1.1 Domeincontrollers installeren en configureren
Active Directory Domain Services (AD DS) vormen de hoeksteen van identiteits- en toegangsoplossingen in Windows Server 2016. Het is daarom belangrijk dat u begrijpt hoe u een AD DS-infrastructuur kan implementeren om de identiteitsbehoeften van uw organisatie te ondersteunen.
In dit hoofdstuk bespreken we hoe u domeincontrollers installeert en configureert, en hoe u gebruikers, groepen, computers en organisatie-eenheden (OE’s) maakt en configureert. Deze vaardigheden zijn van fundamenteel belang voor het implementeren van AD DS.
1.1.1 Basisprincipes van AD DS
AD DS bestaat uit zowel logische als fysieke componenten. Een fysieke component is iets tastbaars, zoals een domeincontroller, terwijl een AD DS-forest een immateriële, logische component is. AD DS bestaat uit de volgende logische componenten:
- Forest – Een forest is een verzameling AD DS-domeinen die een gemeenschappelijk schema delen en gebonden zijn door automatisch gemaakte tweerichtingsvertrouwensrelaties. De meeste organisaties kiezen ervoor om AD DS te implementeren met één forest. Redenen om meerdere bossen te gebruiken zijn onder meer de eis om:
- Zorgen voor een volledige administratieve scheiding tussen verschillende onderdelen van uw organisatie.
- Ondersteuning van verschillende objecttypen en kenmerken in het AD DS-schema in verschillende delen van uw organisatie.
- Domein – Een domein is een logische beheereenheid die gebruikers, groepen, computers en andere objecten bevat. Meerdere domeinen kunnen deel uitmaken van een of meerdere forests, afhankelijk van uw organisatorische behoeften. Ouder-kind- en vertrouwensrelaties bepalen uw domeinstructuur.
Examentip
Een domein biedt geen administratieve scheiding omdat alle domeinen in een forest dezelfde forestbeheerder hebben: de universele beveiligingsgroep Ondernemingsadministrators. Voor volledige administratieve scheiding moet u meerdere AD DS-forests implementeren.
- Tree – Een tree is een verzameling AD DS-domeinen die een gemeenschappelijk hoofddomein delen en een aaneengesloten naamruimte hebben. Bijvoorbeeld sales.adatum.com en marketing.adatum. com deel de gemeenschappelijke root adatum.com; ze delen ook een aangrenzende naamruimte, adatum.com. U kunt uw AD DS-forest bouwen met een enkele structuur of u kunt meerdere bomen gebruiken. Redenen voor het gebruik van meerdere bomen zijn onder meer de vereiste om meerdere logische naamruimten binnen uw organisatie te ondersteunen, misschien vanwege fusies of overnames.
- Schema – Het AD DS-schema is de verzameling objecttypen en hun eigenschappen, ook wel attributen genoemd, die definieert welke soorten objecten u kunt maken, opslaan en beheren in uw AD DS-forest. Een gebruiker is bijvoorbeeld een logisch objecttype en heeft verschillende eigenschappen, waaronder een volledige naam, een afdeling en een wachtwoord. De relatie tussen objecten en hun kenmerken wordt bewaard in het schema en alle domeincontrollers in een forest bevatten een kopie van het schema.
- OU – Een OU is een container binnen een domein die gebruikers, groepen, computers en andere OU’s bevat. Ze worden gebruikt om te zorgen voor administratieve vereenvoudiging. Met OU’s kunt u eenvoudig beheerdersrechten delegeren aan een verzameling objecten door ze te groeperen in een OU en het recht op die OU toe te wijzen. U kunt ook Group Policy Objects (GPO’s) gebruiken om gebruikers- en computerinstellingen te configureren en die GPO-instellingen te koppelen aan een OU, waardoor het configuratieproces wordt gestroomlijnd. Er wordt standaard één OE gemaakt wanneer u AD DS installeert en een domein maakt: Domeincontrollers.
- Container – Naast OU’s kunt u ook containers gebruiken om verzamelingen objecten te groeperen. Er zijn een aantal ingebouwde containers, waaronder: computers, ingebouwde en beheerde serviceaccounts. U kunt GPO’s niet koppelen aan containers.
- Site – Een site is een logische weergave van een fysieke locatie binnen uw organisatie. Het kan een groot fysiek gebied vertegenwoordigen, zoals een stad, of het kan een kleiner fysiek gebied vertegenwoordigen, zoals een verzameling subnetten die worden gedefinieerd door de grenzen van uw datacenter. AD DS-sites helpen netwerkapparaten te bepalen waar ze zich bevinden ten opzichte van services waarmee ze verbinding willen maken. Wanneer een Windows 10-computer bijvoorbeeld opstart, gebruikt deze de vastgestelde locatielocatie om een aangrenzende domeincontroller te vinden om de aanmelding van de gebruiker te ondersteunen. Met sites kunt u ook AD DS-replicatie beheren door een intersite-replicatieschema te configureren en interval.
Examentip
Een standaardsite, Default-First-Site-Name, wordt gemaakt wanneer u AD DS installeert en uw forest maakt. Alle domeincontrollers horen bij deze site totdat u extra sites maakt en hieraan domeincontrollers toewijst. Als u van plan bent extra site-objecten te maken, moet u de standaardsite hernoemen.
- Subnet – Een subnet is een logische weergave van een fysiek subnet op uw netwerk. Door subnetten te definiëren, maakt u het voor een computer in uw AD DS-forest mogelijk om zijn fysieke locatie te bepalen in relatie tot services die in het forest worden aangeboden. Er zijn standaard geen subnetten. Nadat u subnetten hebt gemaakt, koppelt u deze aan sites. Een site kan meer dan één subnet bevatten.
- Partitie – Uw AD DS wordt fysiek opgeslagen in een database op al uw domeincontrollers. Omdat sommige delen van uw AD DS niet vaak veranderen, terwijl andere vaak veranderen, wordt een aantal afzonderlijke partities opgeslagen in de AD DS-database.
Deze afzonderlijke partities zijn:
- Schema – Een partitie op forestniveau, die zelden verandert. Bevat het AD DS-forestschema.
- Configuratie – Een partitie op forestniveau die zelden verandert. Deze partitie bevat de configuratiegegevens voor het forest.
- Domein – Partitie op domeinniveau. Deze partitie verandert regelmatig en een beschrijfbare kopie van de partitie wordt opgeslagen op alle domeincontrollers. Het bevat de daadwerkelijke objecten, zoals gebruikers en computers, die in uw forest bestaan.
Opmerking
Read Only Domain Controllers (RODC’s) bevatten een alleen-lezen kopie van de domeinpartitie.
Opmerking
U kunt ook specifieke partities maken om directory-enabled toepassingen te ondersteunen die u in uw forest implementeert. U kunt DNS bijvoorbeeld configureren om een specifieke toepassingsmappartitie te gebruiken voor AD-geïntegreerde zonereplicatiedoeleinden.
1.1.2 Installeer een nieuw forest
Als u een nieuw AD DS-forest wilt installeren, moet u de eerste domeincontroller in dat forest implementeren. Dit betekent het implementeren van de AD DS-serverrol op een Windows Server 2016-servercomputer en vervolgens het promoveren van de server naar een domeincontroller en het kiezen van de optie om een nieuw forest toe te voegen.
Als u een nieuw forest wilt maken, begint u met het installeren van de AD DS-rol met behulp van de volgende procedure:
- Meld u aan bij de Windows Server 2016-computer als lokale beheerder.
- Start Serverbeheer en klik vervolgens op het Dashboard op Rollen en onderdelen toevoegen.
- Klik door de wizard Rollen en onderdelen toevoegen en schakel vervolgens, zoals weergegeven in de volgende afbeelding, op de pagina Serverrollen het selectievakje Active Directory Domain Services in, klik op Functies toevoegen en klik vervolgens op Volgende.
- Klik door de rest van de wizard en klik desgevraagd op Installeren.
- Wanneer de installatie is voltooid, klikt u op Sluiten.
Examentip
U kunt ook Windows PowerShell gebruiken om de benodigde bestanden te installeren. Voer de volgende opdracht uit bij een verhoogde Windows PowerShell-opdrachtprompt: Install-WindowsFeature AD-Domain-Services.
Nadat u de binaire bestanden voor AD DS hebt geïnstalleerd, moet u een nieuw forest maken door de eerste domeincontroller te promoten in het forest. Gebruik hiervoor de volgende procedure:
- Klik in Serverbeheer op het gele waarschuwingsdriehoekje in Meldingen en klik vervolgens op Deze server promoten tot een domeincontroller.
- Klik in de Active Directory Domain Services-configuratiewizard op de pagina Implementatieconfiguratie onder De implementatiebewerking selecteren op Een nieuw forest toevoegen en typ vervolgens de naam van het foresthoofddomein, zoals weergegeven in de volgende afbeelding. Klik volgende.
- Configureer op de pagina Opties domeincontroller, zoals weergegeven in Afbeelding 1-3, de volgende opties en klik vervolgens op Volgende:
- Functioneel niveau van het forest – Het functionele niveau van het forest bepaalt welke functies op forestniveau beschikbaar zijn in uw fiorest. Het forest-functionaliteitsniveau definieert ook het minimale domeinfunctionaliteitsniveau voor domeinen in uw forest. Het kiezen van Windows Server 2012 op dit niveau betekent dus dat het minimale domeinfunctionaliteitsniveau ook Windows Server 2012 is. Kies tussen:
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Functioneel niveau domein – Bepaalt de functies op domeinniveau die beschikbaar zijn in dit domein. Kies tussen:
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Domain Name System (DNS) Server – DNS biedt naamomzetting en is een essentiële service voor AD DS. Deze optie is standaard geselecteerd en deselecteer deze optie niet, tenzij u al een geconfigureerde DNS-infrastructuur hebt.
