1. AD ist die Datenbank, der DC ist der Server, der sie ausführt.
2. Ein DC braucht unbedingt DNS — sonst finden ihn die Clients nicht.
3. Windows Home kann keiner Domäne beitreten — nur Pro, Enterprise oder Education.
4. RODC speichert keine Passwörter lokal und wird nie automatisch zum normalen DC.
5. Forests können standardmäßig miteinander kommunizieren (zweirichtig, transitiv).
6. OUs regeln Verhalten (Richtlinien), Security Groups regeln Zugriff (Berechtigungen).
7. IGDLA / AGDLP: Identity → Global → Domain Local → Access.
8. LSDOU: Lokal → Site → Domain → OU. Die OU gewinnt bei Konflikten!
9. NTFS zählt immer; Freigabe nur übers Netzwerk. Die restriktivere gewinnt.
10. Best Practice Freigabe: „Jeder – Vollzugriff", echte Sicherheit über NTFS.

DC = Server mit AD-Datenbank · DNS = findet den DC · Client = greift über DNS auf die Domain zu

1. Server: Statische IP + AD DS installieren → zu DC hochstufen
2. DHCP: Scope .140–.200, Ausschluss .50–.59, 4 Tage Lease, DNS + 8.8.8.8
3. Client: IP automatisch, DNS → DC-IP, Domäne beitreten
4. OUs: Team → Offense, Defense · Benutzer: qb1, wr1, cb1, fs1 anlegen + freischalten
5. GPO: „Papierkorb ausblenden" an Offense & Defense verknüpfen
6. Fileserver: Home-Laufwerke (H:) + Share-Ordner mit NTFS-Berechtigungen & FSRM-Quote

Ein Windows Server ist ein Betriebssystem von Microsoft, das speziell für den Einsatz in Unternehmensnetzwerken entwickelt wurde. Im Gegensatz zu Windows 10/11 Home oder Pro bietet er zentrale Dienste wie Active Directory, Dateifreigaben, DHCP, DNS und vieles mehr.

• Domain Controller (DC) — Der Server, der Active Directory ausführt
• Active Directory (AD) — Die zentrale Datenbank für Benutzer & Computer
• DNS — Damit Clients den Server finden können
• RODC — Schreibgeschützte Kopie eines DC für unsichere Standorte
• CAL — Client Access License, benötigt für jeden Zugriff
• AGDLP — Best-Practice für Berechtigungsvergabe
• LSDOU — Reihenfolge der Gruppenrichtlinien
• GPO — Gruppenrichtlinienobjekt, regelt Einstellungen
• FSRM — File Server Resource Manager für Quotas & Screening

Die Prüfung konzentriert sich auf praktische Szenarien:

1. Domäne erstellen und DC hochstufen
2. DHCP konfigurieren & Client in Domäne hängen
3. OUs, Benutzer und GPOs erstellen
4. Home-Laufwerke und Freigaben einrichten
5. Berechtigungen mit NTFS & Freigaberechten steuern

Der Funktionsumfang ist bei beiden Editionen identisch — der Unterschied liegt nur in der Anzahl der erlaubten virtuellen Maschinen.

Für jeden Zugriff auf den Server braucht man eine Lizenz. Es gibt zwei Varianten:

• User CALs: Für eine Person — sinnvoll, wenn eine Person mehrere PCs nutzt (z. B. Laptop + Desktop)
• Device CALs: Für einen PC — sinnvoll, wenn ein PC von mehreren Benutzern genutzt wird (z. B. Schichtarbeit an einem Terminal)

Nicht jedes Windows kann einer Domäne beitreten:

• Active Directory (AD): Die Datenbank selbst — speichert Benutzer, Computer, Gruppen und Richtlinien
• Domain Controller (DC): Der Server, auf dem AD läuft. Er verwaltet eingehende Anfragen wie Anmeldungen
• DNS: Unverzichtbar! Ohne DNS finden Clients den DC nicht — AD kann ohne DNS nicht laufen

Der DC ist also die Hardware/Software, AD ist die Datenbank, und DNS ist das "Navigationssystem" dazu.

Ein RODC ist eine schreibgeschützte Kopie eines DC, die für Standorte mit geringerer physischer Sicherheit gedacht ist (z. B. eine kleine Außenstelle).

