Quest ActiveRoles Server 6.5 - Evaluatorhandbuch

6.5
Evaluatorhandbuch
© 2009 Quest Software, Inc.
ALLE RECHTE VORBEHALTEN.
Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene
Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software
darf nur gemäß den Bestimmungen der gültigen Vereinbarung verwendet oder kopiert werden. Die Vervielfältigung
und die Übermittlung des vorliegenden Handbuchs oder seiner Teile in anderen elektronischen oder gedruckten
Publikationen ist ohne ausdrückliche Zustimmung von Quest Software, Inc., nicht gestattet. Dies gilt nicht, wenn die
Informationen zum ausschließlichen privaten Gebrauch eines Nutzers bestimmt sind.
Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich bitte an:
Quest Software World Headquarters
LEGAL Dept
5 Polaris Way
Aliso Viejo, CA 92656
USA
www.quest.com
E-Mail: [email protected]
Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website.
Warenzeichen
Quest, Quest Software, das Quest Software-Logo, Aelita, Akonix, AppAssure, Benchmark Factory, Big Brother,
ChangeAuditor, DataFactory, DeployDirector, ERDisk, Foglight, Funnel Web, GPOAdmin, I/Watch, Imceda, InLook,
IntelliProfile, InTrust, Invertus, IT Dad, I/Watch, JClass, Jint, JProbe, LeccoTech, LiteSpeed, LiveReorg,
MessageStats, NBSpool, NetBase, Npulse, NetPro, PassGo, PerformaSure, Quest Central, SharePlex, Sitraka,
SmartAlarm, Spotlight, SQL LiteSpeed, SQL Navigator, SQL Watch, SQLab, Stat, StealthCollect, Tag and Follow, Toad,
T.O.A.D., Toad World, vAnalyzer, vAutomator, vControl, vConverter, vEssentials, vFoglight, vMigrator, vOptimizer
Pro, vPackager, vRanger, vRanger Pro, vReplicator, vSpotlight, vToad, Vintela, Virtual DBA, VizionCore, Vizioncore
vAutomation Suite, Vizioncore vEssentials, Xaffire und XRT sind Warenzeichen oder eingetragene Warenzeichen von
Quest Software, Inc. in den Vereinigten Staaten von Amerika und in anderen Ländern. Andere in diesem Handbuch
aufgeführte Warenzeichen oder eingetragene Warenzeichen sind Eigentum ihrer jeweiligen Besitzer.
Haftungsausschluss
Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch
dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise, eine Lizenz auf
intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT
AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON QUEST, DIE IN
DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT QUEST KEINERLEI
HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR
SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER
EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON
RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET QUEST FÜR UNMITTELBARE, MITTELBARE ODER
FOLGESCHÄDEN, SCHADENERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN,
DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN
ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES
DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT
WURDE. Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und
behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und
Produktbeschreibungen vorzunehmen. Quest geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen
Informationen zu aktualisieren.
Quest ActiveRoles Server – Evaluatorhandbuch
Aktualisiert – Oktober 08, 2009
Softwareversion – 6.5
INHALT
ZIELGRUPPE DIESES HANDBUCHS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
FORMATIERUNGSKONVENTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
ÜBER QUEST SOFTWARE, INC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
KONTAKT ZU QUEST SOFTWARE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
KONTAKT ZUM QUEST SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
TESTLABOR-KONFIGURATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
HARDWARE- UND SOFTWAREVORAUSSETZUNGEN . . . . . . . . . . . . . . . . . . . . 9
INSTALLIEREN DER ANWENDUNGEN VON DRITTANBIETERN . . . . . . . . . . . . . . 10
INSTALLIEREN DES VERWALTUNGSDIENSTES UND DER KONSOLE . . . . . . . . . . 10
INSTALLIEREN DES WEB-INTERFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
INSTALLIEREN DER BERICHTERSTATTUNGSKOMPONENTEN . . . . . . . . . . . . . . 12
VERBINDEN MIT DEM VERWALTUNGSDIENST . . . . . . . . . . . . . . . . . . . . . . 12
REGISTRIEREN DER DOMÄNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
VERWALTEN VON BENUTZERN UND GRUPPEN . . . . . . . . . . . . . . . . . . . . . . . . . . 14
VERWENDEN DER ACTIVEROLES SERVER-KONSOLE . . . . . . . . . . . . . . . . . . 14
ERSTELLEN EINES BENUTZERS . . . . . . . . . . . . . . . . . . . . . . . . . . 14
ERSTELLEN EINER GRUPPE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
SUCHEN UND DEAKTIVIEREN EINES BENUTZERKONTOS . . . . . . . . . . . . 15
VERWENDEN DES ACTIVEROLES SERVER WEB INTERFACE . . . . . . . . . . . . . . 15
ERSTELLEN EINES BENUTZERKONTOS UND HINZUFÜGEN
BENUTZERKONTOS ZU GRUPPEN . . . . . . . . . . . . . . . . . . . . 15
DIESES
SUCHEN EINES BENUTZERS UND RÜCKSETZEN
DES KENNWORTS DES BENUTZERS . . . . . . . . . . . . . . . . . . . . . . . . 16
DURCHFÜHREN DER SELBSTVERWALTUNG . . . . . . . . . . . . . . . . . . . . 16
DELEGIEREN DER VERWALTUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
ZUWEISEN DER ROLLE „HELP DESK“ FÜR DIE ORGANISATIONSEINHEIT . . . . . . 17
TESTEN DER RECHTE DES DELEGIERTEN ADMINISTRATORS . . . . . . . . . . . . . 18
VERWENDEN VERWALTETER EINHEITEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ERSTELLEN EINER VERWALTETEN EINHEIT . . . . . . . . . . . . . . . . . . . . . . . . 19
ZUWEISEN DER ROLLE „VOLLZUGRIFF“ FÜR VERWALTETE EINHEITEN . . . . . . . 20
TESTEN DER RECHTE DES DELEGIERTEN ADMINISTRATORS . . . . . . . . . . . . . 21
VERWENDEN VON BEREITSTELLUNGSRICHTLINIEN . . . . . . . . . . . . . . . . . . . . . . . 22
DURCHSETZEN VON BENUTZERNAMENSKONVENTIONEN . . . . . . . . . . . . . . . . 22
ERSTELLEN UND ANWENDEN DES RICHTLINIENOBJEKTS . . . . . . . . . . . 22
TESTEN DER DURCHSETZUNG VON NAMENSKONVENTIONEN . . . . . . . . . 25
BEREINIGEN SIE IHRE TESTUMGEBUNG . . . . . . . . . . . . . . . . . . . . . 25
iii
Quest ActiveRoles Server
VERWENDEN EINER RICHTLINIE BEZÜGLICH DER GENERIERUNG
EINES ANMELDENAMENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
SZENARIO 1: VERWENDEN EINER EINDEUTIGKEITSZAHL . . . . . . . . . . . 26
SZENARIO 2: VERWENDEN MEHRERER REGELN . . . . . . . . . . . . . . . . 29
BEREINIGEN SIE IHRE TESTUMGEBUNG . . . . . . . . . . . . . . . . . . . . . 31
VERWENDEN EINER E-MAIL-ALIASERZEUGUNG-RICHTLINIE . . . . . . . . . . . . . 32
ERSTELLEN UND ANWENDEN DES RICHTLINIENOBJEKTS . . . . . . . . . . . 32
TESTEN DER RICHTLINIE „E-MAIL-ALIASERZEUGUNG“ . . . . . . . . . . . . 34
BEREINIGEN SIE IHRE TESTUMGEBUNG . . . . . . . . . . . . . . . . . . . . . 35
DURCHSETZEN VON GRUPPENTYP-EINSCHRÄNKUNGEN . . . . . . . . . . . . . . . . 35
VORBEREITEN DES SKRIPTMODULS. . . . . . . . . . . . . . . . . . . . . . . . 36
ERSTELLEN UND ANWENDEN DES RICHTLINIENOBJEKTS . . . . . . . . . . . 36
TESTEN DER GRUPPENTYP-EINSCHRÄNKUNGEN . . . . . . . . . . . . . . . . 36
VERWENDEN EINER STAMMORDNER-BEREITSTELLUNGSRICHTLINIE . . . . . . . . . 37
ERSTELLEN UND ANWENDEN DES RICHTLINIENOBJEKTS . . . . . . . . . . . 37
TESTEN DER STAMMORDNER-RICHTLINIE . . . . . . . . . . . . . . . . . . . . 38
VERWALTEN VON EXCHANGE-EMPFÄNGERN . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
KONFIGURIEREN EINES VORHANDENEN BENUTZERS ALS POSTFACH-FÄHIG . . . . 39
ÄNDERN DER E-MAIL-ADRESSE EINES BENUTZERS . . . . . . . . . . . . . . . . . . 39
VERWALTEN VON BERECHTIGUNGSEINTRÄGEN IN ACTIVE DIRECTORY . . . . . . . . . . . 40
ANZEIGEN ODER ÄNDERN VON BERECHTIGUNGSEINTRÄGEN . . . . . . . . . . . . . 40
VERWALTEN DER EINHEITLICHEN SICHERHEIT MITTELS ZUGRIFFSVORLAGEN . . . . . 41
VERWENDEN VON DYNAMISCHEN GRUPPEN . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
KONFIGURIEREN EINER DYNAMISCHEN GRUPPE . . . . . . . . . . . . . . . . . . . . 44
TESTEN DER DYNAMISCHEN GRUPPE . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
GRUPPENEIGENSCHAFTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
EXPLIZITE AUFNAHME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
EXPLIZITER AUSSCHLUSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
ABFRAGEBASIERTE AUFNAHME . . . . . . . . . . . . . . . . . . . . . . . . . . 46
AUFNAHME VON GRUPPENMITGLIEDERN . . . . . . . . . . . . . . . . . . . . . 47
ZUVERLÄSSIGES DURCHSETZEN VON MITGLIEDSCHAFTSREGELN . . . . . . 47
DELEGIEREN UND VERWALTEN VON COMPUTERRESSOURCEN. . . . . . . . . . . . . . . . . 48
ZUWEISEN DER ROLLE „SERVEROPERATOR“
ZU EINER ORGANISATIONSEINHEIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
TESTEN DER RECHTE DES DELEGIERTEN ADMINISTRATORS . . . . . . . . . . . . . 49
VERWENDEN DER ACTIVEROLES SERVER-AUDIT-TRAIL- UND BERICHTSFUNKTION . . . . . 51
ANALYSIEREN DES AUDIT TRAILS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
UNTERSUCHEN DES AUDIT TRAILS MITTELS DER EREIGNISANZEIGE . . . . 51
VERWENDEN VON BERICHTEN ZUR ANALYSE DES AUDIT TRAILS . . . . . . 51
iv
Evaluatorhandbuch
ARBEITEN MIT ACTIVEROLES SERVER-BERICHTEN . . . . . . . . . . . . . . . . . . 52
ERFASSEN VON DATEN FÜR DIE BERICHTERSTATTUNG . . . . . . . . . . . . 52
GENERIEREN UND ANZEIGEN VON BERICHTEN . . . . . . . . . . . . . . . . . 53
VERWENDEN DER ACTIVEROLES SERVER-REPLIKATION . . . . . . . . . . . . . . . . . . . . 54
KONFIGURIEREN DER REPLIKATION . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
TESTEN DER REPLIKATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
ANPASSEN DES WEB-INTERFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
HINZUFÜGEN EINES TEXTFELDS ZUR SEITE FÜR DIE ERSTELLUNG
EINES BENUTZERS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
TESTEN DER SEITE ZUR ERSTELLUNG EINES BENUTZERS . . . . . . . . . . . . . . . 58
v
Quest ActiveRoles Server
Zielgruppe dieses Handbuchs
Dieses Dokument wurde erstellt, um Sie mit Quest ActiveRoles Server vertraut zu machen. Das
Evaluatorhandbuch enthält die erforderlichen Informationen zur Installation und Verwendung von Quest
ActiveRoles Server. Es wurde als Nachschlagewerk für Netzwerkadministratoren, Berater, Analysten und
andere IT-Fachleute entwickelt.
Formatierungskonventionen
In diesem Handbuch werden bestimmte Formatierungskonventionen eingehalten, die die effektive
Verwendung des Dokuments sicherstellen. Diese Konventionen werden auf unterschiedliche Vorgänge,
Symbole, Tastenkombinationen und Querverweise angewandt.
ELEMENT
KONVENTION
Auswählen
Dieses Wort bezieht sich auf Vorgänge wie das Auswählen oder Markieren diverser
Benutzeroberflächenelemente wie zum Beispiel Dateien und Optionsfelder.
Fettdruck
In Quest Software-Produkten angezeigte Benutzeroberflächenelemente wie zum
Beispiel Menüs und Befehle.
Kursivdruck
Wird für Anmerkungen verwendet.
Fetter
Kursivdruck
Wird zur Hervorhebung verwendet.
Blaue Schrift
Zeigt einen Querverweis an. Kann in Adobe® Reader® als Hyperlink verwendet
werden.
Wird zum Hervorheben zusätzlicher Informationen verwendet, die für den jeweils
beschriebenen Vorgang sachdienlich sind.
Wird für empfohlene Vorgehensweisen verwendet. Eine empfohlene Vorgehensweise
beschreibt einen Ablauf von Vorgängen detailliert, um optimale Ergebnisse zu
erzielen.
Damit werden Vorgänge hervorgehoben, die mit Vorsicht durchzuführen sind.
6
+
Ein Pluszeichen zwischen zwei Tasten bedeutet, dass beide Tasten gleichzeitig
gedrückt werden müssen.
|
Ein senkrechter Strich zwischen Elementen bedeutet, dass Sie die Elemente in genau
der angegebenen Reihenfolge auswählen müssen.
Evaluatorhandbuch
Über Quest Software, Inc.
Quest Software, Inc., bereits zweimal mit dem Titel „Global Independent Software Vendor Partner of the
Year“ der Microsoft Corporation ausgezeichnet, bietet innovative Produkte, die Unternehmen dabei
unterstützen, die Leistung und Produktivität ihrer Anwendungen, Datenbanken, Windows-Infrastruktur
und virtuellen Umgebungen zu steigern. Dank seines tiefgreifenden Know-hows im IT-Bereich und einer
permanenten Konzentration auf bewährte Verfahren unterstützt Quest weltweit mehr als 100.000 Kunden
dabei, die hohen Erwartungen an die Informationstechnologie ihrer Unternehmen zu erfüllen. Die Windows
Managementlösungen von Quest vereinfachen, automatisieren, schützen und erweitern Active Directory,
Exchange Server, SharePoint, SQL Server, .NET und Windows Server und integrieren Unix, Linux und Java
in die verwaltete Umgebung. Software von Quest erhalten Sie in den weltweiten Niederlassungen und
unter www.quest.com.
Kontakt zu Quest Software
E-Mail
[email protected]
Postanschrift Quest Software, Inc.
World Headquarters
5 Polaris Way
Aliso Viejo, CA 92656
USA
Website
www.quest.com
Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website.
Kontakt zum Quest Support
Quest Support ist für Kunden verfügbar, die über eine Evaluierungsversion eines Quest-Produkts
verfügen oder die eine handelsübliche Version erworben haben und über einen gültigen Wartungsvertrag
verfügen. Der Quest-Support steht Ihnen über SupportLink, unsere Service-Website, rund um die Uhr
zur Verfügung. Besuchen Sie SupportLink unter http://support.quest.com/.
Auf der SupportLink-Website stehen Ihnen folgende Funktionen zur Verfügung:
•
Schnell Tausende von Lösungen finden (Knowledge Base-Artikel und Dokumente).
•
Download von Patches und Aktualisierungen.
•
Anfordern von Hilfe durch einen Support-Techniker.
•
Protokollieren und Aktualisieren Ihres Einzelfalls sowie Überprüfung des Status Ihres
Vorgangs.
Eine ausführlichere Erläuterung zu den Support-Programmen und zu den Online-Diensten sowie
Kontaktinformationen und Angaben zu Richtlinien und Verfahren finden Sie im Global Support Guide.
Dieses Handbuch ist verfügbar unter: http://support.quest.com/pdfs/Global Support Guide.pdf.
Hinweis: Dieses Dokument ist nur in Englisch verfügbar.
7
Quest ActiveRoles Server
Einleitung
Quest ActiveRoles Server ist eine Verwaltungsplattform, die die Verwaltung und Bereitstellung für Active
Directory und Exchange erleichtert. ActiveRoles Server ermöglicht es der Organisation, eine flexible
Verwaltungsstruktur zu entwickeln, die optimal an ihre Bedürfnisse angepasst ist, während sie gleichzeitig
eine sichere Delegation von Aufgaben, eine verringerte Arbeitslast und geringere Kosten gewährleistet.
ActiveRoles Server ermöglicht außerdem die Integration diverser Unternehmensdatenquellen und die
Bereitstellung von Prozessen, was zu einer Rationalisierung der Arbeitsabläufe und zur Beseitigung von
Dateninkonsistenzen führen kann.
Dieses Dokument richtet sich an IT-Fachleute, die ActiveRoles Server evaluieren. Das Dokument enthält
Evaluierungsszenarien, die zum Verständnis der Funktionsweise von ActiveRoles Server beitragen sollen.
Das Dokument deckt folgende Themen ab:
•
ActiveRoles Server-Testlabor-Konfiguration
•
Verwalten von Benutzern und Gruppen
•
Delegieren der Verwaltung mittels ActiveRoles Server-Rollen
•
Verwenden von verwalteten Einheiten zum Delegieren der Verwaltung
•
Bereitstellen und Löschen von Richtlinien
•
Verwalten von Exchange-Empfängern
•
Verwalten der einheitlichen Active Directory-Sicherheit
•
Verwenden von dynamischen (regelorientierten) Gruppen
•
Delegieren und Verwalten von Computerressourcen
•
Verwenden der ActiveRoles Server-Audit-Trail- und Berichtsfunktion
•
Verwenden der ActiveRoles Server-Replikation
•
Anpassen des Web-Interface
Sofern nicht anders angegeben, setzen die Anweisungen in diesem Dokument voraus, dass Sie als
AR Server Admin angemeldet sind. Das AR Server Admin-Konto wird bei der Installation des Verwaltungsdienstes angegeben. Die Standardeinstellung ist die lokale Administratorengruppe des Computers, auf
dem der Verwaltungsdienst ausgeführt wird.
Sie sollten auch überprüfen, ob sich die ActiveRoles Server-Konsole im erweiterten Ansichtsmodus
befindet: Klicken Sie im Menü Ansicht auf Modus. Klicken Sie dann auf Erweiterter Modus.
8
Evaluatorhandbuch
Testlabor-Konfiguration
Eine erfolgreiche Bereitstellung erfordert umfassende Tests in einer Laborumgebung. Für die Planung
Ihrer Tests empfehlen wir Folgendes:
•
Gestaltung Ihres Labors, sodass es Ihrer Produktionsumgebung entspricht. Wenn Ihr
Netzwerk zum Beispiel über mehrere Sites verfügt, dann sollte Ihr Labor auch über mehrere
Sites verfügen.
•
Die Anzahl der Benutzer und Computer Ihres Labors sollte mindestens zwei bis fünf Prozent
der Anzahl der Benutzer und Computer in Ihrer Produktionsumgebung entsprechen.
In diesem Abschnitt wird die erste Einrichtung Ihres Testlabors zu Evaluierungszwecken beschrieben:
Installieren aller Komponenten von ActiveRoles Server auf Ihrem Computer, Verbindung zum ActiveRoles
Server Verwaltungsdienst und registrieren von Domänen für die Verwaltung mit ActiveRoles Server.
Hardware- und Softwarevoraussetzungen
Um die Evaluierung durchzuführen, benötigen Sie eine Active Directory-Testdomäne mit einem
eingerichteten und konfigurierten Mitgliedsserver. Nachfolgend sind die minimalen Hardwarevoraussetzungen für den von Ihnen in Ihrem Testlabor eingesetzten Server aufgeführt:
•
1 GHz Intel Pentium-kompatible CPU
•
1 GB RAM
•
80 GB freier Festplattenspeicher
•
Netzwerkadapter
•
Videoadapter und Monitor mit einer Bildschirmauflösung von mindestens 1024x768
•
Maus oder anderes Zeigegerät
Vergewissern Sie sich, dass Sie über die folgende Software verfügen:
•
Microsoft Windows Server 2003 oder höher
•
ActiveRoles Server 6.5, vollständiges Paket einschließlich Anwendungen von Drittanbietern
Installieren Sie das Betriebssystem Windows Server auf Ihrem Server und fügen Sie den Server zu Ihrer
Active Directory-Testdomäne hinzu.
Als nächstes müssen Sie die folgenden Softwareprogramme auf Ihrem Server installieren. Sie können
sie von der ActiveRoles Server 6.5 CD-ROM aus installieren. Sie müssen diese Elemente in der folgenden
Reihenfolge installieren:
•
Microsoft .NET Framework Version 3.5 Service Pack 1
•
Microsoft SQL Server 2008 Express Edition
•
Verwaltungsdienst und Konsole
•
Web-Interface
•
Berichterstattungskomponenten (die Berichterstattungskomponenten erfordern Microsoft
SQL Server Reporting Services)
Die folgenden Abschnitte enthalten Anweisungen bezüglich der Installation und Konfiguration jeder
dieser Komponenten, sodass Sie ActiveRoles Server nutzen können.
Für die Installation von ActiveRoles Server müssen Sie über Administratorrechte sowohl auf Ihrem
Server als auch in der Testdomäne verfügen. Es reicht aus, wenn Ihr Anmeldekonto zur Domänenadministratorgruppe Ihrer Testdomäne gehört.
9
Quest ActiveRoles Server
Installieren der Anwendungen von Drittanbietern
ActiveRoles Server erfordert Microsoft .NET Framework 3.5 SP1. Gehen Sie wie nachfolgend beschrieben
vor, um Microsoft .NET Framework auf Ihrem Server zu aktualisieren.
Gehen Sie folgendermaßen vor, um Microsoft .NET Framework zu aktualisieren:
1.
2.
3.
4.
Führen Sie die Datei autorun.exe aus, die sich auf der ActiveRoles Server-CD-ROM im
Stammordner befindet.
Klicken Sie im Fenster Automatische Ausführung auf Anwendungen von Drittanbietern.
Klicken Sie auf der Seite Anwendungen von Drittanbietern auf .NET Framework 3.5 SP1.
Folgen Sie den Anweisungen des Installationsassistenten.
ActiveRoles Server erfordert Microsoft SQL Server. Für Testzwecke können Sie SQL Server Express
Edition von der ActiveRoles Server CD-ROM installieren.