- Global Catalog (GC) – Globale-catalogusservers bieden forest-brede services. Ze zijn standaard geselecteerd en kunnen niet worden gedeselecteerd. De eerste (en enige) domeincontroller moet een globale-catalogusserver zijn. Wanneer u extra domeincontrollers heeft toegevoegd, kunt u deze instelling opnieuw bekijken.
- Read Only Domain Controller (RODC) – Bepaalt of deze domeincontroller een alleen-lezen domeincontroller is. Deze optie is standaard niet geselecteerd en niet beschikbaar voor de eerste (en momenteel enige) domeincontroller in uw forest.
- Directory Services Restore Mode (DSRM) – Wachtwoord Wordt gebruikt wanneer u de domeincontroller start in een herstelmodus.
- Functioneel niveau van het forest – Het functionele niveau van het forest bepaalt welke functies op forestniveau beschikbaar zijn in uw fiorest. Het forest-functionaliteitsniveau definieert ook het minimale domeinfunctionaliteitsniveau voor domeinen in uw forest. Het kiezen van Windows Server 2012 op dit niveau betekent dus dat het minimale domeinfunctionaliteitsniveau ook Windows Server 2012 is. Kies tussen:
- Definieer op de pagina Extra opties de NetBIOS-domeinnaam. Het NetBIOS-protocol wordt niet veel meer gebruikt en is gebaseerd op een niet-hiërarchische naamgevingsstructuur. De standaard NetBIOS-naam is het eerste deel van de AD DS-forestnaam. Als uw forest bijvoorbeeld Contoso.com heet, wordt de NetBIOS-naam standaard ingesteld op CONTOSO; over het algemeen hoeft u dit niet te wijzigen. Klik volgende.
- Definieer, zoals weergegeven in de volgende afbeelding, de locatie voor het opslaan van de AD DS-database, logbestanden en SYSVOL-inhoud en klik op Volgende. De standaardinstellingen zijn:
- Databasemap: C:\Windows\NTDS
- Map met logbestanden: C:\Windows\NTDS
- SYSVOL-map: C:\Windows\SYSVOL
- Bekijk de configuratieopties en klik vervolgens op Volgende om de vereiste controles uit te voeren.
- Klik op Installeren wanneer daarom wordt gevraagd. Uw servercomputer wordt opnieuw opgestart tijdens het installatieproces.
- Meld u aan bij uw servercomputer met het domeinbeheerdersaccount.
Examentip
U kunt ook Windows PowerShell gebruiken om de promotie uit te voeren. Voer de cmdlet Install-ADDS-DomainController uit. Voer bijvoorbeeld de opdracht Install-ADDSDomainController -InstallDns -DomainName adatum.com uit om de lokale server toe te voegen als een extra domeincontroller in het Adatum.com-domein en de DNS-serverrol te installeren.
Examentip
Het heeft meestal weinig zin om verschillende paden te gebruiken. U kunt echter een klein prestatievoordeel behalen door de SYSVOL-, database- en logbestanden te scheiden als uw server is geïnstalleerd met meerdere fysieke harde schijven, waardoor de belasting wordt verdeeld.
1.1.3 Een domeincontroller toevoegen of verwijderen
Nadat u de eerste domeincontroller in uw AD DS-forest hebt geïmplementeerd, kunt u extra domeincontrollers toevoegen voor veerkracht en betere prestaties. Het proces voor het implementeren van extra domeincontrollers is in grote lijnen hetzelfde als dat voor de eerste domeincontroller: installeer de AD DS-serverrol (met behulp van Serverbeheer of Windows PowerShell) en promoot vervolgens de domeincontroller (opnieuw, met behulp van Serverbeheer of Windows PowerShell).
De specifieke opties die u tijdens het promotieproces selecteert, zijn echter afhankelijk van de details van de implementatie. Het toevoegen van een nieuwe domeincontroller in een bestaand domein is bijvoorbeeld iets anders dan het toevoegen van een nieuwe domeincontroller in een nieuw domein.
Er zijn twee basisscenario’s voor het toevoegen van een nieuwe domeincontroller:
- Een nieuwe domeincontroller toevoegen aan een bestaand domein – Om dit proces te voltooien, moet u zich aanmelden als lid van de algemene beveiligingsgroep Domeinbeheerders van het doeldomein.
- Een nieuwe domeincontroller toevoegen aan een nieuw domein – Om dit proces te voltooien, moet u zich aanmelden als lid van de universele beveiligingsgroep voor forestroot Enterprise Admins. Dit geeft u voldoende bevoegdheden om de configuratiepartitie van AD DS te wijzigen en het nieuwe domein te maken, hetzij als onderdeel van de bestaande domeinstructuur, hetzij als onderdeel van een nieuwe domeinstructuur.
Een veelvoorkomende reden om een nieuw domein toe te voegen is het creëren van een replicatiegrens. Omdat de meeste wijzigingen in de AD DS-database plaatsvinden in de domeinpartitie, genereert deze partitie het meeste AD DS-replicatieverkeer. Door uw AD DS-forest op te splitsen in meerdere domeinen, kunt u het volume van wijzigingen splitsen en zo de replicatie tussen locaties verminderen. Als A.Datum bijvoorbeeld een groot aantal computers had in zowel Europa als Canada, zouden ze twee afzonderlijke domeinen kunnen maken in het Adatum.com-foresthoofddomein: Europe.Adatum.com en Canada.Adatum.com. Wijzigingen in het domein Europe.Adatum.com worden niet gerepliceerd naar domeincontrollers in Canada.Adatum.com en omgekeerd.
1.1.3.1 Een nieuwe domeincontroller toevoegen in een bestaand domein
Om een nieuwe domeincontroller aan een bestaand domein toe te voegen, meldt u zich aan als een domeinbeheerder en voltooi vervolgens de volgende procedure.
- Voeg de serverrol Active Directory Domain Services toe.
- Klik in Serverbeheer op Meldingen en klik vervolgens op Deze server promoveren tot een domeincontroller.
- Klik in de Active Directory Domain Services-configuratiewizard op de pagina Implementatieconfiguratie, zoals weergegeven in de volgende afbeelding, op Een domeincontroller toevoegen aan een bestaand domein.
- Geef de domeinnaam op. De standaardnaam is hetzelfde als het domein waartoe de servercomputer behoort. U kunt echter kiezen uit andere beschikbare domeinen in het forest.
- Specificeer de inloggegevens van een gebruikersaccount met de juiste bevoegdheden om het promotieproces uit te voeren. De standaard is het huidige gebruikersaccount. Klik volgende.
- Configureer op de pagina Domain Controller Options de Domain Name System (DNS)-server (standaard ingeschakeld), Global Catalog (GC) (standaard ingeschakeld) en Read Only Domain Controller (RODC) (niet standaard ingeschakeld) . Anders dan bij het promoten van de eerste domeincontroller in een forest, kunt u de Read Only Domain Controller (RODC) inschakelen om van deze domeincontroller een alleen-lezen domeincontroller te maken.
- Selecteer in de vervolgkeuzelijst Sitenaam, weergegeven in de volgende afbeelding, de site waarin deze domeincontroller fysiek is geplaatst. De standaard is Default-First-Site-Name. Dit is de enige beschikbare site totdat u extra AD DS-sites maakt. U kunt de domeincontroller na de implementatie verplaatsen.
- Voer het Directory Services Restore Mode (DSRM)-wachtwoord in en klik op Volgende.
- Op de pagina Extra opties moet u configureren hoe deze domeincontroller de AD DS-database vult. U kunt de initiële populatie configureren vanaf een online domeincontroller door een willekeurige domeincontroller te selecteren, zoals weergegeven in de volgende afbeelding, of door een bepaalde domeincontroller op te geven. Als alternatief kunt u de optie Install From Media (IFM) gebruiken. Klik volgende.
- Configureer de paden, zoals eerder, en klik vervolgens door de configuratiewizard.
- Klik op Installeren wanneer daarom wordt gevraagd. Uw servercomputer wordt opnieuw opgestart tijdens het promotieproces.
Nadat je het promotieproces hebt voltooid, log je in met een domeinbeheerdersaccount.
Examentip
Aanmelden als lid van de algemene beveiligingsgroep Domeinbeheerders veronderstelt dat de servercomputer die u wilt promoten lid is van het doeldomein. Als dit niet het geval is, is het gemakkelijker om eerst de servercomputer toe te voegen aan het doeldomein en vervolgens de procedure te voltooien. Als u besluit de computer niet toe te voegen aan het doeldomein, moet u zich tijdens het promotieproces aanmelden als lokale beheerder en de inloggegevens voor domeinbeheerder opgeven. Het is ook een vereiste dat de servercomputer die u promoot, namen kan omzetten met behulp van de DNS-service in uw AD DS-forest.
1.1.3.2 Een nieuwe domeincontroller toevoegen in een nieuw domein
Als u een nieuwe domeincontroller wilt toevoegen aan een nieuw domein in een bestaand forest, meldt u zich aan als lid van de universele beveiligingsgroep voor forest Enterprise Admin en voert u de volgende procedure uit.
