierung zusammen mit dem Auftraggeber
bringt den Vorteil, dass Fehler fr\"uhzeitig identifiziert und verbessert werden
k\"onnen, sowie eine effiziente Hardware Planung.

\section{DHCP-Konzept}\label{dhcp-konzept}

Die Firma Mikado besitzt insgesamt acht Abteilungen. Pro Abteilung wird ein
Netzwerkdrucker vorgesehen. Zum aktuellen Zeitpunkt verwendet die Firma ein
Class C Ipv4 Netz, welches beibehalten werden soll. Die Aufteilung der IP
Adressen f\"ur die Clients, sowie den Netzwerkdruckern, soll \"uber einen DHCP
Server vergeben werden. Dabei wird das folgende DHCP Konzept verwendet:

\begin{outline}
  \1 Jede Abteilung erh\"alt einen eignen Adressbereich, in dem maximal 251
  Hosts verwendet werden k\"onnen
  \1 Netzwerkdrucker erhalten den Ende eines jeden Netzwerkbereichs
\end{outline}

Der aktuelle Standard in der Wirtschaft ist aktuell, keine Subnetzmetze mit
einer Subnetzmaske kleiner 24 zu nutzen (Ausnahme sind Transfernetze).  Wird
ein gr\"o\ss{}eresNetz ben\"otigt, so sollte es ein vielfaches eines Class C
Netz sein. Von den 256 Adressen entf\"allt eine f\"ur die Broadcastadresse,
eine f\"ur die Netzadresse, eine f\"ur das Gateway und zwei f\"ur die
\gls{VRRP} Adressen. Die Aufteilung sieht anschließend wie folgt aus:

\begin{center}
  \begin{tabular}{lll}
    \toprule
    Abteilung                     & Netzadresse & Broadcastadresse  \\
    \midrule
    Leitung                       & 192.168.0.0 & 192.168.0.255     \\
    Entwicklung                   & 192.168.1.0 & 192.158.1.255     \\
    Einkauf                       & 192.168.2.0 & 192.168.2.255     \\
    Disposition                   & 192.168.3.0 & 192.168.3.255     \\
    Produktion                    & 192.168.4.0 & 192.168.4.255     \\
    Konstruktion                  & 192.168.5.0 & 192.168.5.255     \\
    Buchhaltung / Rechnungswesen  & 192.168.6.0 & 192.168.6.255     \\
    Verkauf                       & 192.168.7.0 & 192.168.7.255     \\
    \bottomrule
  \end{tabular}
  \captionof{table}{IP-Addressen Setup}
\end{center}

Die Rechner der Administratoren erhalten ein separates Netzwerk, in dem
ebenfalls die entsprechenden Windows Server vorhanden sein werden.

\section{DNS-Namensraum}\label{dns-namensraum}

Die Firma Mikado hat bereits den Dom\"anennamen mikado.spiel erworben. Dieser
kann f\"ur die Dom\"anen Struktur verwendet werden. Mikado ist in diesem Fall
die Second-Level-Domain der DNS Namensaufl\"osung und spiel die
First-Level-Domain. Es k\"onnen weitere Subdomains
(Third\hyp{}Level\hyp{}Domains) wie beispielsweise verkauf, konstruktion oder
einkauf hinzugef\"ugt werden. Die DNS Namensaufl\"osung ist f\"ur die
Aufl\"osung von FQDNs in eine IP Adresse und umgekehrt. Jeder Rechnername in
der internen Dom\"ane ist ebenfalls im DNS eingetragen und kann von diesem
aufgel\"ost werden. Der Windows Server 2016, welcher den Domain Controller
besitzt, ist gleichzeitig auch ein DNS Server. Dadurch k\"onnen die
entsprechenden Eintr\"age unmittelbar durch den Domain Controller an den DNS
Server weitergeben werden.

\section{Windows Dom\"anen Konzept}\label{windows-domuxe4nen-konzept}

\subsection{Namenskonzept User}\label{namenskonzept-user}

Um eine Eindeutigkeit der User herzustellen, empfiehlt es sich hier die
Personalnummer des Anwenders zu verwenden. Innerhalb der AD Struktur darf es
kein Benutzername doppelt vorhanden sein, da ansonsten die Anmeldung an der
Dom\"ane nicht funktioniert. Die Personalnummer wird in der Regel jedem Nutzer
bei Begin der T\"atigkeit innerhalb der Firma vergeben, da diese ebenfalls
f\"ur die Buchhaltung entsprechend verwendet werden kann.

Eine Kombination aus Nachname, Vorname oder Nachame\_Vorname wird nicht
verwendet, da es vorkommen kann, dass es Doppelnamen innerhalb der Firma gibt.
Das gleiche gillt f\"ur die eMail\hyp{}Adresse.

\subsection{Bezeichnung Hardwarekomponenten}

Neben den eindeutigen Benutzernamen m\"ussen auch die verwendeten
Hardwarekomponenten einen eindeutigen Bezeichner besitzen. Dabei wird folgendes
Konzept zur Nutzung empfohlen:

\begin{outline}
  \1 Rechner erhalten den Prefix PC gefolgt von einer fortlaufenden Nummer
  \1 Drucker erhalten den Prefix DR gefolgt von einer fortlaufenden Nummer
\end{outline}

Die Namensgebung der entsprechenden Rechner, Drucker oder Server ist in erster
Linie wichtig f\"ur die Zuordnung der DNS Namen, damit hier die Namensaufl\"osung
zuverl\"assig klappt. Ebenfalls kann die Serverbezeichnung helfen,
festzustellen welche Funktion ein Server hat. F\"ur die Firma Mikado wird
folgende Namensgebung bei den Servern verwendet:

\begin{outline}
  \1 w16dc01
  \1 w12r2dc02
\end{outline}

Der erste Teil des Namens f\"ur den Server gibt an, um welches Betriebssystem
es sich auf dieser Maschine handelt. So kann hier unmittelbar festgestellt
werden, ob eine Version seit geraumer Zeit veraltet ist. Das hintere Segment
gibt die Funktion des Servers wieder. So sind beide Server Domain Controller
(\gls{DC}) und nach der Reihenfolge nummeriert. Ein Linux Server wird mit li
geprefixt. Danach folgt ebenfalls die Rolle (zum Beispiel dc oder fileserver),
gefolgt von einer Numerierung.

\subsection{EDV-Struktur Active Directory}

Die EDV Struktur wird gegliedert wie die Aufteilung der einzelnen Abteilungen.
So erh\"alt jede Abteilung eine eigene Organisationseinheit. Dies macht es im
sp\"ateren Verlauf einfacher dem Anwender bestimmte Rechte oder aber auch IP
Adressen zuzuweisen, da diese auf die Organisationseinheiten fest zugewiesen
werden k\"onnen.

Im folgenden Abbild ist der Aufbau dargestellt:

\begin{figure}[H]
  \centering
  \includegraphics[width=2.77083in,height=1.69792in]{figures/image1.png}
  \caption{Gliederung der OUs im Active Directory}\label{figure:adstructure}
\end{figure}

Die Aufteilung in Standorte ist nicht erforderlich, da die Firma Mikado
nur den Hauptsitz in K\"oln besitzt.

\chapter{Installation}

Die Installation der Testumgebung wird in einem Hypervisor auf einer
Physikalischen Maschine getestet, da diese Anwendungen im Testbetrieb keine
großen Anforderungen haben. Das Basis Betriebssystem ist ein Hypervisor Server,
welcher von Microsoft kostenlos zur Verf\"ugung gestellt wird. Auf diesem k\"onnen
unterschiedliche virtuelle Maschinen angelegt werden, welche Ressourcen des
Hostsystems verwenden werden.

\section{Windows Server 2016}\label{windows-server-2016}

F\"ur die Installation des Windows Server 2016 Datacenter wird in dem Hypervisor
zun\"achst eine leere virtuelle Maschine angelegt. Diese kann anschlie\ss{}end
mit dem Image f\"ur Windows Server 2016 installiert werden. Bei der Installation
des Servers wird eine grafische Benutzeroberfl\"ache verwendet, da auch
unerfahrene Informationstechniker diese bedienen sollen. Innerhalb der
Testumgebung sollen die virtuellen Maschinen eine Festplattengr\"oße von 75GB und
einer Arbeitsspeicher Gr\"oße von sechs GB nicht \"uberschreiten. Die virtuellen
Maschinen k\"onnen im Falle eines Übergangs in den Produktivbetrieb mit weiteren
Ressourcen ausgestattet werden. Nach der erfolgreichen Installation und
Neustart des Servers, muss erstmalig ein Administrator Kennwort festgelegt
werden. Dieses muss folgende Anforderungen besitzen:

\begin{outline}
  \1 Sonderzeichen
  \1 Großbuchstaben
  \1 Zahlen
  \1 Kleinbuchstaben
\end{outline}

Nachdem die Basis Installation nun erfolgt ist, muss der Windows Server
2016 f\"ur die Rolle als Domain Controller vorbereitet werden. Hierzu wird
zun\"achst eine statische IP Adresse vergeben, da innerhalb der Dom\"ane ein
separater DHCP Server auf einem Windows Server 2012R2 im sp\"ateren
Verlauf installiert wird. Desweiteren muss der Rechnername angepasst
werden, da Windows w\"ahrend der Installationsroutine einen f\"ur den Server
festgelegten Namen vordefiniert. Um im Nachhinein die Unterscheidung der
Server zu verbessern, muss hier ein eindeutiger und aussagekr\"aftiger
Name verwendet werden. Der Server muss anschließend neugestartet werden.

\section{Active Directory}\label{active-directory}

Um eine Rolle auf einem Windows Server installieren zu k\"onnen, muss diese \"uber
den Server-Manager hinzugef\"ugt werden. Über den Punkt Verwalten
\hyp{}\textgreater{} Rollen und Funktionen hinzuf\"ugen, k\"onnen dem Server neue
Rollen zugewiesen werden. Rollen oder Funktionen k\"onnen entweder auf einer
virtuellen Festplatte oder aber innerhalb des Computers installiert werden. Der
Server zeigt eine Auflistung aller Rollen und Funktionen an. Sobald eine Rolle
ausgew\"ahlt wurde, weist der Server auf weitere Funktionen hin, die ben\"otigt
werden, damit diese ausgew\"ahlte Rolle verwendet werden kann.

Damit die Rolle \enquote{Active Directory-Dom\"anendienste} installiert werden
kann, bedarf es folgende weitere Funktionen:

\begin{figure}[H]
  \centering
  \includegraphics[width=2.57618in,height=1.01822in]{figures/image2.png}
  \caption{Rollen- und Funktionsverwaltung}\label{figure:functions}
\end{figure}

Mit der Schaltfl\"ache \enquote{Features hinzuf\"ugen}, werden anschließend
Funktionen f\"ur die Installationsroutine zugef\"ugt. Nach klicken auf
\enquote{weiter} wird die Meldung ausgegeben, dass der AD-Dom\"anendienst einen
DNS Server innerhalb des Netzwerks ben\"otigt. Sofern dieser nicht vorhanden
sein, wird er auf der gleichen Maschine zus\"atzlich installiert. Der DNS Server
wird ben\"otigt da dieser f\"ur die Aufl\"osung der Rechnernamen und Druckernamen
zust\"andig ist. Weitere Erl\"auterungen hierzu kann im DNS Kapitel entnommen
werden. Abschließend wird eine Übersicht der Installationsroutine angezeigt,
welche mit \enquote{Installieren} best\"atigt werden kann.