Aufgrund von eingeschränkten, mit der Replikation in Verbindung stehenden Funktionen der SQL Server
Express Edition (kann die Rolle eines Abonnent inne haben), erfordert das Szenario „Verwenden der
ActiveRoles Server-Replikation“ die Verwendung einer anderen Edition von SQL Server (wie etwa
Enterprise, Standard oder Workgroup) als Inhaber der Rolle „Herausgeber“.
Gehen Sie folgendermaßen vor, um Microsoft SQL Server Express Edition zu installieren:
1.
2.
3.
4.
Klicken Sie auf der Seite Anwendungen von Drittanbietern im Fenster Automatische
Ausführung auf SQL Server Express.
Befolgen Sie die Anweisungen des Installationsassistent und übernehmen Sie die Standardeinstellungen, bis Sie die Seite Funktionsauswahl erreichen.
Setzen Sie alle Funktionsmerkmale auf Wird auf dem lokalen Festplattenlaufwerk
installiert.
Folgen Sie den Anweisungen des Assistenten, um die Installation abzuschließen.
Installieren des Verwaltungsdienstes und der Konsole
Als nächstes müssen Sie den Verwaltungsdienst und die ActiveRoles Server-Konsole (MMC-Oberfläche)
installieren. Während der Konfiguration des Verwaltungsdienstes werden Sie zur Eingabe des Namens und
Kennworts des Domänen-Benutzerkontos aufgefordert, das der Verwaltungsdienst für die Anmeldung
verwenden wird. Dieses Konto wird als Dienstkonto bezeichnet.
Das Dienstkonto muss ordnungsgemäß konfiguriert sein. Es muss zur Administratorengruppe des
Computers gehören, auf dem Sie den Verwaltungsdienst installieren werden. Die entsprechenden
Zugriffsrechte sind ebenfalls für dieses Konto in Ihrer Testdomäne erforderlich. Zu Testzwecken können
Sie dieses Konto zur Domänenadministratorgruppe Ihrer Active Directory-Gesamtstruktur-Root-Domäne
in der Testumgebung hinzufügen. Weitere Informationen finden Sie im Abschnitt „Konfigurieren des
Verwaltungsdienstkontos“ im ActiveRoles Server – Erste Schritte.
Sie können das Dienstkonto mit Hilfe des Active Directory Benutzer und Computer-Tools konfigurieren.
Gehen Sie folgendermaßen vor, um das Dienstkonto zu konfigurieren:
1.
2.
Erstellen Sie ein Domänen-Benutzerkonto in Ihrer Testdomäne.
Fügen Sie das Konto zur Domänenadministratorgruppe Ihrer Active Directory GesamtstrukturRoot-Domäne in der Testumgebung hinzu.
Nachdem das Dienstkonto konfiguriert wurde, können Sie den Verwaltungsdienst und die ActiveRoles
Server-Konsole installieren.
10
Evaluatorhandbuch
Gehen Sie folgendermaßen vor, um den Verwaltungsdienst zu installieren:
1.
Klicken Sie im Fenster Automatische Ausführung der ActiveRoles Server-CD-ROM auf
ActiveRoles Server und klicken Sie dann auf Verwaltungsdienst (mit Resource Kit) in
der Liste ActiveRoles Server-Komponenten.
2.
Folgen Sie den Anweisungen des Installationsassistenten, bis Sie die Seite Benutzerinformationen erreichen.
3.
Klicken Sie auf Lizenzen und öffnen Sie Ihre Lizenzdatei für ActiveRoles Server. Klicken Sie
dann auf Weiter.
4.
Befolgen Sie die Anweisungen des Installationsassistent und übernehmen Sie die Standardeinstellungen, bis Sie die Seite Dienstkontoinformationen erreichen.
5.
Klicken Sie auf Durchsuchen und wählen Sie dann das zuvor konfigurierte Dienstkonto aus.
Geben Sie dann das Kennwort dieses Kontos ein und klicken Sie anschließend auf Weiter.
6.
Befolgen Sie die Anweisungen des Installationsassistent und akzeptieren Sie die Standardeinstellungen.
7.
Wenn die Seite Verteilte COM-Sicherheitskonfiguration angezeigt wird, wählen Sie die
Option Ja aus. Klicken Sie auf Weiter.
8.
Befolgen Sie die Anweisungen des Installationsassistent und akzeptieren Sie die Standardeinstellungen.
9.
Geben Sie auf der Seite Datenbank- und Verbindungseinstellungen im Feld SQL Server
den Namen des SQL Servers in der Form Computername\SQLEXPRESS ein, wobei Computername für den NetBIOS-Namen Ihres Servers steht.
10. Befolgen Sie die Anweisungen des Installationsassistent und übernehmen Sie die Standardeinstellungen, um die Installation abzuschließen.
Um zu überprüfen, dass der Verwaltungsdienst funktionsbereit ist und ausgeführt wird, können Sie
net start arssvc an einer Eingabeaufforderung eingeben. Normalerweise sollte dieser Befehl die
folgende Meldung ausgeben: „Der angeforderte Dienst wurde bereits gestartet.“
Gehen Sie folgendermaßen vor, um die ActiveRoles Server-Konsole zu installieren:
1.
Klicken Sie auf der Seite ActiveRoles Server im Fenster Automatische Ausführung der
ActiveRoles Server-CD-ROM auf Konsole (MMC-Oberfläche) in der Liste ActiveRoles
Server-Komponenten.
2.
Folgen Sie den Anweisungen des Installationsassistenten, um die Konsole zu installieren.
Installieren des Web-Interface
Das ActiveRoles Server Web Interface erfordert Internet Information Services (IIS) 6.0 oder höher.
Unter Windows Server 2003 oder höher müssen Sie möglicherweise weitere Schritte ausführen, um zu
gewährleisten, dass IIS auf Ihrem Server installiert ist und ausgeführt wird.
Um sicherzustellen, dass IIS installiert ist und auf Ihrem Server ausgeführt wird, können Sie net start
w3svc an einer Eingabeaufforderung eingeben. Wenn IIS ausgeführt wird, gibt dieser Befehl die
folgende Meldung aus: „Der angeforderte Dienst wurde bereits gestartet.“
Für eine erfolgreiche Installation des Web-Interface muss der Verwaltungsdienst installiert sein und
ausgeführt werden. Wenn das Web-Interface-Setup-Programm nicht auf den Verwaltungsdienst
zugreifen kann, kann die Installation nicht abgeschlossen werden. Sie können die Syntax net start
arssvc verwenden, um den Dienst wie im vorigen Abschnitt beschrieben zu überprüfen.
11
Quest ActiveRoles Server
Gehen Sie folgendermaßen vor, um das Web-Interface zu installieren:
1.
Klicken Sie auf der Seite ActiveRoles Server im Fenster Automatische Ausführung der
ActiveRoles Server-CD-ROM auf Web-Interface in der Liste ActiveRoles ServerKomponenten.
2.
Folgen Sie den Anweisungen des Installationsassistenten. Übernehmen Sie die Standardeinstellungen.
3.
Warten Sie, bis der Assistent die Installation abgeschlossen hat.
Installieren der Berichterstattungskomponenten
Sie können die Berichterstattungskomponenten ausgehend von der Seite ActiveRoles Server im
Fenster AutoAusführen installieren. Zum Zweck dieser Evaluierung müssen Sie ActiveRoles Server
Collector und ActiveRoles Server Report Pack installieren.
ActiveRoles Server Report Pack erfordert Microsoft SQL Server Reporting Services (SSRS). Stellen Sie
sicher, dass SSRS in Ihrer Umgebung installiert ist. Der Report Pack-Installationsassistent fordert Sie
zur Eingabe der Adresse (URL) des Report Server-Webdienstes auf. Sie können diese Adresse mit Hilfe
der Seite Einstellungen für das virtuelle Verzeichnis des Berichtsservers im Tool „Reporting
Services Configuration Manager“ auf dem Server, auf dem Sie SSRS installiert haben, ermitteln.
Gehen Sie folgendermaßen vor, um ActiveRoles Server Collector zu installieren:
1.
Klicken Sie auf der Seite ActiveRoles Server im Fenster AutoAusführen der ActiveRoles
Server-CD-ROM auf Data Collector im Abschnitt Berichterstattungskomponenten.
2.
Folgen Sie den Anweisungen des Installationsassistenten. Übernehmen Sie die Standardeinstellungen.
3.
Warten Sie, bis der Assistent die Installation abgeschlossen hat.
Gehen Sie folgendermaßen vor, um ActiveRoles Server Report Pack zu installieren:
1.
Klicken Sie auf der Seite ActiveRoles Server im Fenster AutoAusführen der ActiveRoles
Server-CD-ROM auf Report Pack im Abschnitt Berichterstattungskomponenten.
2.
Folgen Sie den Anweisungen des Installationsassistenten.
3.
Geben Sie den URL Ihres SSRS-Berichtsservers ein, wenn Sie zur Eingabe der Adresse des
Report Server-Webdienstes aufgefordert werden.
Standardmäßig lautet der URL http://<Computername>/Berichtsserver, wobei
<Computername> für den Namen des Computers steht, auf dem SSRS installiert ist.
4.
Wenn Sie zur Konfiguration der Datenquelle aufgefordert werden, klicken Sie auf Weiter.
5.
Klicken Sie auf Weiter und warten Sie, während der Assistent die Installation fertig stellt.
Verbinden mit dem Verwaltungsdienst
Der nächste Schritt ist der Start der ActiveRoles Server-Konsole (MMC-Oberfläche) und der Aufbau einer
Verbindung zum Verwaltungsdienst.
Gehen Sie folgendermaßen vor, um die ActiveRoles Server-Konsole zu starten:
•
Klicken Sie auf Starten und wählen Sie dann Alle Programme (oder Programme) | Quest
Software | ActiveRoles Server | ActiveRoles Server-Konsole.
Normalerweise stellt die ActiveRoles Server-Konsole automatisch eine Verbindung zum entsprechenden
Verwaltungsdienst her. Optional können Sie einen anderen Dienst auswählen, zu dem die Verbindung
hergestellt werden soll.
12
Evaluatorhandbuch
Gehen Sie folgendermaßen vor, um den Verwaltungsdienst auszuwählen:
1.
Klicken Sie mit der rechten Maustaste auf das Stammverzeichnis der Konsolenstruktur und
klicken Sie dann auf Verbinden.
2.
Geben Sie im Dialogfeld Verbindung zum Verwaltungsdienst herstellen den Namen des
Computers ein, auf dem der Verwaltungsdienst ausgeführt wird, oder wählen Sie ihn aus der
Liste aus. Klicken Sie auf OK.
3.
Warten Sie, bis die Konsole eine Verbindung zum Verwaltungsdienst herstellt.
Wenn die Verbindung hergestellt ist, wird der Name des Verwaltungsdienstcomputers in den Klammern
neben dem Stammverzeichnis der Konsolenstruktur angezeigt.
Registrieren der Domäne
Der nächste Schritt ist die Registrierung Ihrer Testdomäne bei ActiveRoles Server. Dieser Vorgang wird
auch als Hinzufügen einer verwalteten Domäne bezeichnet.
Eine Liste der verwalteten Domänen ist Bestandteil der ActiveRoles Server-Konfiguration. Nach der
ersten Installation des Verwaltungsdienstes ist die Liste leer. Durch das Registrieren einer Domäne fügen
Sie einen Datensatz zu dieser Liste hinzu.
Gehen Sie folgendermaßen vor, um Ihre Testdomäne zu registrieren:
1.
Klicken Sie auf das Stammverzeichnis der Konsolenstruktur. Klicken Sie dann im Bereich
„Details“ auf die Schaltfläche Domäne hinzufügen, um den Assistenten „Verwaltete
Domäne hinzufügen“ zu starten.
2.
Klicken Sie auf Weiter.
3.
Geben Sie den Namen Ihrer Testdomäne ein oder klicken Sie auf Durchsuchen, um die
Domäne auszuwählen. Klicken Sie auf Weiter.
4.
Überprüfen Sie, ob die folgende Option ausgewählt ist: Die Dienstkontoinformationen,
die der Verwaltungsdienst zur Anmeldung verwendet.
5.
Klicken Sie auf Weiter.
6.
Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.
7.
Warten Sie, während ActiveRoles Server die Registrierung der Domäne abschließt.
Nach Auswahl des Stammverzeichnisses der Konsolenstruktur können Sie den Bereich „Details“ nutzen,
um den Fortschritt des Registrierungsvorgangs zu verfolgen. Klicken Sie auf die Verknüpfung im Bereich
Domänen, um die Anzeige zu aktualisieren. Wenn der Registrierungsvorgang abgeschlossen ist, können
Sie die Verwaltung der Domäne beginnen, indem Sie im Bereich Domänen auf den Namen der Domäne
klicken.
Domänen können aus der Registrierung entfernt werden, indem Sie deren Registrierungen aus dem
Container Managed Domains löschen. Um auf den Container zuzugreifen, wählen Sie das Stammverzeichnis der Konsolenstruktur aus und klicken Sie dann im Bereich „Details“ auf Zu verwalteten
Domänen wechseln im Bereich Domänen.
13
Quest ActiveRoles Server
Verwalten von Benutzern und Gruppen
Dieser Abschnitt enthält Beispielverfahren, die zeigen, wie Benutzer und Gruppen in Active Directory mit
Hilfe der ActiveRoles Server-Konsole oder des Web-Interface verwaltet werden.
Um die in diesem Kapitel beschriebenen Szenarien durchzuspielen, müssen Sie als ein Benutzer mit
ausreichenden Berechtigungen bei ActiveRoles Server angemeldet sein. So reicht es zum Beispiel aus,
wenn Sie als ein AR Server Admin angemeldet sind – d. h. als ein Mitglied der Administratorengruppe
auf dem Computer, auf dem der Verwaltungsdienst ausgeführt wird. Alternativ dazu kann Ihnen auch
von der Organisationseinheit, in der sich ihre Testbenutzer und -gruppen befinden, der Vollzugriff
eingeräumt werden. Informationen bezüglich der Festlegung von Benutzerberechtigungen in
ActiveRoles Server finden Sie unter „Delegieren der Verwaltung“ weiter unten in diesem Dokument.
Verwenden der ActiveRoles Server-Konsole
Erstellen eines Benutzers
Gehen Sie folgendermaßen vor, um ein Benutzerkonto zu erstellen:
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Active Directory und durchsuchen Sie die
Domäne, um die Organisationseinheit auszuwählen, zu der Sie den Benutzer hinzufügen
möchten.
2.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Organisationseinheit
und wählen Sie dann Neu | Benutzer aus.
3.
Füllen Sie die Felder Vorname, Nachname und Benutzeranmeldename aus. Klicken Sie
auf Weiter.
4.
Klicken Sie auf die Schaltfläche neben dem Feld Kennwort, um ein Kennwort zu generieren.
Klicken Sie auf Weiter.
5.
Wenn Microsoft Exchange Server in Ihrer Testdomäne installiert ist, können Sie den Benutzer
als Postfach-fähig konfigurieren. Aktivieren Sie hierzu das Kontrollkästchen ExchangePostfach erstellen. Klicken Sie auf Weiter.
6.
Wenn Sie weitere Eigenschaften des neuen Benutzers festlegen möchten, aktivieren Sie das
Kontrollkästchen Objekteigenschaften beim Schließen dieses Assistenten anzeigen.
Klicken Sie auf Fertig stellen.
Erstellen einer Gruppe
Gehen Sie folgendermaßen vor, um eine Gruppe zu erstellen:
14
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Active Directory und durchsuchen Sie die
Domäne, um die Organisationseinheit auszuwählen, zu der Sie die Gruppe hinzufügen möchten.
2.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Organisationseinheit
und wählen Sie dann Neu | Gruppe aus.
3.
Geben Sie einen Namen für die neue Gruppe ein, klicken Sie auf den gewünschten
Gruppenbereich und Gruppentyp und klicken Sie dann auf Weiter.
4.
Wenn Microsoft Exchange Server in Ihrer Testdomäne installiert ist, können Sie eine E-MailAdresse für die Gruppe einrichten. Aktivieren Sie hierzu das Kontrollkästchen ExchangeE-Mail-Adresse erstellen. Klicken Sie auf Weiter.
5.
Verwenden Sie die Schaltflächen Hinzufügen und Entfernen, um die Liste der Gruppenmitgliedschaft zu füllen. Klicken Sie abschließend auf Weiter.
6.
Wenn Sie weitere Eigenschaften der neuen Gruppe festlegen möchten, aktivieren Sie das
Kontrollkästchen Objekteigenschaften beim Schließen dieses Assistenten anzeigen.
Klicken Sie auf Fertig stellen.
Evaluatorhandbuch
Suchen und Deaktivieren eines Benutzerkontos
Gehen Sie folgendermaßen vor, um ein Benutzerkonto zu suchen und dann zu deaktivieren:
1.
Wählen Sie in der Konsolenstruktur Active Directory aus.
2.
Klicken Sie im Bereich „Details“ mit der rechten Maustaste auf Ihre Testdomäne und klicken
Sie dann auf Suchen.
3.
Gehen Sie im Fenster Suchen folgendermaßen vor:
a) Wählen Sie aus der Liste Suchen die Option Benutzer aus.
b) Geben Sie in das Feld Name den Namen oder einen Teil des Namens des Benutzers ein,
den Sie suchen möchten.
c) Klicken Sie auf Jetzt suchen.
d) Klicken Sie in der Liste der Suchergebnisse mit der rechten Maustaste auf den Benutzer
und klicken Sie dann auf Konto deaktivieren.
Verwenden des ActiveRoles Server Web Interface
Erstellen eines Benutzerkontos und Hinzufügen dieses
Benutzerkontos zu Gruppen
Gehen Sie folgendermaßen vor, um ein Benutzerkonto zu erstellen und um es zu Gruppen
hinzuzufügen:
1.
Stellen Sie eine Verbindung zum Web-Interface für Administratoren her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerAdmin auf.
2.
Klicken Sie auf der Startseite des Web-Interface auf Verzeichnisverwaltung.
3.
Geben Sie in das Feld Schnellsuche in der Menüleiste des Web-Interface den Namen der
Organisationseinheit ein, zu der Sie den Benutzer hinzufügen möchten. Drücken Sie die
Eingabetaste.
4.
Klicken Sie in der Suchergebnisliste auf den Namen der Organisationseinheit.
5.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich des Web-Interface auf Neuer
Benutzer.
6.
Füllen Sie die Felder Vorname, Nachname und Benutzeranmeldename aus. Klicken Sie
auf Weiter.
7.
Klicken Sie auf die Schaltfläche Generieren (unter dem Feld Kennwortbestätigung), um
ein Kennwort zu generieren. Klicken Sie auf Fertig stellen (oder Weiter, wenn Microsoft
Exchange Server in Ihrer Testdomäne installiert ist).
8.
Wenn Microsoft Exchange Server in Ihrer Testdomäne installiert ist, können Sie den Benutzer
als Postfach-fähig konfigurieren. Aktivieren Sie hierzu das Kontrollkästchen ExchangePostfach erstellen. Klicken Sie auf Fertig stellen.
9.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Mitglied von.
10. Klicken Sie auf der Seite Mitglied von auf die Schaltfläche Hinzufügen.
11. Vervollständigen Sie die Gruppenliste:
a) Um eine Gruppe hinzuzufügen, klicken Sie auf den Namen der entsprechenden Gruppe.
b) Um eine Gruppe zu entfernen, wählen Sie die Gruppe aus und klicken Sie dann auf Entfernen.
c) Klicken Sie abschließend auf Speichern.
12. Um den Benutzer aus Gruppen zu entfernen, aktivieren Sie die Kontrollkästchen neben den
Namen der Gruppen und klicken Sie dann auf Entfernen.
15
Quest ActiveRoles Server
Suchen eines Benutzers und Rücksetzen des Kennworts des Benutzers
Gehen Sie folgendermaßen vor, um ein Benutzerkonto zu suchen und dann dessen Kennwort
zurückzusetzen:
1.
2.
3.
4.
5.
Stellen Sie eine Verbindung zum Web-Interface für das Help Desk her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerHelp Desk auf.
Zeigen Sie in der Menüleiste des Web-Interface auf Verzeichnisverwaltung und klicken Sie
dann auf Suchen.
Klicken Sie auf der Seite Suchen auf die Schaltfläche Durchsuchen (neben dem Feld
Suchen in).
Wählen Sie im Fenster Durchsuchen die verwaltete Einheit, Domäne oder Organisationseinheit aus, die Sie suchen möchten. Um alle verwalteten Domänen zu durchsuchen, wählen
Sie Active Directory aus.
Vervollständigen Sie die Seite Suchen:
a) Klicken Sie im linken Bereich auf Benutzer.
b) Geben Sie in das Feld Name den Namen oder einen Teil des Namens des Benutzers ein,
den Sie suchen möchten.
c) Klicken Sie auf die Schaltfläche Suchen.
d) Klicken Sie in der Suchergebnisliste auf den Benutzernamen.
6.
7.
8.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Kennwort
zurücksetzen.
Klicken Sie auf der Seite Kennwort zurücksetzen auf die Schaltfläche Generieren.
Das neue Kennwort wird im Feld Kennwort angezeigt.
Klicken Sie auf die Schaltfläche Speichern, um Ihre Änderungen zu übernehmen.
Durchführen der Selbstverwaltung
ActiveRoles Server ermöglicht es, den Benutzern die Verwaltung Ihrer eigenen Konten in Active Directory
zu gewähren. So kann den Benutzern insbesondere erlaubt werden, ihre persönlichen Informationen in
ihren Konten zu ändern. Ein Administrator kann die ActiveRoles Server-Konsole verwenden, um diese
Aufgabe zu delegieren.
Gehen Sie folgendermaßen vor, um die Selbstverwaltung zu delegieren:
1.
Wählen Sie in der Konsolenstruktur die Domäne oder Organisationseinheit aus, in der Sie die
Selbstverwaltungsaufgabe delegieren möchten.
2. Klicken Sie mit der rechten Maustaste auf die Auswahl und klicken Sie dann auf Kontrolle
delegieren.
3. Klicken Sie im Dialogfeld ActiveRoles Server-Sicherheit auf Hinzufügen.
4. Folgen Sie den Schritten des Assistenten „Delegation der Kontrolle“.
5. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
6. Wählen Sie in der Objektliste im Fenster Objekte auswählen das Konto Selbst aus. Klicken
Sie auf Hinzufügen und klicken Sie dann auf OK.