Examentip
Als u zich wilt aanmelden als lid van de universele beveiligingsgroep Ondernemingsadministrators, moet de servercomputer die u wilt promoten lid zijn van een van de domeinen in uw AD DS-forest. Als dit niet het geval is, is het gemakkelijker om eerst de servercomputer toe te voegen aan het foresthoofddomein en vervolgens de procedure te voltooien. Als u besluit de computer niet toe te voegen aan het forest-hoofddomein, moet u zich tijdens het promotieproces aanmelden als lokale beheerder en inloggegevens voor ondernemingsbeheerder opgeven. Het is ook een vereiste dat de servercomputer die u promoot, namen kan omzetten met behulp van de DNS-service in uw AD DS-forest.
- Voeg de serverrol Active Directory Domain Services toe.
- Klik in Serverbeheer op Meldingen en klik vervolgens op Deze server promoveren tot een domeincontroller.
- Klik in de Active Directory Domain Services-configuratiewizard op de pagina Implementatieconfiguratie, zoals weergegeven in de volgende afbeelding, op Een nieuw domein toevoegen aan een bestaand forest.
- U kunt dan kiezen hoe het nieuwe domein wordt toegevoegd. U kunt selecteren:
- Onderliggend domein – Als u deze optie selecteert, wordt een subdomein van het opgegeven bovenliggende domein gemaakt. Met andere woorden, het nieuwe domein wordt aangemaakt in de bestaande domeinboom.
- Boomdomein – Selecteer deze optie als u een nieuwe boomstructuur in hetzelfde forest wilt maken. De nieuwe structuur deelt hetzelfde forest-schema en heeft hetzelfde forest-hoofddomein, maar u kunt een niet-aangrenzende naamruimte definiëren. Dit is handig wanneer u meerdere DNS-domeinnamen in uw AD DS-forestinfrastructuur wilt maken om uw organisatorische behoeften te ondersteunen, maar de administratieve functie niet wilt of hoeft te scheiden zoals mogelijk is met een afzonderlijk forest. Als u Tree Domain kiest, moet u het forest-domein definiëren waaraan de tree wordt toegevoegd. De standaardinstelling is het forest waarbij u bent aangemeld.
- Voer de nieuwe domeinnaam in. In het geval van een onderliggend domein bevat de naam het bovenliggende domein als achtervoegsel. Als u bijvoorbeeld het domein Europe toevoegt als een onderliggend domein van het domein Adatum.com, wordt het domein Europe.Adatum.com gemaakt. Als u een nieuwe boomstructuur maakt, kunt u elke geldige DNS-domeinnaam invoeren en deze bevat niet het foresthoofddomein. Klik volgende.
- Selecteer op de pagina Opties domeincontroller het domeinfunctionaliteitsniveau en configureer de DNS-, GC- en RODC-instellingen. Selecteer de juiste sitenaam en voer ten slotte het DSRM-wachtwoord in en klik op Volgende.
- Schakel op de pagina DNS-opties, zoals weergegeven in de volgende afbeelding, het selectievakje DNS-delegatie maken in. Hiermee wordt een DNS-delegatie gemaakt voor het subdomein in uw DNS-naamruimte. Klik volgende.
- Geef de NetBIOS-domeinnaam op en klik vervolgens door de wizard. Klik desgevraagd op Installeren.
- Uw domeincontroller wordt opnieuw opgestart tijdens het promotieproces. Meld u aan als domeinbeheerder nadat het proces is voltooid.
1.1.3.3 Domeincontrollers verwijderen
Van tijd tot tijd kan het nodig zijn om een domeincontroller buiten gebruik te stellen en te verwijderen. Dit is een vrij eenvoudig proces en u kunt Server Manager gebruiken om de taak te voltooien.
- Log in met een account met voldoende bevoegdheden. Meld u aan als domeinbeheerder om een domeincontroller uit een domein te verwijderen. Als u een volledig domein wilt verwijderen, meldt u zich aan als lid van de universele beveiligingsgroep Enterprise Admins.
- Open Serverbeheer en klik in het menu Beheren op Rollen en onderdelen verwijderen.
- Klik in de wizard Rollen en onderdelen verwijderen op de pagina Voordat u begint op Volgende.
- Selecteer de juiste server op de pagina Bestemmingsserver selecteren en klik vervolgens op Volgende.
- Schakel op de pagina Serverrollen verwijderen het selectievakje Active Directory Domain Services uit, klik op Onderdelen verwijderen en klik vervolgens op Volgende.
- Klik in het pop-upvenster Validatieresultaten, weergegeven in de volgende afbeelding, op Deze domeincontroller degraderen.
- De Active Directory Domain Services-configuratiewizard wordt geladen, zoals weergegeven in de volgende afbeelding. Geef op de pagina Referenties, indien nodig, gebruikersreferenties op die voldoende bevoegdheden hebben om de verwijdering uit te voeren. Schakel het selectievakje De verwijdering van deze domeincontroller forceren niet in, tenzij de domeincontroller defect is en niet bereikbaar is. Klik volgende.
- Op de pagina Waarschuwingen, weergegeven in de volgende afbeelding, wordt u gevraagd om het verwijderen van de DNS- en GC-rollen. Schakel het selectievakje Doorgaan met verwijderen in en klik op Volgende.
- Voer bij Nieuw beheerderswachtwoord het wachtwoord in dat is ingesteld als het lokale beheerderswachtwoord en bevestig het, en klik op Volgende.
- Controleer uw keuzes en klik vervolgens op Degraderen.
- Uw server wordt gedegradeerd en start vervolgens opnieuw op. Meld u aan met het lokale beheerdersaccount.
U kunt nu de juiste degradatie en rolverwijdering controleren. Op een domeincontroller:
- Open Active Directory: gebruikers en computers op een domeincontroller. Controleer of de gedegradeerde domeincontroller niet langer wordt vermeld in de OU voor domeincontrollers.
- Klik op de container Computers. U zou uw gedegradeerde servercomputer moeten zien.
- Open Active Directory-sites en -services. Vouw Sites uit, vouw de site Standaard-First-Site-Name uit en verwijder in Servers het object dat de server vertegenwoordigt die u hebt gedegradeerd.
Examentip
Als de uit bedrijf te nemen server de laatste domeincontroller in een domein is, moet u eerst alle andere computers uit het domein verwijderen, eventueel verplaatsen naar andere domeinen binnen uw forest. De procedure is dan zoals hierboven beschreven.
U kunt het degradatieproces ook voltooien met behulp van Windows PowerShell. Gebruik de volgende twee cmdlets om het proces te voltooien vanaf de Windows PowerShell-opdrachtprompt:
Uninstall-addsdomaincontroller
Uninstall-windowsfeature AD-Domain_Services
1.1.4 AD DS installeren op een Server Core-installatie
U kunt de AD DS-serverrol implementeren op een Server Core-installatie. U kunt Server Manager gebruiken om de rol op afstand te installeren, of u kunt de cmdlet Windows PowerShell Install-WindowsFeature AD-Domain-Services gebruiken.
Nadat u de vereiste bestanden hebt geïnstalleerd, kunt u de Active Directory Domain Services-configuratiewizard starten vanuit Serverbeheer om de Server Core-installatie op afstand te configureren, of u kunt de cmdlet Windows PowerShell Install-ADDSDomainController gebruiken om het promotieproces te voltooien. Met andere woorden, het proces voor het installeren van AD DS op een Server Core-installatie van Windows Server 2016 is hetzelfde als voor een server met Desktop Experience.
Examentip
U kunt de AD DS-serverrol niet implementeren op Nano Server. Daarom kunt u een Nano Server niet als domeincontroller gebruiken.
1.1.5 Installeer een domeincontroller met Install from Media
Tijdens het implementatieproces van de domeincontroller wordt de inhoud van de AD DS-database gerepliceerd naar de nieuwe domeincontroller. Deze replicatie omvat het schema, configuratieforestpartities en de juiste domeinpartitie. Na deze initiële synchronisatie vindt replicatie normaal plaats tussen de domeincontrollers.
Deze initiële synchronisatie kan in sommige omstandigheden een uitdaging vormen. Dit kan bijvoorbeeld een uitdaging zijn wanneer u een domeincontroller implementeert op een locatie die is verbonden met de netwerkinfrastructuur van uw organisatie via een verbinding met lage bandbreedte. In deze situatie kan de initiële synchronisatie lang duren of een te groot deel van de beschikbare bandbreedte gebruiken.
Om dit te verhelpen, kunt u ervoor kiezen om een domeincontroller te implementeren en de eerste AD DS-synchronisatie uit te voeren met behulp van een lokale kopie of momentopname van de AD DS-database; dit staat bekend als het uitvoeren van een Install from Media (IFM)-implementatie. Bij dit proces komen veel stappen kijken.
De domeincontroller repliceert nu op de normale manier met andere domeincontrollers in het forest. Mogelijk wilt u de AD DS-site definiëren waartoe de domeincontroller behoort en vervolgens een replicatieschema voor die site configureren. Deze procedures worden besproken in Hoofdstuk 2: Beheer en onderhoud van AD DS, Vaardigheid 2.3: Active Directory configureren in een complexe bedrijfsomgeving.
Examentip
U kunt de implementatie ook voltooien door de opdracht Windows PowerShell Install-ADDSDomaincontroller -InstallationMediaPath x:\ifm te gebruiken om de servercomputer te promoten.
1.1.6 Installeer en configureer een read-only domeincontroller
Een RODC is een domeincontroller die een alleen-lezen exemplaar van AD DS bevat. U kunt RODC’s gebruiken om domeincontrollers te implementeren in kantoren waar de fysieke beveiliging niet kan worden gegarandeerd. In een filiaal hebt u bijvoorbeeld mogelijk een lokale domeincontroller nodig, maar beschikt u niet over een fysiek beveiligde computerruimte om deze te installeren.
