Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 271
kationsgruppe sind in der Zulassen-Liste beziehungsweise Verweigern-Liste eingetra-
gen. Mithilfe dieser zwei Gruppen können Sie eine domänenweite Kennwortreplika-
tionsrichtlinie verwalten. Zusätzlich können Sie die einzelnen Kennwortreplikations-
richtlinien der unterschiedlichen Domänencontroller individuell konfigurieren.
Sie können die ordnungsgemäße Verwaltung eines RODCs sicherstellen, indem Sie die
Administratorrollentrennung konfigurieren. Damit ermöglichen Sie es den ausgewähl-
ten Benutzern, administrative Aufgaben auszuführen, ohne dass Sie diesen Benutzern
Berechtigungen für andere Domänencontroller oder die gesamte Domäne gewähren
müssen. Der Befehl
dsmgmt implementiert die Administratorrollentrennung.
Ein RODC benötigt einen beschreibbaren Windows Server 2008-Domänencontroller
in derselben Domäne. Außerdem muss die Gesamtstrukturfunktionsebene Windows
Server 2003 sein, und der Befehl
adprep /rodcprep muss ausgeführt werden, bevor der
erste RODC installiert wird.
Lernzielkontrolle
Mit den folgenden Fragen können Sie sich die Themen einprägen, die Sie in Lektion 2,
„Konfigurieren von schreibgeschützten Domänencontrollern“, gelernt haben. Die Fragen
finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf
dem Computer im Rahmen eines Übungstests beantworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
1. Sie wollen im Berichtsformat eine Liste aller Benutzer- und Computeranmeldeinfor-
mationen anzeigen, die ein RODC zur Authentifizierung oder Dienstticketverarbeitung
an einen beschreibbaren Domänencontroller weitergeleitet hat. Wie gehen Sie vor?
A. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des
RODC-Computerkontos aus der Organisationseinheit Domain Controllers. Kli-
cken Sie auf der Registerkarte Kennwortreplikationsrichtlinie auf Erweitert.
Wählen Sie im Dialogfeld Richtlinie für erweiterte Kennwortreplikation in der
Dropdownliste oben auf der Registerkarte Richtlinienverwendung den Eintrag
Von diesem schreibgeschützten Domänencontroller authentifizierte Konten aus.
B. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des
RODC-Computerkontos aus der Organisationseinheit Domain Controllers. Kli-
cken Sie auf der Registerkarte Kennwortreplikationsrichtlinie auf Erweitert.
Wählen Sie im Dialogfeld Richtlinie für erweiterte Kennwortreplikation in der
Dropdownliste oben auf der Registerkarte Richtlinienverwendung den Eintrag
Konten, deren Kennwörter auf diesem schreibgeschützten Domänencontroller
gespeichert sind aus.
C. Erweitern Sie in Active Directory-Benutzer und -Computer den Domänennamen
und wählen Sie den Container Users aus. Untersuchen Sie die Mitglieder der
Gruppe Zulässige RODC-Kennwortreplikationsgruppe.
272 Kapitel 5: Konfigurieren von AD LDS und RODCs
D. Erweitern Sie in Active Directory-Benutzer und -Computer den Domänennamen
und wählen Sie den Container Users aus. Untersuchen Sie die Mitglieder der
Gruppe Abgelehnte RODC-Kennwortreplikationsgruppe.
2. Ein neuer Angestellter tritt seine Arbeit in einer Zweigstelle von Tailspin Toys an. Die
Zweigstelle enthält einen RODC. Sie wollen sicherstellen, dass bei diesem Benutzer
keine Probleme mit der Authentifizierung über die WAN-Verbindung auftreten, wenn
er sich zum ersten Mal anmeldet. Sie legen ein Konto für den neuen Benutzer an. Wel-
che anderen Schritte sollten Sie durchführen? (Wählen Sie zwei Antworten aus. Sie
bilden gemeinsam die vollständige Lösung.)
A. Fügen Sie das Konto des Benutzers zur Registerkarte Kennwortreplikationsricht-
linie des Zweigstellen-RODCs hinzu.
B. Fügen Sie das Konto des Benutzers zur Gruppe Zulässige RODC-Kennwort-
replikationsgruppe hinzu.
C. Klicken Sie auf Kennwörter auffüllen.
D. Fügen Sie das Konto des Benutzers zur Sicherheitsrichtlinie Lokal anmelden des
Gruppenrichtlinienobjekts Default Domain Controllers Policy hinzu.
3. Bei einem Einbruch in einer Zweigstelle von Litware wurde der RODC gestohlen. Wo
finden Sie heraus, welche Anmeldeinformationen auf dem RODC gespeichert waren?
A. Auf der Registerkarte Richtlinienverwendung des Dialogfelds Richtlinie für
erweiterte Kennwortreplikation
B. In Active Directory-Domänen und -Vertrauensstellungen
C. Auf der Registerkarte Richtlinienergebnis des Dialogfelds Richtlinie für erwei-
terte Kennwortreplikation
D. Auf der Registerkarte Kennwortreplikationsrichtlinie im Eigenschaftendialogfeld
des RODC-Computerkontos
4. Ihre Domäne besteht aus sieben Domänencontrollern, von denen einer unter Windows
Server
2008 läuft. Alle anderen Domänencontroller laufen unter Windows Server 2003.
Was müssen Sie tun, bevor Sie einen RODC installieren?
A. Führen Sie
dsmgmt aus.
B. Führen Sie
adprep /rodcprep aus.
C. Führen Sie
dcpromo /unattend aus.
D. Führen Sie
syskey aus.

Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.