• Speichert keine Passwörter standardmäßig lokal (außer explizit erlaubt über die Password Replication Policy)
• Wird NICHT automatisch zum beschreibbaren DC, wenn der Haupt-DC ausfällt — dafür braucht man einen weiteren regulären DC als Backup!
• Richtlinien werden zentral auf dem beschreibbaren DC gespeichert; der RODC bezieht sie repliziert

Benutzer melden sich immer über den Domain Controller an — egal, an welchem PC sie sitzen. Der DC liefert ihre persönlichen Daten, Einstellungen und Berechtigungen. Das nennt man Single Sign-On (SSO) im lokalen Netzwerk.

• Forest: Die oberste Ebene — enthält alle Trees und Domains
• Tree: Eine Sammlung von Domains, die sich einen Namespace teilen
• Domain: Die kleinste Einheit, authentifiziert Benutzer und hat einen eindeutigen DNS-Namen

Eine Domain authentifiziert Benutzer und besitzt einen eindeutigen DNS-Namen wie lbshi.bz oder pruefung.com. Innerhalb einer Domain können Benutzer, Computer und Gruppen verwaltet werden.

Ein Tree enthält mehrere Domains, die hierarchisch verbunden sind:

• Parent Domain: lbshi.bz
• Child Domains: sales.lbshi.bz und admin.lbshi.bz

Standardmäßig können die Domains miteinander kommunizieren — das nennt man eine two-way transitive trust relationship.

Transitiv bedeutet: Wenn A B vertraut und B C vertraut, dann vertraut A automatisch auch C. Dein Freund ist mein Freund!

Ein Forest ist eine Sammlung von Trees. Innerhalb eines Forests sind die Trees automatisch über den Forest Root verbunden.

• Vertrauensstellungen (Trusts) sind bereits vorhanden (zweirichtig und transitiv)
• Extra Trust Relationships braucht man nur zwischen verschiedenen Forests oder für spezielle Szenarios

Organizational Units sind Container zum logischen Organisieren von Objekten — also von Benutzern, Computern und Gruppen.

Container könnten z. B. heißen:

• "IT"
• "Admin"
• "Brixen"
• "Pyongyang"
• "Geschäftsführung", "Design", "Praktikanten"

• Gruppenrichtlinien verwalten: Sicherheitseinstellungen, Druckerverbindungen, Desktopsperren etc.
• Admin-Rechte delegieren: Man kann Administratoren bestimmte Rechte für eine OU geben, z. B. nur dort Konten zurücksetzen
• Verschachteln (/Nesten): Es gibt Child- und Parent-OUs, z. B. Team → Offense

ACLs definieren Berechtigungen auf:

• Dateien & Ordner
• Drucker
• Anwendungen
• Netzwerkressourcen

Sie entscheiden also wer darf was mit einer Ressource machen.

Das AGDLP-Prinzip (Accounts → Global Groups → Domain Local Groups → Permissions) ist die bewährte Reihenfolge für Berechtigungsvergabe:

1. Accounts: Benutzerkonten erstellen (Identity)
2. Global Groups: Benutzer in globale Gruppen einfügen (z. B. nach Abteilungen)
3. Domain Local Groups: Die globalen Gruppen in domänenlokale Gruppen einfügen (nach Ressourcen)
4. Permissions: Zugriffsrechte nur an die domänenlokalen Gruppen vergeben

In der deutschen Variante heißt es IGDLA: Identity → Global Group → Domain Local Group → Access.

Group Policy Objects sind Sammlungen von Konfigurationen, die man auf Benutzer, Computer und OUs anwenden kann — quasi eine Vorlage für Einstellungen.

Mögliche Anwendungsbereiche:

• Sicherheitseinstellungen (Passwortrichtlinien, Firewall)
• Software (automatische Installation bestimmter Programme)
• Desktop-Einstellungen (Anime-Wallpaper, forced Dark Mode 🌑)
• Netzwerkkonfiguration
• Skripte ausführen (Login-Skripts etc.)

GPOs werden in einer festen Reihenfolge angewendet:

1. Lokal — jeder Computer hat eine lokale Group Policy
2. Site — physischer Netzwerkstandort, z. B. "Brixen Office" (ein LAN)
3. Domain — die Default Domain Policy
4. OU — die konkrete Organizational Unit

Bei Konflikten gewinnt die zuletzt angewendete Richtlinie! Das bedeutet:

Die OU hat also die höchste Priorität und kann Einstellungen aller anderen Ebenen überschreiben.