Hoewel RODC’s verschillende administratieve voordelen bieden, moet u rekening houden met de volgende factoren voordat u ze implementeert:
1.1.6.1 Een RODC implementeren
Voordat u een RODC implementeert, moet u ervoor zorgen dat er ten minste één beschrijfbare domeincontroller in uw organisatie is. U implementeert RODC’s op vrijwel dezelfde manier als alle andere domeincontrollers:
Examentip
RODC’s slaan slechts een subset van gebruikers- en computerreferenties op. Bijgevolg is, als een RODC wordt gestolen, de beveiligingsrisico’s beperkt tot alleen die accounts in de cache. Dit vermindert de algehele blootstelling en helpt de administratieve last te verminderen, omdat alleen de wachtwoorden van de in de cache opgeslagen accounts opnieuw moeten worden ingesteld.
Examentip
Er is ook een geweigerde RODC-wachtwoordreplicatiegroep. Leden van deze groep kunnen hun inloggegevens nooit in de RODC laten cachen. Deze groep bevat standaard domeinbeheerders, ondernemingsbeheerders en eigenaren van makers van groepsbeleid.
Examentip
Met de groepen Toegestane RODC-wachtwoordreplicatiegroep en Geweigerde RODC-wachtwoordreplicatiegroep kunt u het wachtwoordreplicatiebeleid op alle RODC’s configureren. Als u echter meerdere filialen heeft, en dus meerdere RODC’s, is het veiliger om voor elke RODC een afzonderlijke groep te configureren voor toegestane wachtwoordreplicatie. Verwijder in dit geval de Toegestane RODC-wachtwoordreplicatiegroep en voeg een groep toe die u handmatig hebt gemaakt, en voeg vervolgens de vereiste leden voor die vertakking toe.
Examentip
U kunt de opdracht Install-ADDSDomainController-ReadOnlyReplica Windows PowerShell gebruiken om een RODC te installeren.
1.1.7 Een globale catalogusserver configureren
In een enkel domein AD DS-forest heeft elke domeincontroller een kopie van alle objecten in het forest. In forests met meerdere domeinen is dit echter niet langer het geval. Hoewel alle domeincontrollers een kopie van de schema- en configuratiepartities bevatten, slaan ze alleen de lokale domeinpartitie op. Dus als een toepassing een domeincontroller in zijn lokale domein ondervraagt over de kenmerken van een object in een ander domein, kan de lokale domeincontroller op geen enkele manier aan die vraag voldoen.
Dit is waar de globale catalogus nuttig is. De globale catalogus is een gedeeltelijke, alleen-lezen kopie van alle objecten in het forest en host een subset van alle kenmerken van het AD DS-accountschema. Alle domeincontrollers die zijn ingeschakeld als globale-catalogusservers slaan lokaal een kopie van deze informatie op. Hierdoor kunnen ze vragen beantwoorden voor de attributen van objecten die zich in andere domeinen in het forest bevinden, zonder dat ze een verzoekschrift hoeven in te dienen bij een domeincontroller in dat andere domein.
Examentip
Configureer in één domeinforest alle domeincontrollers als globale-catalogusservers. In een multi-domein forest mag u, tenzij alle domeincontrollers globale-catalogusservers zijn, de infrastructuurmaster niet configureren als een globale-catalogusserver.
U kunt een domeincontroller configureren als globale-catalogusserver tijdens de implementatie van de domeincontroller. U schakelt het selectievakje Global Catalog (GC) in op de pagina Domain Controller Options, weergegeven in Afbeelding 1-16, wanneer u de Active Directory Domain Services Configuration Wizard uitvoert.
Als alternatief kunt u na de installatie de Active Directory Sites And Services-tool gebruiken:
U kunt Windows PowerShell ook gebruiken om van een domeincontroller een globale-catalogusserver te maken.
Examentip
Veel organisaties kiezen er nu voor om van alle domeincontrollers globale catalogusservers te maken.
1.1.7.1 Attributen toevoegen aan de globale catalogus
Het is belangrijk op te merken dat de globale catalogus niet alle attributen voor alle objecten bevat; het bevat eerder een subset van de meest bruikbare attributen, in Windows Server 2016 bekend als de Partial Attribute Set. U kunt echter wijzigen welke objectattributen worden opgeslagen in de globale catalogus; dit wordt ook wel het uitbreiden van de gedeeltelijke attributenset genoemd. U kunt dit doen door de volgende procedure te gebruiken:
1.1.8 Configureer het klonen van domeincontrollers
Het is relatief snel en eenvoudig om domeincontrollers te implementeren met behulp van de eerder in dit hoofdstuk beschreven procedures. Maar als u veel grotendeels identieke servers heeft die u wilt configureren als domeincontrollers, is een snellere aanpak het klonen van die domeincontrollers. Dit is vooral relevant wanneer uw domeincontrollers gevirtualiseerd zijn.
In eerdere versies van Windows Server dan Windows Server 2012 is het klonen van virtuele domeincontrollers verboden. Zowel Windows Server 2012 als Windows Server 2016 ondersteunen echter het klonen van virtuele domeincontrollers. Als u besluit om domeincontrollers te implementeren door middel van klonen, zijn er de volgende potentiële voordelen:
1.1.8.1 Een kloon maken
Voordat u een virtuele domeincontroller kunt klonen, moet u ervoor zorgen dat uw infrastructuur aan de volgende vereisten voldoet:
1.1.8.2 Bereid de broncomputer voor
Examentip
Als u na het klonen van een domeincontroller ontdekt dat de apps werken, kunt u de apps toevoegen aan het bestand CustomDCCloneAllowList.xml.
Examentip
Zorg ervoor dat er geen controlepunten zijn voor de virtuele machine van uw domeincontroller voordat u gaat exporteren.
1.1.8.3 Creeër de klonen
Opmerking
Zorg ervoor dat de PDC-emulator en een global catalog-server online zijn en toegankelijk zijn voor uw kloon.
Wanneer uw gekloonde domeincontroller start, vindt het volgende proces plaats:
1.1.9 Domeincontrollers upgraden
Als u een eerdere versie van Windows Server gebruikt en uw domeincontrollers wilt upgraden naar Windows Server 2016, kunt u een interne upgrade uitvoeren. Dit proces brengt echter enkele risico’s met zich mee. Het is over het algemeen veiliger om een nieuwe Windows Server 2016-domeincontroller(s) toe te voegen aan uw bestaande infrastructuur en vervolgens rollen te migreren naar de nieuw geïmplementeerde domeincontroller(s).
Voordat u de eerste Windows Server 2016-domeincontroller in uw bestaande infrastructuur kunt implementeren, moet u bepalen dat het huidige forestfunctionaliteitsniveau en het domeinfunctionaliteitsniveau ten minste Windows Server 2008 zijn. U kunt dit doen door de volgende procedure te gebruiken:
Nadat u de forest- en domeinfunctionaliteitsniveaus hebt geverifieerd en, indien nodig, verhoogd, moet u, als uw bestaande infrastructuur is gebaseerd op Windows Server 2008 of Windows Server 2008 R2, de volgende taken uitvoeren:
Als uw huidige infrastructuur is gebaseerd op Windows Server 2012 of later, voert de Active Directory Domain Services Configuration Wizard deze stappen automatisch uit. U kunt er echter nog steeds voor kiezen om ze als onafhankelijke stappen uit te voeren.
Examentip
Adprep.exe bevindt zich in de map \Support\Adprep op uw Windows Server 2016-dvd.
Nadat u de forest- en domeinfunctionaliteitsniveaus hebt verhoogd (indien nodig) en uw AD DS-forest en domein hebt voorbereid, kunt u de eerste Windows Server 2016-domeincontroller implementeren. Gebruik de procedures die eerder in dit hoofdstuk zijn besproken om deze taak te voltooien. Vervolgens kunt u de operations-masterrollen overdragen naar uw nieuwe Windows Server 2016-domeincontroller(s), zoals beschreven in de volgende sectie. Ten slotte kunt u uw oudere domeincontrollers degraderen en verwijderen.
1.1.10 Operations master-rollen overdragen en overnemen
De AD DS-database ondersteunt multimaster-updates. In grote lijnen betekent dit dat een wijziging in de database kan worden aangebracht op elke instantie of replica van de database. Die wijziging wordt vervolgens gerepliceerd naar alle andere instanties van de database op alle andere domeincontrollers in uw forest.
Er zijn echter bepaalde bewerkingen die niet ideaal geschikt zijn voor een multimasterbenadering. Het afhandelen van wijzigingen in het gebruikerswachtwoord is bijvoorbeeld veiliger wanneer het wordt afgehandeld door slechts één domeincontroller en vervolgens wordt gerepliceerd naar alle andere domeincontrollers.
Wat zijn operations master-rollen?
Om het soort bewerkingen te verwerken dat het meest geschikt is voor single-master updates, ondersteunt Windows Server AD DS het begrip operations-masters. Concreet zijn er vijf operations-master-rolhouders (soms ook flexibele single master operations-rollen (FSMO) genoemd). Twee hiervan zijn bosbrede operations-masters:
Examentip
Beide rollen zijn standaard toegewezen aan de eerste domeincontroller in uw AD DS-forest.
U kunt de Windows PowerShell Get-ADForest-cmdlet gebruiken om informatie op te halen over de huidige hoofdrolhouders voor Schema en Domeinnaamgeving, zoals weergegeven in Afbeelding 1-31.