7. Klicken Sie auf Weiter.
8. Erweitern Sie auf der Seite Zugriffsvorlagen den Eintrag Active Directory und aktivieren
Sie das Kontrollkästchen neben Self-Service - My Account Management. Klicken Sie auf
Weiter.
9. Klicken Sie zweimal auf Weiter und dann auf Fertig stellen.
10. Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf OK.
Wenn Sie die Selbstverwaltungsaufgabe delegiert haben, können Sie überprüfen, wie die Benutzer die
Selbstverwaltung im ActiveRoles Server Web Interface durchführen können.
16
Evaluatorhandbuch
Gehen Sie folgendermaßen vor, um die Selbstverwaltung durchzuführen:
1.
Melden Sie sich bei Ihrem Server als ein beliebiger, in Ihrer Testdomäne definierter Benutzer
an.
2.
Stellen Sie eine Verbindung zum Web-Interface für die Selbstverwaltung her: Öffnen Sie
Microsoft Internet Explorer und rufen Sie http://localhost/ARServerSelfService auf.
3.
Klicken Sie auf der Startseite des Web-Interface auf Eigenes Konto.
4.
Verwenden Sie auf der Seite Eigenschaften die Registerkarten Allgemein, Adresse und
Telefonnummer, um die persönlichen Informationen anzuzeigen oder zu ändern.
5.
Klicken Sie nach Abschluss des Vorgangs auf die Schaltfläche Speichern.
Delegieren der Verwaltung
In diesem Abschnitt sind die Verfahren zum Delegieren der Verwaltung mittels ActiveRoles Server und
zum Anzeigen der Funktionsweise des Delegierens in ActiveRoles Server beschrieben.
Zuweisen der Rolle „Help Desk“ für die Organisationseinheit
Wenn Sie die Rolle „Help Desk“ für eine bestimmte Organisationseinheit zu einer Gruppe zugewiesen
haben, genehmigen Sie den Mitgliedern dieser Gruppe das Rücksetzen von Benutzerkennwörtern, das
Entsperren von Benutzerkonten und die Anzeige aller Eigenschaften der Benutzerkonten in dieser
Organisationseinheit und ihren untergeordneten Organisationseinheiten. Die Mitglieder der Gruppe, der
Sie eine Administratorfunktion zugewiesen haben, werden als Delegierte Administratoren bezeichnet.
Gehen Sie folgendermaßen vor, um einer Organisationseinheit die Rolle „Help Desk“ zuzuweisen:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf die Organisationseinheit und klicken Sie dann auf Kontrolle delegieren.
2.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf Hinzufügen.
3.
Folgen Sie den Schritten des Assistenten „Delegation der Kontrolle“.
4.
Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
5.
Wählen Sie die Gruppe aus, der Sie die Rolle „Help Desk“ zuweisen möchten, und klicken Sie
auf OK.
6.
Klicken Sie auf Weiter.
7.
Erweitern Sie auf der Seite Zugriffsvorlagen den Eintrag Active Directory, aktivieren Sie
das Kontrollkästchen neben Users – Help Desk und klicken Sie dann auf Weiter.
8.
Klicken Sie auf Weiter, wiederum auf Weiter und dann auf Fertig stellen.
9.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf OK.
Um es den delegierten Administratoren zu ermöglichen, Organisationseinheiten in der Domäne zu durchsuchen, müssen Sie ihnen die Berechtigung Alle Eigenschaften lesen für die OrganisationseinheitObjekte auf der Domänenebene gewähren.
Gehen Sie folgendermaßen vor, um die Berechtigung Alle Eigenschaften lesen zu gewähren:
1.
Wählen Sie die Domäne aus und verwenden Sie den Assistenten „Delegation der Kontrolle“
wie im vorigen Abschnitt beschrieben.
2.
Erweitern Sie auf der Seite Zugriffsvorlagen den Eintrag Active Directory und aktivieren
Sie das Kontrollkästchen neben OUs - Read All Properties.
17
Quest ActiveRoles Server
Testen der Rechte des delegierten Administrators
Der delegierte Administrator kann die ActiveRoles Server-Konsole verwenden, um Verwaltungsaufgaben
durchzuführen. Gehen Sie wie nachfolgend beschrieben vor, um die Rechte eines delegierten
Administrators mittels der ActiveRoles Server-Konsole (MMC-Oberfläche) zu überprüfen.
Gehen Sie folgendermaßen vor, um die Delegation mittels der ActiveRoles Server-Konsole zu
überprüfen:
1.
Öffnen Sie die ActiveRoles Server-Konsole und stellen Sie als delegierter Administrator eine
Verbindung zum Verwaltungsdienst her:
a) Klicken Sie mit der rechten Maustaste auf das Stammverzeichnis der Konsolenstruktur und
klicken Sie dann auf Verbinden.
b) Klicken Sie im Dialogfeld Verbindung zum Verwaltungsdienst herstellen auf Optionen.
c) Klicken Sie im Bereich Verbindung als auf Der folgende Benutzer und geben Sie dann
Benutzeranmeldenamen und das Kennwort des delegierten Administrators an.
2.
Wählen Sie in der Konsolenstruktur die Organisationseinheit aus, für die dem delegierten
Administrator die Rolle „Help Desk“ zugewiesen werden soll.
3.
Überprüfen Sie, ob Sie Kennwörter zurücksetzen und Konten entsperren können: Klicken Sie
im Bereich „Details“ mit der rechten Maustaste auf ein Benutzerkonto und klicken Sie dann
auf Kennwort zurücksetzen.
4.
Überprüfen Sie, ob Sie Benutzereigenschaften anzeigen können: Klicken Sie im Bereich „Details“
mit der rechten Maustaste auf ein Benutzerkonto und klicken Sie dann auf Eigenschaften.
Der delegierte Administrator kann auch das Web-Interface verwenden, um Verwaltungsaufgaben durchzuführen. Gehen Sie wie nachfolgend beschrieben vor, um die Rechte eines delegierten Administrators
mittels des ActiveRoles Server Web Interface zu überprüfen.
Gehen Sie folgendermaßen vor, um die Delegation mittels des Web-Interface zu überprüfen:
1.
Melden Sie sich mit dem Benutzernamen und dem Kennwort des delegierten Administrators
bei Ihrem Computer an.
2.
Stellen Sie eine Verbindung zum Web-Interface für das Help Desk her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerHelp Desk auf.
3.
Klicken Sie auf der Startseite des Web-Interface auf Verzeichnisverwaltung.
– ODER –
Zeigen Sie in der Menüleiste des Web-Interface auf Verzeichnisverwaltung und klicken Sie
dann auf Active Directory.
4.
Geben Sie im Feld Schnellsuche in der Menüleiste des Web-Interface den Namen der
Organisationseinheit ein, für die dem delegierten Administrator die Rolle „Help Desk“
zugewiesen ist. Drücken Sie die Eingabetaste.
5.
Klicken Sie in der Suchergebnisliste auf die Organisationseinheit, um eine Liste der Benutzerkonten in dieser Organisationseinheit anzuzeigen.
6.
Klicken Sie in der Benutzerkonten auf ein Benutzerkonto.
7.
Überprüfen Sie, ob Sie das Kennwort des Benutzers zurücksetzen können:
a) Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Kennwort
zurücksetzen.
Sie können auch Befehle aus dem Dropdown-Listenfeld unter der Menüleiste oben auf der
Webseite auswählen, um die Baumstruktur im linken Bereich beizubehalten.
b) Geben Sie ein neues Kennwort ein und klicken Sie dann auf Speichern.
18
Evaluatorhandbuch
8.
Überprüfen Sie, ob Sie das Benutzerkonto entsperren können, wenn dieses gesperrt ist:
Wählen Sie den Befehl Allgemeine Eigenschaften aus, rufen Sie die Registerkarte Konto
auf, deaktivieren Sie das Kontrollkästchen Konto ist gesperrt und klicken Sie dann auf
Speichern.
Wenn das Kontrollkästchen nicht verfügbar ist, ist das Konto nicht gesperrt. Sie können das
Benutzerkonto auch entsperren, indem Sie das Kontrollkästchen Konto ist gesperrt auf der
Seite Kennwort zurücksetzen deaktivieren.
Verwenden verwalteter Einheiten
In diesem Abschnitt sind die Verfahren zum Konfigurieren von verwalteten Einheiten und zum Anzeigen
der Funktionsweise von verwalteten Einheiten aufgeführt.
Eine verwaltete Einheit ist eine Sammlung von Objekten (administrative Ansicht), die zur Verteilung von
Verwaltungsaufgaben, zur Durchsetzung von Unternehmensvorschriften und zur Verwaltung von
komplexen Netzwerkumgebungen erstellt wird. Verwaltete Einheiten bieten die Möglichkeit zur Trennung
der Verwaltungsstruktur vom Active Directory-Design. Durch die Verwendung von verwalteten Einheiten
können Verzeichnisobjekte unabhängig vom Speicherort des Objekts in Active Directory in administrativen
Ansichten zusammengefasst werden.
Erstellen einer verwalteten Einheit
Betrachten wir einmal den Fall, in dem das AD-Design auf geografischen Standorten basiert, wobei die
Domänen nach Städten oder Regionen und die Organisationseinheiten nach Unternehmensabteilungen
oder Gruppen benannt sind. Verwaltete Einheiten können so gestaltet werden, dass spezifische
Abteilungen oder Gruppen verwaltet werden, die auf mehrere geografische Standorte aufgeteilt sind.
In diesem Beispiel hat jede AD-Domäne eine „Human Resources“ (HR) -Organisationseinheit und eine
„Sales“-Organisationseinheit. Das ActiveRoles Server-Design hat eine verwaltete Einheit „HR“ und eine
verwaltete Einheit „Sales“. Die verwaltete Einheit „HR“ ermöglicht es den Administratoren, die Richtlinien
und Sicherheitseinschränkungen für alle HR-Benutzer an einem Ort zu konfigurieren, während die
verwaltete Einheit „Sales“ dieselbe Funktion für alle Sales-Benutzer bietet.
Verwaltete Einheiten werden durch Mitgliedschaftsregeln definiert. Dies sind Kriterien, die ActiveRoles
Server verwendet, um zu ermitteln, welche Objekte zur spezifischen verwalteten Einheit gehören.
Erstellen Sie in Ihrer Testdomäne drei Organisationseinheiten mit den Namen „PHX Sales2“, „BST Sales“ und
„SEA Sales“. Gehen Sie wie nachfolgend beschrieben vor, um die verwaltete Einheit „Sales“ zu erstellen.
Gehen Sie folgendermaßen vor, um eine verwaltete Einheit zu erstellen:
1.
Starten Sie die ActiveRoles Server-Konsole und stellen Sie eine Verbindung zum Verwaltungsdienst her.
2.
Vergewissern Sie sich, dass sich die Konsole im Modus „Erweiterte Ansicht“ befindet: Klicken
Sie im Menü Ansicht auf Modus und wählen Sie dann die Option Erweiterter Modus aus.
3.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration, klicken Sie mit der
rechten Maustaste auf Managed Units und wählen Sie dann Neu | Verwaltete Einheit.
Der Assistent „Neues Objekt – Verwaltete Einheit“ wird gestartet.
4.
Geben Sie im Feld Name den Namen der verwalteten Einheit ein – Verwaltete Vertriebseinheit. Klicken Sie auf Weiter.
5.
Klicken Sie auf Hinzufügen.
19
Quest ActiveRoles Server
6.
Klicken Sie in der Liste der Regeltypen auf Nach Abfrage einschließen. Klicken Sie auf OK.
7.
Wählen Sie aus der Liste Suchen die Option Organisationseinheiten aus.
8.
Klicken Sie auf Durchsuchen neben dem Feld In und wählen Sie Ihre Testdomäne aus.
9.
Geben Sie in das Feld Name den Wert *Sales* ein.
10. Klicken Sie optional auf Regelvorschau.
Im Fenster wird eine Liste aller gefundenen „Sales“-Organisationseinheiten angezeigt.
11. Klicken Sie auf Regel hinzufügen.
12. Klicken Sie im Assistent auf Weiter, klicken Sie dann auf Weiter und anschließend auf
Fertig stellen.
Dieses Verfahren gewährleistet, dass sich alle Organisationseinheiten mit Namen, die „Sales“ enthalten,
in der verwaltete Einheit „Sales“ befinden. Wenn die verwaltete Einheit nur Organisationseinheiten mit
bestimmten Namen wie etwa „PHX Sales-Organisationseinheit“, „BST Sales-Organisationseinheit“ und
„SEA Sales-Organisationseinheit“ enthalten soll, so verwenden Sie die explizite Aufnahme. Um die
verwaltete Einheit „Sales“ mittels der expliziten Aufnahme zu erstellen, ändern Sie das oben aufgeführte
Verfahren wie folgt ab:
1.
Wählen Sie unter Schritt 6 Explizit einschließen aus der Liste der Regeltypen aus.
2.
Geben Sie im Fenster Objekte auswählen die Namen der Organisationseinheiten (durch
Semikolons voneinander getrennt) an und klicken Sie dann auf OK.
3.
Folgen Sie den Anweisungen des Assistenten, um die Erstellung der verwalteten Einheit
abzuschließen.
Zuweisen der Rolle „Vollzugriff“ für verwaltete
Einheiten
ActiveRoles Server gewährleistet, dass die für eine verwaltete Einheit angegebenen Sicherheitseinschränkungen auf alle in dieser verwalteten Einheit enthaltenen Objekte angewandt werden. Wenn eine
verwaltete Einheit über einen Container verfügt, erben alle untergeordneten Objekte in diesem Container
die auf der Ebene der verwalteten Einheit definierten Sicherheitseinschränkungen. Diese Vererbung wird
auf den tiefer liegenden Ebenen des Verzeichnisbaums innerhalb aller in einer bestimmten verwalteten
Einheit enthaltenen Containern fortgeführt.
Wenn Sie die Rolle „Vollzugriff“ für eine bestimmte verwaltete Einheit einer Gruppe zuordnen, erlauben
Sie den Mitgliedern dieser Gruppe die Durchführung aller Verwaltungsaufgaben in dieser verwalteten
Einheit. Die Mitglieder der Gruppe, der Sie eine Administratorfunktion zugewiesen haben, werden als
Delegierte Administratoren bezeichnet.
Gehen Sie folgendermaßen vor, um die Rolle „Vollzugriff“ für verwaltete Einheiten zuzuweisen:
1.
20
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf die verwaltete
Einheit „Sales“ und klicken Sie dann auf Kontrolle delegieren.
2.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf Hinzufügen.
3.
Folgen Sie den Schritten des Assistenten „Delegation der Kontrolle“.
4.
Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
5.
Wählen Sie die Gruppe aus, der Sie die Rolle „Vollzugriff“ zuweisen möchten, und klicken Sie
auf OK.
6.
Klicken Sie auf Weiter.
7.
Erweitern Sie auf der Seite Zugriffsvorlagen den Eintrag Active Directory, aktivieren Sie
das Kontrollkästchen neben All Objects – Full Control und klicken Sie dann auf Weiter.
Evaluatorhandbuch
8.
Klicken Sie auf Weiter, wiederum auf Weiter und dann auf Fertig stellen.
9.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf OK.
Wenn die Rolle „Vollzugriff“ für eine verwaltete Einheit zugewiesen wurde, ist der delegierte
Administrator berechtigt, die verwaltete Einheit anzuzeigen und alle darin enthaltenen Objekte zu
verwalten. In der ActiveRoles Server-Konsole wird die verwaltete Einheit unter Managed Units in der
Konsolenstruktur angezeigt.
Testen der Rechte des delegierten Administrators
Delegierte Administratoren können die ActiveRoles Server-Konsole verwenden, um Verwaltungsaufgaben innerhalb der verwalteten Einheit durchzuführen. Gehen Sie wie nachfolgend beschrieben vor,
um die Rechte des delegierten Administrators mittels der ActiveRoles Server-Konsole zu überprüfen.
Gehen Sie folgendermaßen vor, um die Delegation mittels der ActiveRoles Server-Konsole zu
überprüfen:
1.
Starten Sie die ActiveRoles Server-Konsole und stellen Sie als delegierter Administrator eine
Verbindung zum Verwaltungsserver her:
a) Klicken Sie mit der rechten Maustaste auf das Stammverzeichnis der Konsolenstruktur und
klicken Sie dann auf Verbinden.
b) Klicken Sie im Dialogfeld Verbindung zum Verwaltungsdienst herstellen auf Optionen.
c) Klicken Sie im Bereich Verbindung als auf Der folgende Benutzer und geben Sie dann
Benutzeranmeldenamen und das Kennwort des delegierten Administrators an.
2.
Erweitern Sie in der Konsolenstruktur den Eintrag Managed Units | Sales MU und wählen
Sie eine Organisationseinheit aus.
3.
Überprüfen Sie, ob Sie Objekte in der Organisationseinheit verwalten können: Klicken Sie mit
der rechten Maustaste auf ein Objekt im Bereich „Details“ und verwenden Sie die Befehle im
Kontextmenü.
4.
Überprüfen Sie, ob Sie neue Objekte erstellen können: Klicken Sie in der Konsolenstruktur
unter Verwaltete Vertriebseinheit mit der rechten Maustaste auf eine Organisationseinheit,
zeigen Sie auf Neu und wählen Sie den Typ des zu erstellenden Objekts aus.
Delegierte Administratoren können auch das Web-Interface verwenden, um Verwaltungsaufgaben durchzuführen. Gehen Sie wie nachfolgend beschrieben vor, um die Rechte des delegierten Administrators
mittels des ActiveRoles Server Web Interface zu überprüfen.
Gehen Sie folgendermaßen vor, um die Delegation mittels des Web-Interface zu überprüfen:
1.
Melden Sie sich mit dem Benutzernamen und dem Kennwort des delegierten Administrators
bei Ihrem Computer an.
2.
Stellen Sie eine Verbindung zum Web-Interface für Administratoren her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerAdmin auf.
3.
Zeigen Sie in der Menüleiste des Web-Interface auf Verzeichnisverwaltung und klicken Sie
dann auf Verwaltete Einheiten.
4.
Klicken Sie in der Liste der verwalteten Einheiten auf Vertrieb, um eine Liste der Organisationseinheiten anzuzeigen.
5.
Klicken Sie in der Liste der Organisationseinheiten auf eine Organisationseinheit, um eine
Liste der Objekte in dieser Organisationseinheit anzuzeigen.
6.
Überprüfen Sie, ob Sie neue Objekte in der Organisationseinheit erstellen und die Organisationseinheit mittels der Befehle auf der Registerkarte MENÜ im linken Bereich der Webseite verwalten
können.
21
Quest ActiveRoles Server
7.
Überprüfen Sie, ob Sie Objekte in der Organisationseinheit verwalten können: Klicken Sie auf
ein Objekt und verwenden Sie dann die Befehle auf der Registerkarte MENÜ im linken
Bereich der Webseite.
Sie können auch Befehle aus dem Dropdown-Listenfeld unter der Menüleiste oben auf der
Webseite auswählen, um die Baumstruktur im linken Bereich beizubehalten.
Verwenden von Bereitstellungsrichtlinien
In diesem Abschnitt sind die Verfahren zum Konfigurieren von Bereitstellungsrichtlinien und zum Anzeigen
der Funktionsweise der Durchsetzung von Bereitstellungsrichtlinien in ActiveRoles Server beschrieben.
Die Anweisungen in diesem Abschnitt setzen voraus, dass Sie als AR Server Admin angemeldet sind. Das
AR Server Admin-Konto wird bei der Installation des Verwaltungsdienstes angegeben. Die Standardeinstellung ist die lokale Administratorengruppe des Computers, auf dem der Verwaltungsdienst ausgeführt
wird.
Durchsetzen von Benutzernamenskonventionen
In diesem Abschnitt wird beschrieben, wie die folgenden Benutzernamenskonventionen durchgesetzt
werden:
•
Vollständiger Name muss ABC sein, wobei
A aus maximal 5 ersten Zeichen von Nachname besteht; bei einem langen Nachnamen
besteht A nur aus den ersten 5 Zeichen
B mindestens aus 2 Zeichen besteht: Nummerierung beginnend bei 00; bei einem kurzen
Nachname werden Füllzeichen hinzugefügt: 000, 0000, sodass AB aus genau 7 Zeichen
besteht
C aus einem ersten Zeichen des Vornamens besteht
Beispiel: ivano00a (ivano = 5 Zeichen von Nachname Ivanov; 00 = Nummerierung;
a = das erste Zeichen von Vorname Andre)
•
Benutzeranmeldename muss identisch sein mit Vollständiger Name.
•
Benutzeranmeldename (Prä-Windows 2000) muss identisch sein mit Vollständiger
Name
Um diese Namenskonventionen durchzusetzen, müssen Sie ein ActiveRoles Serverrichtlinienobjekt
erstellen und anwenden.
Erstellen und Anwenden des Richtlinienobjekts
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienobjekt mittels der ActiveRoles ServerKonsole zu erstellen und anzuwenden. Erstellen Sie zunächst das Richtlinienobjekt, konfigurieren Sie
dann die Richtlinie für die Eigenschaft Vollständiger Name und wenden Sie dann das Richtlinienobjekt
auf Ihre Testdomäne an. Als nächstes ändern Sie das Richtlinienobjekt, um die Richtlinie für die
Eigenschaften Benutzeranmeldename und Benutzeranmeldename (Prä-Windows 2000)
hinzuzufügen.
22
Evaluatorhandbuch
Gehen Sie folgendermaßen vor, um das Richtlinienobjekt zu erstellen und anzuwenden:
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration | Policies, klicken Sie mit
der rechten Maustaste auf Administration und wählen Sie dann Neu | Bereitstellungsrichtlinie.
2.
Klicken Sie auf der Seite Willkommen des Assistenten für ein neues Bereitstellungsrichtlinienobjekt auf Weiter.
3.
Geben Sie in das Feld Name den Namen für das Richtlinienobjekt ein: Durchsetzen von
Benutzernamenskonventionen. Klicken Sie auf Weiter.
4.
Wählen Sie auf der Seite Zu konfigurierende Richtlinie die Option Erzeugung und
Validierung von Eigenschaften aus. Klicken Sie auf Weiter.
5.
Klicken Sie auf der Seite Kontrollierte Eigenschaft auf Auswählen.
6.
Im Dialogfeld Objekttyp und -eigenschaft wählen:
a) Wählen Sie aus der Liste Objekttyp die Option Benutzer aus.
b) Wählen Sie aus der Liste Objekteigenschaft die Option Name aus.
c) Klicken Sie auf OK.
7.
Klicken Sie auf der Seite Kontrollierte Eigenschaft auf Weiter.
8.