\section{DNS-Dienst}\label{dns-dienst}

Bereits w\"ahrend der Installation des Domain Controllers, stellt Windows
sicher, ob ein DNS Server installiert werden soll. Jeder DC sollte in der Regel
auch ein DNS Server sein, damit neue Eintr\"age unmittelbar direkt \"ubertragen
werden k\"onnen und der DNS Dienst immer den aktuellsten Stand der Umgebung
kennt.

\section{DHCP-Dienst}\label{dhcp-dienst}

Die Installation des DHCP Dienstes kann \"uber den Server-Manager unter dem
Punkt Verwalten \hyp{}\textgreater{} Rollen und Funktionen hinzuf\"ugen
ausgew\"ahlt werden. Wie auch bei der Installation des Active Directorys, zeigt
auch hier die Installationsroutine weitere Tools an, die f\"ur die Verwendung
des DHCP Servers empfohlen werden. Diese k\"onnen \"uber den Punkt
\enquote{Funktionen hinzuf\"ugen} ausgew\"ahlt werden. Nach Best\"atigung auf
weiter, zeigt die Installationsroutine Informationen \"uber das DHCP an.
Zus\"atzlich erh\"alt der Benutzer Hinweise das beispielsweise der aktuelle
Server auf dem der DHCP Server installiert werden soll eine statische IP
Adresse besitzen soll, sowie die Subnetze bereits vorher geplant werden sollen.
Nach erneutem Best\"atigen auf Weiter, zeigt die Installationsroutine die
Übersicht der Installation an. Hierbei kann ebenfalls ausgew\"ahlt werden, ob
der Server selbst\"andig Neustarts durchf\"uhren soll. Da es sich hierbei
aktuell um eine Testumgebung handelt, kann dieses Kontrollk\"astchen aktiviert
werden. Zum Schluss muss die Installation mit \enquote{installieren}
best\"atigt werden. Der Server beginnt nun mit der Installation des DHCP
Servers.

Nachdem der Server neugestartet wurde, ist der DHCP Server aktiv und muss
abschließend noch Konfiguriert werden.

\section{Datei-Dienst}\label{datei-dienst}

Der Dateidienst spielt gerade in gr\"oßeren Unternehmen eine wichtige Rolle, da
viele Benutzer Dateien mit anderen Benutzern teilen oder zur Verf\"ugung
stellen wollen. Hierzu kann der von Windows eigene Dateidienst verwendet
werden, da dieser mit Hilfe des Distributed File Systems und deren
Verwaltungsoberfl\"ache eine einfache Administration erm\"oglicht.

Um den Windows Dateidienst verwenden zu k\"onnen, muss dieser zun\"achst \"uber
den Server-Manager hinzugef\"ugt werden. Die Firma Mikado braucht in erster
Linie die Rolle als DFS-Namespace. Damit die Verwaltung des Dateidienstes dem
Administrator vereinfacht wird, sollte zus\"atzlich zu dem DFS-Namespace auch
der Ressourcen-Manager installiert wird. Dies ist ein gesondertes Tool und wird
nicht automatisch w\"ahrend der Installationsroutine mit installiert. Der
Ressourcen Manager kann jedoch auch Problemlos nachtr\"aglich installiert
werden.

Die Installation ist nun abgeschlossen und der Dateidienst, sowie die Freigaben
k\"onnen konfiguriert werden.

\chapter{Umsetzen der Anforderungen}\label{umsetzen-der-anforderungen}

\section{Einrichtung DHCP Dienst}\label{einrichtung-dhcp-dienst}

Bereits nach der Installation zeigt der Server Manager an, dass weitere
Konfigurationsschritte f\"ur den DHCP Server notwendig sind. So muss
beispielsweise der DHCP Server innerhalb der Dom\"ane autorisiert werden, damit
die Clients eine entsprechende IP Adresse abrufen k\"onnen.  Zus\"atzlich muss
das DHCP verschiedene Sicherheitsgruppen anlegen, die der DHCP Server
ben\"otigt. Nach klicken auf \enquote{weiter} werden Anmeldeinformationen f\"ur
die Dom\"ane abgefragt. Hier muss ein Dom\"anen Administrator eingetragen sein,
da nur dieser entsprechende Autorisierungen des DHCP Servers durchf\"uhren
darf. Windows f\"ullt diesen, da der DHCP Server auf der gleichen Virtuellen
Maschine wie der Domaincontroller installiert ist, standardm\"aßig mit dem
Administrator aus, da dieser bereits w\"ahrend der Installationsroutine als
Dom\"anen Administrator hinzugef\"ugt wurde. Der Nutzer hat die M\"oglichkeit,
alternative Anmeldeinformationen anzugeben. Die Autorisierung des DHCP Servers
ist n\"otigt, falls mehrere DHCP Server innerhalb einer Dom\"ane arbeiten, da
andernfalls es Konflikte zwischen diesen bei der Vergabe der IP Adressen geben
k\"onnte.

Mit klicken auf \enquote{Commit ausf\"uhren} wird die Autorisierung, sowie das
Anlegen der entsprechenden Sicherheitsgruppen im Active Directory
durchgef\"uhrt.

Im Anschluss erh\"alt der Administrator eine Zusammenfassung der Konfiguration,
ob die Konfiguration durchgelaufen ist.

Die Grundkonfiguration des DHCP Server ist abgeschlossen. Als n\"achsten
Schritten m\"ussen nun innerhalb des DHCP Servers Bereiche definiert werden.
Hierzu muss zun\"achst unter Tools \hyp{}\textgreater{} DHCP die
Verwaltungskonsole des DHCP aufgerufen werden, da nur in dieser Bereiche und
Konfigurationen durchgef\"uhrt werden k\"onnen.

Um einen Bereich zu konfigurieren, muss zun\"achst im DHCP Verwaltungstool der
DHCP Server ausgew\"ahlt werden. Anschließend gibt es die Auswahl zwischen IPv4
oder IPv6. Die Firma Mikado verwendet IPv4, weshalb hier der Bereich auf IPv4
beschr\"ankt werden kann. Mit Rechtsklick auf IPv4 \"offnet sich ein
Untermen\"u, wo \enquote{neuer Bereich} ausgew\"ahlt wird. Es \"offnet sich ein
Bereitstellungs-assistent, welcher den Administrator durch die Konfiguration
leitet. Mit klicken auf \enquote{weiter}, muss zun\"achst ein Name f\"ur den
Bereich und eine Beschreibung festgelegt werden. Sobald diese definiert wurde,
muss die Start und End IP Adresse definiert werden, sowie die Subnetzl\"ange.

Sollte ein IP Adressen Netzwerk viele IP Adressen beinhalten, so schl\"agt der
Assistent vor, die IP Adressen in Bereichsgruppen aufzuteilen.

Nach best\"atigen der IP Adressen wird abgefragt, ob IP Adressen ausgenommen
werden sollen. Beispielsweise bei Servern oder Applikationen die immer die
gleiche IP Adresse ben\"otigen. Sollten hier keine Ausnahmen definiert werden
m\"ussen, wird anschließend die Lease Time abgefragt. Die Lease Time bestimmt,
wie lange eine IP Adresse f\"ur einen Client g\"ultig sein darf. Sobald die
Lease Time abl\"auft, f\"uhrt der Client erneut eine DHCP Anfrage durch, um
erneut die IP Adresse f\"ur sich zu reservieren. Da es sich bei der Firma
Mikado um fest definierte PCs handelt, empfiehlt es sich hier die Lease Time
auf den Standardwert von 8 Tage belassen. Sollte beispielsweise die Firma
Mikado eine WLAN Infrastruktur f\"ur Kunden anbieten, so sollte die Lease Time
f\"ur diesen Bereich auf wenige Stunden herabgesetzt werden. Hinweis: Das WLAN
sollte aus Sicherheitsgr\"unden eine eigene Layer 2 Domäne bekommen.

Eine kurze Lease Time sollte ebenfalls verwendet werden, wenn der DHCP Server
nur einen sehr beschr\"ankten Raum f\"ur IP Adressen besitzt. Sollte der DHCP
Server keine IP Adressen mehr vergeben k\"onnen, weil beispielsweise alle
vergeben sind, so k\"onnen keine neuen Ger\"ate mit der Infrastruktur
kommunizieren.

Im n\"achsten Schritt wird abgefragt, ob die DHCP Optionen aktiviert werden
sollen. Diese definieren das Standardgateway, den DNS Server, sowie den WINS
Server f\"ur diesen Bereich, welche in der DHCP Abfrage dem Client zugeschickt
wird.

Sobald das Standardgateway abgefragt wurde, werden nachtr\"aglich noch die
Einstellungen f\"ur die Dom\"ane sowie den DNS Server und den WINS Server
abgefragt. Abschließend muss entschieden werden, ob dieser Bereich bereits
aktiviert wird oder nachtr\"aglich aktiviert werden muss. Sobald dies
best\"atigt wurde, ist der Bereich fertig konfiguriert.

Diese Einstellung muss nun f\"ur jede Abteilung, sowie f\"ur die Server IP
Range definiert werden.

Bei der Server IP Range ist besonders, dass hier entsprechend die Server eine
Manuelle IP Adressen erhalten, beziehungsweise aus der Adressvergabe des DHCP
Server ausgenommen werden. Die Administrationsrechner erhalten ebenfalls eine
fest zugewiesene IP Adresse und sind in dem gleichen IP Bereich wie die Server.

Der Aufbau des DHCP Bereiche sieht nun wie folgt aus:

\begin{figure}[H]
  \centering
  \includegraphics[width=3.98819in,height=2.65139in]{figures/image3.png}
  \caption{Gliederung der DNS Struktur f\"ur IPv4 Adressen}\label{figure:dnsstructure}
\end{figure}

Bereiche, welche deaktiviert sind, erhalten an dem Ordnersymbol einen kleinen
roten Pfeil nach unten. Besondere Bereiche oder Bereiche, welche eine Ausnahme
oder eine Aktion erfordern, haben ein weißes Ausrufezeichen. Aktivierte
Bereiche, wie zum Beispiel der Bereich \enquote{Leitung} erh\"alt keine
besonderen Symbole.

Bei dem Anlegen der einzelnen Bereiche wird ebenfalls festgelegt, dass bei
neuen Lease Abrufen der Clients, diese automatisch als DNS Eintr\"age (A
Records, optional PTR Records) festgelegt werden. Dies kann jedoch deaktiviert
werden. Um einen Bereich zu ver\"andern, kann mit einem Rechtsklick die
Eigenschaften wie IP Adressbereich etc. \ abge\"andert werden. Ebenfalls kann
hier unter dem Reiter DNS auch ein DHCP Namensschutz eingerichtet werden. Dies
sorgt daf\"ur, das bereits vorhandene DNS Eintr\"age \"uberschrieben werden
k\"onnen.