De rest van de operations-masters zijn domeinbreed. Dit betekent dat elk domein deze drie operations-masterrollen heeft en dat ze specifiek zijn voor dat domein. Zij zijn:
Examentip
Wijs de infrastructuurmasterrol niet toe aan een globale-catalogusserver, tenzij uw forest uit slechts één domein bestaat. De enige uitzondering hierop is als alle domeincontrollers ook Global Catalog-servers zijn, in welk geval de rol van infrastructuurmaster overbodig is.
Examentip
Standaard worden al deze rollen toegewezen aan de eerste domeincontroller die u promoot in een bepaald domein.
U kunt de Windows PowerShell Get-AdDomain-cmdlet gebruiken om informatie op te halen over de huidige hoofdrolhouders voor schema’s en domeinnamen, zoals weergegeven in afbeelding 1-32.
Over het algemeen geldt dat als een van deze forest- of domeinbrede operations-masters gedurende een korte periode niet beschikbaar is, dit waarschijnlijk geen invloed heeft op de dagelijkse activiteiten in uw AD DS-infrastructuur. Lange perioden van onbeschikbaarheid kunnen echter aanzienlijke uitdagingen opleveren en tot problemen leiden.
Examentip
Afwezigheid van de PDC-emulator heeft vaak een direct en merkbaar effect. Gebruikers kunnen problemen ondervinden bij het inloggen als deze niet beschikbaar is.
1.1.10.1 Rollen overdragen
Als u verwacht dat u de domeincontroller die een operations-masterrol voor een langere periode host, moet afsluiten, kunt u overwegen die rol over te dragen. Gebruik de juiste volgende procedure om een rol over te dragen.
Voor de schemamaster:
Voor de domeinnamenmaster:
Voor elk van de drie domeinbrede operations-masters:
U kunt deze rollen ook verplaatsen met de Windows PowerShell Move-ADDirectoryServer-OperationMasterRole cmdlet. Bijvoorbeeld om de PDC-emulatormaster over te dragen naar LON-SVR3, gebruik de volgende opdracht:
Move-ADDirectoryServerOperationMasterRole -Identiteit “LON-SVR3” -OperationMasterRole PDCemulator
1.1.10.2 Rollen overnemen
Het is niet altijd mogelijk om te anticiperen op de verwijdering van een operations-masterrolhouder. Als een domeincontroller die als host fungeert voor een van de operations-masterrollen niet meer beschikbaar is en u deze niet snel en gemakkelijk weer operationeel kunt krijgen, kunt u overwegen de operations-masterrollen van de defecte domeincontroller over te nemen.
Als u een rol moet overnemen, kunt u de beheerconsole niet gebruiken om de taak uit te voeren.
In plaats daarvan moet u de cmdlet Move-ADDirectoryServerOperationMasterRole -force gebruiken. Aan elke rol wordt een identificatienummer toegewezen, zoals beschreven in de volgende tabel.
Identificatie | Rol |
0 | PDC-emulator |
1 | RID-master |
2 | Infrastructuurmaster |
3 | Schemamaster |
4 | Master voor domeinnamen |
Om bijvoorbeeld de rollen PDC-emulator, RID-master en infrastructuurmaster over te nemen en toe te wijzen aan LON-SVR3, gebruikt u de volgende opdracht:
Move-ADDirectoryServerOperationMasterRole -Identiteit “LON-SVR3” -OperationMasterRole 0,1,2 -Force
U kunt ook het opdrachtregelprogramma Ntdsutil.exe gebruiken om operations-masterrollen over te dragen of over te nemen.
1.1.11 Problemen met registratie van DNS SRV-records oplossen
Om services te vinden die door AD DS worden geleverd, registreren domeincontrollers SRV-records (Service Location) in DNS. Deze SRV-records, weergegeven in de volgende afbeelding, stellen DNS-clients in staat om de juiste services te vinden. Wanneer een gebruiker zich bijvoorbeeld aanmeldt vanaf een Windows 10-computer, gebruikt Windows 10 DNS om een lijst met aangrenzende domeincontrollers te verkrijgen die authenticatieservices kunnen bieden.
Een SVR-record bestaat uit verschillende elementen die de AD DS-service identificeren. Dit zijn de service, het protocol, de prioriteit en het gewicht, het protocolpoortnummer en de host-FQDN die de service aanbiedt, zoals weergegeven de volgende afbeelding.
Als een Microsoft Exchange Server-computer bijvoorbeeld probeert een domeincontroller te vinden waarop de Global Catalog-service in het Adatum.com-domein wordt uitgevoerd, zoekt de DNS naar _gc._tcp.Adatum.com.
Om clienten te helpen toegang te krijgen tot geografisch aangrenzende exemplaren van AD DS-services, wordt informatie over sites verstrekt in de SRV-records op DNS. Wanneer een Windows 10-computer bijvoorbeeld opstart, zoekt deze naar sitespecifieke SRV-records in DNS. Een typisch DNS-antwoord op de vraag van de klant omvat:
Examentip
Hierbij wordt ervan uitgegaan dat er geen domeincontrollers beschikbaar waren op dezelfde site en dat de GPO-instelling Volgende dichtstbijzijnde site proberen is ingeschakeld.
1.1.11.1 Problemen met registratie oplossen
U kunt ook het opdrachtregelprogramma nslookup.exe voor DNS-testen gebruiken om de correcte registratie van SRV-records te controleren. Om er bijvoorbeeld voor te zorgen dat de juiste records worden geregistreerd voor het domein Adatum.com, voert u vanaf een opdrachtprompt de volgende procedure uit:
1.2 Active Directory-gebruikers en computers maken en beheren
Nadat u uw domeincontrollers hebt geïnstalleerd en geïmplementeerd, kunt u beginnen met het vullen van AD DS met objecten, waaronder gebruikers en computers. U kunt verschillende grafische hulpprogramma’s gebruiken die toegankelijk zijn vanuit Serverbeheer om deze beheertaken uit te voeren, of u kunt Windows PowerShell gebruiken om deze taken te helpen automatiseren.
1.2.1 Gebruikers en computers maken, kopiëren, configureren en verwijderen
Voor elke gebruiker in uw organisatie moet u een gebruikersaccount maken in AD DS. Dit identificeert hen als een individu wanneer ze proberen taken uit te voeren (rechten) of toegang te krijgen tot bronnen (permissies).
U kunt deze gebruikersaccount vullen met eigenschappen (kenmerken) die de gebruiker beschrijven.
Dit kunnen hun volledige naam, contactgegevens, hun rol in uw organisatie, hun afdeling en vele instellingen zijn die de reikwijdte van hun mogelijkheden binnen uw netwerk bepalen.
Het is belangrijk dat u, voordat u met dit proces begint, even nadenkt over een naamgevingsstandaard voor uw gebruikersaccounts. De naam van het gebruikersaccount moet de gebruiker duidelijk identificeren en moet uniek zijn binnen uw organisatie. Meestal gebruiken organisaties een combinatie van de achternaam en initialen van een gebruiker om een unieke naam te verkrijgen. Als uw organisatie groot is, kan dit een zorgvuldige overweging vergen, omdat veel gebruikers een achternaam kunnen delen en sommige zowel voornaam als achternaam.
In AD DS moeten niet alleen gebruikers een account hebben. Computers die verbinding maken met de netwerkbronnen van uw organisatie moeten ook worden geïdentificeerd. In sommige opzichten is dit eenvoudiger omdat u de beslissing neemt over de computeraccountnaam wanneer u de computer implementeert en deze een naam geeft tijdens het installatieproces. Daarom is het van cruciaal belang dat wanneer u de computers van uw gebruikers implementeert, u de apparaatnaam zorgvuldig overweegt.
1.2.1.1 Gebruikersaccounts toevoegen
Er zijn verschillende hulpprogramma’s die u kunt gebruiken om gebruikersaccounts aan te maken en te beheren, waaronder Windows PowerShell, het opdrachtregelprogramma dsadd.exe, Active Directory: gebruikers en computers, weergegeven in de volgende afbeelding, en het Active Directory-beheercentrum, weergegeven in de onderstaande afbeelding. Voor de procedures in dit hoofdstuk gebruiken we Active Directory: gebruikers en computers en Windows PowerShell.
Nadat u de naamgevingsstandaard voor uw gebruikersaccount hebt gedefinieerd, gebruikt u de volgende procedure om een gebruikersaccount toe te voegen:
Examentip
U kunt zich zelfs aanmelden als lid van de groep Accountoperators. Leden van deze groep hebben voldoende bevoegdheden om accountbeheertaken uit te voeren.
Examentip
U kunt ook gebruikersaccounts maken in de containers Builtin, Computers en Users, maar het is best practice om uw gebruikers te consolideren in OU’s voor beheerdoeleinden.
Nadat u de account hebt gemaakt, moet u de eigenschappen wijzigen zodat u groepslidmaatschappen, organisatiedetails en meer geavanceerde accounteigenschappen kunt configureren. Gebruik hiervoor de volgende procedure:
Examentip
Zorg ervoor dat u de vereiste gedeelde mappen maakt voordat u uw eerste gebruikersaccounts aanmaakt. Op die manier kan Windows Server automatisch de vereiste gebruikerssubmappen maken en automatisch machtigingen toewijzen. Het gebruik van de variabele %gebruikersnaam% betekent ook dat als u deze account kopieert, de variabele wordt vervangen door de details van de account die u aanmaakt als kopie.
