Situationsaufgabe: Active Directory
Active Directory ist das Herzstück jeder Windows-basierten IT-Infrastruktur – und damit ein häufiges Thema im FISI-AP Teil 2. Die Prüfungsaufgabe testet, ob du eine AD-Struktur für einen konkreten Betrieb entwerfen (OUs, Gruppen, GPOs), Benutzer- und Computerverwaltung beschreiben, Gruppenrichtlinien sinnvoll einsetzen und typische AD-bezogene Sicherheitsprobleme erkennen kannst.
1) Das Szenario
Betrieb: Die Handel AG (Einzelhandel, 3 Standorte: Hamburg HQ, München, Berlin; gesamt 180 Mitarbeitende) migriert von einer Workgroup-Umgebung auf Active Directory (Windows Server 2022). Du planst die AD-Struktur.
Abteilungen am HQ Hamburg: Geschäftsführung (5), IT (4), Buchhaltung (12), Einkauf (20), Vertrieb (30)
Anforderungen:
- Jede Abteilung soll nur auf ihre eigenen Freigaben zugreifen können
- Alle PCs sollen zentral konfiguriert werden (Bildschirmsperre nach 10 min, Passwortrichtlinie, USB-Speicher gesperrt für Buchhaltung)
- IT-Admins dürfen alle PCs administrieren, aber keine Buchhaltungsdaten lesen
- Mitarbeitende in München und Berlin sollen sich am AD anmelden können (Roaming Profiles)
- Bestehender DNS-Server soll ins AD integriert werden
2) Teilaufgaben mit Musterlösungen
3) AD-Objekte und ihre Rollen
Klick die AD-Objekte für Details:
4) AGDLP-Prinzip – Berechtigungen richtig vergeben
In der Prüfung oft explizit abgefragt: Das AGDLP-Prinzip ist der empfohlene Weg, Berechtigungen im AD zu vergeben.
| Buchstabe | Steht für | Bedeutung |
|---|---|---|
| A | Account (Benutzer) | Benutzer werden Mitglied einer globalen Gruppe |
| G | Global Group | Globale Gruppe fasst Benutzer der gleichen Domain zusammen (z. B. GRP_Buchhaltung) |
| D | Domain Local Group | Domain Local Group erhält die Berechtigung auf die Ressource (Freigabe, Drucker) |
| L | Local Group | (auf Ressourcen-Server: lokale Gruppe, wenn nötig) |
| P | Permission | Berechtigung wird der Domain Local Group zugewiesen |
Beispiel: Benutzer Schmidt (A) → Mitglied GRP_Buchhaltung_Global (G) → Mitglied DL_FS_Buchhaltung_Schreiben (D) → Berechtigung Schreiben auf Freigabe \\fileserver\Buchhaltung (P).
Zusammenfassung
Active-Directory-Situationsaufgaben testen: (1) OU-Design (strukturiert nach Standort oder Abteilung, GPO-gerechte Hierarchie), (2) Gruppen und AGDLP (globale Gruppen für Benutzer, Domain Local Groups für Ressourcen), (3) GPOs (welche Richtlinien an welche OU, was wird erzwungen?), (4) Standorte und Replikation (AD Sites für multi-location). Der häufigste Fehler: OUs mit Gruppen verwechseln – OUs strukturieren, Gruppen berechtigen.
Verwandte Lektionen: Active Directory Grundlagen · RBAC · Situationsaufgabe Server · und mehrWeitere relevante LektionenGruppenrichtlinien (GPO)AD Sites und ReplikationFachgespräch vorbereiten