Innerhalb eines Bereiches k\"onnen Reservierungen f\"ur beispielsweise Drucker
festgelegt werden. Hierzu muss ein entsprechender Bereich aufgeklappt und
anschließend mit Rechtsklick auf Reservierungen die Reservierung hinzugef\"ugt
werden.

Da innerhalb einer Dom\"ane immer ein DHCP Server erreichbar sein sollte,
sollte unter den Eigenschaften des IPv4 ein sekund\"arer DHCP Server
eingetragen werden. Dieser \"ubernimmt die Aufgaben und Bereiche, falls der
Prim\"are DHCP Server nicht mehr antwortet.

Der DHCP Server ist nun vollst\"andig Konfiguriert und kann nun verwendet
werden.

\subsection{Test des Failovers}\label{test-des-failovers}

Um den Test des DHCP Failovers \"uberpr\"ufen zu k\"onnen, wurde zun\"achst der
Windows 7 Client, welcher innerhalb des Netzwerks ist, gestartet und
anschließend die Eingabeaufforderung gestartet. Zudem wurden beide DC mit
entsprechender DHCP Rolle gestartet.

Innerhalb der Eingabeaufforderung wird nun folgender Befehl eingegeben
damit die aktuelle IP Konfiguration ausgegeben wird:

\begin{listing}[ht]
  \inputminted[fontsize=\small]{text}{listings/ipconfig.txt}
  \caption{Ausgabe der IP Konfiguration auf einem Windows 7}
  \label{lst:ipconfig}
\end{listing}

Die Eingabeaufforderung, zeigt folgendes Ergebnis:

\begin{figure}[H]
  \centering
  \includegraphics[max width=\textwidth]{figures/image4.png}
  \caption{IP Konfiguration aller Interfaces}\label{figure:ipconfig}
\end{figure}

Der Prim\"are DHCP Server 10.0.2.15 hat dem Client die IP Adresse 10.0.2.16
zugewiesen. Eine IP aus einem nicht reservierten Bereich. Um den Gegentest
durchf\"uhren zu k\"onnen, wird nun der DHCP-Dienst auf dem Prim\"aren DHCP
abgeschaltet und der Client neugestartet. Nach dem Neustart des Clients, wurde
erneut der oben stehende Befehl abgesetzt. Das Ergebnis sieht danach wie folgt
aus:

\begin{figure}[H]
  \centering
  \includegraphics[width=4.59318in,height=1.46857in]{figures/image5.png}
  \caption{IP Konfiguration eines Interfaces}\label{figure:ipconfig2}
\end{figure}

Der Client halt selbst\"andig \"uber den DHCPDISCOVER festgestellt, dass der
prim\"are Server nicht erreichbar ist und vom sekund\"aren Server die IP
Adresse, sowie die Leasetime erhalten. Der Sekund\"are Server hat somit die
Aufgaben des Prim\"aren DHCP Servers \"ubernommen.

\section{Einrichtung DNS Dienst}\label{einrichtung-dns-dienst}

Bereits w\"ahrend der Installation des Active Directory Dom\"anendienst wird
der DNS Dienst angelegt und bereits vorkonfiguriert. Er ist so
eingestellt, dass dieser automatisch aktualisiert wird. Zus\"atzlich zu
den automatischen Aktualisierungen, k\"onnen manuelle Eintr\"age als Host A
Eintrag hinzugef\"ugt werden. Diese Eintr\"age k\"onnen \"uber den DNS-Manager
verwaltet werden. Es gibt zwei Arten der Forward DNS Eintr\"age:

\begin{outline}
  \1 Host A
  \1 Host AAAA
\end{outline}

Host A definiert eine IPv4 Adresse und Host AAAA definiert eine IPv6 Adresse.
Wenn ein DNS Eintrag manuell eingetragen wird, muss der FQDN des
Servers/Rechners und deren IP Adresse angegeben werden.

Jede Dom\"ane sollte einen DNS Server haben. Gibt es innerhalb einer Dom\"ane
weitere Dom\"anen, so muss dem DNS Server der obergeordneten Dom\"ane dies
mitteilen, damit dieser den DNS Server kennt. DNS Server arbeiten in der Regel
nach dem Prinzip, wissen wo etwas zu finden ist. Sollte der DNS Server
beispielsweise keinen Eintrag in der eigenen Datenbank finden, so pr\"uft er
hier die obergeordnete DNS Struktur, ob ihm dieser Name bekannt ist.  DNS
Server haben mehrere Zonen, eine Prim\"are und eine Sekund\"are Zone. Eine
Sekund\"are Zone wird meist dann verwendet, wenn eine Dom\"ane auf eine andere
Dom\"ane Zugreifen muss. Die Sekund\"are Zone erstellt eine Kopie dieser und
legt sie auf den Server ab.

\section{Dateidienst/Freigaben
einrichten}\label{dateidienstfreigaben-einrichten}

Das Anlegen von neuen Freigaben ist Assistentengesteuert, damit hier die
Anpassungen alle auf einmal durchgef\"uhrt werden k\"onnen. Um eine Freigabe
hinzuf\"ugen zu k\"onnen, muss zun\"achst im Server Manager
\hyp{}\textgreater{} Datei- und Speicherdienste \hyp{}\textgreater{} Freigaben
unter Aufgaben eine neue Freigabe ausgew\"ahlt werden:

\begin{figure}[H]
  \centering
  \includegraphics[width=4.71875in,height=2.72917in]{figures/image6.png}
  \caption{Erstellen von neuen Freigaben}\label{figure:sharemanager}
\end{figure}

Zum aktuellen Zeitpunkt besitzt der Server zwei Freigaben. Diese wurden
w\"ahrend der Installation des ActiveDirectorys angelegt. NetLogon soll dabei
f\"ur Anmeldeskripte zur Verf\"ugung stehen.

Sobald auf neue Freigabe geklickt wurde, \"offnet sich der Assistent f\"ur die
Freigabe, in dem ein Profil aus folgenden ausgew\"ahlt werden muss:


\begin{outline}
  \1 SMB-Freigabe \hyp{} Schnell
  \1 SMB-Freigabe \hyp{} Erweitert
  \1 SMB-Freigabe \hyp{} Anwendungen
  \1 NFS-Freigabe \hyp{} Schnell
  \1 NFS-Freigabe \hyp{} Erweitert
\end{outline}

Der Unterschied zwischen schnell und erweitert ist in diesem Fall nur wie viele
Informationen w\"ahrend des Assistenten abgefragt werden sollen. Eine
\enquote{SMB Freigabe f\"ur Anwendungen} soll eine Freigabe f\"ur Hyper-V
Manager oder Datenbanken darstellen.

Der Assistent gibt zu jedem Profil auf der rechten Seite eine kurze
Beschreibung mit, um was es sich bei diesem Profil handelt. F\"ur die Firma
Mikado m\"ussen mehrere SMB Freigaben angelegt werden, weshalb hier
\enquote{SMB-Freigabe \hyp{} Erweitert} ausgew\"ahlt wird.

Im n\"achsten Schritt wird nun der Server ausgew\"ahlt, auf dem die Freigabe
durchgef\"uhrt werden soll, sowie der Speicherort. Da innerhalb der
Testumgebung zwei DC Servers vorhanden sein werden, kann dies auf dem Master DC
hinterlegt werden. Ein Praktischer Anwendungsfall w\"are hier beispielsweise
die Speicherung der Daten auf einem separaten Datei Server, da auf diesen
entsprechende Sicherungen durchgef\"uhrt werden k\"onnen.

Als n\"achstes wird der Freigabename abgefragt, welcher hier verwendet werden
soll. Hier k\"onnte man nun beispielsweise Abteilungsordner anlegen, welche den
Nutzer bei jeder Anmeldung zugewiesen werden, damit jeder Mitarbeiter auch eine
Ablage f\"ur die Abteilung besitzt.

Der Server zeigt nach der Eingabe des Namens unmittelbar den Lokalen, wie auch
den Remotepfad zu dieser Freigabe an:

\begin{listing}[ht]
  \inputminted[fontsize=\small]{text}{listings/share1.txt}
  \caption{Lokaler Pfad zur Freigabe}
  \label{lst:share1}
\end{listing}

\begin{listing}[ht]
  \inputminted[fontsize=\small]{text}{listings/share2.txt}
  \caption{Remote Pfad zur Freigabe}
  \label{lst:share2}
\end{listing}

Nachdem der Freigabename definiert wurde, werden weitere Einstellungen
abgefragt. Diese k\"onnen f\"ur die Abteilungsfreigabeordner auf dem Standard
belassen werden. Im sp\"ateren Verlauf werden noch zwei Ordner
\enquote{Profiles\$} und \enquote{Home\$} angelegt. Bei diesen beiden Freigaben
handelt es sich um die servergespeicherten Profile. Dabei ist hier die
Besonderheit, das bei dem Punkt \enquote{andere Einstellungen} das
Zwischenspeichern der Freigabe zulassen deaktiviert ist, sowie das \$ am Ende
des Freigabenamens vorhanden ist. Nur mit diesem \$ Zeichen wird diese
Freigabe nicht f\"ur die Benutzer sichtbar sein.

Damit nicht alle Nutzer Zugriff auf dieses Laufwerk erhalten k\"onnen, werden
entsprechende Berechtigungen definiert. Innerhalb des ActiveDirectory werden
Sicherheitsgruppen f\"ur jede Abteilung erstellt, worin die Benutzer der
Abteilung Mitglieder sind.

In diesem Beispiel w\"are das die Sicherheitsgruppe: LGs-Leitung

Diese Gruppe soll Lese und Schreibberechtigung auf dieser Freigabe besitzen,
dazu muss unter Berechtigungen anpassen \hyp{}\textgreater{} hinzuf\"ugen die
Sicherheitsgruppe ausgew\"ahlt werden. Innerhalb dieses Fensters, kann die
Berechtigung festgelegt werden, die diese Gruppe erh\"alt. Da in diesem Fall
diese Gruppe Schreib und Leseberechtigung auf diese Freigabe erhalten sollen,
wird folgende Berechtigung festgelegt:

\begin{outline}
  \1 Lesen, ausf\"uhren
  \1 Ordnerinhalt auflisten
  \1 Lesen
  \1 Schreiben
\end{outline}

\"Andern, sowie Vollzugriff erhalten die Benutzer in diesem Falle nicht. Nach
best\"atigen auf \enquote{weiter}, wird diese zuvor hinzugef\"ugte Gruppe den
Berechtigungen hinzugef\"ugt. Im n\"achsten Schritt wird die
Ordnerverwaltungseigenschaft f\"ur den Verwendungszweck des Freigegeben Ordners
festgelegt. Dies wird wie eine Klassifizierungsregel innerhalb der
Datenverwaltungsrichtlinie festgelegt.