1.2.1.2 Sjablonen configureren
Als u veel, grotendeels vergelijkbare gebruikersaccounts wilt toevoegen, kunt u overwegen om sjablonen te gebruiken om het proces te versnellen. Een sjabloongebruikersaccount is een gewoon gebruikersaccount met algemene eigenschappen en instellingen. U kopieert het account in Active Directory: gebruikers en computers en configureert vervolgens alleen de unieke individuele instellingen:
Examentip
Het is een heel goed idee om een sjabloonaccount uit te schakelen en de instelling Gebruiker kan wachtwoord niet wijzigen te configureren; dit helpt het gebruik van het account te voorkomen.
De volgende gebruikersaccounteigenschappen worden gekopieerd wanneer u een sjabloonaccount maakt en kopieert:
Examentip
Hoewel het idee van een sjabloonaccount aantrekkelijk lijkt, zijn er eenvoudigere en snellere manieren om gebruikersaccounts in bulk te beheren. De meeste beheerders gebruiken Windows PowerShell-scripts om meerdere accounts aan te maken.
1.2.1.3 Gebruikersaccounts beheren
Wanneer uw gebruikersaccounts zijn aangemaakt, moet u bereid zijn om deze accounts te beheren. U kunt Active Directory: gebruikers en computers of Windows PowerShell gebruiken om de volgende typische beheertaken uit te voeren:
Examentip
U kunt ook het opdrachtregelprogramma Dsmod.exe gebruiken om veel van deze taken uit te voeren.
U kunt Windows PowerShell-cmdlets gebruiken om alle algemene gebruikersbeheertaken uit te voeren. Tabel 1-2 geeft een overzicht van de belangrijke cmdlets en legt het gebruik ervan uit.
Opdracht | Gebruik |
New-ADUser | Creëert gebruikersaccounts. |
Set-ADUser | Wijzigt de eigenschappen van gebruikersaccounts. |
Remove-ADUser | Verwijdert gebruikersaccounts. |
Set-ADAccountPassword | Reset het wachtwoord van een gebruikersaccount. |
Set-ADAccountExpiration | Wijzigt de vervaldatum van een gebruikersaccount. |
Unlock-ADAccount | Ontgrendelt een gebruikersaccount. |
Enable-ADAccount | Schakelt een gebruikersaccount in. |
Disable-ADAccount | Schakelt een gebruikersaccount uit. |
1.2.1.4 Beheer inactieve en uitgeschakelde accounts
Er zijn veel redenen waarom accounts inactief kunnen worden, waaronder:
Wat de reden ook is, het is een goede gewoonte om accounts die inactief zijn uit te schakelen om de veiligheid van uw netwerk te waarborgen. Om een ongebruikt account uit te schakelen, klikt u in Active Directory: gebruikers en computers met de rechtermuisknop op het gebruikersaccount en klikt u vervolgens op Account uitschakelen. Om een uitgeschakeld account in te schakelen, zoekt u het gebruikersaccount, klikt u er met de rechtermuisknop op en klikt u vervolgens op Account inschakelen.
1.2.1.5 Computeraccounts toevoegen en beheren
Voor computerapparaten die uw organisatie bezit, moet u een AD DS-account voor de computer maken. Dit helpt de netwerkinfrastructuur van uw organisatie te beveiligen, omdat de computer zichzelf kan identificeren bij het AD DS-domein waarvan hij lid is.
Computeraccounts worden standaard gemaakt en opgeslagen in de standaardcontainer Computers. Dit is geen OU en daarom kunt u er geen beheer over delegeren, noch er GPO’s op toepassen. Overweeg in grotere organisaties om uw computers in OE’s te plaatsen in plaats van in de container Computers.
Om een computer aan het domein toe te voegen, moet u zich aanmelden met een account dat voldoende rechten heeft. U hebt zelfs machtigingen nodig om een computerobject binnen het domein toe te voegen. U hebt ook lokale beheerdersrechten op de computer zelf nodig. Standaard hebben de volgende groepen de machtigingen om computerobjecten te maken in elke OU:
■ Enterprise-beheerders
■ Domeinbeheerders
■ Beheerders
■ Rekeningexploitanten
Examentip
Standaardgebruikers kunnen maximaal 10 computers toevoegen aan een domein. Gebruik de Active Directory Services Interfaces Editor (ADSI Edit)-console om het quotum van het computeraccount te verhogen als 10 onvoldoende is.
U kunt vervolgens het computeraccount toevoegen met behulp van een van de volgende twee strategieën:
Gebruik de volgende procedure om een Windows 10-computer in één stap aan een domein toe te voegen:
Over het algemeen vereisen computeraccounts niet veel beheer. Mogelijk moet u een computer toevoegen aan een beveiligingsgroep, wat vrijwel identiek is aan het toevoegen van een gebruiker aan een groep. U kunt Active Directory: gebruikers en computers of het Active Directory-beheercentrum gebruiken om computerbeheer uit te voeren.
U kunt ook Windows PowerShell gebruiken. De onderstaande tabel geeft een overzicht van de algemene cmdlets voor Windows PowerShell-computerbeheer.
Opdracht | Gebruik |
New-ADComputer | Maakt een nieuw computeraccount aan. |
Get-ADComputer | Toont de eigenschappen van een computeraccount. |
Set-ADComputer | Wijzigt de eigenschappen van een computeraccount. |
Remove-ADComputer | Verwijdert een computeraccount. |
Test-ComputerSecureChannel | Verifieert of herstelt de vertrouwensrelatie tussen een computer en het domein. |
Reset-ComputerMachinePassword | Reset het wachtwoord voor een computeraccount. |
1.2.1.6 Reset het beveiligde kanaal
Af en toe moet u mogelijk het beveiligde kanaal van de computer resetten. Wanneer een computer zich aanmeldt bij het AD DS-domein, brengt deze een beveiligd kanaal tot stand met de domeincontroller; het beveiligde kanaal wordt soms een trust genoemd. Onder bepaalde omstandigheden is deze vertrouwensrelatie niet meer beschikbaar en kan de computer het beveiligde kanaal niet tot stand brengen. Dit kan ertoe leiden dat gebruikers zich niet kunnen aanmelden bij de computer en dat de toepassing van groepsbeleidsobjecten op de computer mislukt.
Wanneer een beveiligd kanaal is mislukt, ontvangen gebruikers vaak het volgende bericht wanneer ze proberen in te loggen:
“De vertrouwensrelatie tussen het werkstation en het primaire domein is mislukt.”
Sommige beheerders verwijderen de computer uit het domein, voegen deze tijdelijk toe aan een werkgroep en voegen de computer na het herstarten weer toe aan het domein. Dit is meestal succesvol. Hierdoor wordt het computerobject in AD DS echter verwijderd en wordt een nieuw object gemaakt, zij het met dezelfde naam. Omdat het object nieuw is en een nieuwe beveiligingsidentiteit (SID) heeft, gaan alle groepslidmaatschappen voor de computer verloren; dit is misschien geen probleem.
Als u echter veelvuldig gebruikmaakt van groepslidmaatschappen, is het beter om het beveiligde kanaal opnieuw in te stellen in plaats van de computer uit het domein te verwijderen. U kunt het kanaal opnieuw instellen met behulp van Active Directory: gebruikers en computers, Windows PowerShell of het opdrachtregelprogramma Dsmod.exe. Het resetten van het kanaal zorgt ervoor dat de SID van de computer hetzelfde blijft, en dit betekent dat groepslidmaatschappen behouden blijven.
Examentip
U kunt ook de opdrachtregelprogramma’s Netdom.exe of Nltest.exe gebruiken.
In Active Directory: gebruikers en computers, om het beveiligde kanaal opnieuw in te stellen.
Om Windows PowerShell te gebruiken, voert u op de computer de volgende opdracht uit in een verhoogde Windows PowerShell-opdrachtprompt: Test-ComputerSecureChannel -Repair
Om het opdrachtregelprogramma Dsmod.exe te gebruiken, gebruikt u de volgende opdracht op de computer en voegt u de computer vervolgens weer toe aan het domein: dsmod computer “ComputerDN” -reset
1.2.2 Offline domein lidmaatschap implementeren
Wanneer u een computer aan een AD DS-domein toevoegt, zijn de domeincontrollers van het domein gewoonlijk online en toegankelijk vanaf de computer die u wilt toevoegen. Soms is het echter niet mogelijk om een online domeindeelname uit te voeren, bijvoorbeeld wanneer de toe te voegen computer is verbonden met een domeincontroller via een intermitterende externe verbinding.
In Windows Server 2016 kunt u voor clientcomputers met Windows 7 of nieuwer een functie gebruiken die bekend staat als offline domeindeelname om dit probleem te omzeilen. Om een offline domeindeelname uit te voeren, gebruikt u het opdrachtregelprogramma Djoin.exe. Djoin.exe genereert een metadata-blob, vergelijkbaar met een configuratiebestand, dat op de clientcomputer wordt gebruikt om het deelnameproces te voltooien.
Wanneer u Djoin.exe uitvoert, moet u de domeinnaam opgeven waarmee u lid wilt worden, de naam van de computer die aan het domein moet worden toegevoegd en de naam en locatie van het bestand waarin deze informatie wordt opgeslagen.
Gebruik de volgende procedure om een offline domeindeelname uit te voeren:
1.2.3 Gebruikersrechten configureren
Gebruikersrechten zijn iets anders dan machtigingen. Machtigingen geven de mogelijkheid om iets te openen, zoals een map of printer, terwijl rechten de mogelijkheid zijn om iets te doen, zoals het beheren van een printer.
