Einrichtung einer Organisations-Einheit

Informationen für Lehr­stuhl­administrator*innen

Wenn eine größere Anzahl von Arbeits­plätzen in die Domäne integriert werden soll, ist eine umfassende Planung dieses Schrittes erforderlich. Die nachfolgende Über­sicht und die dazu gehörigen Anleitungen sollen Ihnen bei dieser Aufgabe behilflich sein. Grundsätzlich sind folgende Aufgaben zu erledigen:

  • Wie beantrage ich eine Organizational Unit (OU)?

    Wenn eine größere Anzahl von Rechnern in die Domäne integriert werden soll, geschieht dies in der Regel, um die DV-Organisation eines Lehr­stuhls oder einer zentralen Einrichtung (neu) zu organisieren oder um zentrale Ressourcen an einer größeren Anzahl von Rechnern möglichst effizient nutzen zu können. Dabei steht meist nicht der technische Aspekt (zum Beispiel die grundsätzliche Nutzung zentraler Ressourcen) im Vordergrund, sondern die effiziente Organisation der betreffenden DV-Infrastruktur. Windows bietet im Rahmen seines Domänen-Konzeptes den Mechanismus der Organizational-Units (OUs), um diese Zielsetzung zu unter­stützen.

    OUs sind nicht schon dadurch vorhanden, dass eine Lehr­stuhl­kennung beantragt wurde, es gibt keinen Automatismus, der OUs erzeugt. OUs müssen von einem*einer Domänen-Administrator*in (einem*einer Mitarbeitenden der Universiäts-IT) angelegt und mit den zur Verwaltung von Berechtigungen und Ressourcen erforderlichen Eigenschaften ausgestattet werden.

    Wenn Sie beabsichtigen, eine OU zur Organisation Ihrer DV-Infrastruktur zu nutzen, wenden Sie sich bitte an den IT-Support.

  • Wie richte ich einen Administrator*innen-Arbeits­platz ein?

    Der Administrator*innen Arbeits­platz zeichnet sich dadurch aus, daß er mmc-Plugins für den Zugriff auf das Active-Directory bereitstellt. Mmc ist die Bezeichnung für die „Microsoft-Management-Console“. Diese Grafikoberfläche für administrative Aufgaben kann mit sog. Snap-Ins ausgestattet werden, die jeweils eine spezifische Funktionalität zur Verfügung stellen. Für einen*eine OU-Administrator*in wird ein Snap-In benötigt, mit dessen Hilfe er im Active-Directory seine eigene OU verwalten kann.

  • Wie kann ich in der OU Benutzer­gruppen definieren und bevölkern?

    Wenn die OU existiert und Sie als OU-Administrator*in eingetragen sind, besteht eine Ihrer ersten Aufgaben darin, Benutzer*innen­gruppen zu definieren, die für die Festlegung der Nutzungs­berechtigung von Ressourcen benötigt werden und die Mitarbeitenden des Lehr­stuhls in diese Gruppen aufzunehmen.

    Bei der Benennung von Gruppen sind bestimmte Namenskonventionen zu beachten, um Namenskonflikte zu vermeiden. Gruppen­namen beginnen grundsätzlich mit dem Namen der OU gefolgt von einem Unter­strich und daran anschließend dem eigentlichen Gruppen­namen. Bei Gruppen, die für die Nutzung zentraler Ressourcen vorgesehen sind, folgen nach dem OU-Namen zwei Unter­striche, dann eine Abkürzung des Namens des betreffenden Dienstes, danach erneut zwei Unter­striche und schließlich der eigentliche Gruppen­namen.

    Auf der linken Seite sind die OUs verschiedener Lehr­stühle unter­halb der OU „BWL“ zu erkennen. Auf der rechten Seite erkennt man die Gruppen der OU lsxyz. Die Gruppen mit dem präfix „lsxyz__FS__“ sind für die Regelung der Nutzungs­berechtigung des zentralen Fileservice reserviert, die Gruppe „lsxyz_admins“ beinhaltet die Administatoren dieser OU.

  • Wie nehme ich Arbeits­plätze in die Domäne auf?

    Nachdem Sie Ihren Administrations-Arbeits­platz eingerichtet und OU-Gruppen definiert haben, mit deren Hilfe Sie die Berechtigungen für verschiedene Ressourcen vergeben können, besteht Ihre nächste Aufgabe darin, die Arbeits­plätze des Lehr­stuhls in die Domäne aufzunehmen.
    Dieser Schritt besteht aus mehreren Teilaufgaben:

    • der Rechner muß zunächst mit Hilfe des scriptes "join-ad-mit-ou.bat" in die Domäne aufgenommen werden
    • Anschließend muss mit Hilfe des scriptes "group-ad.bat" der*die Domänen-Administrator*in aus der Gruppe „Lokale Administrator*innen“ entfernt werden und die OU-Gruppe „Lehr­stuhl-Administrator*innen“ muss in die Gruppe „Lokale Administrator*innen“ aufgenommen werden. Schließlich können Sie mit Hilfe dieses scriptes dafür Sorge tragen, dass nur Benutzerkennungen, die Mitglied in der OU-Gruppe „Lehr­stuhl_alle“ sind, sich an diesem Rechner anmelden können.
    • Folgen Sie nun der Anleitung Wie kopiere ich Profile?
  • Wie kopiere ich Profile?