Da es sich bei der Freigabe des Abteilungslaufwerks um eine Gruppenfreigabe
(Benutzer sollen die M\"oglichkeit haben Daten untereinander austauschen zu
k\"onnen) handelt, muss dieses entsprechend ausgew\"ahlt werden. Auch hier gibt
es wieder die Besonderheit, bei den Profiles und Home Freigaben. Da es sich bei
diesen beiden um Ordner handeln, die in der Regel nur von einem einzelnen
Benutzer verwendet werden, muss hier die Benutzerdateien ausgew\"ahlt werden.

Zum Schluss des Assistenten kann ein Speicherkontingent festgelegt werden.
Hiermit wird der Speicherbereich limitiert, den der Benutzer zur Verf\"ugung
gestellt bekommt. F\"ur die Abteilungslaufwerke ist dies nicht erforderlich.
Wichtig ist dies in Bezug auf die Servergespeicherten Profile, sowie
umgeleitete Ordner. Hierbei soll der Anwender nur eine maximale Menge von 200MB
ablegen k\"onnen, damit An- oder Abmeldungen nicht lange dauern. Benutzer
sollen in der Regel Daten, die sie w\"ahrend der Arbeit brauchen auf dem
Abteilungslaufwerk ablegen.

Abschließend erh\"alt der Administrator eine Übersicht \"uber die
Freigabeeigenschaften. Sobald nun auf \enquote{erstellen} geklickt wird, wird
der Freigabe Ordner auf dem Server mit den entsprechenden Berechtigungen
angelegt. Das Ergebnis sollte wie folgt aussehen:

\begin{figure}[H]
  \centering
  \includegraphics[width=4.9375in,height=1.22917in]{figures/image7.png}
  \caption{Die einzelnen Aufgaben beim erstellen einer neuen Freigabe}\label{figure:shares}
\end{figure}

Die Eigenschaften, welche zuvor festgelegt wurden, k\"onnen nach abschließen
des Assistenten weiterhin bearbeitet und angepasst werden.

Damit Servergespeicherte Profile innerhalb einer Freigabe abgelegt werden
k\"onnen, muss zun\"achst wie oben beschrieben jeweils eine Freigabe f\"ur
\enquote{profiles\$} und eines f\"ur \enquote{home\$} angelegt werden.

Hier sollte die Berechtigung auf eine bestimmte Benutzergruppe limitiert
werden. Sinnvoll erscheint es hier eine Sicherheitsgruppe \"uber das AD
anzulegen und diese entsprechend Berechtigung darauf zu gew\"ahren. Die
Berechtigungen auf diese Ordner sollten wie folgt aussehen:

Ordner auflisten/Daten lesen, Attribute lesen, Ordner erstellen/Daten
anh\"angen

Nur so kann ein Nutzer beim Anmelden ein Benutzerprofil innerhalb dieses
Ordners anlegen und verwalten. Der Nutzer erh\"alt auch nur auf diesen Ordner
die Berechtigungen. Andere Ordner kann der Nutzer nicht sehen oder ver\"andern.

\subsection{Ressourcen-Manager}\label{ressourcen-manager}

\"Uber den Ressourcen Manager des Dateidienstes hat der Administrator die
M\"oglichkeit, verschiedene Kontingente zuzuweisen oder angepasste Kontingente
zu erstellen. Bei einer Überschreitung k\"onnen verschiedene Aktionen
durchgef\"uhrt werden. Beispielsweise kann dem Benutzer eine Systemerzeugte
Meldung angezeigt oder eine Email an den Administrator oder dem Benutzer
versendet werden. Vorraussetzung hierf\"ur ist ein SMTP Server. Zus\"atzlich
kann der Administrator verschiedene Dateitypen f\"ur das Speichern auf gewissen
Laufwerken verbieten. So kann hier festgelegt werden, das beispielsweise keine
Excel Makros mit *.xlsm Endung auf einem Laufwerk abgelegt werden kann. Der
Ressourcen Manager kann zus\"atzlich zu diesen Funktionen auch Logs erzeugen,
sowie Klassifizierungen der Inhalte durchf\"uhren. Hierzu kann entsprechend ein
Zeitplan festgelegt werden, indem das System diese Ordner \"uberpr\"uft.

\begin{figure}[H]
  \centering
  \includegraphics[max width=\textwidth]{figures/image8.png}
  \caption{Kontingentvorlagen im Ressourcen-Manager f\"ur Dateiserver}\label{figure:sharescontingent}
\end{figure}

\section{Active Directory Dom\"anendienst}

Nachdem die Grundinstallation abgeschlossen wurde, kann mit der eigentlichen
Konfiguration begonnen werden. Bereits nach der Basis Installation, makelt der
Windows Server \enquote{Konfiguration erforderlich} an und zeigt einen Link um
den Server zum DomainController (DC) heraufzustufen. Anschließend muss die Art
des Dom\"anencontrollers festgelegt werden. Da es sich hierbei um eine neue
Gesamtstruktur mit neuem DC handelt, muss hier \enquote{Neue Gesamtstruktur
hinzuf\"ugen} ausgew\"ahlt werden. Der DC ben\"otigt nun die Stammdom\"ane,
welche \enquote{Mikado.Spiel} lautet. Dies kann der Fully Qualified Domain Name
sein, muss mindestens jedoch eine Second-Level-Domain sein. Anschließend muss
mit weiter best\"atigt werden.

Im nachfolgenden Dialog k\"onnen Dom\"anencontrolleroptionen eingestellt
werden. Dabei muss nun f\"ur die Gesamtstrukturfunktionsebene, sowie der
Dom\"anenfunktionsebene der \"alteste DC definiert werden. Da innerhalb der
Testumgebung sowohl ein DC auf einem Windows Server 2012 R2 und einer auf
Windows Server 2016 installiert werden muss, muss hier Windows Server 2012 R2
ausgew\"ahlt werden. Dies kann nachtr\"aglich nicht nach unten korrigiert
werden.

Der Kontrollk\"astchen bei DNS Server sollte gesetzt werden, da jeder DC auch
DNS Server sein kann. Da es sich hierbei um den ersten DC in der Gesamtstruktur
handelt, muss dieser ebenfalls als Globaler Katalog definiert werden.

Der Globale Katalog dient f\"ur dom\"anen\"ubergreifende Suchfunktionen f\"ur
AD Objekte. Er speichert ausgew\"ahlte Attribute aller Objekte aus allen
Dom\"anen.

Abschließend muss hier ein Wiederherstellungskennwort definiert werden, welches
ben\"otigt wird falls AD-Objekte gel\"oscht wurden um diese wiederherzustellen.
Das Kennwort muss nach dem booten in den Verzeichnisdienst
Wiederherstellungsmodus eingegeben werden. Ohne dieses k\"onnen gel\"oschte
AD-Objekte nicht wiederhergestellt werden.

Windows schl\"agt anschließend einen NetBIOS Dom\"anennamen vor, welcher sich
aus dem ersten Bestandteil des FQDNs zusammensetzt. Dieser kann, muss jedoch
nicht angepasst werden.

Nach erneutem best\"atigen auf \enquote{weiter}, werden die Speicherorte f\"ur
die AD DS Datenbanken, sowie Protokolldateien abgefragt. Diese k\"onnen
ebenfalls bei Bedarf angepasst werden. Die n\"achste Seite, zeigt nun eine
Gesamt\"ubersicht der Änderungen an, welche zuvor definiert worden sind.
Ebenfalls kann hieraus ein PowerShell Skript erzeugt werden, welches
gegebenefalls angepasst werden kann.

Abschließend \"uberpr\"uft die Installationsroutine ein letztes Mal, ob alle
Einstellungen und Anforderungen erf\"ullt sind. Dabei werden bereits einige
Warnung angezeigt, welche ignoriert werden k\"onnen. Sobald die
Installationsroutine mit \enquote{installieren} durchgelaufen ist, wird der
Lokale Administrator des Windows Servers automatisch Mitglied der Gruppen
Organisations-, Schema- und Dom\"anen-Admins und hat somit die Berechtigung
Änderungen und Anpassungen durchf\"uhren zu d\"urfen. Ebenso wird der DNS
Server des Windows Servers innerhalb der IP Konfiguration hinterlegt. Der
Windows Server 2016 wird dabei mehrmals neugestartet und in die Dom\"ane
eingebunden.

\subsection{EDV-Struktur im Active Directory}

Der Aufbau des Active Directory, sollte im Regelfall analog der
Unternehmensstruktur aufgeteilt sein. Innerhalb des ADs werden diese in
Organisationseinheiten aufgeteilt. Letztendlich k\"onnen solche
Organisationseinheiten auch Standorte wiederspiegeln. Organisationseinheiten
sollen bei den Verwaltungsaufgaben helfen. Jeder Angelegte Benutzer, welcher
keiner Organisationseinheit hinterlegt wurde, wird in den Container
\enquote{User} abgelegt. Bei mehreren Hundert Nutzern w\"aren diese alle in dem
User Container enthalten. Dies k\"onnte jedoch gerade in Bezug auf die Rechte
vergabe Probleme verursachen, da unterschiedliche Nutzer auch unterschiedliche
Berechtigungen erhalten. So k\"onnte man je Organisationseinheit
unterschiedliche Berechtigungen zuweisen ohne jeden Nutzer einzeln ver\"andern
zu m\"ussen.

Um neue Organisationseinheiten hinzuf\"ugen zu k\"onnen, muss auf die Dom\"ane
mit Rechtsklick \hyp{}\textgreater{} Neu \hyp{}\textgreater{}
Organisationseinheit geklickt werden. Anschließend kann ein Name f\"ur diese
Organisationseinheit festgelegt werden. Außerdem wird festgelegt, ob die Gruppe
gel\"oscht werden kann. Dies soll das versehentliche L\"oschen der Gruppe
vorbeugen.

Nachdem alle Organisationseinheiten definiert wurden, sieht die Struktur
nun wie folgt aus:

\begin{figure}[H]
  \centering
  \includegraphics[width=2.98958in,height=4.58333in]{figures/image9.png}
  \caption{Struktur im Active Directory}\label{figure:adstructure2}
\end{figure}

Jede Abteilung hat eine einzelne Organisationseinheit zugewiesen bekommen.
Unter dieser Abtrennung werden anschließend zwei zus\"atzliche
Organisationseinheiten angelegt, welche nach Benutzer und Computer
unterschieden wird. Dies hat den Vorteil, dass im Sp\"ateren Verlauf die
Gruppenrichtlinien auf einzelne Abteilungen beschr\"ankt werden k\"onnen. Um
erweiterbare Funktionen einblenden lassen zu k\"onnen, empfiehlt es sich unter
dem Punkt Ansicht die Erweiterten Features zu aktivieren.

\subsection{Replikation}\label{replikation}

Innerhalb einer Dom\"ane sollte es immer zwei DomainController, sowie zwei DHCP
Server geben. Falls einer der beiden Server ausf\"allt, k\"onnen sich die
Nutzer weiterhin Anmelden und erhalten weiterhin eine IP Adresse.