Passwortrichtlinien sollten immer auf Domain-Ebene konfiguriert werden, da sie am weitesten greifen.

Ausnahme: Mit FGPP (Fine Grained Password Policies) lassen sich unterschiedliche Passwortrichtlinien für verschiedene Gruppen oder OUs definieren — z. B. strengere Regeln für Administratoren als für normale Benutzer.

Standardmäßig werden GPOs alle 90 Minuten aktualisiert (oder beim Neustart/Abmelden). Für sofortige Anwendung am Client:

cmd als Administrator öffnen
gpupdate /force

1. Auf der Freigabe meist "Jeder – Vollzugriff" einstellen
2. Die eigentliche Zugriffssteuerung regelt man über die NTFS-Sicherheitsberechtigungen

Warum? Weil NTFS differenzierter ist und bei Konflikten ohnehin die restriktivere Berechtigung gewinnt. So vermeidet man doppelte Regelung und Fehlerquellen.

FSRM bietet folgende Funktionen:

• Quota Management: Speicherplatz pro Ordner oder Benutzer limitieren
• File Screening: Bestimmte Dateitypen blockieren (z. B. .exe in einer Freigabe)
• Usage Analytics: Auswertungen, wer wie viel speichert
• Metadaten für Dateien: Klassifizierung und Verwaltung

1. DNS: IP-Adresse des DC als DNS-Server eintragen (damit er die Domäne findet)
2. Domain-Name: z. B. lbshi.bz oder pruefung.com
3. Gateway: Für Internetzugriff, wenn NAT konfiguriert ist
4. Windows-Edition: Mindestens Pro, Enterprise oder Education (kein Home!)

Nach Eingabe der Domäne müssen die Admin-Anmeldedaten des Domain-Administrators eingegeben werden. Der Client startet anschließend neu.

Der Best Practice Analyzer (BPA) analysiert den Server auf Abweichungen von Microsofts Best Practices. Ein typisches Ergebnis:

Erstelle eine neue Domäne pruefung.com. Verwende dazu das Netzwerk 192.168.12.128/25.

Server-IP: 192.168.12.129, Bevorzugter DNS: 192.168.12.129 (zeigt später auf sich selbst).

Konfiguriere den DHCP-Dienst mit folgenden Eigenschaften:

• IP-Bereich: .140 bis .200
• Ausschluss: .50 bis .59
• Leasetime: 4 Tage
• Zweiter DNS: 8.8.8.8

Hänge anschließend den Client in die Domäne ein.

Erstelle die OU-Struktur:

pruefung.com
└── Team
    ├── Offense
    │   ├── qb1
    │   └── wr1
    └── Defense
        ├── cb1
        └── fs1

Setze für jeden Benutzer ein Passwort und schalte den Account frei. Teste die Anmeldung am Client.

Erstelle eine GPO, die den Papierkorb vom Desktop ausblendet, und verknüpfe sie mit Offense und Defense.

Erstelle Home-Laufwerke für alle vier Benutzer und einen gemeinsamen Ordner "Share" mit Schreib- und Leserechten.

• Ordnerstruktur auf dem Server: D:\Benutzer\[username] und D:\Share
• Freigabename: Benutzer (für Home) und Share
• NTFS-Berechtigungen: jeder Benutzer bekommt Vollzugriff auf seinen eigenen Ordner
• Share-Ordner: Alle Benutzer bekommen Ändern (Lesen + Schreiben)
• Home-Laufwerk verknüpfen: Laufwerk H: → \\Servername\Benutzer\[username]

1. Server-Manager → Lokaler Server → Klicke auf den blauen Link bei Ethernet
2. Rechtsklick auf Netzwerkadapter → Eigenschaften
3. Internetprotokoll Version 4 (TCP/IPv4) → Eigenschaften
4. Folgende IP-Adresse verwenden:
   • IP: 192.168.12.129
   • Subnetzmaske: 255.255.255.128
   • Gateway: 192.168.12.129
   • Bevorzugter DNS: 192.168.12.129
5. Mit OK bestätigen

