Wenn eine größere Anzahl von Arbeitsplätzen in die Domäne integriert werden soll, ist eine umfassende Planung dieses Schrittes erforderlich. Die nachfolgende Übersicht und die dazu gehörigen Anleitungen sollen Ihnen bei dieser Aufgabe behilflich sein. Grundsätzlich sind folgende Aufgaben zu erledigen:
Wenn eine größere Anzahl von Rechnern in die Domäne integriert werden soll, geschieht dies in der Regel, um die DV-Organisation eines Lehrstuhls oder einer zentralen Einrichtung (neu) zu organisieren oder um zentrale Ressourcen an einer größeren Anzahl von Rechnern möglichst effizient nutzen zu können. Dabei steht meist nicht der technische Aspekt (zum Beispiel die grundsätzliche Nutzung zentraler Ressourcen) im Vordergrund, sondern die effiziente Organisation der betreffenden DV-Infrastruktur. Windows bietet im Rahmen seines Domänen-Konzeptes den Mechanismus der Organizational-Units (OUs), um diese Zielsetzung zu unterstützen.
OUs sind nicht schon dadurch vorhanden, dass eine Lehrstuhlkennung beantragt wurde, es gibt keinen Automatismus, der OUs erzeugt. OUs müssen von einem*einer Domänen-Administrator*in (einem*einer Mitarbeitenden der Universiäts-IT) angelegt und mit den zur Verwaltung von Berechtigungen und Ressourcen erforderlichen Eigenschaften ausgestattet werden.
Wenn Sie beabsichtigen, eine OU zur Organisation Ihrer DV-Infrastruktur zu nutzen, wenden Sie sich bitte an den IT-Support.
Der Administrator*innen Arbeitsplatz zeichnet sich dadurch aus, daß er mmc-Plugins für den Zugriff auf das Active-Directory bereitstellt. Mmc ist die Bezeichnung für die „Microsoft-Management-Console“. Diese Grafikoberfläche für administrative Aufgaben kann mit sog. Snap-Ins ausgestattet werden, die jeweils eine spezifische Funktionalität zur Verfügung stellen. Für einen*eine OU-Administrator*in wird ein Snap-In benötigt, mit dessen Hilfe er im Active-Directory seine eigene OU verwalten kann.
Wenn die OU existiert und Sie als OU-Administrator*in eingetragen sind, besteht eine Ihrer ersten Aufgaben darin, Benutzer*innengruppen zu definieren, die für die Festlegung der Nutzungsberechtigung von Ressourcen benötigt werden und die Mitarbeitenden des Lehrstuhls in diese Gruppen aufzunehmen.
Bei der Benennung von Gruppen sind bestimmte Namenskonventionen zu beachten, um Namenskonflikte zu vermeiden. Gruppennamen beginnen grundsätzlich mit dem Namen der OU gefolgt von einem Unterstrich und daran anschließend dem eigentlichen Gruppennamen. Bei Gruppen, die für die Nutzung zentraler Ressourcen vorgesehen sind, folgen nach dem OU-Namen zwei Unterstriche, dann eine Abkürzung des Namens des betreffenden Dienstes, danach erneut zwei Unterstriche und schließlich der eigentliche Gruppennamen.
Auf der linken Seite sind die OUs verschiedener Lehrstühle unterhalb der OU „BWL“ zu erkennen. Auf der rechten Seite erkennt man die Gruppen der OU lsxyz. Die Gruppen mit dem präfix „lsxyz__FS__“ sind für die Regelung der Nutzungsberechtigung des zentralen Fileservice reserviert, die Gruppe „lsxyz_admins“ beinhaltet die Administatoren dieser OU.
Nachdem Sie Ihren Administrations-Arbeitsplatz eingerichtet und OU-Gruppen definiert haben, mit deren Hilfe Sie die Berechtigungen für verschiedene Ressourcen vergeben können, besteht Ihre nächste Aufgabe darin, die Arbeitsplätze des Lehrstuhls in die Domäne aufzunehmen.