    Der letzte Schritt besteht darin, Benutzer*innen, die bislang mit einer lokalen Benutzerkennung gearbeitet haben, ihre gewohnte Umgebung auch für die Domänen-Kennung herzustellen. Hierfür wird das zur lokalen Benutzerkennung gehörige Profil auf das Profil übertragen, das zur Domänen-Benutzerkennung des*der gleichen Benutzer*in gehört.

    Aus der Perspektive von Windows sind ein*e lokale*r Benutzer*in und ein*e Domänen-Benutzer*in unter­schiedliche Benutzerkennungen. Um ein lokales Benutzerprofil auf das dazu passende Domänen-Benutzerprofil zu übertragen, muss sich der*die Domänen-Benutzer*in zunächst an und wieder abmelden, damit ein neues Domänen-Profil erzeugt und abgespeichert wird.

    Melden Sie sich anschließend als lokale*r Administrator*in (jedoch weder mit der lokalen Benutzerkennung noch mit der zugehörigen Domänenkennung) an und klicken Sie mit der rechten Maustaste auf „Arbeits­platz“ und wählen den Menüpunkt „Eigenschaften“ aus. Danach wählen Sie die Registerkarte „Erweitert“ aus. Dort Klicken Sie im Abschnitt „Benutzerprofile“ auf „Einstellungen“.

    Nun wählen Sie (in der rechten Dialogbox) die lokale Benutzerkennung aus. Dieser lokalen Kennung ist der Computer­name des Rechners vorangestellt. Dann Klicken Sie auf „Kopieren nach“. Es erscheint eine Auswahlbox mit der Sie das Ziel des Kopiervorgangs festlegen können.

    Drücken Sie auf „Durchsuchen“. Es erscheint die oben abgebildete Dialogbox „Ordner Suchen“. Dort wählen Sie zunächst Laufwerk „C:" aus, also die lokale Festplatte. Dort das Verzeichnis „Dokumente und Einstellungen“.

    Unter­halb dieses Verzeichnisses sollten Sie nun zwei Ordner sehen, die der betreffenden Benutzerkennung entsprechen. Der eine trägt nur den Namen der Benutzerkennung, beim anderen ist der Benutzerkennung das Suffix ".AD“ angefügt.
    Wählen Sie den Ordner mit dem Zusatz ".AD“ aus und klicken Sie auf „OK“. Danach klicken Sie im Abschnitt „Benutzer*in“ auf „Ändern“. Dieser Schritt ist wichtig, weil sonst die lokale Benutzerkennung die Zugriffsrechte zum Domänen-Profil erhält. Auf das Domänen-Profil muss aber die Domänen-Benutzerkennung die Zugriffsrechte haben und nicht die lokale Kennung. Nachdem Sie auf „Ändern“ geklickt haben erscheint die Dialogbox „Benutzer*in oder Gruppe wählen“.

    Geben Sie im Eingabefeld die Benutzerkennung ein und drücken Sie danach auf „Namen überprüfen“. Sofern die Benutzerkennung gefunden wurde, wird die vollständige Kennung (mit Domänen-Suffix) angezeigt. Drücken Sie nun auf „OK“ und in der Dialogbox „Kopieren nach“ ebenfalls auf „OK“.

    Danach wird das lokale Profil auf das Domänen-Profil kopiert. Die Nachfrage, ob das vorhandene Profil („Benutzerkennung.AD“) wirklich überschrieben werden soll, können Sie getrost mit „Ja“ beantworten, da dieses Profil ohnehin ein nahezu leeres Standard-Profil ist.

    Wenn Sie sich nun abmelden und danach erneut mit Ihrer Benutzerkennung an der Domäne „AD“ anmelden, sollten sie Ihre gewohnte lokale Benutzerumgebung vorfinden. Aber bedenken Sie, dass es sich um eine einmalige Kopie handelt!

    Änderungen, die Sie an diesem Domänen-Profil vornehmen, werden nicht an das lokale Profil weitergereicht. Änderungen, die Sie nach diesem Kopiervorgang an Ihrem lokalen Profil vornehmen werden ebenfalls nicht an Ihr Domänen-Profil weitergereicht. Von nun ab sollten Sie sich jedoch nur noch in seltenen Ausnahmefällen mit Ihrer lokalen Benutzerkennung anmelden. Im Regelfall melden Sie sich ab jetzt an der Domäne „AD“ an.