Schritt 1: AD DS Rolle installieren

1. Server-Manager → Verwalten → Rollen und Features hinzufügen
2. Installationstyp: Rollenbasierte oder featurebasierte Installation
3. Zielserver: Dein Server
4. Serverrollen: Haken bei Active Directory-Domänendienste (AD DS)
5. Im Popup auf Features hinzufügen klicken
6. Weiter bis Ende → Installieren

Schritt 2: Domänencontroller hochstufen

1. Nach Installation oben rechts auf das gelbe Warnsymbol (Flagge) klicken
2. Den folgenden Server zu einem Domänencontroller heraufstufen
3. Bereitstellungsvorgang: Neue Gesamtstruktur hinzufügen
4. Stamm-Domänenname: pruefung.com
5. Domänencontroller-Optionen:
   • Funktionsebene: Windows Server 2016 (oder neuer)
   • Haken bei DNS-Server und Globaler Katalog (GC)
   • DSRM-Kennwort vergeben (sehr wichtig!)
6. DNS-Delegation-Warnung ignorieren → Weiter
7. NetBIOS-Domänenname: PRUEFUNG
8. Weiter → Installieren → Server startet neu

Schritt 1: DHCP-Serverrolle installieren

1. Server-Manager → Verwalten → Rollen und Features hinzufügen
2. Serverrollen: Haken bei DHCP-Server
3. Nach Installation: gelbe Flagge → Nachinstallationskonfiguration abschließen
4. Autorisieren mit Admin-Anmeldedaten → Fertig stellen

Schritt 2: DHCP-Bereich erstellen

1. Server-Manager → Tools → DHCP
2. Rechtsklick auf IPv4 → Neuer Bereich…
3. Name: Pruefung-Scope
4. IP-Bereich: Start 192.168.12.140, Ende 192.168.12.200, Länge 25
5. Ausschluss: 192.168.12.50 – 192.168.12.59 (Hinweis: außerhalb des /25-Netzes, aber so verlangt)
6. Leasedauer: 4 Tage
7. DHCP-Optionen: Ja
8. Router: leer lassen (falls kein Router vorhanden)
9. DNS: pruefung.com, DNS-Server 192.168.12.129 + Hinzufügen: 8.8.8.8
10. WINS: leer lassen → Ja, Bereich jetzt aktivieren

Schritt 3: Client in Domäne hängen

1. Client: Einstellungen → Netzwerk → Ethernet → Adaptereinstellungen
2. IP automatisch beziehen (DHCP läuft)
3. DNS-Server manuell: 192.168.12.129
4. Dieser PC → Eigenschaften → Erweiterte Systemeinstellungen → Computername → Ändern
5. Mitglied von: Domäne → pruefung.com
6. Admin-Anmeldedaten: PRUEFUNG\Administrator + Passwort
7. Neustart des Clients

OUs erstellen

1. Server-Manager → Tools → Active Directory-Benutzer und -Computer
2. Rechtsklick auf pruefung.com → Neu → Organisationseinheit → Team
3. Rechtsklick auf Team → Neu → Organisationseinheit → Offense und Defense

Benutzer erstellen

Offense: Rechtsklick auf Offense → Neu → Benutzer → qb1, wr1

Defense: Rechtsklick auf Defense → Neu → Benutzer → cb1, fs1

• Sicheres Passwort eingeben
• Benutzer muss Kennwort bei nächster Anmeldung ändern → AUS
• Kennwort läuft nie ab → AN (optional)

GPO — Papierkorb ausblenden

1. Server-Manager → Tools → Gruppenrichtlinienverwaltung
2. Navigiere zu: Gesamtstruktur: pruefung.com → Domänen → pruefung.com → Team → Offense
3. Rechtsklick → GPO in dieser Domäne erstellen und hier verknüpfen…
4. Name: Papierkorb ausblenden
5. Rechtsklick auf GPO → Bearbeiten
6. Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → Desktop
7. Symbol „Papierkorb" vom Desktop entfernen → Aktiviert
8. Gleiches für Defense wiederholen (gleiche GPO wiederverwenden)

Ordnerstruktur erstellen

Im Datei-Explorer auf dem Server:

D:\Benutzer\qb1
D:\Benutzer\wr1
D:\Benutzer\cb1
D:\Benutzer\fs1
D:\Share

Ordner freigeben

• Rechtsklick auf D:\Benutzer → Freigabe → Erweiterte Freigabe → Haken → Name: Benutzer
• Rechtsklick auf D:\Share → Freigabe → Erweiterte Freigabe → Haken → Name: Share

