0

Bei einer Migration auf Windows Server 2008 führen die Träger der FSMO-Rollen wichtige Aufgaben durch.
Genau genommen handelt es sich dabei um zwei FSMO-Rollen. Zum einen wäre das die Rolle des Schemamasters,
den es nur einmal in der Gesamtstruktur gibt. Dieser erweitert bei einer Migration das Schema in dem neue Attribute
sowie Klassen dem Schema hinzugefügt oder bestehende Attribute verändert werden. Zum anderen wäre da noch der Infrastrukturmaster.
Diese Rolle, die einmal pro Domäne existiert, aktualisiert während einer Migration die bestehende Domäne in dem Berechtigungen
bestehender Objekte bearbeitet werden. Erst wenn diese beiden Rollen die Änderungen die durch das ADPREP hervorgerufen
werden durchgeführt haben, ist es möglich einen Domänencontroller (DC) auf Windows Server 2008 zu aktualisieren bzw. einen
Windows Server 2008 DC zur Domäne hinzuzufügen.


 


Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen


 


Welche Rolle nimmt nun der PDC-Emulator bei einer Migration auf Windows Server 2008 ein?
Nun, eine analoge wie bei einer Migration von Windows 2000 auf Windows Server 2003. ;-)


 


Der PDC-Emulator ist neben den beiden Rollen „RID-Master“ und „Infrastrukturmaster“ die dritte Rolle, die in jeder Active Directory-Domäne existiert.
Diese Rolle nimmt in seiner täglichen Arbeit wichtige Aufgaben wahr.
Unter anderem wären das:





  • Zeitsynchronisation. DCs gleichen sich ihre Zeit vom PDC-Emulator ab.




  • Gruppenrichtlinien werden auf dem PDC-Emulator bearbeitet.




  • Kennwortänderungen von Benutzern werden von dem DC auf dem diese Änderung durchgeführt wurde, bevorzugt zum PDC-Emulator repliziert.




  • Wenn ein Anmeldeversuch eines Benutzers fehlschlagen sollte, wird in letzter Instanz das Kennwort vom PDC-Emulator überprüft.




  • Kontosperrungen werden vom PDC-Emulator durchgeführt.


 


Findet eine Migration statt, so bekommt der PDC-Emulator eine weitere wichtige Aufgabe die im Folgenden erläutert wird.



Falls in einer Windows 2000 Domäne ein Windows Server 2003- oder Windows Server 2008 Domänencontroller hinzugefügt
und auf diesem die Rolle des PDC-Emulators verschoben wird, werden diverse neue Sicherheitsprinzipale erstellt und bestehende
Gruppenzugehörigkeiten verändert. Das gleiche erfolgt natürlich auch, wenn der Träger des PDC-Emulators per In-place Upgrade
auf Windows Server 2003 aktualisiert wurde.


 




Es werden die folgenden Builtin-Gruppen in jeder Domäne erstellt:




  • Builtin\Erstellungen eingehender Gesamtstrukturvertrauensstellung


  • Builtin\Distributed COM Users


  • Builtin\Leistungsprotokollbenutzer



  • Builtin\Netzwerkkonfigurations-Operatoren




  • Builtin\Remotedesktopbenutzer




  • Builtin\Systemmonitorbenutzer




  • Builtin\Terminalserver-Lizenzserver




  • Builtin\Windows-Autorisierungszugriffsgruppe



 


Zusätzlich werden die nachfolgend genannten Gruppenzugehörigkeiten in jeder Domäne aktualisiert:





  • Der Builtin-Gruppe\Prä-Windows 2000 kompatibler Zugriff wird das Objekt ForeignSecurityPrincipal\Authentifizierte Benutzer hinzugefügt.




  • Befindet sich aber das Objekt ForeignSecurityPrincipal\Jeder bereits in der Builtin-Gruppe\Prä-Windows 2000 kompatibler Zugriff,
    so werden die Objekte ForeignSecurityPrincipal\ANONYMOUS-ANMELDUNG und ForeignSecurityPrincipal\Authentifizierte Benutzer hinzugefügt.




  • Das Objekt ForeignSecurityPrincipal\NETZWERKDIENST wird zu der Builtin-Gruppe\Leistungsprotokollbenutzer hinzugefügt, aber nur,
    wenn der PDC-Emulator auf einen Windows Server 2003 DC aktualisiert bzw. verschoben wird. Das gilt nicht für einen Windows Server 2008 DC.




  • Die Builtin-Gruppe\Windows-Autorisierungszugriffsgruppe wird um das neue Mitglied
    ForeignSecurityPrincipal\DOMÄNENCONTROLLER DER ORGANISATION ergänzt.



 



Den Container ForeignSecurityPrincipal kann man sich z.B. in der MMC „Active Directory-Benutzer und -Computer“ anschauen.


