Anpassung am Domain Controller

Für die Nutzung der LDAP Verwaltung und der anderen Funktionen müssen entsprechende Anpassungen am Domain Controller und im Verzeichnisdienst vorgenommen werden. Der nächste Abschnitt beschreibt die Anpassungen auf dem Domain Controller.

Anlage eines Service Accounts und Einrichtung in MAT #

Das MAT mit einem Verzeichnisdienst kommuniziert oder auch die Mulit-Forest-Funktion genutzt werden kann, sind entsprechende Service Accounts auf den Domain Controller notwendig.

Hierzu sind folgende Schritte vorzunehmen:

  1. Anmeldung am Domain Controller
  2. Öffnen von Active Directory – Benutzer und Computer (ADUC)
  3. Die gewünschte OU wählen und mit Rechtsklick einen neuen Benutzer hinzufügen. Bei der Passwortvergabe ist auf die Komplexität zu achten.
  4. Anschließend auf den neuen Benutzer doppelklicken und auf den Reiter „Mitglied von“ navigieren.
  5. Auf die Schaltfläche Hinzufügen klicken und die gewünschte Gruppe suchen
  6. Die Gruppenmitgliedschaft ist mit ok zu bestätigen

Empfehlung: Für die Anlage des Services Accounts ist die Verwendung einer unternehmensweiten Namenskonvention zu empfehlen. Dies ermöglicht eine einfachere Trennung zwischen Benutzerkonten (Konten die durch Menschen verwendet werden) und Service Accounts (Konten die durch Maschinen verwendet werden)

Sicherheitsempfehlung: Für die Anlage des Services Accounts im Verzeichnisdienst ist zu beachten, dass dieses Mitglied der Domain Admin Gruppe wird und über ein ausreichend komplexes Passwort verfügt.

Für die weitere Einrichtung wird jetzt in MAT gewechselt. Hierzu sind folgende Schritte vorzunehmen:

  1. Anmeldung an MAT mit dem lokalen Account „mat-admin“. Hierzu kann über auf dem MAT-Server in einem Browser die URL: localhost/index.php aufgerufen werden.
  2. Navigation zu: Einstellungen > LDAP-Konfiguration
  3. Klicken des Verzeichnisdienst-Icons . Eine Eingabemaske erscheint.
  4. In der Eingabemaske sind die folgenden Daten einzugeben:
    1. NetBIOS Name des Domain Controllers
    2. IP-Adresse oder FQDN des Domain Controllers
    3. Distinguished Name des LDAP Servers
    4. Benutzerkonto für die Verbindung zum Domain Controller (Service Account vom Schritt davor)
    5. Passwort des Service Accounts
    6. Wahl ob verschlüsselte Verbindung oder unverschlüsselt (Port 389 oder Port 636)
  5. Anschließend ist die Eingabe zu speichern.

Die Informationen des Verzeichnisdienstes bzw. des Domain Controllers können im ADUC ausgelesen werden. Hierzu sind im ADUC die folgenden Schritte vorzunehmen:

  1. Rechtsklick auf die Domain und Eigenschaften wählen.
  2. Anschließend auf den Reiter Attribut-Editor wechseln.
  3. Die meisten Informationen lassen sich aus den Attributen ablesen:
    1. NetBIOS Name: Attibut: dc
    2. Distinguished Name des LDAP Servers: Attribut: distinguishedName
    3. FQDN des Domain Controllers: Im Computerobjekt des Domain Controllers im Attribut-Editor im Attribut: dNSHostName ODER: Im ADUC in der Kopfzeile (siehe Abbildung)
  4. Für das anschließende Testen der LDAP-Funktion muss ein erneuter Login angewandt werden (Abmeldung von der aktuellen Session mit erneuter Anmeldung mit dem mat-admin-Account)

 Test: Die Funktion der LDAP-Anbindung kann dahingehend getestet werden, indem man in MAT in das LDAP-Verwaltung navigiert, das Untermenü Benutzer wählt, und anschließend das neu angelegte Service Konto sucht. Sind alle Angaben korrekt, so sollte in der Drop-Down Liste das Konto angezeigt werden. Zusätzlich kann durch wählen des Accounts noch die Beschreibung des Accounts ergänzt werden. Erscheint die Nachricht, dass die Änderung erfolgreich war, so wurden die Berechtigungen ebenfalls richtig gesetzt.

Aktivieren des WMI Services und Anpassung der lokalen Windows Firewall #

Für die Nutzung der Dashboard Informationen sind noch entsprechende Anpassungen auf dem Domain Controller vorzunehmen. Hierzu sind folgende Änderungen zu tätigen

  1. Auf dem Domain Controller ist die Windows Firewall anzupassen. Es sind die folgenden Firewall-Regeln zu aktivieren (sofern nicht bereits aktiv):
    1. Inbound Rules:
      • Windows Management Instrumentation (Async-In)
      • Windows Management Instrumentation (DCOM-In)
      • Windows Management Instrumentation (WMI-In)
    1. Outbound Rules:
      • Windows Management Instrumentation (WMI-Out)
  2. Sicherstellen, dass der Service Windows Management Instrumentation läuft
    • Windows Services öffnen und prüfen ob der Service Windows Management Instrumentation gestartet ist und ausgeführt wird

Das Windows Management Instrumentarium wird benötigt, um die notwendigen Systeminformationen abzufragen und anschließend darzustellen. Sind diese nicht aktiviert, so bleibt die Funktion ungenutzt bzw. es wird nichts angezeigt.