Rechten worden soms omschreven als de toekenning van managementcapaciteiten; dit is vaak waar, omdat veel rechten gebruikers in staat stellen beheertaken uit te voeren. Niet alle rechten zijn echter administratief. Sommige zijn voor eenvoudige, gebruikersgerichte taken, zoals het recht om lokaal inloggen toe te staan of de systeemtijd te wijzigen.
Het is gebruikelijk om rechten toe te wijzen door gebruikers toe te voegen aan groepen waaraan dat recht al is toegewezen.
Leden van de lokale groep Beheerders kunnen bijvoorbeeld veel beheertaken uitvoeren door rechten aan die groep toe te wijzen. Door een gebruiker toe te voegen aan de groep Administrators, geniet die gebruiker van die rechten.
Als u een gebruiker echter direct een recht wilt toekennen, of juist een recht aan een groep wilt toekennen, is het belangrijk dat u weet hoe u dat moet doen. De meest gebruikte tool om rechten toe te kennen in een niet-domeinomgeving is het lokale beveiligingsbeleid. In een AD DS-forest gebruiken beheerders GPO’s om deze rechten toe te wijzen.
Gebruik de volgende procedure om gebruikersrechten te wijzigen:
1.2.4 Bulk Active Directory-bewerkingen uitvoeren
Bulkbewerkingen zijn wanneer een beheerder een enkele taak uitvoert om meerdere activiteiten te voltooien, en kunnen de volgende algemene beheertaken omvatten:
In een kleine organisatie is de vereiste om bulkbewerkingen uit te voeren minder waarschijnlijk. In grote organisaties bestaat echter waarschijnlijk de behoefte om regelmatig gebruikersblokken toe te voegen en te configureren. Dit kan de vorm aannemen van het aanmaken van bulkaccounts of van bulkbeheer van accounts, zoals het wijzigen van de eigenschappen van de accounts.
Er zijn verschillende methoden die u kunt gebruiken om bulkaccountbeheer uit te voeren, waaronder het gebruik van bestanden met door komma’s gescheiden waarden (CSV) en Windows PowerShell-scripts. Het gebruik van CSV-bestanden kan het werken met meerdere AD DS-objecten sneller en gemakkelijker maken.
Een voorbeeld van een CSV-bestand kan er als volgt uitzien:
Volledige naam, afdeling
Abbie Parsons, verkoop
Allan Yoo, verkoop
Erin Bull, Verkoop
Nadat u een correct geformatteerd CSV-bestand hebt gemaakt, kunt u dit gebruiken met een Windows PowerShell-script om uw bulkbewerking uit te voeren.
Examentip
U gebruikt de cmdlet Windows PowerShell Import-csv om de inhoud van een CSV-bestand in te lezen in een variabele in het geheugen voor gebruik door een script.
Als u bijvoorbeeld nieuwe accounts wilt maken met Windows PowerShell en een CSV-bestand, kunt u het volgende basisscript gebruiken.
$users=Import-CSV –LiteralPath “C:\new-users.csv” foreach ($user in $users)
{
New-ADUser $user.FullName -AccountPassword (Read-Host -AsSecureString “Enter password”) -Department $user.Department
}
1.2.4.1 Windows PowerShell gebruiken om AD DS-objecten te wijzigen
Om bulkbewerkingen uit te voeren op gebruikers- of computerobjecten, of groepsobjecten, moet u een lijst met de gewenste objecten doorgeven aan een Windows PowerShell-cmdlet die vervolgens de vereiste wijziging uitvoert. Vaak is de cmdlet die deze wijziging uitvoert een van de volgende:
Als u bijvoorbeeld de bedrijfsnaam van alle gebruikers wilt wijzigen na een fusie, kunt u de volgende opdracht gebruiken:
Get-ADUser -Filter {company -like “A Datum”} | Set-ADUser -Company “Contoso”
Om alle gebruikersaccounts in de verkoopafdeling uit te schakelen, kunt u het volgende commando gebruiken:
Get-ADUser -Filter {Department -like “Sales”} | Disable-ADAccount
Om het wachtwoord voor alle gebruikers van de marketingafdeling opnieuw in te stellen, kunt u de volgende opdracht gebruiken:
Get-ADUser -Filter {Department -like “Marketing”} | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “Pa55w.rd” -Force)
1.3 Maak en beheer Active Directory-groepen en organisatorische eenheden.
Naast gebruikers en computers bevatten alle AD DS-forests groepen en OE’s. U kunt grafische hulpmiddelen gebruiken om groepen en organisatie-eenheden te maken en te beheren, of u kunt Windows PowerShell-cmdlets gebruiken.
In sommige opzichten lijken groepen en OU’s op elkaar; ze bevatten allebei objecten, zoals gebruikers, computers of zelfs andere groepen of OU’s. Strikt genomen hebben groepen echter leden en bevatten OE’s objecten.
OU’s en groepen worden ook op verschillende manieren gebruikt. Doorgaans implementeert u groepen in AD DS om rechten of machtigingen toe te wijzen, terwijl u OE’s gebruikt om het beheer te stroomlijnen via de toepassing van groepsbeleidsobjecten of via beheerdelegatie.
Een Windows Server 2016-domeincontroller bevat standaard verschillende ingebouwde groepsaccounts, waaronder de accounts die worden vermeld in Tabel 1-4.
Naam | Beschrijving |
Server Operators | Een lokale domeingroep die is gemaakt met de standaardcapaciteiten om software op de server te installeren en te delen, schijven te beheren en een back-up van de server te maken. |
Account Operators | Een lokale domeingroep met de mogelijkheid om gebruikers- en groepsaccounts aan te maken en te beheren. Leden kunnen ook accounts verwijderen die ze hebben aangemaakt. |
Print Operators | Een lokale domeingroep die printers en afdrukwachtrijen kan installeren, delen en beheren. |
Administrators | Deze lokale domeingroep heeft rechten om elke functie op een Windows Server 2016-servercomputer uit te voeren. Leden kunnen nieuwe accounts aanmaken, accounts verwijderen, schijven en printers beheren, beveiligings- en controlebeleid instellen, enzovoort. |
Users | Een lokale domeingroep die de machtigingen voor het gebruik van bronnen overneemt. Meestal leesmachtigingen voor schijven en de machtigingen om afdruktaken in te dienen. Deze accounts kunnen een profiel en een thuismap hebben. |
Guests | Een lokale domeingroep met beperkte toegang tot de server. Deze accounts kunnen geen profielen of basismappen hebben. |
Backup Operators | Een lokale domeingroep die de rechten heeft om een back-up van de server te maken. Leden hebben ook het recht om dezelfde gegevens te herstellen. |
Network Configuration Operators | Leden hebben bepaalde rechten voor netwerkbeheer. |
Remote Desktop users | Gebruikers van extern bureaublad Leden kunnen zich op afstand aanmelden bij deze server (gebruikt voor externe bureaubladservices). |
Domain Computers | Een globale groep die alle werkstations en servers in het domein bevat. |
Domain Controllers | Een globale groep die alle domeincontrollers in het domein bevat. |
Domain Guests | Een globale groep die automatisch wordt toegevoegd aan alle lokale gastengroepen. |
Domain Admins | Een globale groep die automatisch wordt toegevoegd aan alle lokale beheerdersgroepen. |
Domain Users | Een globale groep die automatisch wordt toegevoegd aan alle lokale gebruikersgroepen. |
Enterprise Admins | Een universele groep (alleen in het forest-hoofddomein) die volledige administratieve controle heeft over alle objecten in het forest. |
Naast deze groepen ondersteunt Windows Server ook de notie van speciale identiteiten. Deze worden behandeld als groepen binnen het besturingssysteem voor zover u ze machtigingen en rechten kunt verlenen, net als elke andere groep. De ledenlijst kan echter niet worden bewerkt; dat wil zeggen dat u een gebruiker (of een andere groep) niet kunt toewijzen aan een speciale identiteit. Integendeel, het lidmaatschap wordt geïmpliceerd op basis van de kenmerken van een gebruiker in een bepaalde situatie. Deze speciale identiteiten zijn:
1.3.1 Groepen maken en beheren
Bij het overwegen van groepen is het belangrijk om te bepalen wanneer het gepast is om de ingebouwde standaardgroepen of de speciale identiteiten te gebruiken, en wanneer het nodig is om extra groepen aan te maken en te configureren om aan de specifieke behoeften van uw organisatie te voldoen.
1.3.1.1 Groepsnesting configureren
In Windows Server 2016 is het mogelijk om groepsnesting te configureren. Dit is het proces van het toevoegen van een groep als lid van een andere groep. Het doel achter het nesten van groepen is schaalvergroting. Als het soms logisch is om gebruikers samen te groeperen en de groepspermissies (of rechten) toe te wijzen in plaats van de individuen waaruit de groep bestaat, is het soms logisch om groepen te groeperen. Dit is met name relevant in grote AD DS-forests met meerdere domeinen.
Om het nesten van groepen te vergemakkelijken, ondersteunt AD DS in Windows Server 2016 drie groepsbereiken en twee groepstypen. Dit zijn:
EXAMEN TIP
Universele groepslidmaatschapslijsten worden bijgehouden in de Global Catalog, terwijl andere groepslidmaatschappen dat niet zijn.