Allerdings werden die darin gespeicherten Objekte erst dann angezeigt, wenn in dem Snap-In unter Ansicht die Option
Erweiterte Funktionen aktiviert wurde.


 


Wird der Windows 2000 Domänencontroller der Root-Domäne auf dem der PDC-Emulator liegt per In-place Upgrade auf
Windows Server 2003 aktualisiert oder die Rolle auf einen Windows Server 2003 bzw. Windows Server 2008 DC verschoben,
so werden weitere Objekte der Klasse ForeignSecurityPrincipal im Container WellKnown Security Principals erstellt.
Der Container befindet sich in der Konfigurationspartition.


 


Die neuen Objekte wären:




  • Digest Authentication


  • Local Service



  • Network Service




  • NTLM Authentication




  • Other Organization




  • Remote Interactive Logon




  • SChannel Authentication




  • This Organization


 


Bei einer Migration von Windows 2000 oder Windows Server 2003 auf Windows Server 2008
werden weitere Sicherheitsprinzipale erstellt sowie Gruppenzugehörigkeiten aktualisiert.


 


Neue Well-Known und Builtin-Gruppen werden erzeugt sowie bestehende Gruppenzugehörigkeiten verändert, wenn folgendes zutrifft:




  • Ein Windows Server 2003 SP1 Domänencontroller der die Rolle des PDC-Emulators innehat,
    wird durch ein In-place Upgrade auf Windows Server 2008 aktualisiert.



  • Die Rolle des PDC-Emulators wird von einem Windows 2000 oder Windows Server 2003 DC auf einen Windows Server 2008 DC verschoben.




  • Wenn sich der PDC-Emulator auf einem Windows Server 2003 DC befinden sollte und der erste RODC zur Domäne hinzugefügt wird.



Beim verschieben einer FSMO-Rolle wird im Verzeichnisdienstprotokoll die Event-ID 1458 protokolliert.
Leider fehlt in diesem Eintrag der Hinweis, welche Rolle verschoben wurde!


 



Die Veränderungen wären wie folgt:

Diese Builtin- sowie lokalen Sicherheitsgruppen werden in jeder Domäne erstellt:





  • Builtin\Ereignisprotokollleser




  • Builtin\IIS_IUSRS




  • Builtin\Kryptografie-Operatoren




  • Builtin\Zertifikatdienst-DCOM-Zugriff




  • Users\Abgelehnte RODC-Kennwortreplikationsgruppe




  • Users\Domänencontroller ohne Schreibzugriff




  • Users\Zulässige RODC-Kennwortreplikationsgruppe



  • Users\Krbtgt_<ID> (wird nur erstellt, wenn ein RODC zu einer Windows Server 2003/2008 Domäne hinzugefügt wurde)


  • Users\Domänencontroller der Organisation ohne Schreibzugriff (diese Gruppe wird nur in der Root-Domäne erstellt)

 


Die neuen Gruppenzugehörigkeiten in jeder Domäne wären:




  • Das Sicherheitsprinzipal ForeignSecurityPrincipals\IUSR wird zur Builtin-Gruppe IIS_IUSRS hinzugefügt


  • Das Sicherheitsprinzipal ForeignSecurityPrincipals\NETZWERKDIENST wird aus der Builtin-Gruppe\Leistungsprotokollbenutzer entfernt


  • Die folgenden Gruppen werden der Gruppe Abgelehnte RODC-Kennwortreplikationsgruppe hinzugefügt:




    • Domänen-Admins




    • Domänencontroller




    • Domänencontroller ohne Schreibzugriff




    • Krbtgt




    • Organisations-Admins




    • Richtlinien-Ersteller-Besitzer




    • Schema-Admins




    • Zertifikatherausgeber


 



In der Root-Domäne werden in der Konfigurationspartition die folgenden Objekte im Container WellKnown Security Principals erstellt:





  • IUSR




  • Owner Rights




  • Das Objekt Well-Known-Security-Id-System wird umbenannt zu System


 



Es ist stets empfehlenswert die FSMO-Rollen einer Domäne (insbesondere den PDC-Emulator) auf den DC,
der das aktuellere Serverbetriebssystem ausführt zu verschieben. Wird das nicht getan, so werden die entsprechenden
Sicherheitsprinzipale nicht erstellt. Dabei sollte aber beachtet werden, falls man sich dazu entscheidet die FSMO-Rollen
zu trennen (was in vielen Umgebungen nicht notwendig ist), dass es dabei ebenfalls einiges zu beachten gilt:


 


Die FSMO-Rollen verschieben


 


 



Weitere Informationen:


Well-known security identifiers in Windows operating systems

Comments are closed, but trackbacks and pingbacks are open.