Active Directory

Im Zusammenhang mit den eben eingerichteten servergespeicherten Profilpfaden gibt es einige weitere passende und empfehlenswerte Einstellungen, die alle auf die gleiche Weise konfiguriert werden.

Wir werden jetzt ein GPO erstellen, das die grundlegenden Richtlinien für die Nutzung von Roaming-Profilen für alle Nutzer und Computer grundlegend definiert.

Das zentrale Werkzeug zur Administration von GPO ist die Gruppenrichtlinienverwaltung, die sich im Verwaltungsmenü der Systemsteuerung befindet:

Zum Anpassen der Berechtigungen der Benutzerfreigabe genügt der Windows-Explorer. Die „versteckte“ Users$-Freigabe müssen wir durch manuelle Adresseingabe sichtbar machen. Der Pfad besteht aus dem kurzen Netbios-Namen des NAS und dem Freigabenamen, im Beispiel \\qnapnas\users$

Wer bis hierher mitgelesen hat und immer noch abenteuerlustig ist, gehört eigentlich schon dazu. Ich setze für diese Anleitung neben einer gewissen Experimentierfreude und Leidensfähigkeit noch voraus:

Wer mehr als ein computerähnliches Gerät besitzt und damit womöglich noch arbeitet, kommt irgendwann an einen Punkt, an dem USB-Sticks und externe Festplatten nicht mehr genügen. Spätestens, wenn dank wachsenden Benutzerzahlen und Datenmengen auch die Benutzerverwaltung der NAS-Firmware an ihre Grenzen stößt, wird es höchste Zeit, seine Organisationsstrukturen zu ordnen.

Ein Benutzerprofil ist in unserem Kontext, also in der Windows-Welt, eine Sammlung benutzerspezifischer Eigenschaften, Einstellungen, Dateien und Ordner. Die genaue Zusammensetzung hat sich im Laufe der Zeit entwickelt, wobei meist Wert auf Rückwärtskompatibilität gelegt wurde. Aktuell besteht ein Windows-Profil aus den HKEY_CURRENT_USER-Einstellungen der Registry (gespeichert in einem „Hive“ namens ntuser.dat), einigen Konfigurationsdateien und verschiedenen funktionalen Ordnern (Eigene Dateien, Anwendungsdaten und andere).

Gruppen und Benutzer werden mit Hilfe der Active Directory-Benutzer und -Computer-Konsole aus dem Verwaltungs-Menü organisiert.

Gruppen erstellen

Über das Menü erstellen wir mit Aktion > Neu > Gruppe nun eine solche:

Es genügt fürs Erste die Eingabe des Gruppennamens:

Das gesamte Berechtigungskonzept von Windows-Domänen baut auf sogenannten Gruppenrichtlinien (Group Policies) auf. Diese steuern, ggf. anhand verschiedener Kriterien wie Benutzergruppen oder Hardware, bestimmte Einstellungen an einem Computer und/oder einer Benutzersitzung. Diese Richtlinien werden auf dem AD-Server hinterlegt und von den Client-Computern bei der Anmeldung übernommen.

Ein zentraler Bestandteil von Active Directory ist ein LDAP-Dienst mit einer recht intuitiven Benutzeroberfläche. Die Anwendungsfälle sind unzählig: Groupware wie Outlook oder Notes kann direkt an das Verzeichnis angebunden werden, sodaß auch hier der Administrationsaufwand massiv reduziert wird. Ebenfalls verbreitet und bekannt ist die Zugriffskontrolle für Dateien (auch Samba nutzt beim Domänenbeitritt ja das AD-LDAP). Aber auch beliebige andere Anwendungen können mit einer geeigneten Schnittstelle die Benutzerauthentifizierung komplett auslagern.