In Windows Server 2016 is er een aanbevolen strategie voor het nesten van groepen die IGDLA wordt genoemd, wat een afkorting is voor het volgende:
In een groot multidomeinforest kunt u ook universele groepen gebruiken om het nesten te helpen beheren. Dit wordt IGUDLA genoemd:
U hoeft geen van deze strategieën te implementeren. In feite is er in een forest met een enkel domein weinig verschil tussen de groepen, aangezien de reikwijdte voor alle groepen dan hetzelfde is, evenals het potentiële lidmaatschap van een groep. Het wordt echter aanbevolen om in ieder geval te overwegen om IGDLA in een bos met één domein te gebruiken voor het geval u later extra domeinen toevoegt.
1.3.1.2 Converteer groepen, inclusief beveiliging, distributie, universeel, domein lokaal en domein wereldwijd
Als u een groep maakt en het bereik en type ervan definieert, en later het bereik wilt wijzigen
en/of type, is dit onder bepaalde omstandigheden toegestaan, zoals samengevat in de volgende lijst:
Als u het type van de groep wilt wijzigen, is dit altijd toegestaan, maar met de volgende kanttekeningen:
1.3.1.3 Groepen maken, configureren en verwijderen
Het proces van het maken en beheren van groepen is eenvoudig. Net als bij gebruikers en computers kunt u Active Directory: gebruikers en computers, het Active Directory-beheercentrum of Windows PowerShell gebruiken om alle taken voor groepsbeheer uit te voeren.
Gebruik de volgende procedure om een groep te maken in Active Directory: gebruikers en computers:
U kunt groepsbeheerders configureren. Hierdoor kun je de verantwoordelijkheid voor het beheer van de groep delegeren, zoals weergegeven in de volgende afbeelding.
U kunt eenvoudig een groep verwijderen uit Active Directory: gebruikers en computers. Klik met de rechtermuisknop op de groep en klik vervolgens op Verwijderen. Klik bij de bevestigingsvraag op Ja.
U kunt alle groepsbeheertaken uitvoeren met behulp van Windows PowerShell. De volgende tabel toont de cmdlets voor groepsbeheer.
Opdracht | Gebruik |
New-ADGroup | Creëert nieuwe groepen |
Set-ADGroup | Wijzigt eigenschappen van groepen |
Get-ADGroup | Toont eigenschappen van groepen |
Remove-ADGroup | Verwijdert groepen |
Add-ADGroupMember | Voegt leden toe aan groepen |
Get-ADGroupMember | Toont leden van groepen |
Remove-ADGroupMember | Verwijdert leden uit een groep |
Add-ADPrincipalGroupMembership | Voegt groepslidmaatschap toe aan objecten |
Get-ADPrincipalGroupMembership | Geeft groepslidmaatschap van objecten weer |
Remove-ADPrincipalGroupMembership | Verwijdert groepslidmaatschap van een object |
Om bijvoorbeeld een nieuwe groep met de naam IT-managers te maken in de IT OU in het Adatum.com-domein, kunt u de volgende opdracht gebruiken:
New-ADGroup -Name “IT Managers” -SamAccountName ITManagers -GroupCategory Security -GroupScope Global -DisplayName “ IT Managers” -Path “OU=IT,DC=Adatum,Dc=Com” -Description “Members of this group are RODC Administrators”
Om leden toe te voegen, kunt u de volgende opdracht gebruiken:
Add-ADGroupMember “IT Managers” “Beth”, “Ida”
Gebruik de volgende opdracht om de huidige groepsleden op te sommen:
Get-ADGroupMember “IT Managers”
1.3.1.4 Beheer groepslidmaatschap met Groepsbeleid
Hoewel u groepslidmaatschappen handmatig kunt onderhouden met behulp van Windows PowerShell of de grafische hulpprogramma’s, zoals Active Directory: gebruikers en computers, kan dit tijdrovend zijn, vooral in een grote organisatie.
In Windows Server 2016 AD DS kunt u groepsbeleidsobjecten gebruiken om groepslidmaatschap te behouden. Dit betekent dat u het groepslidmaatschap automatisch vanaf één punt kunt beheren. Dit worden beperkte groepen genoemd.
Met Beperkte groepen kunt u het lidmaatschap van een specifieke groep configureren en u kunt ook configureren dat een specifieke groep lid moet zijn van een andere groep. Of u kunt beide configureren om groepsnesting te maken. Om beperkte groepen te implementeren, opent u op uw domeincontroller de groepsbeleidsbeheerconsole.
Examentip
U kunt de functie Beperkte groepen alleen implementeren in GPO’s op domeinniveau. U kunt geen lokaal groepsbeleid gebruiken op Windows-client- of Windows Server-besturingssystemen.
1.3.2 Ou’s maken en beheren
Met OU’s kunt u uw AD DS-domein eenvoudiger beheren door gebruikers, groepen en computers samen te groeperen in een container en vervolgens configuratie-instellingen op die container toe te passen met behulp van groepsbeleidsobjecten. Bovendien kunt u beveiligingsinstellingen op uw OE’s configureren, zodat een subset van beheermachtigingen wordt toegewezen aan een gebruiker of groep op die OE, en dus objecten binnen die OE; dit staat bekend als delegatie.
Voordat u begint met het maken van OE’s en deze vult met gebruikers, groepen en computers, is het de moeite waard om even na te denken over wat u ermee wilt bereiken. De meeste organisaties consolideren hun AD DS-objecten in OE’s op basis van een van de volgende strategieën:
organisaties. Het is ook waarschijnlijk dat uw OE’s genest zullen zijn, misschien eerst per regio en dan per afdeling, of andersom, afhankelijk van de managementstructuur van uw organisatie.
Nadat u hebt overwogen hoe u OE’s het beste kunt implementeren, kunt u ze gaan maken en vervolgens objecten, zoals gebruikers en computers, erin verplaatsen. Over het algemeen wordt het meeste OU-beheer uitgevoerd met behulp van grafische hulpmiddelen, zoals Active Directory: gebruikers en computers. U kunt echter Windows PowerShell gebruiken. Tabel 1-6 geeft een overzicht van de algemene Windows PowerShell OU-beheer-cmdlets.
Opdracht | Gebruik |
New-ADOrganizationalUnit | Maakt OU’s |
Set-ADOrganizationalUnit | Wijzigt eigenschappen van organisatie-eenheden |
Get-ADOrganizationalUnit | Geeft eigenschappen van organisatie-eenheden weer |
Remove-ADOrganizationalUnit | Verwijdert organisatie-eenheden |
Om een OE in AD DS te maken, opent u de Active Directory-console Gebruikers en computers. Navigeer naar het domeinobject en gebruik de volgende procedure:
Nadat u uw OU hebt gemaakt, kunt u beginnen met het maken of verplaatsen van objecten naar de OU. Zodra deze taak is voltooid, kunt u GPO’s maken en koppelen aan de OU’s om gebruikers- en computerinstellingen te configureren voor objecten binnen de OU. Groepsbeleidsobjecten worden verderop in meer detail besproken in hoofdstuk 3: Groepsbeleid maken en beheren.
1.3.3 Beheer van Active Directory delegeren met groepen en Ou’s
Nadat u uw OE’s hebt gemaakt en deze hebt gevuld met de vereiste objecten, kunt u het beheer ervan optioneel delegeren aan groepen binnen AD DS.
Opmerking Delegatie niet scheiding
Onthoud dat hoewel u de administratieve verantwoordelijkheid voor bepaalde taken kunt delegeren aan specifieke gebruikers of groepen op een aangewezen OE, u de administratie niet kunt scheiden. Leden van de groep Domeinadministrators kunnen alle beheertaken uitvoeren op zelfs gedelegeerde OE’s in het huidige domein. Leden van de Enterprise Admins-groep kunnen alle OE’s in alle domeinen in het forest beheren. De enige manier om administratieve scheiding te bereiken, is door meerdere AD DS-forests te implementeren, elk met een afzonderlijke Enterprise Admins-groep.
U kunt taken delegeren met behulp van de wizard Delegatie van besturing in Active Directory: gebruikers en computers. U kunt ook handmatig specifieke AD DS-machtigingen op objectniveau toewijzen met behulp van het tabblad Beveiliging op AD DS-objecten; dit kan echter een tijdrovend en lastig proces zijn.
Gebruik de volgende procedure om de besturing te delegeren met behulp van de wizard Delegatie van besturing:
Examentip
Zelfs als u van plan bent om te delegeren naar een enkele gebruiker, is het nog steeds de beste praktijk om te delegeren naar een groep waarvan de enkele gebruiker het enige lid is. Dit maakt het gemakkelijker als u later moet delegeren aan een andere gebruiker. In plaats van opnieuw te moeten beginnen, kunt u eenvoudig de oude gebruiker verwijderen en de nieuwe gebruiker aan de groep toevoegen.
Examentip
Veelvoorkomende taken zijn: gebruikersbeheer, groepsbeheer, beperkt GPO-beheer en inetOrgPerson-beheer.
U kunt de wizard Delegatie van beheer zo vaak uitvoeren als nodig is om de benodigde machtigingen toe te wijzen. Voor meer geavanceerde taken of specialistische machtigingen moet u echter aangepaste taken gebruiken. Als u bijvoorbeeld de mogelijkheid wilt delegeren om computerobjecten te maken en te verwijderen, moet u de aangepaste taakoptie gebruiken.
Er komt een moment dat het gebruik van de Delegation Of Control Wizard zelf te tijdrovend is. Hoewel het relatief eenvoudig is, zou het meer tijd kosten om herhaaldelijk door de wizard te moeten stappen om nog een aangepaste taak toe te wijzen, en dan nog een andere, dan alleen het rechtstreeks configureren van de AD DS-machtigingen. Gebruik de volgende procedure om de AD DS-machtigingen voor een object weer te geven en te bewerken.