Damit ein zus\"atzlicher Server in die Dom\"ane integriert werden kann, muss
zun\"achst eine zus\"atzliche Maschine aufgesetzt werden. Hier wurde sich f\"ur
einen Windows Server 2012 R2 entschieden. Nachdem der Server installiert wurde,
kann unter Server-Manager der Domain Controller, wie der erste DC installiert
werden. Domain Controller sind innerhalb einer Dom\"ane gleichberechtigt, so
kann jeder Server die gleichen Aufgaben des anderen \"ubernehmen.

Nachdem die Installation der ActiveDirectory Dom\"anendienste abgeschlossen
wurde, muss dieser zun\"achst zum Domain Controller heraufgestuft werden.
Wichtig ist hierbei, dass die Option \enquote{Dom\"anencontroller zu einer
vorhanden Dom\"ane hinzuf\"ugen} ausgew\"ahlt sein muss, damit der DC in die
vorhandenen Mikado Dom\"ane zugef\"ugt wird.

Damit die Dom\"ane ausgew\"ahlt werden kann, kann Rechts auf
\enquote{ausw\"ahlen} geklickt werden. Es \"offnet sich ein Windows
Anmeldefenster, wo die Anmeldeinformationen von einem Dom\"anen Administrator
eingetragen werden m\"ussen. Wichtig ist hier, dass ein Benutzer eingetragen
wird, welcher die Berechtigung hat, Computer oder Server in die Dom\"ane
aufnehmen zu d\"urfen. Anschließend werden die Dom\"anen Informationen
abgefragt und angezeigt:

\begin{figure}[H]
  \centering
  \includegraphics[width=5.6875in,height=2.45833in]{figures/image10.png}
  \caption{Hinzuf\"ugen eines DCs zu einer vorhandenen Dom\"ane}\label{figure:add2domain}
\end{figure}

Nachdem die Dom\"ane ausgew\"ahlt wurde, kann mit \enquote{weiter} best\"atigt
werden. Jeder Domain Controller, sollte gleichzeitig ein DNS Server beinhalten,
sowie ein Globaler Katalog sein, damit hier abfragen schneller durchgef\"uhrt
werden k\"onnen. Der DNS Server auf dem zweiten DomainController, kann zudem
innerhalb der DHCP Konfiguration als Sekund\"arer DNS Server eingetragen
werden. Auch hier muss wieder ein Wiederherstellungskennwort eingetragen
werden, welches im Falle vom versehentlichen L\"oschen von Ordnern oder AD
Strukturen ben\"otigt wird.

Als n\"achsten Schritt muss die DNS Delegierung, sowie ausgew\"ahlt werden,
von welchem DC repliziert werden soll. Da es zum aktuellen Zeitpunkt,
bereits einen DC (w16dc01) gibt, kann dieser nachfolgend ausgew\"ahlt und
mit \enquote{weiter} best\"atigt werden:

\begin{figure}[H]
  \centering
  \includegraphics[width=5.8125in,height=1.3125in]{figures/image11.png}
  \caption{Auswahl der Replikationsquellen f\"ur einen neuen DC}\label{figure:dcreplication}
\end{figure}

Wie auch bei dem ersten DC, werden auf dem zweiten DC Verzeichnisse f\"ur die
Protokollierung, sowie die Datenbank angelegt. Abschließend gibt die
Installationsroutine die Übersicht f\"ur die anstehenden Änderungen. Mit
klicken auf \enquote{Installieren}, wird der DC Konfiguriert und der Windows
Server einmal neugestartet.

Die Replikation ist nun abgeschlossen. Alle \"Anderungen, welche fortan auf dem
DC01 durchgef\"uhrt werden, werden innerhalb weniger Sekunden auf den DC02
repliziert. Sollte eine Replizierung der Daten aussetzen, so ruft der DC02
automatisch nach einer Stunde die Informationen ab.

Nachdem der Server erneut gestartet wurde, kann die Anmeldung mit dem
Administrator vom DC01 durchgef\"uhrt werden.

\subsection{Benutzerkonten erstellen}\label{benutzerkonten-erstellen}

Benutzer k\"onnen \"uber die \enquote{Active Directory Benutzer und
Computerverwaltungs\"ubersicht} manuell hinzugef\"ugt werden. Hierzu kann
innerhalb einer OU mit Rechtsklick \hyp{}\textgreater{}Neu \hyp{}\textgreater{}
Benutzer ein Benutzer hinzugef\"ugt werden. Der Benutzer wird nun direkt in die
richtige OU angelegt.

In dem dann neu er\"offneten Fenster muss nun ein Vorname, Nachname und
Benutzername festgelegt werden. Der Benutzername muss innerhalb einer Dom\"ane
eindeutig sein und besteht bei der Firma Mikado aus einer 5 stelligen
Personalnummer. Eine Personalnummer darf nie doppelt vergeben werden, da diese
zus\"atzlich in der Buchhaltung als Referenz f\"ur den Mitarbeiter verwendet
wird. Nachdem diese Informationen eingetragen wurden, muss mit \enquote{weiter}
best\"atigt werden. Es folgt die Abfrage nach dem Benutzerkennwort, womit sich
dieser an einem Rechner oder Dom\"ane anmelden kann. Das Kontrollk\"astchen bei
\enquote{Benutzer muss Kennwort bei der n\"achsten Anmeldung \"andern} sollte
angehakt sein, damit der Anwender ein eigenes von ihm definierte Kennwort
erstellen kann. Hier kann man beispielsweise nun ein Kennwort verwenden,
welches der Standardrichtlinien entspricht. Als Beispiel w\"are hier
\enquote{Mikado2018!} m\"oglich, da es sowohl klein-, Großbuchstaben, sowie
Sonderzeichen und Zahlen enth\"alt. Dieses Passwort ist allerdings unsicher und
sollte nicht in realen Setups genutzt werden.

Nachdem der Anwender sich hiermit an einem Rechner innerhalb der Dom\"ane
anmeldet, wird automatisch die Änderung des Kennworts verlangt. Ohne dieses ist
keine Anmeldung an der Dom\"ane m\"oglich.

Sollte es sich bei dem angelegten Nutzer um einen Service Account handeln,
beispielsweise FTP Zugriff oder sonstiges, empfiehlt es sich hier, das Kennwort
nicht ablaufen zu lassen, sowie das Kontrollh\"ackchen bei \enquote{Benutzer
muss Kennwort bei der n\"achsten Anmeldung \"andern} rauszunehmen, da
andernfalls die Funktion dieses Service Accounts eingeschr\"ankt sein k\"onnte.

Zum Schluss wird eine Übersicht \"uber den Nutzer angezeigt.

\subsection{Gruppenkonten erstellen}

Ein Gruppenkonto, kann entweder in einer Abteilungs OU oder in dem Container
User erstellt werden. Hierzu muss man innerhalb des gew\"unschten Verzeichnis
mit der rechten Maustaste \textgreater{} Neu \textgreater{} Gruppe die Gruppe
hinzuf\"ugen. Es \"offnet sich ein neues Fenster, wo weitere Einstellungen
vorgenommen werden k\"onnen. In der Regel muss hier zun\"achst ein Gruppen
Namen definiert werden. Dabei sollte geachtet werden, dass der Gruppenname
eindeutig zu der Funktion der Gruppe ist, da im sp\"ateren Verlauf nur der
Gruppennamen angezeigt wird, jedoch nicht deren Funktion. Zus\"atzlich ist
gegebenenfalls hilfreich anzugeben, f\"ur welche Abteilung dieses Gruppe ist.

Gruppen haben drei Gruppenbereiche und zwei Gruppentypen zur Auswahl. Die
Gruppenbereiche geben an, welche Benutzerkonten und Computerkonten Mitglied von
dieser Gruppe sein d\"urfen und von welcher Dom\"ane. Hierzu gibt es folgende
Erl\"auterung:

\begin{center}
  \begin{tabu}{X[-1]X[1]X[-1]}
    \toprule
    Gruppenbereich & Mitgliedschaft & Verwendbarkeit \\
    \midrule
    Lokal (in Dom\"ane) & Benutzer- und Computerkonten beliebiger Dom\"anen, globale und universelle Gruppen beliebiger Dom\"anen, lokale Gruppen derselben Dom\"ane & Nur in derselben Dom\"ane \\
    Global & Benutzer- und Computerkonten derselben Dom\"ane, globale Gruppen derselben Dom\"ane & In beliebigen Dom\"anen \\
    Universal & Benutzer- und Computerkonten beliebiger Dom\"anen, globale und universale Gruppen beliebiger Dom\"anen & In beliebigen Dom\"anen \\
  \end{tabu}
  \captionof{table}{Gruppenbereiche in Dom\"amen}
\end{center}

Die zwei Gruppentypen sind unterteilt in \textbf{Sicherheit} und
\textbf{Verteilung}. \textbf{Sicherheitsgruppen} k\"onnen
Sicherheitsrichtlinien zugewiesen werden und k\"onnen somit den Zugriff auf
Ressourcen zulassen oder verweigern. Bei \textbf{Verteilungsgruppen} wird der
Nutzer, welcher Mitglied dieser Gruppe ist, in einen Verteiler hinzugef\"ugt.
Verteilergruppen erhalten nach dem Erstellen ebenfalls eine Email Adresse, an
denen Benutzer beispielsweise eine Email schreiben k\"onnten.

Nachdem eine Sicherheitsgruppe erstellt wurde, kann sie nachtr\"aglich mit
einem doppelklick auf dieser bearbeitet werden. Unter den Reitern Mitglieder,
k\"onnen Benutzer hinzugef\"ugt werden. Dieser Änderungen werden bei
Sicherheitsgruppen erst nach erneuter Anmeldung mit dem Benutzerkonto sichtbar.

Bereits beim Anlegen der einzelnen Organisationseinheiten, hat das Active
Directory automatisch Sicherheitsgruppen mit dem selbigen Namen angelegt. Alle
Benutzer, die in den einzelnen Organisationseinheiten sind, sind automatisch
Mitglied dieser Sicherheitsgruppe.

\subsection{Computerkonten erstellen}

Computerkonten k\"onnen analog zu den Benutzerkonten erstellt werden. Die
Computerkonten sollten auch hier unmittelbar direkt in der richtigen OU
hinterlegt werden, damit Computerrichtlinien exakt angewandt werden k\"onnen.
Der Computername sollte ebenfalls wie auch der Benutzername eindeutig sein,
damit hier innerhalb der Dom\"ane keine Konflikte auftreten k\"onnen.
Zus\"atzlich zu dem Benutzernamen muss definiert werden, welcher Nutzergruppe
den Computer in die Dom\"ane integrieren kann. Dies ist in der Regel nicht
f\"ur alle Nutzer gestattet. Wichtig bei der Namensgebung ist auch die
Konvention f\"ur den DNS Server, da unmittelbar nach Anlegen des Computers,
dieser ebenfalls dem DNS bekannt wird. Sobald dieser sich im Netzwerk meldet,
wird er \"uber den DHCP Server in die Zone aufgenommen und hinterlegt.