Dieser Schritt besteht aus mehreren Teilaufgaben:
Der letzte Schritt besteht darin, Benutzer*innen, die bislang mit einer lokalen Benutzerkennung gearbeitet haben, ihre gewohnte Umgebung auch für die Domänen-Kennung herzustellen. Hierfür wird das zur lokalen Benutzerkennung gehörige Profil auf das Profil übertragen, das zur Domänen-Benutzerkennung des*der gleichen Benutzer*in gehört.
Aus der Perspektive von Windows sind ein*e lokale*r Benutzer*in und ein*e Domänen-Benutzer*in unterschiedliche Benutzerkennungen. Um ein lokales Benutzerprofil auf das dazu passende Domänen-Benutzerprofil zu übertragen, muss sich der*die Domänen-Benutzer*in zunächst an und wieder abmelden, damit ein neues Domänen-Profil erzeugt und abgespeichert wird.
Melden Sie sich anschließend als lokale*r Administrator*in (jedoch weder mit der lokalen Benutzerkennung noch mit der zugehörigen Domänenkennung) an und klicken Sie mit der rechten Maustaste auf „Arbeitsplatz“ und wählen den Menüpunkt „Eigenschaften“ aus. Danach wählen Sie die Registerkarte „Erweitert“ aus. Dort Klicken Sie im Abschnitt „Benutzerprofile“ auf „Einstellungen“.
Nun wählen Sie (in der rechten Dialogbox) die lokale Benutzerkennung aus. Dieser lokalen Kennung ist der Computername des Rechners vorangestellt. Dann Klicken Sie auf „Kopieren nach“. Es erscheint eine Auswahlbox mit der Sie das Ziel des Kopiervorgangs festlegen können.
Drücken Sie auf „Durchsuchen“. Es erscheint die oben abgebildete Dialogbox „Ordner Suchen“. Dort wählen Sie zunächst Laufwerk „C:" aus, also die lokale Festplatte. Dort das Verzeichnis „Dokumente und Einstellungen“.
Unterhalb dieses Verzeichnisses sollten Sie nun zwei Ordner sehen, die der betreffenden Benutzerkennung entsprechen. Der eine trägt nur den Namen der Benutzerkennung, beim anderen ist der Benutzerkennung das Suffix ".AD“ angefügt.
Wählen Sie den Ordner mit dem Zusatz ".AD“ aus und klicken Sie auf „OK“. Danach klicken Sie im Abschnitt „Benutzer*in“ auf „Ändern“. Dieser Schritt ist wichtig, weil sonst die lokale Benutzerkennung die Zugriffsrechte zum Domänen-Profil erhält. Auf das Domänen-Profil muss aber die Domänen-Benutzerkennung die Zugriffsrechte haben und nicht die lokale Kennung. Nachdem Sie auf „Ändern“ geklickt haben erscheint die Dialogbox „Benutzer*in oder Gruppe wählen“.
Geben Sie im Eingabefeld die Benutzerkennung ein und drücken Sie danach auf „Namen überprüfen“. Sofern die Benutzerkennung gefunden wurde, wird die vollständige Kennung (mit Domänen-Suffix) angezeigt. Drücken Sie nun auf „OK“ und in der Dialogbox „Kopieren nach“ ebenfalls auf „OK“.
Danach wird das lokale Profil auf das Domänen-Profil kopiert. Die Nachfrage, ob das vorhandene Profil („Benutzerkennung.AD“) wirklich überschrieben werden soll, können Sie getrost mit „Ja“ beantworten, da dieses Profil ohnehin ein nahezu leeres Standard-Profil ist.
Wenn Sie sich nun abmelden und danach erneut mit Ihrer Benutzerkennung an der Domäne „AD“ anmelden, sollten sie Ihre gewohnte lokale Benutzerumgebung vorfinden. Aber bedenken Sie, dass es sich um eine einmalige Kopie handelt!
Änderungen, die Sie an diesem Domänen-Profil vornehmen, werden nicht an das lokale Profil weitergereicht. Änderungen, die Sie nach diesem Kopiervorgang an Ihrem lokalen Profil vornehmen werden ebenfalls nicht an Ihr Domänen-Profil weitergereicht. Von nun ab sollten Sie sich jedoch nur noch in seltenen Ausnahmefällen mit Ihrer lokalen Benutzerkennung anmelden. Im Regelfall melden Sie sich ab jetzt an der Domäne „AD“ an.