Lösungen

Aufgabe 1 
Ein Verzeichnisdienst speichert Informationen über Benutzer, Computer und Ressourcen zentral in einer Datenbank und ermöglicht deren Verwaltung und Authentifizierung.
Active Directory löst das Problem, dass Benutzer sonst auf jedem PC eigene lokale Konten hätten.
Beispiele:
– Ein Benutzer kann sich mit denselben Zugangsdaten an jedem Domänen-PC anmelden.
– Gruppenrichtlinien legen zentral Einstellungen fest (z. B. Netzlaufwerke, Hintergrund).

Aufgabe 2

• Domäne: Verwaltungseinheit mit eigener Benutzerdatenbank (firma.local).

• Tree: Mehrere Domänen mit gemeinsamer Namenshierarchie (firma.local, shop.firma.local).

• Forest: Oberste Ebene – Sammlung mehrerer Trees, die Vertrauen teilen.
  Die Hierarchie ist: Forest → Tree → Domäne → OU → Objekt.

Aufgabe 3
Eine OU dient zur logischen Strukturierung von AD-Objekten.
Sie ermöglicht Delegation von Rechten (z. B. Azubi darf Benutzer in OU „Azubis“ verwalten) und das gezielte Anwenden von GPOs.
Beispiel:

• OU „IT“ → Admins

• OU „Azubis“ → Auszubildende

• OU „Server“ → Computerobjekte

Aufgabe 4 
firma.local
├── OU=IT → Admin-Accounts, Server
├── OU=Vertrieb → Benutzer, PCs, Drucker
└── OU=Azubis → Azubi-Benutzer, Gruppenrichtlinien für Ausbildung

So lassen sich Berechtigungen, Logon-Skripte und Richtlinien gezielt zuweisen.

Aufgabe 5 

• Intra-Site: innerhalb eines Standorts, automatisch und häufig (alle 15 Sekunden).

• Inter-Site: zwischen Standorten, geplant und bandbreitenschonend.
  Zeitpläne oder Komprimierung nutzt man, wenn langsame WAN-Verbindungen bestehen (z. B. Stuttgart ↔ Konstanz).

Aufgabe 6 
Prüfschritte:

1. repadmin /replsummary → Gesamtübersicht der Replikation.

2. repadmin /showrepl → Detaillierte Quell-/Zielbeziehungen.

3. DNS-SRV-Records prüfen (dcdiag /test:dns).

4. Eventlog auf Fehler prüfen („NTDS Replication“).

5. Netzwerkverbindung zwischen Standorten sicherstellen (Port 389, 135, 445, RPC).

Aufgabe 7 

• Desktop-Hintergrund per „Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → Desktop → Desktop-Hintergrund“.

• Netzlaufwerk H: per „Benutzerkonfiguration → Einstellungen → Laufwerkszuordnung“.

• Systemsteuerung deaktivieren über „Administrative Vorlagen → Systemsteuerung → Zugriff verhindern“.
  Verknüpfung über GPMC mit der OU „Azubis“.

Aufgabe 8 

• Vererbung: Unter-OUs übernehmen Richtlinien der übergeordneten OU.

• Blockierung: Unter-OUs können Vererbung unterbrechen.

• Erzwingen: Übergeordnete GPO gilt zwingend, auch bei Blockierung.
  Beispiel: Firmenweite Passwort-Richtlinie wird erzwingend gesetzt, damit sie auch in „Azubis“ gilt.

Aufgabe 9 
Der Client fragt den DNS-Server nach einem SRV-Record für den LDAP-Dienst:
_ldap._tcp.dc._msdcs.firma.local
DNS antwortet mit dem Domänencontroller (z. B. dc01.firma.local).
Über Port 389 wird eine LDAP-Verbindung hergestellt.
SRV-Records prüft man mit nslookup -type=SRV _ldap._tcp.dc._msdcs.firma.local.

Aufgabe 10 
8.8.8.8 ist ein externer DNS und kennt keine AD-internen SRV-Einträge.
Dadurch kann der Client den DC nicht finden → Anmeldung dauert lange oder scheitert.
Lösung: DNS-Server auf den Domänencontroller ändern (z. B. dc01.firma.local).

Aufgabe 11

Benutzer meldet sich an → Client sendet Anfrage an KDC (AS).

1. KDC prüft Benutzer und erstellt TGT (Ticket Granting Ticket).

2. Client fordert bei Bedarf Service-Tickets vom TGS an.

3. Server prüft Ticket → Zugriff gewährt.
   Erstes Ticket: TGT.

Aufgabe 12 
Mögliche Ursachen:

• Zeitdifferenz > 5 Minuten zwischen Client und DC (Clock Skew).

• DNS liefert falschen DC-Namen.

• Client ist nicht in der Domäne.

• Firewall blockiert Port 88.
  Lösung: Zeit- und DNS-Synchronisation prüfen, Eventlog „Kerberos“ kontrollieren.

Aufgabe 13