\subsection{Skript zum Anlegen von Nutzern, Computern}

Anlegen von Nutzern oder Computern und Zuweisung f\"ur deren Richtlinie, kann
entweder manuell durchgef\"uhrt werden oder aber mittels Script ausgef\"uhrt
werden~\cite{Microsoft_technet}. Zus\"atzlich zu diesem Skript, gibt es
ebenfalls noch das Anmeldeskript, worauf nachtr\"aglich im n\"achsten Kapitel
eingegangen wird.

\begin{listing}[ht]
  \inputminted[fontsize=\small]{powershell}{listings/powershell.ps}
  \caption{Powershell Script zum Anlegen von AD Nutzern}
  \label{lst:powershell}
\end{listing}

Das oben stehende PowerShell Skript, f\"ugt einen vordefinierten Benutzer an
die angegebene OU und DC ein. Er erh\"alt ein Passwort \enquote{XTi114!},
welches nach der Anmeldung direkt ge\"andert werden muss. Bedingt dadurch das
die PS Eingabe keine Klartext Passw\"orter verwenden kann, muss dieses zuvor in
einen Sicheren String umgewandelt werden.

\subsection{Anmeldeskript}

Ein Anmeldeskript wird w\"ahrend der Anmeldung eines Nutzers geladen und
angewendet. Im Script k\"onnen Netzlaufwerke, Drucker oder Freigaben
eingef\"ugt sein. Es gibt verschiedene M\"oglichkeiten, Benutzern ein
Anmeldeskript zur Verf\"ugung zu stellen. Der einfachste Weg w\"are \"uber
eine Gruppenrichtlinie das Anmeldeskript zur Verf\"ugung zu stellen. Es kann
jedoch auch unmittelbar direkt an das Benutzerprofil beigef\"ugt oder an einen
Computer zugewiesen werden.

Das Anmeldeskript ist immer in einem freigegeben Ordner \enquote{Netlogon} auf
einem DC gespeichert, wo der Nutzer hinterlegt ist. Innerhalb des
Benutzerprofil oder Gruppenrichtlinie, wird anschließend nur der Name des
Skripts hinterlegt. Das ActiveDirectory erg\"anzt eigenst\"andig den Pfad zu
diesem Skript.

Zus\"atzlich zum Anmelden eines Benutzers, kann ein Skript auch beim Abmelden,
starten oder Herunterfahren des Computers. Es spielt keine Rolle, wie viele
Anmeldeskripte einem Benutzer zugewiesen wurden. Windows arbeitet alle Skripte
nacheinander ab.

Die Anmeldeskripte werden nach dem Hinterlegen im Netlogon Verzeichnis auf die
anderen DCs repliziert, sodass alle DCs die gleichen Skripte besitzen.

\subsection{Servergespeicherte Benutzerprofile}

Servergespeicherte Benutzerprofile werden immer dann wichtig sein, wenn sich
ein Benutzer an mehreren unterschiedlichen Rechnern anmeldet. Die erzeugten und
bearbeiteten Daten oder Dokumente werden beim Abmelden auf den Server
zur\"uckgesichert. Meldet sich ein Benutzer an einem anderen Rechner wieder an,
werden die Daten und das Profil vom Server heruntergeladen. Es gibt insgesamt
zwei Arten von Servergespeicherten Profilen. Einmal die ver\"anderbaren
Benutzerprofile, dabei werden alle Änderungen innerhalb der Sitzung zum Server
zur\"uckgesichert. Die andere Art sind verbindliche Profile.  Diese
aktualisieren ein bereits vorhandenes Profil mit den Neuerungen, welche auf dem
Server vorhanden sind.

Im Fall der Firma Mikado, werden Ver\"anderbare Benutzerprofile verwendet, da
im sp\"ateren Verlauf zus\"atzlich die Richtlinie angewandt wird, dass
Benutzerprofile nach Abmelden vom Rechner entfernt werden.

Um die Servergespeicherten Profile konfigurieren zu k\"onnen, muss unter der
Verwaltungskonsole des Active Directorys die Benutzereigenschaften aufgerufen
werden. Diese Einstellungen k\"onnen bereits w\"ahrend des Anlegens oder
mittels Anlegeskript erzeugt werden.

Unter dem Reiter \enquote{Profil} kann unter Profilpfad der Pfad zu der
Freigabe eingetragen werden. Wichtig ist hierbei die Variable
\enquote{\%username\%}. Damit weiß das Active Directory, dass diese Stelle
durch den Benutzernamen, in unserem Fall die Personalnummer ersetzt werden
soll. Sobald ein Benutzer sich nun mit seinem Benutzernamen an einem
Dom\"anenrechner anmeldet, wird f\"ur ihn ein entsprechendes Profil innerhalb
des Profiles Ordner angelegt.

Benutzerprofile sind immer von der Windows Version abh\"angig. Ein Nutzer,
welcher mit seiner Benutzerkennung an einem Windows XP Client angemeldet war,
kann sich mit diesem Profil nicht an einem Windows 7 Rechner anmelden. Die
Struktur der Verzeichnisse ist unterschiedlich.

\subsection{Heimatverzeichnisse}

Zus\"atzlich zu servergespeicherten Profilen, wird in der Regel auch eine
Umleitung der pers\"onlichen Verzeichnisse (Eigene Dokumente, Desktop)
durchgef\"uhrt. Dies hat den Vorteil, dass eine An- und Abmeldung schneller
durchgef\"uhrt werden kann, als wenn diese Ordner innerhalb des Profils
gespeichert werden.  Die entsprechenden Dokumente sind f\"ur einen Benutzer
anschließend \"uber ein Netzlaufwerk zu erreichen, wo unter anderem auch das
Benutzerprofil abgelegt ist. Wichtig ist dabei, dass diese Ablage von dem
Profilserver separiert ist, da andernfalls ein Benutzer an diese Daten nicht
drankommen k\"onnte, falls der Profilserver nicht erreicht w\"are.
Heimatverzeichnisse und Ordnerumleitungen werden nicht in dem Pprofil des
Benuters hinterlegt, sondern innerhalb einer Gruppenrichtlinie festgelegt.
Diese kann anschließend entweder an einen Nutzer oder aber Computer zugewiesen
sein.

Um die Umleitung der Ordner zu aktivieren, muss zun\"achst die Default Domain
Policy angepasst werden. Hierzu wird unter Tools die
Gruppenrichtlinienverwaltung ge\"offnet.

\begin{figure}[H]
  \centering
  \includegraphics[width=3.05208in,height=3.34375in]{figures/image12.png}
  \caption{Gruppenrichtlinienverwaltung innerhalb einer Dom\"ane}\label{figure:gpofuu}
\end{figure}

Mit Rechtsklick auf Default Domain Policy kann diese bearbeitet und angepasst
werden. Es empfiehlt sich hier gegebenenfalls ein zus\"atzliches
Gruppenrichtlinienobjekt anzulegen. Innerhalb diesem muss um die
Ordnerumleitung verwalten zu k\"onnen unter Benutzerkonfiguration
\hyp{}\textgreater{} Windows-Einstellungen navigiert werden. Unter dem Punkt
Ordnerumleitung, werden alle Benutzerordner angezeigt:

\begin{figure}[H]
  \centering
  \includegraphics[width=1.97917in,height=2.63542in]{figures/image13.png}
  \caption{Ansicht der vorhandenen Ordnerumleitungen}\label{figure:somethingso}
\end{figure}

Wichtig hierbei ist, dass die gr\"oßten Ordner umgeleitet werden. Dazu
geh\"oren AppData, Desktop, Dokumente, Bilder, Musik. Um die Umleitung zu
aktivieren, muss ein Ordner ausgew\"ahlt werden und anschließend \"uber
Rechtsklick Eigenschaften bearbeitet werden.

Unter den Eigenschaften kann nun das Ziel sowie Einstellungen vorgenommen
werden. Unter dem Punkt Ziel muss zun\"achst als Zielordner \enquote{Einen
Ordner f\"ur jeden Benutzer im Stammpfad erstellen} ausgew\"ahlt sein.
Anschließend wird das Stammverzeichnis unter Angabe des UNC-Pfads festgelegt.
Unmittelbar nach Eingabe des UNC-Pfads, zeigt das Fenster bereits eine Vorschau
des Pfades zu diesem Nutzer an:

\begin{figure}[H]
  \centering
  \includegraphics[width=4.14583in,height=4.71875in]{figures/image14.png}
  \caption{Eigenschaften der Ordnerumleitung f\"ur AppData 1}\label{figure:gporedirect1}
\end{figure}

Exemplarisch wurde dies f\"ur die AppDaten des Anwenders durchgef\"uhrt.
Zus\"atzlich zu diesen Einstellungen kann festgelegt werden, ob dem Nutzer
exklusive Zugriffsrechte f\"ur Dokumente erteilt werden. Dies kann ein Nachteil
f\"ur den Administrator sein, da dieser im Falle einer Probleml\"osung
innerhalb des Profils den Besitz \"ubernehmen muss und anschließend wieder
zur\"uckschreiben muss. Sollten dabei Fehler unterlaufen, so k\"onnte der
Benutzer nicht mehr auf diese Daten zugreifen. Die Einstellung \enquote{Den
Inhalt von \textless{}Ordnername\textgreater{} an den neuen Speicherort
verschieben} sollte aktiviert werden, da durch diesen der Ordner auf dem
Rechner gel\"oscht und an den zuvor definierten Speicherort verschoben wird.
Sollte diese Option nicht aktiviert sein, so verbleibt eine Kopie des Ordners
auf dem Rechner. Im letzten Abschnitt kann festgelegt werden, was passieren
sollen, falls die Richtlinie entfernt wird.

Zum Abschluss sollten die Einstellungen wie folgt aussehen:

\begin{figure}[H]
  \centering
  \includegraphics[width=4.05208in,height=3.46875in]{figures/image15.png}
  \caption{Eigenschaften der Ordnerumleitung f\"ur AppData 2}\label{figure:gporedirect2}
\end{figure}

Nach Klicken auf \enquote{ok} wird eine Fehlermeldung ausgegeben, die f\"ur
\"altere Betriebssysteme gedacht ist. Diese kann jedoch bei Verwendung von
Windows 7 oder neuer ignoriert und mit \enquote{Ja} best\"atigt werden. Die
zuvor eingestellten Anpassungen, m\"ussen nun f\"ur die restlichen Ordner
ebenfalls durchgef\"uhrt werden, damit die Ordnerumleitung auch auf die
restlichen Aktiviert wird.

Die Ordner Bilder, Musik und Videos, k\"onnen dem Ordner Dokumente folgen, so
muss f\"ur diese nicht zus\"atzlich ein Pfad mit angeben werden.

Die Benutzerkonfiguration f\"ur die Ordnerumleitung ist nun abgeschlossen.
Nachtr\"aglich m\"ussen noch weitere Computerkonfigurationen vorgenommen
werden, damit auch der Computer f\"ur Servergespeicherte Profile konfiguriert
ist. So m\"ussen beispielsweise Einstellungen vorgenommen werden, das der
Computer auf das Netzwerk wartet, oder aber das die Sicherheitsgruppe
\enquote{Administrator} dem Servergespeichertem Profil hinzugef\"ugt wird,
damit hier bei einer Probleml\"osung am Benutzerprofil der Profilbesitzer nicht
gewechselt werden muss.