Aktivieren Sie auf der Seite Richtlinienregel konfigurieren das Kontrollkästchen „Name“
muss den <Wert> haben und klicken Sie dann auf das Element <Klicken, um den Wert
hinzuzufügen> im Feld Richtlinienregel bearbeiten.
9.
Klicken Sie im Dialogfeld Wert hinzufügen auf Konfigurieren.
10. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
11. Im Fenster Eintrag hinzufügen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen und wählen Sie dann
Nachname aus der Liste Objekteigenschaft aus. Klicken Sie auf OK.
c) Klicken Sie auf Die ersten und geben Sie dann 5 in das Feld neben dieser Option ein.
d) Aktivieren Sie das Kontrollkästchen Ist der Wert kürzer, Füllzeichen am Ende des
Werts hinzufügen und geben Sie dann in das Feld Füllzeichen 0 ein.
e) Klicken Sie auf OK.
12. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
13. Klicken Sie im Fenster Eintrag hinzufügen auf Text, geben Sie 00 ein und klicken Sie dann
auf OK.
14. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
15. Im Fenster Eintrag hinzufügen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen und wählen Sie dann
Vorname aus der Liste Objekteigenschaft aus. Klicken Sie auf OK.
c) Klicken Sie auf Die ersten und geben Sie dann 1 in das Feld neben dieser Option ein.
d) Klicken Sie auf OK.
16. Klicken Sie im Dialogfeld Wert konfigurieren auf OK.
17. Klicken Sie im Dialogfeld Wert hinzufügen auf OK.
18. Klicken Sie auf der Seite Richtlinienregel konfigurieren auf Weiter.
19. Klicken Sie auf der Seite Richtlinienbeschreibung auf Weiter.
20. Klicken Sie auf der Seite Richtlinie erzwingen auf Hinzufügen.
23
Quest ActiveRoles Server
21. Wählen Sie im Fenster Objekte auswählen Ihre Testdomäne aus, klicken Sie auf Hinzufügen
und klicken Sie dann auf OK.
22. Klicken Sie auf Weiter und dann auf Fertig stellen.
Gehen Sie dann wie nachfolgend beschrieben vor, um die Richtlinie für die Eigenschaften Benutzeranmeldename und Benutzeranmeldename (Prä-Windows 2000) zu konfigurieren.
Gehen Sie folgendermaßen vor, um Richtlinie zum Richtlinienobjekt hinzuzufügen:
1.
Wählen Sie in der Konsolenstruktur Configuration | Policies | Administration.
2.
Klicken Sie im Bereich „Details“ mit der rechten Maustaste auf Benutzernamenkonventionen und klicken Sie dann auf Eigenschaften.
3.
Klicken Sie auf der Registerkarte Richtlinien im Dialogfeld Eigenschaften der Benutzernamenkonventionen auf Hinzufügen.
4.
Klicken Sie auf der Seite Willkommen Bereitstellungsrichtlinie hinzufügen des Assistenten
auf Weiter.
5.
Wählen Sie auf der Seite Zu konfigurierende Richtlinie die Option Erzeugung und
Validierung von Eigenschaften aus. Klicken Sie auf Weiter.
6.
Klicken Sie auf der Seite Kontrollierte Eigenschaft auf Auswählen.
7.
Im Dialogfeld Objekttyp und -eigenschaft wählen:
a) Wählen Sie aus der Liste Objekttyp die Option Benutzer aus.
b) Wählen Sie aus der Liste Objekteigenschaft die Option Kontoname (Benutzerprinzipalnamens-Präfix) aus.
c) Klicken Sie auf OK.
8.
Klicken Sie auf der Seite Kontrollierte Eigenschaft auf Weiter.
9.
Aktivieren Sie auf der Seite Richtlinienregel konfigurieren das Kontrollkästchen
„Kontoname (UPN-Präfix)“ muss den <Wert> haben und klicken Sie dann auf das
Element <Klicken, um den Wert hinzuzufügen> im Feld Richtlinienregel bearbeiten.
10. Klicken Sie im Dialogfeld Wert hinzufügen auf Konfigurieren.
11. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
12. Im Dialogfeld Eintrag hinzufügen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen und wählen Sie dann Name
aus der Liste Objekteigenschaft aus. Klicken Sie auf OK.
c) Klicken Sie auf OK.
13. Klicken Sie im Dialogfeld Wert konfigurieren auf OK.
14. Klicken Sie im Dialogfeld Wert hinzufügen auf OK.
15. Klicken Sie auf der Seite Richtlinienregel konfigurieren auf Weiter.
16. Klicken Sie auf Weiter und dann auf Fertig stellen.
17. Wiederholen Sie die Schritte 3-16 mit der folgenden Änderung, um die Richtlinie für Benutzeranmeldename (Prä-Windows 2000) zu konfigurieren:
•
Wählen Sie unter Schritt 7 aus der Liste Objekteigenschaft die Option Anmeldename
(Prä-Windows 2000) aus.
18. Klicken Sie im Dialogfeld Eigenschaften der Benutzernamenkonventionen auf OK.
24
Evaluatorhandbuch
Testen der Durchsetzung von Namenskonventionen
Gehen Sie wie nachfolgend beschrieben vor, um zu sehen, wie die Namenskonventionen durchgesetzt
werden, wenn Sie ein Benutzerkonto mittels der ActiveRoles Server-Konsole (MMC-Oberfläche) erstellen.
Gehen Sie folgendermaßen vor, um die Namenskonventionen mittels der ActiveRoles ServerKonsole zu überprüfen:
1.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit
in Ihrer Testdomäne und wählen Sie Neu | Benutzer aus.
2.
Füllen Sie die Felder Vorname und Nachname aus.
3.
Überprüfen Sie, ob die Konsole automatisch die Felder Vollständiger Name, Benutzeranmeldename und Benutzeranmeldename (Prä-Windows 2000) entsprechend der
Benutzernamenskonventionen ausfüllt.
4.
Schließen Sie den Assistenten „Neues Objekt – Benutzer“ ab.
5.
Klicken Sie mit der rechten Maustaste auf das neu erstellte Benutzerkonto und klicken Sie
dann auf Eigenschaften.
6.
Überprüfen Sie das Dialogfeld Eigenschaften, um sicher zu stellen, dass die Benutzereigenschaften den Namenskonventionen entsprechen.
Gehen Sie wie nachfolgend beschrieben vor, um zu sehen, wie die Namenskonventionen durchgesetzt
werden, wenn Sie ein Benutzerkonto mittels des ActiveRoles Server Web Interface erstellen.
Gehen Sie folgendermaßen vor, um die Namenskonventionen mittels des Web-Interface zu
überprüfen:
1.
Wählen Sie im Web-Interface für Administratoren eine Organisationseinheit aus Ihrer
Testdomäne aus.
2.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Neuer Benutzer.
3.
Füllen Sie die Felder Vorname und Nachname aus.
4.
Überprüfen Sie, ob das Web-Interface automatisch die Felder Name, Benutzeranmeldename und Benutzeranmeldename (Prä-Windows 2000) entsprechend der Benutzernamenskonventionen ausfüllt.
5.
Folgen Sie den Anweisungen des Assistenten, um die Erstellung des Benutzerkontos
abzuschließen.
Bereinigen Sie Ihre Testumgebung
Die von Ihnen in diesem Abschnitt konfigurierte und verwendete Richtlinie hat möglicherweise negative
Auswirkungen auf die in den folgenden Abschnitten beschriebenen Richtlinien. Um dieses Problem zu
vermeiden, sollten Sie die Auswirkungen der Richtlinie „Benutzernamenkonvention“ auf Ihre Testdomäne
sperren, bevor Sie mit den folgenden Abschnitten fortfahren.
Gehen Sie folgendermaßen vor, um die Auswirkungen der Richtlinie „Benutzernamenkonventionen“ zu blockieren:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf Ihre Testdomäne
und klicken Sie dann auf Richtlinie erzwingen.
2.
Suchen Sie im Fenster ActiveRoles Serverrichtlinie den Listeneintrag mit dem Namen
Benutzernamenkonventionen und aktivieren Sie dann das Kontrollkästchen Gesperrt in
diesem Eintrag.
3.
Klicken Sie auf OK, um das Fenster ActiveRoles Serverrichtlinie zu schließen.
25
Quest ActiveRoles Server
Verwenden einer Richtlinie bezüglich der Generierung
eines Anmeldenamens
Sie können eine Richtlinie bezüglich der Anmeldenamen-Generierungskategorie verwenden, um die
Zuweisung des Prä-Windows 2000-Benutzeranmeldenamens bei Erstellung oder Änderung eines
Benutzerkontos zu automatisieren. Bei der Konfiguration einer Richtlinie dieser Kategorie können Sie
mehrere Regeln definieren oder einen numerischen Inkrementalwert anwenden, um die Eindeutigkeit
des per Richtlinie generierten Namens zu gewährleisten.
Dieser Abschnitt deckt sowohl das Szenario ab, in dem eine eindeutige Nummer verwendet wird, als auch
das Szenario, das mehrere Regeln für die Generierung von Anmeldenamen umfasst.
Szenario 1: Verwenden einer Eindeutigkeitszahl
Die in diesem Szenario beschriebene Richtlinie generiert den Benutzer-Anmeldenamen (Prä-Windows 2000)
in Übereinstimmung mit folgender Regel: das erste Zeichen des Vornamens des Benutzers, dann optional
eine Eindeutigkeitszahl, dann der Nachname des Benutzers. Der von der Richtlinie generierte Name ist
höchstens 8 Zeichen lang. Wenn der Name länger ist, werden die hinteren Zeichen bei Bedarf abgeschnitten.
Es folgen Beispiele für Namen, die von dieser Richtlinie generiert werden:
•
JSmitson
•
J1Smitso
•
J2Smitso
Die Richtlinie generiert den Namen J1Smitso für den Benutzer John Smitson, falls der Name JSmitson
bereits verwendet wird. Wenn JSmitson und J1Smitso schon verwendet werden, generiert die Richtlinie
den Namen J2Smitso usw.
Um dieses Szenario zu implementieren, müssen Sie ein ActiveRoles Serverrichtlinienobjekt erstellen und
anwenden. In den folgenden beiden Abschnitten werden die Schritte zur Implementierung dieses
Szenarios detailliert erörtert.
Erstellen und Anwenden des Richtlinienobjekts
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienobjekt mittels der ActiveRoles ServerKonsole zu erstellen und anzuwenden.
Gehen Sie folgendermaßen vor, um das Richtlinienobjekt zu erstellen und anzuwenden:
26
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration | Policies, klicken Sie mit
der rechten Maustaste auf Administration und wählen Sie dann Neu | Bereitstellungsrichtlinie.
2.
Klicken Sie auf der Seite Willkommen des Assistenten für ein neues Bereitstellungsrichtlinienobjekt auf Weiter.
3.
Geben Sie in das Feld Name den Namen des Richtlinienobjekts ein: Erzeugung von
Benutzeranmeldenamen. Klicken Sie auf Weiter.
4.
Wählen Sie auf der Seite Zu konfigurierende Richtlinie die Option Erzeugung von
Benutzeranmeldenamen aus. Klicken Sie auf Weiter.
5.
Klicken Sie auf der Seite Regeln zur Erzeugung von Benutzeranmeldenamen
(Prä-Windows 2000) auf Hinzufügen.
6.
Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
Evaluatorhandbuch
7.
Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um das erste Zeichen des
Vornamens des Benutzers aufzunehmen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen.
c) Klicken Sie im Fenster Objekteigenschaft wählen auf Vorname in der Liste Objekteigenschaft und klicken Sie dann auf OK.
d) Klicken Sie unter Eintragseigenschaften auf Die ersten, und stellen Sie sicher, dass das
Feld neben dieser Option den Wert 1 enthält.
e) Klicken Sie auf OK.
8.
Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
9.
Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um optional eine eindeutige
Nummer aufzunehmen:
a) Klicken Sie unter Eintragstyp auf Eindeutigkeitszahl.
b) Klicken Sie unter Eintragseigenschaften auf Hinzufügen, wenn Eigenschaftswert in
Gebrauch ist.
c) Klicken Sie auf OK.
10. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
11. Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um den Nachnamen des
Benutzers aufzunehmen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen.
c) Klicken Sie im Fenster Objekteigenschaft wählen auf Nachname in der Liste Objekteigenschaft und klicken Sie dann auf OK.
d) Klicken Sie auf OK.
Jetzt sollte im Feld Konfigurierter Wert die folgende Syntax angezeigt werden:
%1<givenName>{@counter(optional)}%<sn>
12. Klicken Sie auf OK, um das Dialogfeld Wert konfigurieren zu schließen.
13. Klicken Sie auf der Seite Regeln zur Erzeugung von Benutzeranmeldenamen
(Prä-Windows 2000) auf die Schaltfläche Erweitert.
14. Geben Sie im Dialogfeld Erweitert in das Feld Maximale Länge in Zeichen den Wert 8 ein
und klicken Sie dann auf OK.
15. Klicken Sie auf der Seite Regeln zur Erzeugung von Benutzeranmeldenamen
(Prä-Windows 2000) auf Weiter.
16. Klicken Sie auf der Seite Richtlinie erzwingen auf Hinzufügen.
17. Wählen Sie im Fenster Objekte auswählen Ihre Testdomäne aus, klicken Sie auf Hinzufügen
und klicken Sie dann auf OK.
18. Klicken Sie auf Weiter und dann auf Fertig stellen.
Sie müssen einige Schritte durchführen, um die Auswirkungen der Standard-Richtlinie bezüglich der
Generierung eines Anmeldenamens zu umgehen. Sie können die Auswirkungen der Richtlinie für die
gesamte Domäne oder für einzelne Container innerhalb der Domäne blockieren.
27
Quest ActiveRoles Server
Gehen Sie folgendermaßen vor, um die Auswirkungen der Standard-Richtlinie bezüglich der
Generierung eines Anmeldenamens zu blockieren:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf Ihre Testdomäne
(oder auf einen bestimmten Container wie etwa eine Organisationseinheit) und klicken Sie
dann auf Richtlinie erzwingen.
2.
Suchen Sie im Fenster ActiveRoles Serverrichtlinie den Listeneintrag mit dem Namen
Built-in Policy – Default Logon Name und aktivieren Sie dann das Kontrollkästchen
Gesperrt in diesem Eintrag.
3.
Klicken Sie auf OK, um das Fenster ActiveRoles Serverrichtlinie zu schließen.
Testen der Richtlinie bezüglich der Generierung eines Anmeldenamens
Die Richtlinie hat folgende Auswirkungen auf den Vorgang der Benutzererstellung: Auf den Formularen
zur Erstellung eines Benutzers bieten die ActiveRoles Server-Benutzerschnittstellen eine Schaltfläche mit
dem Namen Generieren zur Erstellung eines Prä-Windows 2000-Benutzeranmeldenamens gemäß der
Richtlinie. Wenn Sie im Fall eines Namenskonflikts auf die Schaltfläche Generieren klicken, fügt die
Richtlinie dem Namen eine Eindeutigkeitszahl hinzu.
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienverhalten in der ActiveRoles ServerKonsole zu überprüfen.
Gehen Sie folgendermaßen vor, um das Richtlinienverhalten mittels der ActiveRoles ServerKonsole zu überprüfen:
1.
Erstellen Sie das Benutzerkonto für den ersten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit und wählen Sie dann Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert John ein. Geben Sie im Feld Nachname den
Wert Smitson ein.
c) Klicken Sie auf die Schaltfläche neben dem Feld Benutzeranmeldename
(Prä-Windows 2000).
Hierdurch wird JSmitson generiert.
d) Schließen Sie die Erstellung des Benutzerkontos ab.
2.
Erstellen Sie das Benutzerkonto für den zweiten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit und wählen Sie dann Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert Jane ein. Geben Sie im Feld Nachname den
Wert Smitson ein.
c) Klicken Sie auf die Schaltfläche neben dem Feld Benutzeranmeldename
(Prä-Windows 2000).
Hierdurch wird J1Smitso generiert, da der Name JSmitson bereits verwendet wird.
d) Schließen Sie die Erstellung des Benutzerkontos ab.
3.
Erstellen Sie das Benutzerkonto für den dritten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit in Ihrer Testdomäne und wählen Sie Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert Joanne ein. Geben Sie im Feld Nachname den
Wert Smitson ein.
28
Evaluatorhandbuch
c) Klicken Sie auf die Schaltfläche neben dem Feld Benutzeranmeldename
(Prä-Windows 2000).
Hierdurch wird J2Smitso generiert, da sowohl der Name JSmitson als auch der Name
J1Smitso bereits verwendet werden.
d) Schließen Sie die Erstellung des Benutzerkontos ab.
Szenario 2: Verwenden mehrerer Regeln
Die in diesem Szenario beschriebene Richtlinie nutzt mehrere Regeln für die Generierung des PräWindows 2000-Benutzeranmeldenamens auf der Grundlage der folgenden Regeln:
1.
Das erste Zeichen des Vornamens des Benutzers, gefolgt vom Nachnamen des Benutzers
2.
Die ersten beiden Zeichen des Vornamens des Benutzers, gefolgt vom Nachnamen des
Benutzers
3.
Die ersten drei Zeichen des Vornamens des Benutzers, gefolgt vom Nachnamen des Benutzers
Der von der Richtlinie generierte Name ist höchstens 8 Zeichen lang. Wenn der Name länger ist, werden
die hinteren Zeichen bei Bedarf abgeschnitten.
Es folgen Beispiele für Namen, die von dieser Richtlinie generiert werden:
•
JSmitson
•
JoSmitso
•
JohSmits
Die Richtlinie generiert den Namen JoSmitso für den Benutzer John Smitson, falls der Name JSmitson
bereits verwendet wird. Wenn JSmitson und JoSmitso schon verwendet werden, generiert die Richtlinie
den Namen JohSmits.
Wenn die Richtlinie keinen eindeutigen Namen generieren kann, ermöglicht Sie die manuelle Eingabe
eines Namens.
Um dieses Szenario zu implementieren, können Sie das im vorigen Szenario verwendete Richtlinienobjekt Erzeugung von Benutzeranmeldenamen neu konfigurieren.
Konfigurieren des Richtlinienobjekts
Verwenden Sie die ActiveRoles Server-Konsole, um die entsprechenden Änderungen am Richtlinienobjekt Erzeugung von Benutzeranmeldenamen vorzunehmen.
Gehen Sie folgendermaßen vor, um das Richtlinienobjekt zu ändern:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf das Richtlinienobjekt Erzeugung von Benutzeranmeldenamen und klicken Sie dann auf Eigenschaften.
2.
Wählen Sie auf der Registerkarte Richtlinien die Richtlinie aus und klicken Sie dann auf
Anzeigen/Bearbeiten.
3.
Entfernen Sie den Eintrag „Eindeutige Nummer“ aus der ersten Regel:
a) Wählen Sie auf der Registerkarte Generierungsregeln die Regel aus und klicken Sie dann
auf Anzeigen/Bearbeiten.
b) Wählen Sie im Dialogfeld Wert konfigurieren den Eintrag Eindeutigkeitszahl aus,
klicken Sie anschließend auf Entfernen und klicken Sie dann auf OK.
29
Quest ActiveRoles Server
4.
Fügen Sie die zweite Regel hinzu:
a) Klicken Sie auf der Registerkarte Generierungsregeln auf Hinzufügen.
b) Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
c) Im Fenster Eintrag hinzufügen:
•
Wählen Sie den Eintragstyp Benutzereigenschaft aus
•
Wählen Sie die Eigenschaft Vorname aus
•
Klicken Sie auf Die ersten und geben Sie 2 ein
•
Klicken Sie auf OK
d) Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
e) Im Fenster Eintrag hinzufügen:
•
Wählen Sie den Eintragstyp Benutzereigenschaft aus
•
Wählen Sie die Eigenschaft Nachname aus
•
Klicken Sie auf OK
f) Klicken Sie im Dialogfeld Wert konfigurieren auf OK.
5.
Wiederholen Sie Schritt 4 und ändern Sie dabei Unterschritt c) wie folgt, um die dritte Regel
hinzuzufügen: Klicken Sie auf Die ersten und geben Sie 3 ein.
6.
Aktivieren Sie auf der Registerkarte Generierungsregeln das Kontrollkästchen Manuelle
Bearbeitung von Anmeldenamen (Prä-Windows 2000) zulassen und klicken Sie dann
auf Nur wenn durch diese Richtlinie ein eindeutiger Aliasname generiert werden
kann.
7.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften der BenutzeranmeldenamenGenerierungsrichtlinie zu schließen.
8.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften für das Richtlinienobjekt zu schließen.
Testen der Richtlinie bezüglich der Generierung eines Anmeldenamens
Die Richtlinie hat folgende Auswirkungen auf den Vorgang der Benutzererstellung: Auf den Formularen
zur Erstellung eines Benutzers bieten die ActiveRoles Server-Benutzerschnittstellen eine Schaltfläche mit
dem Namen Generieren zur Erstellung eines Prä-Windows 2000-Benutzeranmeldenamens gemäß den
Richtlinien. Wenn Sie im Fall eines Namenskonflikts auf die Schaltfläche Generieren klicken, verwendet
die Richtlinie eine der folgenden Regeln.
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienverhalten in der ActiveRoles ServerKonsole zu überprüfen.
Gehen Sie folgendermaßen vor, um das Richtlinienverhalten mittels der ActiveRoles ServerKonsole zu überprüfen:
1.
Erstellen Sie das Benutzerkonto für den ersten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit und wählen Sie dann Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert Jack ein. Geben Sie im Feld Nachname den
Wert Smitson ein.
c) Klicken Sie auf die Schaltfläche neben dem Feld Benutzeranmeldename
(Prä-Windows 2000).
Hierdurch wird JaSmitso generiert. Die Richtlinie wendet die zweite Regel an.
d) Schließen Sie die Erstellung des Benutzerkontos ab.
30
Evaluatorhandbuch
2.
Erstellen Sie das Benutzerkonto für den zweiten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit und wählen Sie dann Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert Jay ein. Geben Sie im Feld Nachname den Wert
Smitson ein.
c) Klicken Sie auf die Schaltfläche neben dem Feld Benutzeranmeldename
(Prä-Windows 2000).
Hierdurch wird JaySmits generiert. Die Richtlinie wendet die dritte Regel an.
d) Schließen Sie die Erstellung des Benutzerkontos ab.
3.
Erstellen Sie das Benutzerkonto für den dritten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit und wählen Sie dann Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert Jaycob ein. Geben Sie im Feld Nachname den
Wert Smitson ein.
c) Klicken Sie auf die Schaltfläche neben dem Feld Benutzeranmeldename
(Prä-Windows 2000).