NTFS-Berechtigungen setzen

Home-Ordner (je Benutzer):

1. D:\Benutzer\qb1 → Eigenschaften → Sicherheit → Bearbeiten → Hinzufügen
2. PRUEFUNG\qb1 → Namen überprüfen → OK
3. Vollzugriff gewähren
4. Erweitert → Berechtigungen ändern → Geerbte Berechtigungen von "Benutzer" entfernen

Share-Ordner:

1. Security-Gruppe G_ShareAccess erstellen, alle 4 Benutzer hinzufügen
2. D:\Share → Sicherheit → G_ShareAccess → Ändern

Home-Laufwerk verknüpfen

1. Active Directory-Benutzer und -Computer
2. Rechtsklick auf qb1 → Eigenschaften → Profil
3. Basisordner → Verbunden als: Laufwerk H:, Pfad: \\Servername\Benutzer\qb1

Testen

1. Am Client als qb1 anmelden
2. Dieser PC → Netzlaufwerk H: sollte erscheinen
3. Auf \\Servername\Share zugreifen
4. Datei erstellen — cb1 sollte sie öffnen können

Active Directory (AD) ist ein Verzeichnisdienst von Microsoft für Windows-Netzwerke. Er speichert zentral Informationen über Benutzer, Computer, Gruppen und andere Netzwerkobjekte und ermöglicht deren Verwaltung, Authentifizierung und Autorisierung.

Dass die Richtlinien zentral gespeichert sind. Beim RODC handelt es sich um eine schreibgeschützte Kopie. Änderungen an Richtlinien müssen auf dem beschreibbaren DC vorgenommen und repliziert werden.

Zusätzlich: Der RODC speichert standardmäßig keine Passwörter lokal. Über die Password Replication Policy (PRP) legt man fest, welche Konten zwischengespeichert werden dürfen.

Ein Domain Controller (DC) ist ein Windows-Server mit installierten Active Directory Domain Services (AD DS). Er verwaltet die zentrale Authentifizierung und Autorisierung im Netzwerk, speichert die Active Directory-Datenbank und verarbeitet Anmeldeanfragen von Benutzern und Computern.

Einen DNS-Server, damit Clients ihn finden können.

Ohne DNS können Clients die SRV-Einträge für Kerberos und LDAP nicht auflösen und somit den DC nicht lokalisieren.

Windows Home

Windows Home-Editionen unterstützen keinen Domänenbeitritt. Dafür benötigt man mindestens eine Pro, Enterprise oder Education Edition.

Der DC wurde mit dem Best Practice Analyzer analysiert. Festgestellt wurde, dass die Zeit nicht vom DC kam.

Der DC sollte als PDC-Emulator die Zeitquelle für das gesamte Netzwerk sein (bspw. über externen NTP-Server synchronisiert).

Identity → Global Group → Domain Local Group → Access

Dies ist die Best-Practice-Reihenfolge für Berechtigungen:

1. Benutzerkonten (Identity)
2. In globale Gruppen einfügen
3. Globale Gruppen in domänenlokale Gruppen einfügen
4. Domänenlokalen Gruppen Zugriffsrechte (Access) zuweisen

IGDLA ist die deutsche Variante des klassischen AGDLP-Konzepts (bzw. AGUDLP).

Lokal → Site (Standort) → Domäne → Organizational Unit

Dies ist die Anwendungsreihenfolge der Gruppenrichtlinien:

1. Lokale Richtlinien zuerst
2. Dann Standort (Site)
3. Dann Domäne
4. Zuletzt OU

Bei Konflikten gewinnt die zuletzt angewendete Richtlinie. Die OU hat also die höchste Priorität!

NTFS-Sicherheitsberechtigungen gelten immer — sowohl lokal am Server als auch über das Netzwerk. Freigabeberechtigungen gelten nur beim Zugriff über die Netzwerkfreigabe.

Wenn jemand über das Netzwerk zugreift, gelten jeweils die restriktiveren Berechtigungen von beiden.

Best-Practice-Vorgehen:

1. Auf der Freigabe meist "Jeder – Vollzugriff" einstellen
2. Die eigentliche Zugriffssteuerung regelt man über die NTFS-Sicherheitsberechtigungen