Diese Einstellungen, m\"ussen ebenfalls in der Default Domain Policy, oder aber
in der zuvor erstellten Policy unter dem Punkt Computerkonfiguration
\textgreater{} Richtlinien \textgreater{} Administrative Vorlagen angepasst
werden.

Folgende Punkte m\"ussen hier f\"ur eine erfolgreiche Umleitung der Ordner
eingerichtet werden:

\begin{outline}
  \1 System \hyp{}\textgreater{} Benutzerprofile \hyp{}\textgreater{} Sicherheitsgruppe \enquote{Administrator} zu servergespeicherten Profilen hinzuf\"ugen
  \1 System \hyp{}\textgreater{} Benutzerprofile \hyp{}\textgreater{} Zeitlimit f\"ur langsame Netzwerkverbindung f\"ur Benutzerprofile steuern
  \1 System \hyp{}\textgreater{} Anmelden \hyp{}\textgreater{} Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten
  \1 Netzwerk \hyp{}\textgreater{} Offlinedateien \hyp{}\textgreater{} Alle Offlinedateien vor der Abmeldung synchronisieren
  \1 Netzwerk \hyp{}\textgreater{} Offlinedateien \hyp{}\textgreater{} Untergeordnete Ordner immer offline verf\"ugbar machen
\end{outline}

Nachdem diese Einstellungen innerhalb der Computerkonfiguration aktiviert
wurden, ist die Ordnerumleitung aktiviert und kann verwendet werden. Sollte
hierbei eine Benutzerdefinierte Domain Policy verwendet worden sein, so muss
diese zus\"atzlich noch f\"ur die einzelne Dom\"ane hinterlegt werden.

Ein Heimatverzeichnis muss nicht mittels Anmeldeskript angebunden werden.
Dieses kann ebenfalls \"uber eine Gruppenrichtlinie oder innerhalb des
Nutzerprofiles unter Eigenschaften \hyp{}\textgreater{} Profil
\hyp{}\textgreater{} Basisordner verlinkt werden.

\subsection{Speichervolumen Begrenzung}

Wie bereits in Kapitel~\ref{dateidienstfreigaben-einrichten} erl\"autert, gibt
es verschiedene M\"oglichkeiten, das Dateilimit innerhalb eines Verzeichnisses
zu limitieren. Die Anforderung der Firma Mikado besteht darin, dass ein
Angestellter ein maximales Speichervolumen von 200MB besitzt. Um diese
Kontingentgrenze definieren zu k\"onnen, muss zun\"achst innerhalb des
Ressourcen Managers f\"ur Dateiserver, ein neues Kontingent angelegt werden.
Hierzu kann eine bestehende Kontingentgrenze als Vorlage verwendet werden.
Anschließend muss der Kontingentpfad angeben werden.
In diesem Fall:

\begin{listing}[ht]
  \inputminted[fontsize=\small]{text}{listings/share3.txt}
  \caption{Ben\"otigte Pfade zur Kontingentverwaltung}
  \label{lst:share3}
\end{listing}

\begin{figure}[H]
  \centering
  \includegraphics[width=4.1875in,height=5.09375in]{figures/image16.png}
  \caption{Erstellung eines neuen Kontingents}\label{figure:gporedirec3}
\end{figure}

Nachdem der Pfad zu dem Kontingent angelegt wurde, muss \enquote{Vorlage
automatisch Anwenden. Kontingente in Unterordern erstellen} ausgew\"ahlt
werden. Dies bedeutet, dass das Kontingentlimit nur auf die Unterordner bezogen
wird, welche innerhalb dieses Ordners angelegt werden, jedoch nicht auf das
gesamte Verzeichnis.  Dies hat den Vorteil, dass jeder Benutzer ein eigenes
Kontingent von 200MB besitzt.

Als Kontingenttyp wird hier hart ausgew\"ahlt. Der Unterschied zwischen harter
Kontingent und weicher Kontingent ist der folgende:

Weiche Kontingentgrenze:

\begin{outline}
  \1 Die Speichergrenze kann \"uberschritten werden, eine Aktion, wie
  beispielsweise Email Versand, Fehler oder Befehl wird ausgef\"uhrt.
  Speichererweiterung um 50MB m\"oglich.
  \1 Dient nur der Überwachung
\end{outline}

Harte Kontingentgrenze:

\begin{outline}
  \1 Die Speichergrenze kann nicht \"uberschritten werden
  \1 Limitierung des Speicherplatzes
\end{outline}

Abschließend sehen die Kontingenteintr\"age wie folgt aus:

\begin{figure}[h]
  \centering
  \includegraphics[width=5.15625in,height=0.5625in]{figures/image17.png}
  \caption{kontingenteintr\"age}\label{figure:gporedirect4}
\end{figure}

Um eine Weiche Kontingentgrenze zu definieren, muss die Eigenschaft
\enquote{Benutzerdefinierte Kontingentgrenze definieren} ausgew\"ahlt sein.
Sobald auf Benutzerdefinierte Eigenschaft geklickt wird, \"offnet sich ein
neues Fenster, wo die Grenzen, wie weiche- oder harte Kontingentgrenze, sowie
deren Aktion ausgew\"ahlt und definiert werden kann.

\section{Einrichten von Druckern}

Innerhalb einer Dom\"ane kann es einen Druck- und Dokumentenserver geben.
Dieser stellt den Clients Drucker oder Dokumente zur Verf\"ugung. Hierbei
handelt es sich um eine Rolle, welche innerhalb des Server-Managers
hinzugef\"ugt werden muss.

\begin{figure}[h]
  \centering
  \includegraphics[width=5.30208in,height=3.52083in]{figures/image18.png}
  \caption{\"Ubersicht f\"ur neue Rollen}\label{figure:newroles}
\end{figure}

Sollte es innerhalb der Dom\"ane Unix Systeme, wie Ubuntu oder Archlinux geben,
so sollte hier der Punkt LPD-Dienst aktiviert werden.

Nachdem die Rolle hinzugef\"ugt wurde, kann diese \"uber die Druckverwaltung
administriert werden.

Ein Druckerserver bietet die M\"oglichkeit, Netzwerkdrucker und deren Treiber
zur Verf\"ugung zu stellen, so muss ein Client, welcher den Drucker \"uber ein
Anmeldeskript zugewiesen bekommt die Installation nicht manuell anstoßen und
Windows muss nicht die Windows Updates f\"ur die Druckertreiber durchsuchen.
Druckertreiberaktualisierungen k\"onnen so zentral gesteuert werden.

\begin{figure}[h]
  \centering
  \includegraphics[width=2.04167in,height=1.75in]{figures/image19.png}
  \caption{Ansicht der Druckverwaltung}\label{figure:printer}
\end{figure}

Über Rechtsklick, k\"onnen unter \enquote{Drucker hinzuf\"ugen} weitere Drucker
hinzugef\"ugt werden. Diese k\"onnen anschließend \"uber die GPO dem Benutzer
zur Verf\"ugung gestellt werden. Der Netzwerkdruckerassistent durchsucht
eigenst\"andig das Netzwerk, nach dem angegeben Druckern.
\begin{figure}[h]
  \centering
  \includegraphics[width=4.84375in,height=0.72917in]{figures/image20.png}
  \caption{\"Ubesicht \"uber alle Drucker}\label{figure:moreprinterwtf}
\end{figure}

\section{Gruppenrichtlinien}

Gruppenrichtlinien bestehen aus zwei Teilen und sind ein m\"achtiges
Verwaltungstool. Der erste Teil besteht aus der Computerkonfiguration. Diese
bezieht immer auf einem Computer, egal welcher Nutzer angemeldet ist. Der
zweite Teil besteht aus der Benutzerkonfiguration, welche spezifisch f\"ur die
Nutzer definiert werden k\"onnen. Ein kleines Beispiel soll dies verdeutlichen:

Die Kennwortrichtlinie ist innerhalb der BenutzerKonfiguration so eingestellt,
dass eine Komplexit\"at von 8 Zeichen ben\"otigt wird. Sobald ein Nutzer
versucht das Kennwort auf dem Rechner anzupassen, kann dieser jedoch ein
Kennwort mit nur einer L\"ange vergeben, da die Computerkonfiguration keine
Richtlinie f\"ur das Kennwort vorgibt.

Gruppenrichtlinien werden immer an eine Sicherheitsgruppe gebunden, welche
anschließend einem Benutzer zugewiesen werden kann. Standardm\"aßig sind keine
Richtlinien oder Einschr\"ankungen festgelegt. Innerhalb einer
Sicherheitsgruppe, k\"onnen mehrere Gruppenrichtlinien zugewiesen sein.
Wichtig ist hierbei die Verkn\"upfungsreihenfolge der einzelnen GPOs. Sollte
in der ersten Gruppenrichtlinie etwas deaktiviert sein, jedoch in der zweiten
aktiviert, so greift hier die Gruppenrichtlinie, welche an erster Stelle steht.

Unterschieden wird auch ob eine GPO erzwungen ist. Sollte eine GPO erzwungen
werden, so greift stets die GPO wo diese Einstellung festgelegt wurde.

\section{Kontorichtlinien}

Kontorichtlinien, sind Vorgaben die ein Benutzer erf\"ullen muss. Sie k\"onnen
beispielsweise die L\"ange eines Kennworts sein oder andere \"ahnliche
Einstellungen.

\subsection{Kennwortrichtlinien}

F\"ur die Mikado.Spiel Dom\"ane als Testumgebung sind folgende
Kennwortrichtlinien definiert worden:

\begin{center}
\begin{tabular}[]{ll}
\toprule
Eigenschaft           & Vorgabe               \\
\midrule
Kennwort erforderlich & Ja                    \\
L\"ange               & 8 Zeichen             \\
Alter                 & 50 Tage               \\
Wiederbenutzbar       & Nach 12 Kennw\"ortern \\
\bottomrule
\end{tabular}
\captionof{table}{Kennwortrichtlinen}
\end{center}

Um diese Kennwortrichtlinie festlegen zu k\"onnen, muss entweder innerhalb
der Standard Gruppenrichtlinie (Default Global Policy) oder in einer
neuen zuvor definierten Gruppenrichtlinie folgende Werte unter
Computerkonfiguration \hyp{}\textgreater{} Windows-Einstellungen
\hyp{}\textgreater{} Sicherheitseinstellungen \hyp{}\textgreater{} Kontorichtlinien
ge\"andert werden:

\begin{figure}[h]
  \centering
  \includegraphics[width=5.38542in,height=1.53125in]{figures/image21.png}
  \caption{Realisierte Kennwortrichtlinie}\label{figure:passwordfoo}
\end{figure}


Nun ist die Kontorichtlinie f\"ur die Sicherheitsgruppe aktiv, f\"ur die diese
Richtlinie zugewiesen ist.