In diesem Fall schlägt die Generierung eines eindeutigen Namens durch die Richtlinie fehl, da
jede der drei Generierungsregeln einen Namen ausgibt, der bereits von einem in Ihrer
Testdomäne vorhandenen Benutzerkonto verwendet wird. Die Konsole fordert Sie zur Eingabe
eines Namens auf, da die Richtlinie so konfiguriert ist, dass sie diese Aktion in einer Situation,
in der sie keinen eindeutigen Namen generieren kann, zulässt.
Bereinigen Sie Ihre Testumgebung
Die von Ihnen in diesem Abschnitt konfigurierte und verwendete Richtlinie hat möglicherweise negative
Auswirkungen auf die in den folgenden Abschnitten beschriebenen Richtlinien. Um dieses Problem zu
vermeiden, sollten Sie die Auswirkungen der Richtlinie „Erzeugung von Benutzeranmeldenamen“ auf
Ihre Testdomäne sperren, bevor Sie mit den folgenden Abschnitten fortfahren.
Gehen Sie folgendermaßen vor, um die Auswirkungen der Richtlinie „Erzeugung von
Benutzeranmeldenamen“ zu blockieren:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf Ihre Testdomäne
und klicken Sie dann auf Richtlinie erzwingen.
2.
Suchen Sie im Fenster ActiveRoles Serverrichtlinie den Listeneintrag mit dem Namen
Erzeugung von Benutzeranmeldenamen und aktivieren Sie dann das Kontrollkästchen
Gesperrt in diesem Eintrag.
3.
Klicken Sie auf OK, um das Fenster ActiveRoles Serverrichtlinie zu schließen.
31
Quest ActiveRoles Server
Verwenden einer E-Mail-Aliaserzeugung-Richtlinie
Um das in diesem Abschnitt beschriebene Szenario zu implementieren, muss Microsoft Exchange 2000
oder höher in Ihrer Active Directory-Gesamtstruktur installiert sein.
Sie können eine Richtlinie der Kategorie „E-Mail-Aliaserzeugung“ verwenden, um die Zuordnung des
E-Mail-Alias bei der Festlegung eines Benutzers als Postfach-fähig auf dem Microsoft Exchange Server
zu automatisieren. Standardmäßig stellt Microsoft Exchange Server das folgende Format für E-MailAdressen von Empfängern bereit: <Alias>@<Domäne>. Sie können E-Mail-Aliase mittels vordefinierter
Regeln generieren oder benutzerdefinierte Regeln konfigurieren. Mit benutzerdefinierten Regeln können
darüber hinaus inkrementelle numerische Werte hinzugefügt werden, die dafür sorgen, dass der Alias
eindeutig ist.
Die in diesem Szenario beschriebene Richtlinie generiert den E-Mail-Alias anhand der folgenden Regel:
Vorname des Benutzers, optional eine dreistellige Eindeutigkeitszahl, dann ein Punkt und dann der
Nachname des Benutzers. Es folgen Beispiele für Aliase, die von dieser Regel generiert werden:
•
John.Smith
•
John001.Smith
•
John002.Smith
Die Richtlinie generiert den Alias John001.Smith für den Benutzer John Smith, falls der Alias John.Smith
bereits verwendet wird. Wenn John.Smith und John001.Smith schon verwendet werden, generiert die
Richtlinie den Alias John002.Smith, usw.
In den folgenden beiden Abschnitten werden die Schritte zur Implementierung dieses Szenarios detailliert
erörtert.
Erstellen und Anwenden des Richtlinienobjekts
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienobjekt mittels der ActiveRoles ServerKonsole zu erstellen und anzuwenden.
Gehen Sie folgendermaßen vor, um das Richtlinienobjekt zu erstellen und anzuwenden:
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration | Policies, klicken Sie mit
der rechten Maustaste auf Administration und wählen Sie dann Neu | Bereitstellungsrichtlinie.
2.
Klicken Sie auf der Seite Willkommen des Assistenten für ein neues Bereitstellungsrichtlinienobjekt auf Weiter.
3.
Geben Sie in das Feld Name den Namen des Richtlinienobjekts ein: E-Mail-Aliaserzeugung.
Klicken Sie auf Weiter.
4.
Klicken Sie auf der Seite Zu konfigurierende Richtlinie auf E-Mail-Aliaserzeugung.
Klicken Sie auf Weiter.
5.
Klicken Sie auf der Seite Regel zur E-Mail-Aliaserzeugung auf Andere Kombinationen
von Benutzereigenschaften und klicken Sie dann auf Konfigurieren.
6.
Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
7.
Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um den Vornamen des
Benutzers aufzunehmen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen.
32
Evaluatorhandbuch
c) Klicken Sie im Fenster Objekteigenschaft wählen auf Vorname in der Liste Objekteigenschaft und klicken Sie dann auf OK.
d) Klicken Sie auf OK.
8.
Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
9.
Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um optional eine eindeutige
Nummer aufzunehmen:
a) Klicken Sie unter Eintragstyp auf Eindeutigkeitszahl.
b) Legen Sie unter Eintragseigenschaften wie folgt die Eintragsoptionen fest:
•
Klicken Sie auf Hinzufügen, wenn Eigenschaftswert in Gebrauch ist.
•
Aktivieren Sie das Kontrollkästchen Zahl mit fester Länge und voranstehenden
Nullen.
•
Geben Sie in das Feld neben Länge der Zahl in Stellen den Wert 3 ein.
c) Klicken Sie auf OK.
10. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
11. Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um den Punkt aufzunehmen:
a) Geben Sie unter Eintragseigenschaften einen Punkt ein.
b) Klicken Sie auf OK.
12. Klicken Sie im Dialogfeld Wert konfigurieren auf Hinzufügen.
13. Konfigurieren Sie im Fenster Eintrag hinzufügen den Eintrag, um den Vornamen des Benutzers
aufzunehmen:
a) Klicken Sie unter Eintragstyp auf Benutzereigenschaft.
b) Klicken Sie unter Eintragseigenschaften auf Auswählen.
c) Klicken Sie im Fenster Objekteigenschaft wählen auf Nachname in der Liste Objekteigenschaft und klicken Sie dann auf OK.
d) Klicken Sie auf OK.
Jetzt sollte im Feld Konfigurierter Wert die folgende Syntax angezeigt werden:
%<givenName>{@counter(optional,3)}.%<sn>
14. Klicken Sie auf OK, um das Dialogfeld Wert konfigurieren zu schließen.
15. Klicken Sie auf der Seite Regel zur E-Mail-Aliaserzeugung auf Weiter.
16. Klicken Sie auf der Seite Richtlinie erzwingen auf Hinzufügen.
17. Wählen Sie im Fenster Objekte auswählen Ihre Testdomäne aus, klicken Sie auf Hinzufügen
und klicken Sie dann auf OK.
18. Klicken Sie auf Weiter und dann auf Fertig stellen.
Sie müssen einige Schritte durchführen, um die Auswirkungen der Standard-Richtlinie bezüglich der
Generierung eines E-Mail-Alias zu umgehen. Sie können die Auswirkungen der Richtlinie für die gesamte
Domäne oder für einzelne Container innerhalb der Domäne blockieren.
Gehen Sie folgendermaßen vor, um die Standard-Richtlinie zur Generierung eines E-Mail-Alias
zu umgehen:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf Ihre Testdomäne
(oder auf einen bestimmten Container wie etwa eine Organisationseinheit) und klicken Sie
dann auf Richtlinie erzwingen.
2.
Suchen Sie im Fenster ActiveRoles Serverrichtlinie den Listeneintrag mit dem Namen
Built-in Policy – Default E-mail Alias und aktivieren Sie dann das Kontrollkästchen
Gesperrt in diesem Eintrag.
3.
Klicken Sie auf OK, um das Fenster ActiveRoles Serverrichtlinie zu schließen.
33
Quest ActiveRoles Server
Testen der Richtlinie „E-Mail-Aliaserzeugung“
Die Richtlinie hat folgende Auswirkungen auf den Vorgang der Benutzererstellung: Auf den Formularen
zur Erstellung eines Benutzers bieten die ActiveRoles Server-Benutzerschnittstellen eine Schaltfläche mit
dem Namen Generieren zur Erstellung eines E-Mail-Alias gemäß der Richtlinie. Wenn Sie im Fall eines
Aliasnamenskonflikts auf die Schaltfläche Generieren klicken, fügt die Richtlinie dem Alias eine
Eindeutigkeitszahl hinzu.
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienverhalten in der ActiveRoles ServerKonsole zu überprüfen.
Gehen Sie folgendermaßen vor, um das Richtlinienverhalten mittels der ActiveRoles ServerKonsole zu überprüfen:
1.
Erstellen Sie das Benutzerkonto für den ersten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit in Ihrer Testdomäne und wählen Sie Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert John ein. Geben Sie im Feld Nachname den
Wert Smith ein.
c) Füllen Sie die Felder Benutzeranmeldename und Benutzeranmeldename
(Prä-Windows 2000) aus.
d) Klicken Sie auf Weiter.
e) Füllen Sie die Felder Kennwort und Kennwortbestätigung aus und klicken Sie dann auf
Weiter.
f) Klicken Sie auf die Schaltfläche neben dem Feld Alias.
Hierdurch wird John.Smith als der E-Mail-Alias generiert.
g) Schließen Sie die Erstellung des Benutzerkontos ab.
2.
Erstellen Sie das Benutzerkonto für den zweiten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit in Ihrer Testdomäne und wählen Sie Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert John ein. Geben Sie in das Feld Initialen den
Wert A und in das Feld Nachname den Wert Smith ein.
c) Füllen Sie die Felder Benutzeranmeldename und Benutzeranmeldename
(Prä-Windows 2000) aus.
d) Klicken Sie auf Weiter.
e) Füllen Sie die Felder Kennwort und Kennwortbestätigung aus und klicken Sie dann auf
Weiter.
f) Klicken Sie auf die Schaltfläche neben dem Feld Alias.
Hierdurch wird John001.Smith als der E-Mail-Alias generiert, da der Alias John.Smith
bereits verwendet wird.
g) Schließen Sie die Erstellung des Benutzerkontos ab.
3.
Erstellen Sie das Benutzerkonto für den dritten Benutzer:
a) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit in Ihrer Testdomäne und wählen Sie Neu | Benutzer aus.
b) Geben Sie in das Feld Vorname den Wert John ein. Geben Sie in das Feld Initialen den
Wert B und in das Feld Nachname den Wert Smith ein.
34
Evaluatorhandbuch
c) Füllen Sie die Felder Benutzeranmeldename und Benutzeranmeldename
(Prä-Windows 2000) aus.
d) Klicken Sie auf Weiter.
e) Füllen Sie die Felder Kennwort und Kennwortbestätigung aus und klicken Sie dann auf
Weiter.
f) Klicken Sie auf die Schaltfläche neben dem Feld Alias.
Hierdurch wird John002.Smith als der E-Mail-Alias generiert, da die Aliase John.Smith als
auch John001.Smith bereits verwendet werden.
Bereinigen Sie Ihre Testumgebung
Die von Ihnen in diesem Abschnitt konfigurierte und verwendete Richtlinie hat möglicherweise negative
Auswirkungen auf die in den folgenden Abschnitten beschriebenen Richtlinien. Um dieses Problem zu
vermeiden, sollten Sie die Auswirkungen der Richtlinie „E-Mail-Aliaserzeugung“ auf Ihre Testdomäne
sperren, bevor Sie mit den folgenden Abschnitten fortfahren.
Gehen Sie folgendermaßen vor, um die Auswirkungen der Richtlinie „E-Mail-Aliaserzeugung“
zu blockieren:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf Ihre Testdomäne
und klicken Sie dann auf Richtlinie erzwingen.
2.
Suchen Sie im Fenster ActiveRoles Serverrichtlinie den Listeneintrag mit dem Namen
E-Mail-Aliaserzeugung und aktivieren Sie dann das Kontrollkästchen Gesperrt in diesem
Eintrag.
3.
Klicken Sie auf OK, um das Fenster ActiveRoles Serverrichtlinie zu schließen.
Durchsetzen von Gruppentyp-Einschränkungen
In diesem Szenario wird das Konfigurieren einer Richtlinie beschrieben, mit der sichergestellt wird, dass
nur universelle Gruppen für die Verwendung von E-Mail aktiviert werden können. Das Skript verhindert,
dass ActiveRoles Server neue für die Verwendung von E-Mail aktivierte, nicht universelle Gruppen
erstellt oder vorhandene nicht universelle Gruppen für die Verwendung von E-Mail aktiviert.
Für dieses Szenario muss Exchange 2000 oder höher in Ihrer Testdomäne installiert sein.
Die Richtlinie basiert auf einem Skript, das den Gruppentyp erkennt und sicherstellt, dass nur universelle
Gruppen als E-Mail-fähig festgelegt werden können. Das Skript ist im ActiveRoles Server SDK und
Ressourcen-Kit enthalten. Sie können ausgehend vom Menü Starten auf SDK und auf das RessourcenKit zugreifen:
•
Klicken Sie auf Starten und wählen Sie dann Alle Programme (oder Programme) | Quest
Software | ActiveRoles Server | SDK and Resource Kit.
35
Quest ActiveRoles Server
Vorbereiten des Skriptmoduls
Um diese Richtlinie zu implementieren, müssen Sie zunächst das entsprechende Skriptmodul mittels der
ActiveRoles Server-Konsole vorbereiten.
Gehen Sie folgendermaßen vor, um das Skriptmodul vorzubereiten:
1.
Erweitern Sie in der Konsolenstruktur Configuration, klicken Sie mit der rechten Maustaste
auf Script Modules und klicken Sie dann auf Importieren.
2.
Verwenden Sie das Fenster Skript importieren, um die Datei RestrictDistrGroups.vbs zu
öffnen, die unter Programm dateien\Quest Software\ActiveRoles Server\SDK\
Beispiele\RestrictDistrGroups\ gespeichert ist.
3.
Klicken Sie im Dialogfeld Skript auf OK.
Das Modul RestrictDistrGroups wird im Container Script Modules erstellt. Sie können den Skriptcode
im Bereich „Details“ anzeigen, indem Sie das Modul in der Konsolenstruktur auswählen.
Erstellen und Anwenden des Richtlinienobjekts
Nachdem Sie das Skriptmodul vorbereitet haben, können Sie das Richtlinienobjekt mittels der ActiveRoles
Server-Konsole erstellen, konfigurieren und anwenden.
Gehen Sie folgendermaßen vor, um das Richtlinienobjekt zu erstellen und anzuwenden:
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration | Policies, klicken Sie mit
der rechten Maustaste auf Administration und wählen Sie dann Neu | Bereitstellungsrichtlinie.
2.
Klicken Sie auf der Seite Willkommen des Assistenten für ein neues Bereitstellungsrichtlinienobjekt auf Weiter.
3.
Geben Sie in das Feld Name den Namen des Richtlinienobjekts ein: Durchsetzen von
Gruppentyp-Einschränkungen. Klicken Sie auf Weiter.
4.
Wählen Sie auf der Seite Zu konfigurierende Richtlinie die Option Skriptausführung
aus. Klicken Sie auf Weiter.
5.
Wählen Sie auf der Seite Skriptmodul die Option RestrictDistrGroups aus. Klicken Sie auf
Weiter.
6.
Klicken Sie auf der Seite Richtlinie erzwingen auf Hinzufügen.
7.
Wählen Sie im Fenster Objekte auswählen Ihre Testdomäne aus, klicken Sie auf Hinzufügen
und klicken Sie dann auf OK.
8.
Klicken Sie auf Weiter und dann auf Fertig stellen.
Testen der Gruppentyp-Einschränkungen
Gehen Sie wie nachfolgend beschrieben vor, um zu sehen, wie Gruppentyp-Einschränkungen durchgesetzt werden, wenn Sie eine E-Mail-fähige Gruppe mittels der ActiveRoles Server-Konsole erstellen.
Gehen Sie folgendermaßen vor, um die Gruppentyp-Einschränkungen zu überprüfen:
36
1.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf eine Organisationseinheit
in Ihrer Testdomäne und wählen Sie Neu | Gruppe aus.
2.
Geben Sie einen Namen für die Gruppe ein.
3.
Klicken Sie unter Gruppentyp auf Verteilung.
4.
Klicken Sie unter Gruppenbereich auf Lokale Domäne oder Global.
5.
Klicken Sie auf Weiter.
Evaluatorhandbuch
6.
Aktivieren Sie das Kontrollkästchen Exchange-E-Mail-Adresse erstellen.
7.
Klicken Sie zweimal auf Weiter und dann auf Fertig stellen.
8.
Klicken Sie im Fehlermeldungsfeld auf OK.
9.
Klicken Sie dreimal auf Zurück und klicken Sie dann auf Universell unter Gruppenbereich.
10. Klicken Sie drei Mal auf Weiter und dann auf Fertig stellen. Die neue Gruppe wurde
erfolgreich erstellt.
Sie können auch überprüfen, ob die Richtlinie die Änderung des Gruppentyps unterbindet, wenn die
Gruppe E-Mail-fähig ist. Zeigen Sie das Dialogfeld „Eigenschaften“ für Ihre neu erstellte Gruppe an,
wählen Sie einen anderen Gruppentyp aus und klicken Sie dann auf OK. Die Konsole weist Ihre
Änderungen zurück und zeigt die entsprechende Fehlermeldung an.
Verwenden einer Stammordner-Bereitstellungsrichtlinie
In diesem Abschnitt wird beschrieben, wie Sie ActiveRoles Server so konfigurieren, dass es automatisch
den Stammordner des Benutzers auf einem bestimmten Dateiserver erstellt oder umbenennt, wenn ein
Benutzer mittels ActiveRoles Server erstellt oder umbenannt wird. In diesem Szenario bedeutet
Umbenennen eines Benutzers das Ändern der Eigenschaft „Benutzeranmeldename“ (Prä-Windows 2000)
des Benutzerkontos.
Dieses Szenario erfordert, dass das Verwaltungsdienstkonto ein Mitglied der Administratorengruppe des
Dateiservers ist, auf dem ActiveRoles Server die Stammordner verwalten soll. Den Namen und das
Kennwort dieses Kontos geben Sie bei der Installation des Verwaltungsdienstes ein (siehe „Installieren
des Verwaltungsdienstes und der Konsole“ im Abschnitt „Testlabor-Konfiguration“ weiter oben in diesem
Dokument).
Um diese Richtlinie zu implementieren, müssen Sie ein ActiveRoles Serverrichtlinienobjekt erstellen und
anwenden.
Erstellen und Anwenden des Richtlinienobjekts
Gehen Sie wie nachfolgend beschrieben vor, um das Richtlinienobjekt mittels der ActiveRoles ServerKonsole zu erstellen und anzuwenden.
Gehen Sie folgendermaßen vor, um das Richtlinienobjekt zu erstellen und anzuwenden:
1.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration | Policies, klicken Sie mit
der rechten Maustaste auf Administration und wählen Sie dann Neu | Bereitstellungsrichtlinie.
2.
Klicken Sie auf der Seite Willkommen des Assistenten für ein neues Bereitstellungsrichtlinienobjekt auf Weiter.
3.
Geben Sie in das Feld Name den Namen des Richtlinienobjekts ein: Behandlung von
Stammordnern. Klicken Sie auf Weiter.
4.
Wählen Sie auf der Seite Zu konfigurierende Richtlinie die Option Automatische
Bereitstellung des Stammordners aus. Klicken Sie auf Weiter.
37
Quest ActiveRoles Server
5.
Auf der Seite Stammordnerverwaltung:
a) Geben Sie in das Feld Bis \\<Server>\<Home>\%USERNAME% ein, wobei <Server> der
Name Ihres Dateiservers und <Home> der Name einer Netzwerkfreigabe auf Ihrem
Dateiserver ist. Die Richtlinie wird Stammordner in der von Ihnen angegebenen
Netzwerkfreigabe erstellen.
b) Aktivieren Sie die Kontrollkästchen Diese Stammordner-Einstellung anwenden,
wenn das Benutzerkonto erstellt wird und Diese Stammordner-Einstellung
anwenden, wenn das Benutzerkonto umbenannt wird check boxes.
c) Stellen Sie sicher, dass das Kontrollkästchen Stammverzeichnis auf Dateiserver bei
Bedarf erstellen oder umbenennen aktiviert ist.
d) Klicken Sie auf Weiter.
6.
Klicken Sie auf der Seite Stammfreigabenverwaltung auf Weiter.
7.
Klicken Sie auf der Seite Richtlinie erzwingen auf Hinzufügen.
8.
Wählen Sie im Fenster Objekte auswählen Ihre Testdomäne aus, klicken Sie auf Hinzufügen
und klicken Sie dann auf OK.
9.
Klicken Sie auf Weiter und dann auf Fertig stellen.
Testen der Stammordner-Richtlinie
Gehen Sie wie nachfolgend beschrieben vor, um zu sehen, wie ActiveRoles Server den Stammordner des
Benutzers verwaltet, wenn Sie ein Benutzerkonto mittels der ActiveRoles Server-Konsole erstellen oder
umbenennen.
Gehen Sie folgendermaßen vor, um die Stammordner-Richtlinie zu überprüfen:
38
1.
Erstellen Sie mit Hilfe der ActiveRoles Server-Konsole ein Benutzerkonto in einer beliebigen
Organisationseinheit in Ihrer Testdomäne.
2.
Klicken Sie mit der rechten Maustaste auf das in Schritt 1 erstellte Benutzerkonto und klicken
Sie dann auf Eigenschaften.
3.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Profil.
4.
Überprüfen Sie auf der Registerkarte Profil im Bereich Stammordner den Pfad des Stammordners: Der Pfad ist identisch mit dem von Ihnen bei der Erstellung des Richtlinienobjekts
angegebenen Netzwerkpfad, wobei der Benutzeranmeldename (Prä-Windows 2000) durch
%USERNAME% ersetzt wird.
5.
Überprüfen Sie auf Ihrem Dateiserver, ob der Stammordner erstellt wird.
6.
Klicken Sie im Dialogfeld Eigenschaften für das Benutzerkonto auf die Registerkarte Konto.
7.
Ändern Sie den Wert im Feld Benutzeranmeldename (Prä-Windows 2000) und klicken
Sie dann auf Anwenden.
8.
Überprüfen Sie auf der Registerkarte Profil im Bereich Stammordner den Pfad des Stammordners: Der Name des Stammordners ist identisch mit dem neuen Wert des Benutzeranmeldenamens (Prä-Windows 2000).
9.
Überprüfen Sie auf Ihrem Dateiserver, ob der Stammordner umbenannt wird.
Evaluatorhandbuch
Verwalten von Exchange-Empfängern
Dieser Abschnitt enthält Beispielverfahren, die veranschaulichen, wie Sie die ActiveRoles Server-Konsole
oder das Web-Interface nutzen können, um Exchange-Aufgaben durchzuführen und um Exchangebezogene Eigenschaften von Benutzern und Gruppen zu verwalten. Um diese Verfahren nachvollziehen
zu können, muss Microsoft Exchange 2000 oder höher in Ihrer Testdomäne installiert sein.
Konfigurieren eines vorhandenen Benutzers als
Postfach-fähig
Mit Hilfe der ActiveRoles Server-Konsole oder des Web-Interface können Sie ein Exchange-Postfach für
ein vorhandenes Benutzerkonto erstellen. Gehen Sie hierzu wie nachfolgend beschrieben vor.
Gehen Sie folgendermaßen vor, um ein Benutzerkonto mittels der ActiveRoles Server-Konsole
als Postfach-fähig zu konfigurieren:
1.
Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, das Sie ändern möchten, und
klicken Sie dann auf Exchange-Aufgaben.
2.
Klicken Sie im Assistenten für Exchange-Aufgaben auf Weiter, klicken Sie dann auf Benutzerpostfach erstellen und anschließend auf Weiter.
3.
Überprüfen Sie die Informationen in den Feldern Alias und Postfachspeicher oder Datenbank auf ihre Richtigkeit und klicken Sie dann auf Weiter.
4.
Klicken Sie auf Fertig stellen.
Gehen Sie folgendermaßen vor, um ein Benutzerkonto mittels des Web-Interface als
Postfach-fähig zu konfigurieren:
1.
Stellen Sie eine Verbindung zum Web-Interface für Administratoren her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerAdmin auf.
2.
Geben Sie in das Feld Schnellsuche auf der Web-Interface-Startseite den Namen des
Benutzerkontos ein, das Sie ändern möchten. Drücken Sie die Eingabetaste.
3.
Klicken Sie in der Suchergebnisliste auf den Namen des Benutzerkontos.
4.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Benutzerpostfach erstellen.
Wenn der Befehl Benutzerpostfach erstellen nicht verfügbar ist, verfügt der ausgewählte
Benutzer bereits über ein Postfach.
5.
Überprüfen Sie die Informationen in den Feldern Alias und Postfachspeicher oder
Datenbank auf ihre Richtigkeit und klicken Sie dann auf die Schaltfläche Fertig stellen.
Ändern der E-Mail-Adresse eines Benutzers
Sie können die ActiveRoles Server-Konsole oder das Web-Interface verwenden, um die E-Mail-Adresse
eines Postfach-fähigen Benutzers zu ändern. Gehen Sie hierzu wie nachfolgend beschrieben vor.
Gehen Sie folgendermaßen vor, um die E-Mail-Adresse mittels der ActiveRoles Server-Konsole
zu ändern:
1.
Klicken Sie mit der rechten Maustaste auf das Postfach-fähige Benutzerkonto, das Sie ändern
möchten, und klicken Sie dann auf Eigenschaften.
2.
Doppelklicken Sie auf der Registerkarte E-Mail-Adressen auf die Adresse, die Sie ändern
möchten.
39
Quest ActiveRoles Server
3.
Ändern Sie die E-Mail-Adressdaten, die für die von Ihnen ausgewählte Adresse angezeigt
werden, und klicken Sie dann auf OK.
4.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.
Gehen Sie folgendermaßen vor, um die E-Mail-Adresse mittels des Web-Interface zu ändern:
1.
Stellen Sie eine Verbindung zum Web-Interface für Administratoren her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerAdmin auf.
2.
Klicken Sie auf der Startseite des Web-Interface auf Verzeichnisverwaltung.
3.
Geben Sie in das Feld Schnellsuche in der Menüleiste des Web-Interface den Namen des
Postfach-fähigen Benutzerkontos ein, das Sie ändern möchten. Drücken Sie die Eingabetaste.
4.
Klicken Sie in der Suchergebnisliste auf den Namen des Benutzerkontos.
5.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf ExchangeEigenschaften.
6.
Klicken Sie auf die Registerkarte E-Mail-Adressen.
7.
Klicken Sie im Feld E-Mail-Adressen auf die Adresse, die Sie ändern möchten.
8.
Klicken Sie auf die Schaltfläche Bearbeiten.
9.
Ändern Sie die E-Mail-Adressdaten, die für die von Ihnen ausgewählte Adresse angezeigt
werden, und klicken Sie dann auf OK.
10. Klicken Sie auf die Schaltfläche Speichern, um Ihre Änderungen zu übernehmen.
Verwalten von Berechtigungseinträgen in
Active Directory
Die ActiveRoles Server-Konsole bietet eine zentralisierte Ansicht aller Berechtigungseinträge für jedes
beliebige Objekt in Active Directory. Für jeden Berechtigungseintrag wird in der Ansicht eine Reihe von
Eigenschaften einschließlich der Beschreibung, des Ursprungs und des Sicherheitsprinzipals der
Berechtigung angezeigt. Zusätzliche Eigenschaften von Berechtigungseinträgen können angezeigt
werden. Außerdem kann auf den Editor für die einheitliche Sicherheit zugegriffen werden.
Um die Verwaltung von Berechtigungseinträgen weiter zu erleichtern und zu verbessern, ermöglicht
ActiveRoles Server die Angabe von Berechtigungen in Active Directory mit Hilfe von Zugriffsvorlagen.
ActiveRoles Server stellt die Option bereit, die einheitliche Sicherheit von Active Directory anhand
ausgewählter Berechtigungen aktuell zu halten, die mit Hilfe von Zugriffsvorlagen angegeben werden.
In diesem Abschnitt sind Verfahren aufgeführt, die es ermöglichen, zu sehen, wie ActiveRoles Server Sie
bei der Verwaltung von Active Directory-Berechtigungseinträgen unterstützt.
Anzeigen oder Ändern von Berechtigungseinträgen
Gehen Sie wie nachfolgend beschrieben vor, um Active Directory-Berechtigungseinträge mittels der
ActiveRoles Server-Konsole zu verwalten.
Gehen Sie folgendermaßen vor, um Berechtigungseinträge anzuzeigen oder zu ändern:
1.
Aktivieren Sie im Menü Ansicht das Kontrollkästchen Erweiterte Detailansicht.
Hierdurch wird der untere Teilbereich im Bereich „Details“ angezeigt.
2.
40
Erweitern Sie in der Konsolenstruktur den Eintrag Active Directory und durchsuchen Sie die
Domäne, um ein Verzeichnisobjekt oder einen Container zu suchen und auszuwählen.
Evaluatorhandbuch
3.
Klicken Sie im unteren Unterbereich des Bereichs „Details“ auf die Registerkarte Einheitliche
Sicherheit.
Diese Registerkarte zeigt eine Liste aller Berechtigungseinträge für das ausgewählte Objekt
oder für den ausgewählten Container.
4.
Klicken Sie auf der Registerkarte Einheitliche Sicherheit mit der rechten Maustaste auf
einen Eintrag in der Liste und klicken Sie dann auf Eigenschaften, um den ausgewählten
Berechtigungseintrag zu überprüfen.
Das Fenster ACE-Eigenschaften zeigt die folgenden Eigenschaften des von Ihnen ausgewählten
Berechtigungseintrags an:
•
Typ Berechtigungstyp (Zulassen oder Verweigern).
•
Status Überprüfen Sie für einen Eintrag, der mit Hilfe einer Zugriffsvorlage angegeben
wurde, ob der Eintrag mit ActiveRoles Server übereinstimmt (OK, wenn er übereinstimmt,
oder andernfalls die Anzeige eines Problems). Ignorieren Sie diesen Punkt, wenn der
Eintrag auf andere Weise angegeben wurde.
•
Trustee Sicherheitsprinzipal, dem der Berechtigungseintrag zugewiesen ist.
•
Quelle Gibt für einen mit Hilfe einer Zugriffsvorlage angegebenen Eintrag den Namen
der Zugriffsvorlage an. <Keine> oder Standard-AD-Sicherheit, wenn der Eintrag auf
andere Weise angegeben ist.
•
Geerbt von Container, von dem der Berechtigungseintrag geerbt wurde (falls vorhanden).
•
Gilt für Element, auf das der Berechtigungseintrag angewandt wird (nur dieses Objekt,
dieses Objekt und alle untergeordneten Objekte etc.).
•
Berechtigungen Liste von Berechtigungen, die im Berechtigungseintrag angegeben sind.
5.
Um einen Berechtigungseintrag zu löschen, klicken Sie mit der rechten Maustaste auf den
Eintrag und klicken Sie dann auf Löschen.
6.
Um den nativen Active Directory ACL-Editor zu starten, klicken Sie mit der rechten Maustaste
auf einen Berechtigungseintrag und klicken Sie dann auf Einheitliche Sicherheit bearbeiten:
Sie können den ACL-Editor verwenden, um Berechtigungseinträge hinzuzufügen und um
vorhandene Berechtigungseinträge anzuzeigen bzw. zu ändern.
Verwalten der einheitlichen Sicherheit mittels
Zugriffsvorlagen
Gehen Sie in der ActiveRoles Server-Konsole wie nachfolgend beschrieben vor, um Berechtigungseinträge mit Hilfe von Zugriffsvorlagen zu Active Directory hinzuzufügen.
Gehen Sie folgendermaßen vor, um eine Zugriffsvorlage auf Active Directory anzuwenden:
1.
Wählen Sie einen Active Directory-Container aus, zu dem Sie Berechtigungseinträge
hinzufügen möchten.
2.
Klicken Sie mit der rechten Maustaste auf die Auswahl und klicken Sie dann auf Kontrolle
delegieren.
3.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf Hinzufügen.
4.
Folgen Sie den Schritten des Assistenten „Delegation der Kontrolle“.
5.
Aktivieren Sie auf der Seite Berechtigungsweitergabe das Kontrollkästchen Berechtigungen
an Active Directory weitergeben.
6.
Schließen Sie den Assistenten „Delegation der Kontrolle“ ab.
7.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf OK.
Wenn Sie diese Schritte durchgeführt haben, werden neue Berechtigungseinträge in Active Directory
erstellt. Sie können sie mit Hilfe der ActiveRoles Server-Konsole überprüfen.
41
Quest ActiveRoles Server
Gehen Sie folgendermaßen vor, um Berechtigungseinträge zu überprüfen:
•
Wählen Sie den in Schritt 1 des vorigen Verfahrens ausgewählten Container aus und
überprüfen Sie die Liste der Berechtigungseinträge auf der Registerkarte Einheitliche
Sicherheit im unteren Teilbereich des Bereichs „Details“.
Die neuen Einträge werden zur Liste hinzugefügt. Der Name einer Zugriffsvorlage in der
Spalte Quelle gibt die Einträge an, die durch Verwendung dieser Zugriffsvorlage festgelegt
wurden.
ActiveRoles Server gewährleistet die unidirektionale Synchronisation von der ActiveRoles ServerSicherheit zu jedem Berechtigungseintrag, der mit der Option zur Verbreitung von Berechtigungen
definiert wurde.
Gehen Sie folgendermaßen vor, um die Synchronisation von Berechtigungen zu verwalten:
1.
Rufen Sie die Registerkarte AR-Serversicherheit im erweiterten Detailfenster auf.
Die Spalte Mit einheitlicher Sicherheit synchronisieren gibt an, ob Berechtigungen mit
Active Directory synchronisiert sind oder nicht.
2.
Klicken Sie auf der Registerkarte AR-Serversicherheit mit der rechten Maustaste auf einen
Eintrag mit der Bezeichnung Ja in der Spalte Mit einheitlicher Sicherheit synchronisieren,
klicken Sie anschließend auf Desynchronisieren mit AD und klicken Sie dann auf Ja.
Die Bezeichnung in der Spalte Mit einheitlicher Sicherheit synchronisieren ändert sich in
Nein.
3.
Rufen Sie die Registerkarte Einheitliche Sicherheit auf und aktualisieren Sie die Ansicht
(drücken Sie F5).
ActiveRoles Server entfernt die mit dem von Ihnen in Schritt 2 ausgewählten Eintrag verbundenen
Berechtigungseinträge.
4.
Rufen Sie die Registerkarte AR-Serversicherheit auf, klicken Sie mit der rechten Maustaste
auf den Eintrag, den Sie in Schritt 2 ausgewählt haben, und klicken Sie dann auf Mit AD
synchronisieren.
Die Bezeichnung in der Spalte Mit einheitlicher Sicherheit synchronisieren ändert sich in Ja.
5.
Rufen Sie die Registerkarte Einheitliche Sicherheit auf und aktualisieren Sie die Ansicht
(drücken Sie F5).
ActiveRoles Server fügt die Berechtigungseinträge hinzu, die dem Eintrag entsprechen, den
Sie auf der Registerkarte AR-Serversicherheit ausgewählt haben.
6.
Rufen Sie die Registerkarte AR-Serversicherheit auf, klicken Sie mit der rechten Maustaste
auf einen leeren Bereich der Registerkarte und klicken Sie dann auf Hinzufügen.
7.
Folgen Sie den Anweisungen des Assistent für die Kontrolldelegierung, um eine Zugriffsvorlage anzuwenden.
8.
Aktivieren Sie auf der Seite Berechtigungsweitergabe des Assistenten das Kontrollkästchen Berechtigungen an Active Directory weitergeben.
9.
Rufen Sie die Registerkarte Einheitliche Sicherheit auf und aktualisieren Sie die Ansicht
(drücken Sie F5).
ActiveRoles Server fügt die Berechtigungseinträge hinzu, die den von Ihnen angewandten
Zugriffsvorlagen entsprechen.
42
Evaluatorhandbuch
Verwenden von dynamischen Gruppen
Die Gruppen, deren Mitgliedschaftslisten automatisch von ActiveRoles Server gepflegt werden, werden
als Dynamische Gruppen bezeichnet. ActiveRoles Server gewährleistet für dynamische Gruppen, dass
deren Mitgliedschaftslisten nur solche Objekte enthalten, die mit den Mitgliedschaftsregeln übereinstimmen, selbst wenn andere Verwaltungstools als ActiveRoles Server für die Verwaltung von Gruppen
verwendet werden.
ActiveRoles Server bietet die folgenden Funktionen zum Automatisieren der Wartung von Gruppenmitgliedschaftslisten:
•
Regelorientierte Mechanismen, die automatisch Objekte zu Gruppen hinzufügen und aus
ihnen entfernen, wenn Objektattribute in Active Directory geändert werden
•
Flexible Mitgliedschaftskriterien, die sowohl das abfragebasierte als auch das statische Füllen
von Gruppen ermöglichen
Die Mitgliedschaftskriterien fallen in die folgenden Kategorien:
•
Explizit einschließen Gewährleistet, dass die angegebenen Objekte unabhängig von jeglichen
an den Objekten vorgenommenen Änderungen in der Mitgliedschaftsliste enthalten sind.
•
Nach Abfrage einschließen Füllt die Mitgliedschaftsliste mit Objekten, die bestimmte
Eigenschaften aufweisen. Wenn ein Objekt erstellt wird oder wenn seine Eigenschaften
geändert werden, fügt ActiveRoles Server abhängig davon, ob die Eigenschaften des Objekts
den angegebenen Suchkriterien entsprechen, dieses Objekt der Mitgliedschaftsliste hinzu
bzw. entfernt es daraus.
•
Gruppenmitglieder einschließen Füllt die Mitgliedschaftsliste mit Mitgliedern von
bestimmten Gruppen. Wenn ein Objekt zu diesen Gruppen hinzugefügt oder aus ihnen
entfernt wird, fügt ActiveRoles Server dieses Objekt der Mitgliedschaftsliste hinzu oder
entfernt es aus dieser.
•
Explizit ausschließen Gewährleistet, dass die angegebenen Objekte unabhängig von
jeglichen an diesen Objekten vorgenommenen Änderungen nicht in der Mitgliedschaftsliste
enthalten sind.
•
Nach Abfrage ausschließen Gewährleistet, dass Objekte mit bestimmten Eigenschaften
nicht in der Mitgliedschaftsliste enthalten sind. ActiveRoles Server entfernt Objekte
automatisch aus der Mitgliedschaftsliste, abhängig davon, ob die Eigenschaften der Objekte
den angegebenen Suchkriterien entsprechen.
•
Gruppenmitglieder ausschließen Gewährleistet, dass Mitglieder der angegebenen
Gruppen nicht in der Mitgliedschaftsliste enthalten sind. Wenn ein Objekt zu einer dieser
Gruppen hinzugefügt wird, entfernt ActiveRoles Server dieses Objekt automatisch aus der
Mitgliedschaftsliste.
ActiveRoles Server verarbeitet Mitgliedschaftsregeln in der folgenden Reihenfolge nach Regelkategorie:
•
Nach Abfrage einschließen
•
Gruppenmitglieder einschließen
•
Nach Abfrage ausschließen
•
Gruppenmitglieder ausschließen
•
Explizit einschließen
•
Explizit ausschließen
In diesem Abschnitt sind die Verfahren zum Konfigurieren von dynamischen Gruppen und zur Überprüfung
des Verhaltens von dynamischen Gruppen aufgeführt.
43
Quest ActiveRoles Server
Konfigurieren einer dynamischen Gruppe
Gehen Sie zum Konfigurieren einer dynamischen Gruppe mit Hilfe der ActiveRoles Server-Konsole wie
nachfolgend beschrieben vor.
Gehen Sie folgendermaßen vor, um eine dynamische Gruppe zu erstellen:
1.
2.
Klicken Sie mit der rechten Maustaste auf eine Gruppe und klicken Sie dann auf In dynamische
Gruppe konvertieren.
Klicken Sie im Bestätigungsfeld auf Ja.
Der Assistent „Neue Mitgliedschaftsregel“ wird gestartet.
3.
Wählen Sie einen Regeltyp wie etwa Explizit einschließen aus.
4.
Klicken Sie auf Weiter.
5.
Klicken Sie auf Hinzufügen und wählen Sie beliebige, in die Gruppe aufzunehmende
Objekte aus.
6.
Klicken Sie auf Fertig stellen.
Wenn Sie eine Mitgliedschaftsregel erstmalig hinzugefügt haben, wird die Gruppe zu einer dynamischen
Gruppe. Dieses Verhalten ist nicht vom Regeltyp abhängig. Wenn eine Gruppe konvertiert wird, werden
all ihre vorigen Mitglieder entfernt. Daher umfasst die Gruppe nach Abschluss dieser Schritte nur die von
Ihnen ausgewählten Objekte.
Fügen Sie als nächstes Mitgliedschaftsregeln hinzu, um die dynamische Gruppe weiter zu konfigurieren.
Gehen Sie hierzu wie nachfolgend beschrieben vor.
Gehen Sie folgendermaßen vor, um Mitgliedschaftsregeln zu konfigurieren:
1.
Klicken Sie mit der rechten Maustaste auf die dynamische Gruppe und klicken Sie dann auf
Eigenschaften.
2.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Mitgliedschaftsregeln.
3.
Klicken Sie auf der Registerkarte Mitgliedschaftsregeln auf Hinzufügen.
Nun wird das Dialogfeld Mitgliedschaftsregeltyp angezeigt.
4.
Klicken Sie in der Liste der Regeltypen auf Nach Abfrage einschließen. Klicken Sie auf OK.
Nun wird das Dialogfeld Mitgliedschaftsregel erstellen angezeigt.
5.
Wählen Sie aus der Liste Suchen die Option Benutzer aus.
6.
Wählen Sie aus der Liste In Ihre Testdomäne aus.
7.
Geben Sie in das Feld Name den Wert a ein.
8.
Klicken Sie auf Regel hinzufügen.
Als Folge enthält die Gruppe alle Benutzer, deren Namen mit dem Buchstaben a beginnen.
(Sie können eine andere abfragebasierte Regel angeben.)
9.
Klicken Sie auf der Registerkarte Mitgliedschaftsregeln auf Hinzufügen.
10. Klicken Sie in der Liste der Regeltypen auf Gruppenmitglieder einschließen. Klicken Sie
auf OK.
11. Wählen Sie im Fenster Objekte auswählen die Domänenadministratorgruppe aus, klicken
Sie auf Hinzufügen und klicken Sie dann auf OK.
Als Folge enthält die Gruppe alle Mitglieder der Domänenadministratorgruppe. (Sie können
eine andere Gruppe auswählen.)
12. Klicken Sie auf der Registerkarte Mitgliedschaftsregeln auf Hinzufügen.
13. Klicken Sie in der Liste der Regeltypen auf Explizit ausschließen. Klicken Sie auf OK.
44
Evaluatorhandbuch
14. Wählen Sie im Fenster Objekte auswählen das Administratorkonto aus, klicken Sie auf
Hinzufügen und klicken Sie dann auf OK.
Als Folge wird der Administrator aus der Gruppe ausgeschlossen. (Sie können ein anderes
auszuschließendes Benutzerkonto auswählen.)
15. Klicken Sie im Dialogfeld Eigenschaften auf OK.
Wenn die Gruppe nicht mehr dynamisch sein soll, klicken Sie mit der rechten Maustaste auf die Gruppe
und klicken Sie dann auf In Standardgruppe konvertieren. Durch diesen Vorgang werden nur alle
Mitgliedschaftsregeln aus der Gruppe entfernt. Die Liste der Gruppenmitgliedschaft bleibt jedoch erhalten.
Testen der dynamischen Gruppe
Führen Sie die folgenden Tests aus, um das Verhalten der von Ihnen konfigurierten dynamischen Gruppe
zu überprüfen.
Gruppeneigenschaften
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf Ihre dynamische Gruppe
und klicken Sie dann auf Eigenschaften. Überprüfen Sie das Dialogfeld Eigenschaften:
•
Auf der Registerkarte Allgemein enthält das Feld Hinweise einen Text, der angibt, dass
diese Gruppe eine dynamische Gruppe ist.
•
Auf der Registerkarte Mitglieder können Sie nicht die Mitgliedschaftsliste ändern.
•
Die Registerkarte Mitgliedschaftsregeln zeigt eine Liste der Mitgliedschaftsregeln an. Sie
können Regeln hinzufügen und entfernen. Sie können auch abfragebasierte Regeln anzeigen
und ändern.
Explizite Aufnahme
Gehen Sie wie nachfolgend beschrieben vor, um das Verhalten der Mitgliedschaftsregeln auf der
Grundlage der expliziten Aufnahme innerhalb der ActiveRoles Server-Konsole zu überprüfen.
Gehen Sie folgendermaßen vor, um die explizite Aufnahme zu überprüfen:
1.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe und rufen Sie die
Registerkarte Mitglieder auf: Die von Ihnen explizit in die Gruppe aufgenommenen Objekte
befinden sich in der Mitgliedschaftsliste.
2.
Schließen Sie das Dialogfeld Eigenschaften.
3.
Benennen Sie Objekte, die Sie für die explizite Aufnahme ausgewählt haben, um, ändern
oder verschieben Sie sie.
4.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe und rufen Sie die
Registerkarte Mitglieder auf: Die Objekte verbleiben in der Liste der Gruppenmitgliedschaft.
Für die von Ihnen umbenannten Objekte werden die neuen Namen in der Liste angezeigt.
Durch die explizite Aufnahme werden Objekte nach Objekt-ID hinzugefügt, die während des gesamten
Lebenszyklus des Objekts unverändert bleibt. Nachdem ein Objekt durch die explizite Aufnahme hinzugefügt
wurde, kann es nur auf eine der folgenden Arten aus einer dynamischen Gruppe entfernt werden:
•
Löschen der Mitgliedschaftsregel für die explizite Aufnahme dieses Objekts.
•
Hinzufügen der Mitgliedschaftsregel für den expliziten Ausschluss dieses Objekts.
Um Mitgliedschaftsregeln hinzuzufügen oder zu entfernen, können Sie auch die Registerkarte
Mitgliedschaftsregeln im Dialogfeld Eigenschaften für die dynamische Gruppe verwenden.
45
Quest ActiveRoles Server
Expliziter Ausschluss
Gehen Sie wie nachfolgend beschrieben vor, um das Verhalten der Mitgliedschaftsregeln auf der
Grundlage des expliziten Ausschlusses innerhalb der ActiveRoles Server-Konsole zu überprüfen. Das
nachfolgend beschriebene Verfahren geht davon aus, dass Sie das Administratorkonto für den expliziten
Ausschluss aus Ihrer dynamischen Gruppe ausgewählt haben.
Gehen Sie folgendermaßen vor, um den expliziten Ausschluss zu überprüfen:
1.
Öffnen Sie das Dialogfeld Eigenschaften für die Gruppe Domänen-Admins und rufen Sie
die Registerkarte Mitglieder auf, um zu überprüfen, ob Administrator ein Mitglied der
Domänenadministratorgruppe ist. Schließen Sie das Dialogfeld Eigenschaften.
2.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe, rufen Sie die Registerkarte Mitgliedschaftsregeln auf und fügen Sie die Regel für die explizite Aufnahme hinzu,
durch die Administrator zu einem Mitglied Ihrer dynamischen Gruppe wird.
3.
Wenden Sie Ihre Änderungen an, indem Sie auf Anwenden im Dialogfeld Eigenschaften
für Ihre dynamische Gruppe klicken.
4.
Rufen Sie die Registerkarte Mitglieder auf, klicken Sie auf die Schaltfläche Neu aufbauen
und beachten Sie, dass Administrator kein Mitglied Ihrer dynamischen Gruppe ist, obwohl
jede der folgenden Regeln Administrator zur Gruppe hinzufügt:
•
Explizite Aufnahmeregel (die Sie in Schritt 2 konfiguriert haben).
•
Abfragebasierte Aufnahmeregel (der Name des Administrators fängt mit dem Buchstaben a
an).
•
Gruppenmitgliedschafts-Aufnahmeregel (Administrator ist ein Mitglied der Domänenadministratorengruppe).
Durch den expliziten Ausschluss werden Objekte nach Objekt-ID entfernt, die während des gesamten
Lebenszyklus des Objekts unverändert bleibt. Wenn ein Objekt durch den expliziten Ausschluss entfernt
wurde, kann es nur nach dem Löschen der Mitgliedschaftsregel „Explizit ausschließen“ für das Objekt zur
dynamischen Gruppe hinzugefügt werden.
Abfragebasierte Aufnahme
Gehen Sie in der ActiveRoles Server-Konsole wie nachfolgend beschrieben vor, um das Verhalten der
abfragebasierten Aufnahmeregeln zu überprüfen. Die folgende Vorgehensweise setzt voraus, dass Ihre
abfragebasierte Regel so konfiguriert ist, dass die Gruppe alle Benutzer umfasst, deren Namen mit dem
Buchstaben a beginnen.
Gehen Sie folgendermaßen vor, um die abfragebasierte Aufnahme zu überprüfen:
46
1.
Erstellen Sie in jeder Organisationseinheit in Ihrer Testdomäne ein neues Benutzerkonto mit
einem vollständigen Namen, der mit dem Buchstaben a beginnt.
2.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe und rufen Sie die
Registerkarte Mitglieder auf: Das neue Benutzerkonto ist in der Mitgliedschaftsliste (es sei
denn, es wurde durch Ausschlussregeln aus der dynamischen Gruppe entfernt).
3.
Benennen Sie ein vorhandenes Benutzerkonto so um, dass sein vollständiger Name mit dem
Buchstaben a beginnt.
4.
Rufen Sie die Registerkarte Mitglieder im Dialogfeld Eigenschaften für Ihre dynamische
Gruppe auf und klicken Sie auf die Schaltfläche Neu aufbauen: Das Benutzerkonto wird zur
Mitgliedschaftsliste hinzugefügt (es sei denn, es wurde durch Ausschlussregeln aus der
dynamischen Gruppe entfernt).
Evaluatorhandbuch
5.
Benennen Sie das in Schritt 4 verwaltete Benutzerkonto so um, dass sein vollständiger Name
mit dem Buchstaben b beginnt.
6.
Rufen Sie die Registerkarte Mitglieder im Dialogfeld Eigenschaften für Ihre dynamische
Gruppe auf und klicken Sie auf die Schaltfläche Neu aufbauen: Das Benutzerkonto wird aus
der Mitgliedschaftsliste entfernt (es sei denn, es wurde durch explizite Aufnahmeregeln zur
dynamischen Gruppe hinzugefügt).
Aufnahme von Gruppenmitgliedern
Gehen Sie wie nachfolgend beschrieben vor, um das Verhalten der Mitgliedschaftsregeln auf der
Grundlage der Gruppenmitgliedschaft innerhalb der ActiveRoles Server-Konsole zu überprüfen. Das
nachfolgend beschriebene Verfahren geht davon aus, dass Sie Ihre dynamische Gruppe so konfiguriert
haben, dass sie Mitglieder der Domänenadministratorgruppe enthält.
Gehen Sie folgendermaßen vor, um die Aufnahme von Gruppenmitgliedern zu überprüfen:
1.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe und rufen Sie die
Registerkarte Mitglieder auf: Die Mitglieder der Domänenadministratorgruppe befinden sich
in der Mitgliedschaftsliste (mit Ausnahme der Mitglieder, die durch Ausschlussregeln aus der
dynamischen Gruppe entfernt wurden).
2.
Hinzufügen eines Mitglieds zur Domänenadministratorgruppe.
3.
Rufen Sie die Registerkarte Mitglieder im Dialogfeld Eigenschaften für Ihre dynamische
Gruppe auf und klicken Sie auf die Schaltfläche Neu aufbauen: Das neue Mitglied der
Domänenadministratorgruppe wird zu Ihrer dynamischen Gruppe hinzugefügt (es sei denn,
dass das Mitglied durch Ausschlussregeln aus der dynamischen Gruppe entfernt wurde).
4.
Entfernen eines Mitglieds aus der Domänenadministratorgruppe.
5.
Rufen Sie die Registerkarte Mitglieder im Dialogfeld Eigenschaften für Ihre dynamische
Gruppe auf und klicken Sie auf die Schaltfläche Neu aufbauen: Das von Ihnen aus der
Domänenadministratorgruppe entfernte Objekt wird auch aus Ihrer dynamischen Gruppe
entfernt (es sei denn, dass das Objekt durch explizite Aufnahmeregeln zur dynamischen
Gruppe hinzugefügt wird).
Zuverlässiges Durchsetzen von Mitgliedschaftsregeln
Wenn Änderungen an der Mitgliedschaftsliste einer dynamischen Gruppe vorgenommen werden, erkennt
ActiveRoles Server die Änderungen unabhängig von deren Herkunft und wendet die Mitgliedschaftsregeln
erneut an. Dies gewährleistet, dass die Liste der Gruppenmitgliedschaft auch dann mit den Regeln übereinstimmt, wenn sie mit Hilfe eines anderen Verwaltungstools als ActiveRoles Server geändert wurde.
So können Sie beispielsweise das Active Directory Benutzer- und Computertool verwenden, um Änderungen
an der Mitgliedschaftsliste einer dynamischen Gruppe vorzunehmen und dann verfolgen, wie ActiveRoles
Server die Mitgliedschaftsregeln erneut anwendet.
Führen Sie die folgenden Schritte im Active Directory Benutzer und Computertool durch.
Gehen Sie folgendermaßen vor, um die Durchsetzung von Mitgliedschaftsregeln zu überprüfen:
1.
Öffnen Sie das Tool „Active Directory Benutzer und Computer“ (Starten | Programme |
Administrative Tools | Active Directory-Benutzer und Computer).
2.
Erstellen Sie in jeder Organisationseinheit in Ihrer Testdomäne ein Benutzerkonto mit einem
vollständigen Namen, der mit dem Buchstaben a beginnt.
3.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe und rufen Sie die
Registerkarte Mitglieder auf: Der neue Benutzer befindet sind in der Liste der Gruppenmitgliedschaft.
47
Quest ActiveRoles Server
4.
Wählen Sie auf der Registerkarte Mitglieder den Benutzer aus und klicken Sie dann auf
Entfernen. Klicken Sie auf Ja. Klicken Sie auf OK.
5.
Öffnen Sie das Dialogfeld Eigenschaften für Ihre dynamische Gruppe und rufen Sie die
Registerkarte Mitglieder auf: Der Benutzer befindet sind immer noch in der Liste der
Gruppenmitgliedschaft.
ActiveRoles Server hat das Entfernen erkannt und den Benutzer gemäß den Mitgliedschaftsregeln zur Gruppe hinzugefügt.
Delegieren und Verwalten von Computerressourcen
ActiveRoles Server bietet die Möglichkeit, die Verwaltung von Computerressourcen wie etwa
Netzwerkfreigaben, Diensten und logischen Druckern zu delegieren. Es ist außerdem möglich, die
Verwaltung von lokalen Benutzern und Gruppen auf Mitgliedsservern und Workstations zu delegieren.
Delegierte Administratoren können das ActiveRoles Server Web Interface für die Verwaltung von
Computerressourcen verwenden.
ActiveRoles Server umfasst eine Reihe von Zugriffsvorlagen, die die Delegation von Computerverwaltungsaufgaben erleichtern. Bei Anwendung auf eine Organisationseinheit gewährleisten die
Zugriffsvorlagen aus dieser Reihe die folgenden Zugriffsebenen auf die in dieser Organisationseinheit
enthaltenen Computer:
•
Vollzugriff Durchführung aller an Computerressourcen durchzuführenden Verwaltungsaufgaben.
•
Operator eines lokalen Kontos Erstellen, Ändern und Löschen von lokalen Benutzerkonten und Gruppen.
•
Netzwerkfreigabeoperator Erstellen, Ändern und Löschen von Netzwerkfreigaben.
•
Druckoperator Anzeigen und Ändern von logischen Druckern; Verwalten von Druckaufträgen.
•
Dienstoperator Starten/Stoppen von Diensten; Anzeigen/Ändern von Diensteigenschaften.
•
Serveroperator Starten/Stoppen von Diensten; Erstellen, Ändern und Löschen von Netzwerkfreigaben; Anhalten/Wiederaufnehmen/Abbrechen des Drucks; Anzeigen aller Computerressourcen.
In diesem Abschnitt ist das Verfahren beschrieben, dass Sie befolgen können, um die Rolle Serveroperator einem delegierten Administrator für eine Organisationseinheit zuzuweisen. Außerdem wird
kurz beschrieben, wie Computerverwaltungsaufgaben mit Hilfe des ActiveRoles Server Web Interface für
Administratoren durchgeführt werden.
Zuweisen der Rolle „Serveroperator“ zu einer
Organisationseinheit
Wenn Sie die Rolle „Serveroperator“ für eine bestimmte Organisationseinheit zu einer Gruppe
zugewiesen haben, gewähren Sie den Mitgliedern dieser Gruppe das Recht zur Durchführung von allen
an den Diensten, Netzwerkfreigaben und logischen Druckern auf jedem Computer, der sich in dieser
Organisationseinheit und ihren untergeordneten Organisationseinheiten befindet, ausführbaren
Verwaltungsaufgaben.
Gehen Sie wie nachfolgend beschrieben vor, um die Rolle „Serveroperator“ mittels der ActiveRoles
Server-Konsole zuzuweisen.
48
Evaluatorhandbuch
Gehen Sie folgendermaßen vor, um einer Organisationseinheit die Rolle „Serveroperator“
zuzuweisen:
1.
Klicken Sie in der ActiveRoles Server-Konsole mit der rechten Maustaste auf die Organisationseinheit und klicken Sie dann auf Kontrolle delegieren.
2.
3.
4.
5.
Klicken Sie im Fenster ActiveRoles Server-Sicherheit auf Hinzufügen.
Folgen Sie den Schritten des Assistenten „Delegation der Kontrolle“.
Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.
Wählen Sie die Gruppe aus, die Sie zum delegierten Administrator bestimmen möchten, und
klicken Sie auf OK.
Klicken Sie auf Weiter.
Erweitern Sie auf der Seite Access Templates den Eintrag Computer Resources,
aktivieren Sie das Kontrollkästchen neben Computer Management – Server Operator
und klicken Sie dann auf Weiter.
6.
7.
8.
Klicken Sie zweimal auf Weiter und dann auf Fertig stellen.
Um es den delegierten Administratoren zu ermöglichen, Organisationseinheiten in der Domäne zu durchsuchen, müssen Sie ihnen die Berechtigung Alle Eigenschaften lesen für die OrganisationseinheitObjekte auf der Domänenebene gewähren.
Gehen Sie folgendermaßen vor, um die Berechtigung Alle Eigenschaften lesen zu gewähren:
1.
2.
Wählen Sie die Domäne aus und verwenden Sie den Assistenten „Delegation der Kontrolle“
wie im vorigen Abschnitt beschrieben.
Erweitern Sie auf der Seite Zugriffsvorlagen den Eintrag Active Directory und aktivieren
Sie das Kontrollkästchen neben OUs - Read All Properties.
Testen der Rechte des delegierten Administrators
Der delegierte Administrator kann das ActiveRoles Server Web Interface für Administratoren zur Durchführung von Verwaltungsaufgaben an Computerressourcen verwenden. Gehen Sie wie nachfolgend
beschrieben vor, um die Rechte des Administrators zu überprüfen.
Gehen Sie folgendermaßen vor, um die Rechte des delegierten Administrators zu überprüfen:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Melden Sie sich mit dem Benutzernamen und dem Kennwort des delegierten Administrators
bei Ihrem Computer an.
Stellen Sie eine Verbindung zum Web-Interface für Administratoren her: Öffnen Sie Microsoft
Internet Explorer und rufen Sie http://localhost/ARServerAdmin auf.
Klicken Sie auf der Startseite des Web-Interface auf Verzeichnisverwaltung.
Geben Sie im Feld Schnellsuche (in der Menüleiste des Web-Interface) den Namen der
Organisationseinheit ein, für die dem delegierten Administrator die Rolle „Serveroperator“
zugewiesen ist. Drücken Sie die Eingabetaste.
Klicken Sie in der Suchergebnisliste auf die Organisationseinheit, um eine Liste der Computer
in dieser Organisationseinheit anzuzeigen.
Klicken Sie in der Computerliste auf einen Computer.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Verwalten.
Das Web-Interface zeigt eine Liste der Ressourcenkategorien: Dienste, Freigaben,
Drucker, Lokale Gruppen und Lokale Benutzer.
Überprüfen Sie, ob Sie Dienste auf dem ausgewählten Computer starten und stoppen können:
a) Klicken Sie in der Liste der Ressourcenkategorien auf Dienste. Hierdurch wird eine Liste
der auf dem ausgewählten Computer installierten Dienste angezeigt.
b) Um einen angehaltenen Dienst zu starten, klicken sie auf den entsprechenden Dienst und
klicken Sie dann auf Starten.
49
Quest ActiveRoles Server
c) Rückkehr zur Dienstliste: Klicken Sie in der Brotkrümel-Navigationszeichenkette unter der
Menüleiste auf Dienste.
d) Um einen gestarteten Dienst anzuhalten, klicken Sie auf den entsprechenden Dienst und
klicken Sie dann auf Stopp.
10. Rückkehr zur Liste der Ressourcenkategorien: Klicken Sie in der Brotkrümel-Navigationszeichenkette unter der Menüleiste auf den Namen des Computers und klicken Sie dann auf
der Registerkarte MENÜ im linken Bereich der Webseite auf Verwalten.
11. Überprüfen Sie, ob Sie über einen Vollzugriff auf die Netzwerkfreigaben auf dem
ausgewählten Computer haben:
a) Klicken Sie in der Liste der Ressourcenkategorien auf Freigaben. Hierdurch wird eine Liste
der auf dem ausgewählten Computer definierten Netzwerkfreigaben angezeigt.
b) Um eine Netzwerkfreigabe zu verwalten, klicken Sie auf die entsprechende Freigabe: Sie
können die Freigabeeigenschaften sowie deren Sicherheit ändern und die Freigabe des
Ordners beenden.
c) Kehren Sie zur Liste der Freigaben zurück, klicken Sie auf Neue Freigabe, geben Sie den
Namen der Freigabe und den Pfad zu einem Ordner an und klicken Sie dann auf Anwenden.
Hierdurch wird eine neue Netzwerkfreigabe erstellt, die auf den angegebenen Ordner
verweist.
12. Rückkehr zur Liste der Ressourcenkategorien: Klicken Sie in der Brotkrümel-Navigationszeichenkette unter der Menüleiste auf den Namen des Computers und klicken Sie dann auf
der Registerkarte MENÜ im linken Bereich der Webseite auf Verwalten.
13. Überprüfen Sie, ob Sie den Druck aller Dokumente auf einem ausgewählten Drucker anhalten,
fortsetzen und abbrechen können:
a) Klicken Sie in der Liste der Ressourcenkategorien auf Drucker. Hierdurch wird eine Liste
der auf dem ausgewählten Computer installierten Drucker angezeigt.
b) Klicken Sie in der Druckerliste auf einen Drucker. Hierdurch werden die Druckereigenschaften angezeigt.
c) Um den Druck aller Dokumente auf dem Drucker anzuhalten, klicken Sie auf Pause.
Hierdurch wird Pause durch Fortsetzen ersetzt.
d) Um den Druck fortzusetzen, klicken Sie auf Fortsetzen.
e) Um den Druck aller Dokumente auf dem Drucker abzubrechen, klicken Sie auf Alle
Dokumente abbrechen.
50
Evaluatorhandbuch
Verwenden der ActiveRoles Server-AuditTrail- und Berichtsfunktion
In diesem Abschnitt wird beschrieben, wie Sie die Funktionsweise der ActiveRoles Server-Audit TrailFunktion verfolgen können und wie Sie mit ActiveRoles Server-Berichten arbeiten.
Analysieren des Audit Trails
ActiveRoles Server bietet eine umfassende Audit Trail-Funktion, die anzeigt, wer welche Aktionen
durchgeführt hat und wer versucht hat, unzulässige Aktionen durchzuführen. Außerdem bietet
ActiveRoles Server zahlreiche Berichte, die auf dem Audit Trail basieren.
ActiveRoles Server erstellt den Audit Trail, indem es Ereignisse generiert und diese im EDM ServerEreignisprotokoll aufzeichnet. Sie können die Ereignisanzeige verwenden, um die Ereignisse in diesem
Protokoll zu untersuchen, oder Sie können die ActiveRoles Server-Berichte nutzen, um eine eingehende
Analyse des Audit Trails durchzuführen.
Untersuchen des Audit Trails mittels der Ereignisanzeige
Gehen Sie folgendermaßen vor, um Details über ein ActiveRoles Server-Ereignis anzuzeigen:
1.
Öffnen Sie auf dem Computer, auf dem der ActiveRoles Server-Verwaltungsdienst ausgeführt
wird, die Ereignisanzeige (Starten | Programme | Administrative Tools | Ereignisanzeige).
2.
Klicken Sie in der Konsolenstruktur auf EDM Server.
3.
Klicken Sie im Bereich „Details“ mit der rechten Maustaste auf ein Ereignis und klicken Sie
dann auf Eigenschaften.
Verwenden von Berichten zur Analyse des Audit Trails
Der Abschnitt „Arbeiten mit ActiveRoles Server-Berichten“ weiter unten in diesem Dokument enthält
Informationen bezüglich der Verwendung der Berichtsfunktionen in ActiveRoles Server. Zu den vielen
Berichten, die Sie generieren können, zählen auch spezielle Berichte, die auf dem ActiveRoles Server
Audit Trail basieren. Nachfolgend sind einige Beispiele aufgeführt.
Verzeichnisobjektverwaltung
Sie können den Bericht „Verzeichnisobjektverwaltung“ verwenden, um ActiveRoles Server-Aktivitäten zu
überwachen, die im Zusammenhang mit bestimmten Objekten in Active Directory stehen. Dieser Bericht
zeigt den Verlauf der Änderungen an Active Directory-Objekten innerhalb eines bestimmten Zeitraums
an. Er gibt an, wer welches Attribut geändert hat und wann die Änderung vorgenommen wurde.
Der Bericht ermöglicht Ihnen, herauszufinden, wann und von wem die für Sie relevanten Objekte erstellt,
geändert oder gelöscht wurden. Bei einer Objektänderung enthält dieser Bericht Informationen darüber,
welche Attributwerte geändert und welche neuen Werte zugewiesen wurden.
ActiveRoles Server-Ereignisstatistik
Sie können den Bericht „ActiveRoles Server Ereignisstatistik“ verwenden, um den ActiveRoles ServerAudit Trail zu analysieren. Dieser Bericht fasst die ActiveRoles Server-Ereignisse zusammen und
gruppiert sie nach Datum (an dem die Ereignisse aufgetreten sind), nach Benutzer (der die Ereignisse
ausgelöst hat), nach Computer (auf dem sie protokolliert wurden) oder nach Ereigniskategorie.
51
Quest ActiveRoles Server
Arbeiten mit ActiveRoles Server-Berichten
ActiveRoles Server umfasst eine umfassende Reihe von Berichten – das ActiveRoles Server-Berichtspaket.
Diese Berichte decken alle Verwaltungstätigkeiten ab, die mit ActiveRoles Server durchgeführt werden
können. Um Berichte zu erstellen und anzuzeigen, müssen Sie ActiveRoles Server Collector und
ActiveRoles Server Report Pack installieren. Wenn Sie ActiveRoles Server wie im Abschnitt „TestlaborKonfiguration“ beschrieben installiert haben, dann haben Sie bereits alle für die Arbeit mit ActiveRoles
Server-Berichten erforderlichen Komponenten installiert.
Erfassen von Daten für die Berichterstattung
Um Berichte zu generieren, müssen Sie zunächst Daten für die Berichterstattung erfassen.
Gehen Sie folgendermaßen vor, um Daten für Berichte zu erfassen:
1.
Starten Sie den Assistenten „ActiveRoles Server Collector“:
Start | Alle Programme | Quest Software | ActiveRoles Server | Collector.
2.
Klicken Sie auf der Seite Welcome (Willkommen) auf Next (Weiter).
3.
Aktivieren Sie auf der Seite Select Task (Aufgabe auswählen) die Option Collect data
from the network (Daten aus dem Netzwerk erfassen). Klicken Sie auf Next (Weiter).
4.
Klicken Sie auf Browse (Durchsuchen) und schließen Sie den Assistenten „SQL ServerVerbindung“ wie folgt ab.
Sie müssen den Assistenten „SQL Server-Verbindung“ nur einmal abschließen, wenn Sie den
Assistenten „Collector“ erstmalig verwenden.
5.
Klicken Sie auf der Seite SQL Server auf Use SQL Server authentication (SQL ServerAuthentifizierung verwenden) und legen Sie die weiteren Optionen wie folgt fest:
•
Geben Sie in das Feld Server <ServerName>\sqlexpress ein, wobei Sie <ServerName>
durch den Namen des Computers ersetzen, auf dem Sie SQL Server Express installiert haben.
•
Geben Sie in das Feld Logon Name (Anmeldename) den Wert sa ein.
•
Geben Sie in das Feld Password (Kennwort) das Kennwort für das Login sa ein.
6.
Klicken Sie auf Next (Weiter).
7.
Wählen Sie auf der Seite Select database (Datenbank auswählen) im Feld Database
(Datenbank) ARServerReporting ein.
Der Assistent erstellt eine Datenbank mit dem von Ihnen angegebenen Namen. Es ist ratsam,
eine neue Datenbank zu erstellen, anstatt eine vorhandene Datenbank auszuwählen. Wenn
Sie eine vorhandene Datenbank auswählen, können die Daten in dieser Datenbank während
der Datenerfassung beschädigt werden.
8.
Überprüfen Sie im Dialogfeld Configure Data Source (Datenquelle konfigurieren) die
von Ihnen angegebenen Einstellungen und klicken Sie dann auf OK.
9.
Geben Sie im Feld AR Server Service (AR Server-Dienst) den Namen des Computers ein,
auf dem der Verwaltungsdienst ausgeführt wird.
10. Aktivieren Sie die Option Current User (Aktueller Benutzer) (wobei vorausgesetzt wird,
dass Sie als ein Administrator dieses Computers angemeldet sind).
11. Klicken Sie auf Next (Weiter).
12. Aktivieren Sie auf der Seite Data Collection Tasks (Datenerfassungsaufgaben) im Feld
Collect (Erfassen) alle Kontrollkästchen. Klicken Sie auf Next (Weiter).
13. Aktivieren Sie auf der Seite Data to Collect (Zu erfassende Daten) im Feld Collect
(Erfassen) alle Kontrollkästchen. Klicken Sie auf Next (Weiter).
14. Klicken Sie auf der Seite Select Domains or OUs (Domänen oder Organisationseinheiten auswählen) auf Hinzufügen und wählen Sie Ihre Testdomäne aus. Klicken Sie auf
Next (Weiter).
52
Evaluatorhandbuch
15. Aktivieren Sie auf der Seite Select Operation Mode (Betriebsart auswählen) die Option
Now (Jetzt). Klicken Sie auf Next (Weiter).
16. Warten Sie, während der Assistent die Daten für die Berichterstattung erfasst.
17. Klicken Sie auf Finish (Fertig stellen), um den Assistenten zu schließen.
Generieren und Anzeigen von Berichten
Nach der Sammlung der Daten für den Bericht müssen Sie die Datenquelle für das ActiveRoles ServerBerichtspaket so konfigurieren, dass sie eine Verbindung zu der Datenbank herstellt, in der Sie die Daten
für die Berichte erfasst haben.
Gehen Sie folgendermaßen vor, um die Datenquelle zu konfigurieren:
1.
Starten Sie SSRS Report Manager und rufen Sie die Seite Inhalt auf.
Report Manager wird während der Einrichtung von SQL Server Reporting Services (SSRS) auf
demselben Computer wie der Berichtsserver installiert. Um Report Manager zu starten, öffnen
Sie Microsoft Internet Explorer 6.0 oder höher. Geben Sie in das Adressfeld von Internet
Explorer den Report Manager URL ein. Standardmäßig lautet der URL http://<Computername>/
reports.
2.
Gehen Sie auf der Seite Inhalt folgendermaßen vor:
a) Klicken Sie auf Details anzeigen.
b) Klicken Sie auf QKP.
c) Klicken Sie auf SharedDatasources.
d) Klicken Sie auf die Datenquelle mit dem Namen ActiveRoles Server Berichtsdaten.
3.
Geben Sie auf der Seite Eigenschaften im Feld Verbindungszeichenkette die SQL
Server-Instanz und den Namen der Datenbank, in der sich die von ActiveRoles Server
Collector vorbereiteten Berichtsdaten befinden, an.
Wenn der Name der Datenbank zum Beispiel ARServerReporting lautet und sich die
Datenbank auf der SQL Server-Instanz mit dem Namen MyServer\sqlexpress befindet,
dann lautet die Verbindungszeichenkette wie folgt:
data source = MyServer\sqlexpress initial catalog = ARServerReporting
4.
Klicken Sie auf Anwenden.
Die Datenquellenkonfiguration bleibt bestehen, wenn Sie Report Manager schließen. Sie müssen die
Datenquelle also nicht erneut konfigurieren. Wenn Sie die Datenquelle konfiguriert haben, können Sie
Report Manager verwenden, um Berichte zu erstellen und anzuzeigen.
Gehen Sie folgendermaßen vor, um Berichte zu generieren und anzuzeigen:
1.
2.
Klicken Sie in Report Manager oben im Fenster auf QKP.
Gehen Sie auf der Seite Inhalt wie folgt vor:
a) Klicken Sie auf ActiveRoles Server.
b) Klicken Sie auf den Ordner, der den Bericht enthält, den Sie vorbereiten möchten.
c) Klicken Sie auf den Namen des Berichts.
Sie können zum Beispiel auf den Ordner ActiveRoles Server Verlaufsprotokoll, dann auf
den Ordner Active Directory-Verwaltung und dann auf den Bericht Verzeichnisobjektverwaltung klicken.
3.
Warten Sie bis Report Manager den Bericht generiert hat.
53
Quest ActiveRoles Server
Verwenden der ActiveRoles Server-Replikation
ActiveRoles Server verwendet die Replikationsfunktionalität von Microsoft SQL Server, um Konfigurationsdaten aus Verwaltungsdienstdatenbanken zu kopieren und an andere zu verteilen und um Konfigurationsdatenbanken im Interesse der Konsistenz miteinander zu synchronisieren.
Datenbankserver des Verwaltungsdienstes, die mit Hilfe der Replikationsfunktionalität von SQL Server
synchronisiert werden, werden als Replikationspartner bezeichnet. Jeder Replikationspartner pflegt eine
schreibbare Kopie der ActiveRoles Server-Konfigurationsdaten. Wenn Änderungen an einem Replikationspartner vorgenommen werden, werden diese auch an die anderen Replikationspartner weitergegeben.
In diesem Abschnitt sind Verfahren aufgeführt, die es Ihnen ermöglichen, die Replikation zu konfigurieren
und zu sehen, wie die Replikation in ActiveRoles Server funktioniert. Um diese Verfahren zu verwenden,
müssen Sie den ActiveRoles Server Verwaltungsdienst auf zwei Netzwerkcomputern wie im Abschnitt
„Installieren des Verwaltungsdienstes und der Konsole“ weiter oben in diesem Dokument beschrieben
installieren. Es werden zwei Verwaltungsdienste für die gegenseitige Replikation der Konfigurationsdaten
eingerichtet.
• Aufgrund von eingeschränkten, mit der Replikation in Verbindung stehenden Funktionen der SQL
Server Express Edition (kann die Rolle eines Abonnenten inne haben), erfordert das in diesem
Abschnitt beschriebene Szenario die Verwendung einer anderen Edition von SQL Server (wie etwa
Enterprise, Standard oder Workgroup) als Inhaber der Rolle „Herausgeber“.
• Für die Zwecke dieses Evaluierungsszenarios können Sie denselben SQL Server verwenden, um die
Datenbanken für beide an diesem Szenario beteiligte Verwaltungsdienste verwenden.
• Wenn Sie den zweiten Verwaltungsdienst installieren, geben Sie einen Datenbanknamen an, der sich
von dem Namen der Datenbank unterscheidet, der für den ersten Verwaltungsdienst verwendet wird.
Dies gewährleistet, dass jeder Verwaltungsdienst eine separate Datenbank verwendet, sodass zwei
Datenbanken per Datenreplikation miteinander synchronisiert werden können.
Konfigurieren der Replikation
Bei der Konfiguration der ActiveRoles Server-Replikation erstellen Sie zunächst eine Replikationsgruppe,
indem Sie den Datenbankserver eines bestimmten Verwaltungsdienstes als Herausgeber festlegen.
Wenn Sie beabsichtigen, die Herausgeberrolle dem Datenbankserver eines bestimmten Verwaltungsdienstes zuzuweisen, dann stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
•
Der SQL Server-Agentendienst wird auf dem SQL Server gestartet, auf dem sich die
Datenbank dieses Verwaltungsdiensts befindet, und er ist so konfiguriert, dass er sich als ein
Domänen-Benutzerkonto mit Administratorrechten beim SQL Server anmeldet.
•
Der Verwaltungsdienst ist so konfiguriert, dass er sich als ein Domänen-Benutzerkonto mit
Administratorrechten beim SQL Server anmeldet.
Für Evaluierungszwecke können Sie sowohl den SQL Server-Agentendienst als auch den Verwaltungsdienst so konfigurieren, dass sie sich als ein Benutzerkonto anmelden, das zur Domänenadministratorgruppe Ihrer Testdomäne gehört.
Gehen Sie wie nachfolgend beschrieben vor, um dem Datenbankserver eines bestimmten Verwaltungsdienstes die Herausgeberrolle mit Hilfe der ActiveRoles Server-Konsole zuzuweisen.
54
Evaluatorhandbuch
Gehen Sie folgendermaßen vor, um den Herausgeber zu erstellen:
1.
Öffnen Sie die ActiveRoles Server-Konsole und stellen Sie eine Verbindung zu dem
Verwaltungsdienst her, dessen Datenbankserver Sie als den Herausgeber festlegen möchten.
2.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration, erweitern Sie dann den
Eintrag Server Configuration und wählen Sie anschließend Configuration Databases.
3.
Klicken Sie im Bereich „Details“ mit der rechten Maustaste auf den Datenbankserver und
klicken Sie dann auf Heraufstufen.
4.
Klicken Sie im Bestätigungsfeld auf Ja.
5.
Warten Sie, bis ActiveRoles Server den Vorgang abgeschlossen hat.
Die neue Replikationsgruppe enthält nun ein einziges Mitglied, den Herausgeber. Sie können Replikationspartner, die so genannten Abonnenten, hinzufügen. Gehen Sie zum Hinzufügen eines Abonnenten mit Hilfe
der ActiveRoles Server-Konsole wie nachfolgend beschrieben vor.
Gehen Sie folgendermaßen vor, um einen Abonnenten hinzuzufügen:
1.
Öffnen Sie die ActiveRoles Server-Konsole und stellen Sie eine Verbindung zu dem Verwaltungsserver her, dessen Datenbankserver Sie als den Herausgeber festgelegt haben.
2.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration, erweitern Sie dann den
Eintrag Server Configuration und wählen Sie anschließend Configuration Databases.
3.
Klicken Sie im Bereich „Details“ mit der rechten Maustaste auf den Herausgeber und klicken
Sie dann auf Replikationspartner hinzufügen.
4.
Folgen Sie den Anweisungen des Assistenten für einen neuen Replikationspartner.
5.
Klicken Sie auf der Seite Datenbankauswahl auf Durchsuchen.
6.
Verwenden Sie das Dialogfeld Verbindung zum Verwaltungsdienst herstellen, um den
Verwaltungsdienst anzugeben, dessen Datenbankserver Sie zur Replikationsgruppe hinzufügen
möchten. Klicken Sie auf OK.
7.
Klicken Sie zweimal auf Weiter und dann auf Fertig stellen.
Testen der Replikation
Um zu sehen, wie die Replikation funktioniert, erstellen Sie eine verwaltete Einheit in einem der
Verwaltungsdienste, die Sie als Replikationspartner konfiguriert haben. Stellen Sie dann eine Verbindung
zum anderen Verwaltungsdienst her und überprüfen Sie, ob die neue verwaltete Einheit in diesen Dienst
repliziert wurde.
Gehen Sie folgendermaßen vor, um eine verwaltete Einheit zu erstellen:
1.
Öffnen Sie die ActiveRoles Server-Konsole und stellen Sie eine Verbindung zu einem der
Verwaltungsdienste her.
2.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration, klicken Sie mit der
rechten Maustaste auf Managed Units und wählen Sie dann Neu | Verwaltete Einheit.
3.
Stellen Sie den Assistenten für ein neues Objekt – Verwaltete Einheit fertig.
Warten Sie einige Minuten und überprüfen Sie dann mittels der ActiveRoles Server-Konsole, ob die neue
verwaltete Einheit auch im anderen Verwaltungsdienst erstellt wurde.
Gehen Sie folgendermaßen vor, um die Replikation der verwalteten Einheit zu überprüfen:
1.
Öffnen Sie die ActiveRoles Server-Konsole und stellen Sie eine Verbindung zum anderen
Verwaltungsdienst her.
2.
Erweitern Sie in der Konsolenstruktur den Eintrag Configuration und klicken Sie dann auf
Managed Units: Die neu erstellte verwaltete Einheit wird im Bereich „Details“ angezeigt.
55
Quest ActiveRoles Server
Sie können ActiveRoles Server-Konfigurationsobjekte wie etwa verwaltete Einheiten, Zugriffsvorlagen
oder Richtlinienobjekte auf einem der Replikationspartner erstellen, ändern oder löschen, und zwar
unabhängig davon, ob es sich dabei um einen Herausgeber oder einen Abonnenten handelt, und dann
eine Verbindung zu anderen Replikationspartnern herstellen und verfolgen, dass Ihre Änderungen auf
alle Replikationspartner angewandt werden.
Obwohl die ActiveRoles Server-Replikation so konfiguriert ist, dass die Verbreitung der Änderungen
sofort nach Durchführung der Änderungen gestartet wird, kann es einige Minuten dauern, bis SQL
Server die Änderungen zwischen dem Herausgeber und den Abonnenten verbreitet hat.
Anpassen des Web-Interface
Das ActiveRoles Server Web Interface ermöglicht Ihnen die Individualisierung der für die Verwaltung von
Verzeichnisobjekten verwendeten Menüs, Befehle und Formulare. Sie können Befehle oder gesamte
Menüs hinzufügen und entfernen, Aufgaben und Formulare zu Befehlen zuweisen, vorhandene Formulare
ändern und neue Befehle, Aufgaben und Formulare erstellen.
Um die Anpassungsfunktionen des Web-Interface nutzen zu können, müssen Sie als AR Server Administrator
angemeldet sein. Wenn Sie bei der Installation des Verwaltungsdienstes die Standardeinstellungen
verwendet haben, dann ist das AR Server Admin-Konto auf die lokale Administratorgruppe auf dem Computer
gesetzt, auf dem der Verwaltungsdienst ausgeführt wird. Um also das Web-Interface in Ihrer Testumgebung
anzupassen, melden Sie sich mit einem Benutzerkonto an, das ein Mitglied dieser Gruppe ist.
Dieser Abschnitt enthält ein Beispiel, das die Anpassung der Seite für Administratoren veranschaulicht.
Standardmäßig umfassen die Web-Interface-Seiten für die Erstellung eines Benutzerkontos nicht das Feld
für die Angabe der Telefonnummer des Benutzers. Nach Durchführung der folgenden Schritte wird ein
neues Feld – Telefonnummer – zur Webseite zur Erstellung eines Benutzerkontos hinzugefügt. Wenn Sie
einen Eintrag in diesem Feld vornehmen, wird die Nummer in der Eigenschaft Telefonnummer des
Benutzerkontos gespeichert.
Hinzufügen eines Textfelds zur Seite für die Erstellung
eines Benutzers
Gehen Sie wie nachfolgend beschrieben vor, um das Feld Telefonnummer zur Webseite für die
Erstellung eines Benutzers hinzuzufügen.
Gehen Sie folgendermaßen vor, um die Webseite anzupassen:
1.
2.
Stellen Sie eine Verbindung zum Web-Interface für Administratoren her: Öffnen Sie Internet
Explorer und rufen Sie die Seite http://localhost/ARServerAdmin auf.
Zeigen Sie in der Menüleiste des Web-Interface auf Anpassung und klicken Sie dann auf
Verzeichnisobjekte.
Hierdurch wird eine Liste der Objekttypen angezeigt. Jeder Objekttyp ist mit einer Befehlsliste
verknüpft, die als „Menü“ bezeichnet wird. Wenn Sie ein Objekt im Web-Interface verwalten,
enthält das mit dem entsprechenden Objekttyp verknüpfte Menü die Befehle zur Durchführung
von Verwaltungsaufgaben. Da Sie das Verhalten des Befehls zur Erstellung eines Benutzers
anpassen möchten, sollten Sie das Menü aufrufen, das diesen Befehl enthält – also das mit dem
Objekttyp „Container“ verknüpfte Menü.
Die Option Anpassung ist nur verfügbar, wenn Sie als AR Server Administrator angemeldet sind.
56
Evaluatorhandbuch
3.
Klicken Sie in der Liste der Objekttypen auf Container.
Hierdurch wird eine Liste mit für Containerobjekte spezifischen Befehlen angezeigt. Jeder
Befehl des Typs Formular wird verwendet, um eine Webseite anzuzeigen, die als „Formular“
bezeichnet wird. Wenn Sie ein Objekt im Web-Interface verwalten, wird durch Anklicken eines
derartigen Befehls das mit diesem Befehl verknüpfte Formular angezeigt. Da Sie die Seite zur
Erstellung eines Benutzers anpassen möchten, müssen Sie das mit dem Befehl Neuer
Benutzer verknüpfte Formular ändern.
4.
Klicken Sie in der Befehlsliste auf Neuer Benutzer.
5.
Klicken Sie im linken Bereich der Webseite auf Formular bearbeiten.
Hierdurch wird das Formular im Formulareditor geöffnet. Der Formulareditor ist ein zentraler
Ort zum Hinzufügen, Entfernen oder Ändern von Registerkarten und Einträgen und zum
Ändern der Reihenfolge der Registerkarten und Einträge auf dem Formular.
Im Web-Interface ist die Benutzererstellungsaufgabe in eine Reihe von Schritten unterteilt.
Daher umfasst das Formular verschiedene Registerkarten, wobei jede Registerkarte für die
Durchführung eines bestimmten Schritts dient. Sie werden nun ein Feld zur Registerkarte
Allgemein hinzufügen.
6.
Zeigen Sie in der Symbolleiste im Formulareditor auf Eintrag hinzufügen und klicken Sie
Erstellen.
Hierdurch wird eine Liste der Eigenschaften angezeigt. Sie können die Eigenschaft, die Sie
verwalten möchten, durch Verwendung des neuen Eintrags auswählen.
7.
Klicken Sie in der Eigenschaftsliste auf Telefonnummer. Klicken Sie auf Weiter.
Hierdurch wird die Seite angezeigt, auf der Sie den Namen und die Beschreibung des Eintrags
festlegen und einen QuickInfo-Text angeben können. Der Eintragsname wird verwendet, um
das Feld auf dem Formular zu benennen.
8.
Geben Sie Telefonnummer als den Eintragsnamen an und klicken Sie dann auf Fertig stellen.
Hierdurch werden die Einträge auf der Registerkarte „Allgemein“ angezeigt. Die Registerkarte
umfasst jetzt den Eintrag Telefonnummer. Damit die Änderungen wirksam werden, müssen
Sie zunächst gespeichert werden. Dann müssen die Web-Interface-Konfigurationsdaten neu
geladen werden.
9.
Klicken Sie auf Speichern.
10. Zeigen Sie in der Menüleiste des Web-Interface auf Anpassung und klicken Sie dann auf
Neu laden.
Sie können die von Ihnen vorgenommenen Änderungen rückgängig machen: Zeigen Sie auf Anpassung
und klicken Sie dann auf Standard wiederherstellen.
57
Quest ActiveRoles Server
Testen der Seite zur Erstellung eines Benutzers
Nachdem Sie die Schritte im vorigen Abschnitt abgeschlossen haben, können Sie mittels des WebInterface für Administratoren überprüfen, ob das neue Feld zur Seite zur Erstellung eines Benutzers
hinzugefügt wurde.
Gehen Sie folgendermaßen vor, um die Konfiguration der Seite zur Erstellung eines Benutzers
zu überprüfen:
1.
Klicken Sie auf der Startseite des Web-Interface auf Verzeichnisverwaltung.
2.
Geben Sie in das Feld Schnellsuche in der Menüleiste des Web-Interface den Namen der
Organisationseinheit ein, zu der Sie einen Benutzer hinzufügen möchten.
3.
Drücken Sie die Eingabetaste.
4.
Klicken Sie in der Suchergebnisliste auf den Namen der Organisationseinheit.
5.
Klicken Sie auf der Registerkarte MENÜ im linken Bereich der Webseite auf Neuer Benutzer:
Die Webseite umfasst jetzt das Feld Telefonnummer.
Sie können auch die Verknüpfung Hier klicken, um das Formular anzupassen verwenden, um
Benutzerschnittstellenelemente zum Formular hinzuzufügen oder aus ihm zu entfernen. Diese
Verknüpfung entspricht dem Befehl Formular bearbeiten (siehe Schritt 5 im vorigen Abschnitt).
58