\subsection{Anmelderichtlinien}

Zus\"atzlich zu Kennwortrichtlinien, hat die Firma Mikado die Richtlinie, das
sich die Mitarbeiter nur w\"ahrend der Arbeitszeit von Montag bis Freitag
zwischen 08:00Uhr bis 18:00 Uhr im Netzwerk anmelden d\"urfen. Hierzu ist
seitens des Domaincontroller zu limitieren, das eine Anmeldung auch außerhalb
dieser Zeiten durchgef\"uhrt werden kann. Diese Einstellung wird nicht in einer
Gruppenrichtlinie definiert, sondern f\"ur jeden Benutzer innerhalb der Active
Directory-Benutzer und Computer verwaltungsoberfl\"ache festgelegt.

Unter dem Reiter Konto \textgreater{} Anmeldezeiten, k\"onnen die Anmeldezeiten
durch ausw\"ahlen festgelegt werden.

\begin{figure}[h]
  \centering
  \includegraphics[width=5.25in,height=3.30208in]{figures/image22.png}
  \caption{Detailansicht der Anmeldezeiten}\label{figure:passwordfoo546}
\end{figure}

Sollte ein Benutzer versuchen außerhalb dieser Zeiten eine Anmeldung
durchzuf\"uhren, so erh\"alt er folgende Meldung:

\enquote{Das Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden.
Wiederholen Sie diesen Vorgang sp\"ater.}

\subsection{Administrator Account umbenennen}

Die Anpassung des Lokalen Administrator eines Clients kann ebenfalls \"uber
eine Gruppenrichtlinie festgehalten und ver\"andert werden. Hierzu muss unter
Benutzerkonfiguration \hyp{}\textgreater{} Einstellungen \hyp{}\textgreater{}
Systemsteuerungseinstellungen \hyp{}\textgreater{} Lokale Benutzer und Gruppen
zun\"achst mit Rechtsklick Neu \hyp{}\textgreater{} Lokaler Benutzer
hinzugef\"ugt werden. Unter dem Drop Down Men\"u \enquote{Benutzername} kann
\enquote{Administrator (integriert)} ausgew\"ahlt werden und wie unten stehend
umbenannt werden.

\begin{figure}[h]
  \centering
   \includegraphics[width=6.3in,height=3.22236in]{figures/image23.png}
  \caption{Gruppenrichtlinienverwaltungs-Editor}\label{figure:passwordfoo2143}
\end{figure}

Die Umbenennung soll helfen, damit Nutzer oder Schadsoftware das Administrator
Konto schlechter finden k\"onnen.

\section{Zugriffsrechte}

Zugriffsrechte dienen in erster Linie dazu das System vor ungewollten Zugriff
zu sch\"utzen. Sie sch\"utzen jedoch nicht nur den Computer, sondern auch das
Netzwerk vor Schadsoftware, welche unter anderem durch USB Massenspeicher auf
den Rechner \"ubertragen werden k\"onnen.

\subsection{Zugriff auf Lokale Laufwerke}

Damit Benutzer am Rechner keine Viren in das Netzwerk einschleusen k\"onnen,
sollen Laufwerke, wie auch USB Massenspeicher am Rechner deaktiviert werden.
Diese Einstellung wird innerhalb der Gruppenrichtline festgelegt. Damit nicht
alle Nutzer von diesen Anpassungen betroffen sind, kann eine neue
Gruppenrichtline hierf\"ur definiert werden, welche nur an bestimmte
Sicherheitsgruppen zugewiesen werden. Ausgenommen werden hier beispielsweise
Administratoren oder die F\"uhrungsebene.

Um diese Einschr\"ankung festlegen zu k\"onnen, muss unter
Benutzerkonfiguration \hyp{}\textgreater{} Richtlinie \hyp{}\textgreater{} Administrative
Vorlage \hyp{}\textgreater{} System \hyp{}\textgreater{} Wechselmedienzugriff folgende
Richtlinie aktiviert werden:

\begin{figure}[h]
  \centering
  \includegraphics[width=6.3in,height=2.23548in]{figures/image24.png}
  \caption{Konfiguration f\"ur Wechselmedienzugriff}\label{figure:ptj}
\end{figure}

Sollte diese Regel aktiviert werden, sind alle Wechseldatentr\"ager an diesem
Rechner, wo der Benutzer angemeldet ist, deaktiviert. Diese Regel greift, bevor
andere Regeln f\"ur spezifische Wechseldatentr\"ager definiert wurden.

\subsection{Zugriff auf Eingabeaufforderung}

Der Zugriff auf die Eingabeaufforderung sollte im Regelfall nur deaktiviert
werden, falls kein Anmeldeskript oder Skript beim An- oder Abmelden hinterlegt
ist, da dieses andernfalls nicht ausgef\"uhrt werden kann. Sollte kein
Anmeldeskript oder sonstige Skripte vorhanden sein, die eine
Eingabeaufforderung bed\"urfen, kann diese Richtlinie unter
Benutzerkonfiguration \hyp{}\textgreater{} Administrative Vorlage
\hyp{}\textgreater{} System \hyp{}\textgreater{} Zugriff auf
Eingabeaufforderung verhindern aktiviert werden.

Zuweisen von Laufwerken und Druckern, kann ebenfalls \"uber eine
Gruppenrichtlinie festgelegt werden.

\subsection{Zugriff auf Systemadministration}

Um den Zugriff auf Systemeinstellungen zu verbieten, damit hier keine
Änderungen an dem Computersystem vorgenommen werden kann, wird diese
Konfigurationsm\"oglichkeit f\"ur jeden Benutzer deaktiviert. Damit kann ein
Benutzer die Systemsteuerung, sowie Informationen zu Konfiguration des
Computers nicht mehr abrufen oder ver\"andern. Diese Richtlinie kann innerhalb
der Gruppenrichtlinie unter Benutzerkonfiguration \hyp{}\textgreater{} Administrative
Vorlagen \hyp{}\textgreater{} Systemsteuerung aktiviert werden.

\begin{figure}[h]
  \centering
  \includegraphics[width=6.3in,height=2.58125in]{figures/image25.png}
  \caption{GPO Editor f\"ur Zugriff auf die Systemsteuerung}\label{figure:passwordfoo546456}
\end{figure}

\section{Datenaustausch}

F\"ur den Datenaustausch der Mitarbeitern, sowie Abteilungsleitern, sind
folgende Anforderungen definiert worden:

Die Abteilungsleiter untereinander uneingeschr\"ankt Daten austauschen
k\"onnen.

Hierzu muss zun\"achst eine Sicherheitsgruppe \enquote{LGsAbteilungsleiter}
erstellt werden, damit nicht jeder Mitarbeiter einzeln in die Freigabe
ausgew\"ahlt werden muss. Anschließend muss eine Freigabe erstellt werden
\enquote{ExchangeAbt} auf die die Sicherheitsgruppe Lese, sowie
Schreibberechtigung besitzt. Dieses Laufwerk kann nun \"uber eine zus\"atzliche
Gruppenrichtlinie an die Abteilungsleitern \"uber die Sicherheitsgruppe
zugewiesen werden.

Die n\"achste Anforderung ist, dass Abteilungsleitern, Auftr\"age f\"ur
Mitarbeiter einstellen k\"onnen, diese die Daten jedoch nur abrufen k\"onnen.

Hierzu muss zun\"achst eine Sicherheitsgruppe f\"ur die Mitarbeiter
\enquote{LGsMitarbeiter} erstellt werden und zus\"atzlich eine Freigabe, welche
\enquote{Auftraege} lautet. Auf diese Freigabe muss nun die Sicherheitsgruppe
\enquote{LGsAbteilungsleiter} lese, sowie schreibberechtigung besitzen.
Mitarbeiter erhalten hier mit der Sicherheitsgruppe \enquote{LGsMitarbeiter}
nur Leseberechtigung.

Dies kann ebenfalls in umgekehrter Reihenfolge f\"ur Auftr\"age gemacht werden,
welche Mitarbeiter den Abteilungsleitern lesend zur Verf\"ugung stellen. Eine
zus\"atzliche Freigabe \enquote{beaAuftraege} wird ben\"otigt.

Die Zuweisung der Laufwerksbuchstaben f\"ur die Clients, kann \"uber eine
separate oder zuvor erstellte Gruppenrichtlinie zugewiesen werden. Die
Richtlinie/Konfiguration ist hierzu unter Benutzerkonfiguration
\hyp{}\textgreater{} Einstellungen \hyp{}\textgreater{} Windows-Einstellungen
\hyp{}\textgreater{} Laufwerkszuordnung \hyp{}\textgreater{} neu hinzugef\"ugt
werden.

\begin{figure}[h]
  \centering
  \includegraphics[width=6.3in,height=4.85362in]{figures/image26.png}
  \caption{GPO Editor f\"ur Laufwerkseigenschaften}\label{figure:moregpofoo}
\end{figure}

Hier hat der Administrator nun die M\"oglichkeit, den Speicherort f\"ur diese
Freigabe festzulegen. Die Zuweisung der GPo als solches, wird \"uber die
Sicherheitsrichtlinie \enquote{LGsMitarbeiter} und
\enquote{LGsAbteilungsleiter} durchgef\"uhrt.

\chapter{Fazit}
In diesem Projekt wurde gezeigt, wie man ein ein Windows Active Directory
aufsetzt. Die eigentliche Installation auf einem Windows Server 2016 verlief
problemlos. Zum Aufzeigen der Flexibilität wurde eine Replizierung auf einen
Windows Server 2012 R2 eingerichtet. Ein Active Directory hängt von einigen
Diensten ab, dazu gehört ein DNS- und DHCP Service. Diese wurden ebenfalls
konfiguriert und dokumentiert. Die komplette Einrichtung verlief ohne größere
Probleme. Das Ergebnis ist eine flexible und skalierbare Windows Umgebung.

\printglossaries%

\begingroup
\tolerance1000
\emergencystretch0.5em
\printbibliography[heading=bibnumbered]
\endgroup

\chapter{Anhang}

\input{figures.tex}
\FloatBarrier%
\input{listings.tex}
\FloatBarrier%
%\input{tables.tex}
\label{pdf:requirements}
\includepdf[pages=-]{SzenarioTI1142017.pdf}

\chapter{Erkl\"arung}
Hiermit erkl\"aren wir, dass wir die Arbeit selbstst\"andig verfasst und keine
anderen als die angegebenen Quellen und Hilfsmittel benutzt haben. Diese Arbeit
wurde keinem anderen Pr\"ufungsausschuss in gleicher oder vergleichbarer Form
vorgelegt.

\vspace{10ex}
{\centering
\renewcommand{\arraystretch}{0.9}
\begin{tabular}{p{0.25\textwidth}p{0.05\textwidth}p{0.25\textwidth}p{0.05\textwidth}p{0.25\textwidth}}
  \dotfill                    & & \dotfill                      & & \dotfill \\
  \centering\footnotesize{Tim Meusel}& & \centering\footnotesize{Marcel Reuter}& & \centering\footnotesize{Nikolai Luis}%
\end{tabular}
}

%%% Local Variables:
%%% mode: latex
%%% TeX-master: "thesis-de"
%%% End: