Post on 30-Mar-2016
description
Windows server 2008
1
Rudy Deboeuf
Sint Amandscollege
22-10-2009
Windows server 2008 Deel 1
Rudy Deboeuf
2 Windows server 2008
Installatie
De installatie van een Windows 2008 server is eenvoudig en heeft een grote gelijkenis als de
installatie van het Windows vista operating systeem.
Opmerking:
Windows 2008 kan ook worden geïnstalleerd in een server Core installatie. Dit
is een uitgeklede versie van Windows zonder de grafische gebruikers interface.
Hierdoor moet alles via commando’s worden geïnstalleerd en geconfigureerd
of door gebruik te maken van de Microsoft Management Console (MMC). De
server core oplossing kan worden gebruikt voor de basisrollen zoals Domein
Controller/ Actief Directory Domein Service, DNS server, DHCP server, File
server, Print server, Windows Media Server, IIS 7 web server en Windows
Virtualization server.
Hardware specificaties
Component Specificatie Processor Minimum: 1 GHz (x86 processor) of 1,4 GHz (x64 processor)
Aanbevolen: 2 GHz of sneller
Geheugen Minimum: 512 MB
Aanbevolen: 2 GB of meer
Maximum (32-bits systemen): 4 GB voor standaard versie of 64 GB voor Enterprise en datacenter
Maximum (64-bits systemen): 32 GB voor standaard of 2 TB voor Enterprise, datacenter en Itanium versie
Harddisk Minimum: 10 GB
Aanbevolen: 40 GB of meer
Optische Drive DVD-Rom
Display Super VGA (800 x 600) of hogere resolutie
Toetsenbord
Microsoft muis of compatibel
Windows server 2008
3 Installatieprocedure
Installatieprocedure 1 Plaats de Windows 2008 installatie DVD in de DVD speler van het toestel of koppel de
Windows 2008 server ISO-Image aan de CD drive van de virtuele machine.
2 Herstart de computer.
Rudy Deboeuf
4 Windows server 2008
3 Kies in de te installeren taal. Selecteer de gewenste locatie (belangrijk voor tijdsnotatie).
Hierdoor wordt automatisch het normaal gebruikt toetsenbordindeling aanbevolen. Deze
selectie kan normaal worden gewijzigd. Ga verder door op de knop “Volgende” te klikken.
4 Druk op “Nu installeren” om de installatie aan te vatten.
Windows server 2008
5 Installatieprocedure
5 Selecteer het te installeren product. In het voorbeeld wordt gekozen voor een volledige
serverinstallatie van de standaard serverversie. Ga verder met de installatie door op de knop
“Volgende” te klikken.
6 Lees de licentievoorwaarden, vink daarna “Ik ga akkoord met de licentievoorwaarden” aan en
klik vervolgens op de knop “Volgende” om verder te gaan met de installatie.
Rudy Deboeuf
6 Windows server 2008
7 In het venster “Welk type installatie wilt u uitvoeren” klik op de enige mogelijkheid
“Aangepaste installatie (geavanceerd)”.
8 In het venster “Waar wilt u Windows installeren?” moet de harde schijf waarop Windows server
2008 moet worden geïnstalleerd. In het onderstaand voorbeeld is dit op de enige harde schijf
die in de virtuele machine aanwezig is. Selecteer deze harde schijf en ga verder met de knop
“Volgende”.
Windows server 2008
7 Installatieprocedure
9 Nu begint de installatie en is er tijd om andere dingen te doen. Het kopiëren van de
setup-bestanden van de dvd naar de harde schijf duurt slechts ongeveer een minuut. Uitpakken
en comprimeren van de bestanden duurt echter veel langer. Na 20 minuten is het
besturingssysteem geïnstalleerd. De exacte installatie tijd die nodig is om de server te installeren
is afhankelijk van de beschikbare hardware specificaties. Snellere schijven zullen de installatie
veel sneller laten verlopen ... Windows Server 2008 neemt ongeveer 10 GB harde schijf ruimte.
Het installatieprogramma zal de server opnieuw doen opstarten.
10 Na het herstarten moet het wachtwoord van de administrator worden ingegeven. Druk hiervoor
op de knop “OK” in het aanmeldingsvenster met de boodschap “Het wachtwoord van de
gebruiker moet worden gewijzigd als deze zich voor de eerste keer aanmeldt”.
Rudy Deboeuf
8 Windows server 2008
11 Typ het wachtwoord voor de administrator in en bevestig het. Ga verder door op het pijltje te
klikken.
Het wachtwoord moet uit tenminste zeven tekens bestaan. Het moet minimaal een hoofdletter,
een cijfer en een character dat niet in het alfabet voorkomt, bevatten.
Een niet werkend voorbeeld: paswoord. Om dit een goed wachtwoord te maken dat aan alle
minimumeisen voldoet is het volgende: P@ssw0rd.
Zorg ervoor dat het gemakkelijk is om het wachtwoord te onthouden.
12 Het wachtwoord van de administrator is gewijzigd. Door op de knop “OK” te klikken wordt er
aangemeld op de server.
Windows server 2008
9 Installatieprocedure
13 Bij de eerste aanmelding wordt het profiel aangemaakt en wordt het bureaublad voorbereid.
14 Als eerste taak na de installatie van de server, moet de server worden geconfigureerd. Dit wordt
in het volgende hoofdstuk behandeld.
Rudy Deboeuf
10 Windows server 2008
Standaardconfiguratie van de server Na de installatie moet de server nog verder worden geconfigureerd. In de navolgende handelingen
wordt uitgelegd hoe deze configuratie stap voor stap verloopt.
Netwerkinstellingen 1 In eerste instantie wordt het netwerk juist geconfigureerd. Klik hiervoor met de
rechtermuisknop op het netwerkicoon rechts onderaan in de taakbalk. Kies hierin de optie
“Netwerkcentrum”.
2 Klik de optie “Netwerkverbindingen beheren” in het takendeel van het netwerkcentrum.
3 Klik met de rechtermuisknop op de “LAN-verbinding” en selecteer daar de optie
“Eigenschappen”.
Windows server 2008
11 Standaardconfiguratie van de server
4 Vink eerst het “Internet Protocol versie 6 (TCP/IPv6)” uit.
5 Selecteer daarna het “Internet Protocol versie 4 (TCP/IPv4) en klik op de knop
Eigenschappen”.
6 Geef het in het begin van het schooljaar verkregen IP-adres, het Subnetmasker,
Standaardgateway, Voorkeurs-DNS-server en de Alternatieve DNS-server in. Druk daarna op
OK.
7 Druk in het venster “Eigenschappen van LAN-verbinding” op de knop “Sluiten”. Het venster
“Netwerkverbindingen” mag ook worden gesloten, evenals het venster “Netwerkcentrum”.
8 De netwerkinstellingen van de server zijn afgewerkt.
Rudy Deboeuf
12 Windows server 2008
Naam van de server Vooraleer op de server de actief directory wordt geïnstalleerd is het beter om eerst de naam van de
server in te stellen.
1 Klik met de rechtermuisknop op het icoon van de “Computer” op het bureaublad en
selecteer de optie “Eigenschappen”.
2 Zo wordt het onderstaande “Systeem” venster verkregen.
3 Klik op “Instellingen wijzigen” in het onderdeel “Instellingen voor computernaam, domein en
werkgroep”.
Windows server 2008
13 Standaardconfiguratie van de server
4 In het verkregen venster “Systeemeigenschappen” op het tabblad “Computernaam”, klik op
de knop “Wijzigen”.
5 Wijzig de computernaam in een betekenisvolle naam en klik daarna op de knop “OK” om de
naam toe te passen.
6 Druk in het informatie venster “Computernaam en/of domein wijzigen” op de knop “OK”.
Rudy Deboeuf
14 Windows server 2008
7 Klik op knop “Sluiten” in het venster “Systeemeigenschappen”.
8 Klik op de knop “Nu opnieuw opstarten” om de naamsverandering toe te passen.
9 Laat de computer volledig opnieuw opstarten en controleer de gewijzigde instellingen.
Instellingen beheer met Remote Desktop De netwerkinstellingen van de server zijn volledig geconfigureerd alsook de naam van de server.
Enkel een kleine aanpassing is noodzakelijk om deze server ook van op afstand te beheren.
1 Klik met de rechtermuisknop op het icoon van de “Computer” op het bureaublad en
selecteer de optie “Eigenschappen”.
Windows server 2008
15 Standaardconfiguratie van de server
2 Zo wordt het onderstaande “Systeem” venster verkregen.
3 Klik op de link “Instellingen voor externe verbindingen” in het takendeel van het
systeemvenster.
Rudy Deboeuf
16 Windows server 2008
4 Vink de optie “Verbindingen met computers toestaan, ongeacht versie van Extern
bureaublad (minder veilig)” aan. Klik op de knop “Toepassen” en daarna op de knop “OK”.
5 Door deze handeling is de Windows firewall aangepast en is de Poort 3389 voor gebruik naar
de server geopend.
6 Controleer de werking van de uitgevoerde configuratie.
Installatie Actief Directory In de Windows 2008 omgeving moet, in tegenstelling tot eerdere versies, een bijkomende stap
worden uitgevoerd vooraleer de server kan worden gepromoveerd naar een domein controller en
actief directory kan worden geïnstalleerd. Deze stap is de installatie van de Active Directory Domain
Services (AD-DS) functie op de server. In feite is het net deze AD-DS functie die het mogelijk maakt
om de server te laten functioneren als een Domein Controller, maar na de installatie van deze functie
moet nog altijd DCPROMO worden uitgevoerd.
Er zijn in totaal drie verschillende methodes om AD-DS te installeren.
1 Eerste methode – Serverbeheer;
2 Tweede methode - Servermanagercmd.exe
3 Derde methode - DCPROMO
Windows server 2008
17 Installatie Actief Directory
Eerste methode – Serverbeheer Functies kunnen worden toegevoegd via het Serverbeheer.
1 Open “Serverbeheer” door te klikken op het icoontje in de Quick Launch Toolbar, of via
Start > Systeembeheer > Serverbeheer.
2 Wacht totdat alle beschikbare functies geladen zijn. Klik op Functies Toevoegen.
Rudy Deboeuf
18 Windows server 2008
3 Klik op de knop “Volgende” in het “Voordat u begint” venster.
4 Selecteer “Active Directory Domain Services” in het venster “Serverfuncties selecteren” en
klik daarna op de knop “Volgende”.
Windows server 2008
19 Installatie Actief Directory
5 De info in het venster “Active Directory Domain Services” kan soms verhelderend zijn. Is
leuke lectuur voor als het buiten echt slecht weer is. Klik op de knop “Volgende”.
6 Indien gewenst, lees de info in het venster “Bevestiging van items die voor installaties zijn
geselecteerd” en klik daarna op de knop “Installeren”.
Rudy Deboeuf
20 Windows server 2008
7 De functie wordt op de server geïnstalleerd.
8 Als de installatie ten einde is, klik op de knop “Sluiten”.
Windows server 2008
21 Installatie Actief Directory
9 In het venster “Serverbeheer” is nu te merken dat er een nieuwe link is bijgekomen. Klik op
de link “Active Directory Domain Services”.
10 Het is van hieruit mogelijk om DCPROMO uit te voeren. Maar eerst worden de andere twee
methodes benaderd.
Tweede methode – servermanagercmd.exe Servermanagercmd.exe is het equivalent commando van het toevoegen van functies in het
serverbeheer. Door gebruik te maken van de verschillende opties in combinatie met het commando
is het mogelijk om alle verschillende functies te installeren vanuit de command-prompt.
Om de functie AD-DS in het command venster uit te voeren, moet het volgende commando worden
ingetypt.
Het commando zal de AD-DS volledig installeren.
Derde methode – DCPROMO doet het werk Indien gewoon DCPROMO wordt uitgevoerd voordat AD-DS is geïnstalleerd, zal de server een check
uitvoeren op AD-DS. Indien deze niet aanwezig is, zal de server eerst AD-DS installeren.
Rudy Deboeuf
22 Windows server 2008
Uitvoeren DCPROMO Na de installatie van de AD-DS functie, moet DCPROMO worden uitgevoerd om de server te
promoveren van functie en Domein controller te worden.
Opmerking:
Er wordt uitgegaan van het idee dat het de eerste domein controller wordt
binnen een nieuw domein. Het toevoegen van een domein controller in een
bestaand domein wordt later uitvoerig beschreven.
1 Om DCPROMO uit te voeren, ga via Start > Uitvoeren en typ DCPROMO in het vak en klik
daarna op de knop “OK”. Het is ook mogelijk om DCPROMO uit te voeren via het venster
“Serverbeheer” en te klikken op “Functieoverzicht” en de link
“Active Directory Domain Services”.
2 Indien AD-DS reeds is geïnstalleerd, wat normaal het geval is als deze instructies uit de cursus
in de juiste volgorde worden uitgevoerd, dan verschijnt bijna onmiddellijk het onderstaand
venster. Klik op de knop “Volgende”.
Windows server 2008
23 Uitvoeren DCPROMO
3 Lees de info in het volgend venster en klik daarna op de knop “Volgende”.
4 Vink de optie “Een nieuw domein maken in een nieuw forest” aan en klik op de knop
volgende.
Rudy Deboeuf
24 Windows server 2008
5 Vul een passende naam voor het nieuw domein in. Zorg ervoor dat een goede domeinnaam
wordt gekozen. Voorkom dat hernoemen van domeinen een dagelijkse taak wordt. Klik op de
knop “Volgende”.
Opmerking
Gebruik geen enkele domeinnamen zoals “mijndomein” of gelijkaardig. Het
MOET een volledig domein zoals “mijndomein.local” of “mijndomein.com” of
gelijkaardig zijn.
6 De wizard controleert de geldigheid van de domeinnaam en zal ook controleren of de
domeinnaam reeds wordt gebruikt in het lokale netwerk.
Windows server 2008
25 Uitvoeren DCPROMO
7 Selecteer het juiste “Forest-functionaliteitsniveau”. Windows 2000 is standaard
geselecteerd. Het niveau kan worden verhoogd naar Windows 2003 en naar Windows 2008.
Hier wordt bewust gekozen voor Windows 2003 niveau. Klik nu op de knop “Volgende”.
8 Hetzelfde wordt nu gevraagd over het “Domeinfunctionaliteitsniveau”. Ook hier wordt
bewust gekozen voor Windows 2003. Klik daarna op de knop “Volgende”.
Rudy Deboeuf
26 Windows server 2008
9 De wizard zal de DNS configuratie op het netwerk nauwkeurig controleren. Bij grotere
netwerken kan dit wel een tijdje duren. Indien DNS nog niet is geïnstalleerd op de server, zal
de wizard eerst DNS verder installeren en configureren.
Opmerking:
De eerste domeincontroller in een domein moet een “Globale catalogus” zijn.
Ook daardoor kan de eerste domeincontroller binnen een domen niet een
“Alleen-lezen domeincontroller (RODC)” worden.
Windows server 2008
27 Uitvoeren DCPROMO
10 Door het feit dat eerder het IP-adres en de netwerkconfiguratie werden uitgevoerd, wordt
hier geen melding gemaakt. Indien de server opnieuw werd geïnstalleerd en de
domeincontroller verkrijgt zijn IP-adres van een DHCP server, zal hier een waarschuwing
worden gegeven.
Daar in het lokaal netwerk nog geen DNS server aanwezig is, zal een waarschuwing komen
om de overdracht van DNS servers manueel in te stellen. Klik hier op de knop “Ja”.
11 Bij grotere domeinen is het raadzaam in het onderstaand venster de locatie van de
AD database, de log bestanden en SYSVOL map te verplaatsen naar een performante locatie.
Klik op de knop “Volgende”.
12 Geef een paswoord voor de Active Directory Recovery Mode in. Dit paswoord moet als zeer
vertrouwelijk worden behandeld, omdat dit paswoord altijd geldig blijft en dit in
tegenstelling tot het paswoord van een domeingebruiker.
Het paswoord moet minimum zeven karakters lang zijn en het moet aan de gestelde
complexiteit beantwoorden. Het wordt aanbevolen om niet het paswoord van de
gebruikelijke administrator te gebruiken. Klik op de knop “Volgende”.
Rudy Deboeuf
28 Windows server 2008
13 Controleer de in het “Samenvatting” venster de gekozen instellingen en verander indien
nodig de instellingen door op de knop “Vorig” te klikken. Indien alles naar wens is ingevuld,
kunnen de gegevens worden geëxporteerd naar een bestand om later een “unattend install”
van de server uit te voeren. Klik op de knop “Volgende”.
14 De wizard zal nu beginnen met het aanmaken van de Active Directory Domain. Na het
beëindigen van de wizard, klik op de knop “Voltooien” en start de server opnieuw op.
Windows server 2008
29 Uitvoeren DCPROMO
Rudy Deboeuf
30 Windows server 2008
Werken met groepsbeleid
Voor een netwerkbeheerder is groepsbeleid één van de meest gebruikte onderdelen in de
windows 2008 serveromgeving. Netwerkbeheerders kunnen het groepsbeleid gebruiken om
oplossingen te definiëren voor het beheren en configureren van servers, desktops en
gebruikersgroepen. Het groepsbeleid is een hulpmiddel voor de volgende onderdelen:
1 Configureren van het bureaublad en gebruikersomgeving;
2 Configureren lokaalbeveiligingsbeleid op lokale computers;
3 Installeren applicatiesoftware;
4 Uitvoeren van opstart/afsluit of aanmeld-/afmeld- scripts;
5 Configureren settings in Interenet Explorer;
6 Mapomleiding.
Kortom, het is mogelijk om de volledige computeromgeving te configureren. Ondanks het feit dat het
een krachtig hulpmiddel is, kan ondoordacht gebruik soms verrassende resultaten opleveren.
Termen Bepaalde termen worden in het groepsbeleid veelvuldig gebruikt:
Lokaal beleid: Verwijst naar het groepsbeleid voor de lokale computer of server en wordt niet gebruikt of beheerd
door het domein en de actief directory. Het lokaal beleid kan worden aangepast door het commando
gpedit.msc vanuit het uitvoervenster op te starten.
GPO – Group Policy Object Verwijst naar het groepsbeleid van de actief directory van de domeincontroller en wordt toegepast
op alle leden binnen het domein. Een GPO kan worden geconfigureerd op het niveau van een site,
domein of organisatie eenheid. Het groepsbeleid in een domein kan worden aangepast en beheerd
door gpmc.msc vanuit het uitvoer venster op te starten.
GPC – Group Policy Container De GPC bewaart de verschillende GPO’s en de configuraties van de GPO’s binnen een bepaald
domein of site.
GPT – Group Policy Template De GPT is de plaats waar de GPO de actuele configuraties opslaat. De GPT is terug te vinden op de
plaats waar gedeelde map van netlogon zich bevindt.
Netlogon Is een gedeelde map op de domeincontroller en bevat de GPO’s, scripts, .POL bestanden (voor zover
er nog Windows NT/98 toestellen worden gebruikt). De gedeelde map repliceert met alle
domeincontrollers binnen het domein en is toegankelijk voor alle gebruikers binnen het domein. De
map met Netlogon op een domeincontroller bevindt zich op de volgende locatie:
Windows server 2008
31 GPO gedrag
C:\windows\sysvol\sysvol\deboeuf.local\scripts
Als een computer, die tot het domein behoort, opstart, wordt onmiddellijk contact gezocht met de
netlogon map op de domeincontroller.
Het is mogelijk om te controleren of de computers binnen een bepaald domein de gewenste
domeincontroller contacteren bij het opstarten. Hiervoor moet het commando
%logonserver%\netlogon worden uitgevoerd in het uitvoeren venster. Deze map zou voor alle
computers binnen het domein hetzelfde moeten zijn.
GPO gedrag Groepsbeleid wordt in de volgende volgorde toegepast:
Lokaal beleid > Site GPO > Domein GPO > OU GPO > Child OU GPO … enz…
GPO afkomstig van de actief directory binnen een domein staat boven het lokaal beleid. De
configuratie van een Site GPO wordt altijd overschreven door het Domein GPO en het domein GPO
wordt altijd overschreven door een OU GPO. Indien in de OU een onderstaande OU GPO is
geconfigureerd, wordt deze opnieuw overschreven.
De regel is zeer eenvoudig. Hoe dichter de OU bij het netwerkobject staat, hoe sterker de GPO wordt.
Een voorbeeld zal alles veel duidelijker maken.
Op het hoogste niveau in het domein deboeuf.local wordt GPO één toegepast. GPO één maakt het
mogelijk om een printer te installeren. Op de organisatie eenheid Organisatie_OU wordt GPO twee
toegepast waarin wordt gesteld dat de printer niet mag worden geïnstalleerd en waar een aantal
settings worden toegepast op het bureaublad. In de organisatie eenheid IT_OU wordt een derde
GPO toegepast waarin het terug mogelijk wordt om de printer te installeren.
GPO 1:Toelaten om printers te installeren
GPO 2:Printers kunnen niet worden toegevoegdAanpassingen bureaublad
GPO 3:Toegelaten om printers te installeren
Resultaat:Printers kunnen worden geïnstalleerd
De aanpassingen op het bureaublad worden uitgevoerd
Het voorgaand voorbeeld maakt duidelijk dat niet alleen de GPO’s worden overschreven maar indien
verschillende taken worden uitgevoerd dat deze worden samengevoegd.
Rudy Deboeuf
32 Windows server 2008
Onderdelen groepsbeleid Elke GPO is ingedeeld in twee secties:
Computerconfiguratie: bevat alle instellingen om de computer te configureren tot aan het
aanmeldingsscherm.
Gebruikersconfiguratie: bevat alle instellingen om de gebruikersinterface te configureren
vanaf moment dat het aanmeldingsscherm verschijnt.
Beide onderdelen bevatten verschillende submappen:
Software – en Windows-Instellingen: configureren DLL bestanden op de lokale machine en
dit voor beide, zowel voor Computerconfiguratie als voor Gebruikersconfiguratie.
Beheersjablonen: configureert het lokaal registry en past de sleutelwaarden aan in het lokaal
registry van de lokale machine. Het is mogelijk om meerdere beheersjablonen toe te voegen
door op de rechtermuisknop te klikken op “Beheersjablonen”. Hierin kan dan worden
gekozen om “Sjablonen toevoegen/verwijderen…”. Veel programma’s die op de lokale
computer worden geïnstalleerd plaatsen een .ADM bestand in de %systemroot%\inf map
zodat deze kunnen worden gebruikt in de beheersjablonen.
GPO Configuratiehulpmiddelen Microsoft stelt een aantal hulpmiddelen ter beschikking om GPO’s te configureren. Daarnaast zijn er
ook nog veel 3rd-party hulpmiddelen.
1 Lokale groepsbeleidseditor module voor MMC of gebruik gpedit.msc in het uitvoeren
venster. Configureren van het groepsbeleid van de lokale computer.
2 Active directory – gebruikers en computers module voor MMC ofwel dsa.msc in het
uitvoeren venster. Maakt het mogelijk om GPO’s toe te passen op iedere organisatie eenheid
en het domein.
3 Active directory – sites en services module voor MMC ofwel dssite.msc in het uitvoeren
venster. Maakt het mogelijk om GPO’s toe te passen op de site.
4 Groepsbeleidsbeheer module voor MMC ofwel gpmc.msc in het uitvoeren venster. Maakt
het mogelijk om elke GPO aan te maken, te linken aan een bepaald OU enz…
De groepsbeleidsbeheer module is de meest omvattende module voor het beheer van GPO’s binnen
een bepaald domein.
Windows server 2008
33 Groepsbeleidsbeheer (GPMC) module
Groepsbeleidsbeheer (GPMC) module
Aanmaken van een GPO Na het aanmaken van een GPO wordt dit bewaard in de GPO container.
GPO koppelen Klik met de rechtermuisknop op de OU waaraan de GPO moet worden gekoppeld. Selecteer
“Een bestaand groepsbeleidsobject koppelen…”.
Een andere methode is het gewenste groepsbeleid vanuit de groepsbeleidsobjecten container slepen
naar de desbetreffende OU.
Rudy Deboeuf
34 Windows server 2008
Bewerken van een GPO Om een GPO te bewerken volstaat het met de rechtermuisknop op het desbetreffende GPO te
klikken en de optie “Bewerken” te kiezen.
De verschillende mogelijkheden en de resultaten van het bewerken van een GPO komt later in deze
cursus aan bod.
Koppeling ingeschakeld Dit maakt het mogelijk om tijdelijk de koppeling uit te schakelen om de GPO configuratie te wijzigen
en de wijzigingen pas later toe te passen op het betreffende OU of domein.
Windows server 2008
35 Groepsbeleidsbeheer (GPMC) module
GPO Toestand Daarnaast bestaat de mogelijkheid om een GPO in te schakelen, alle instellingen uit te schakelen of
alleen de instellingen voor Computer of gebruiker uit te schakelen. Deze optie kan worden
teruggevonden door met de rechtermuisknop op de GPO te klikken in de Groepsbeleidsobjecten
container. Kies daarna het tabblad “Details”.
Instellingen Een overzicht van alle instellingen van het betreffende GPO is terug te vinden door met de
rechtermuisknop op de GPO te klikken in de Groepsbeleidsobjecten container en het tabblad
“Instellingen “ te selecteren. Door te klikken op de link “Alles weergeven” worden alle settings, waar
wijzigingen zijn aangebracht, opengeklapt. Hierdoor heeft de systeemadministrator een duidelijk
overzicht wat in een bepaald groepsbeleid wordt geconfigureerd. Dit is een grote verbetering
tegenover de vroegere servers.
Rudy Deboeuf
36 Windows server 2008
Overname van het groepsbeleid Het is mogelijk om de overname van een groepsbeleid van een bovenliggende OU tegen te houden
zodat deze niet van toepassing zijn op de OU. In het onderstaand voorbeeld worden de GPO’s
afkomstig van een bovenliggende OU tegengehouden. Alleen de GPO toegepast op de OU
“Organisatie_OU” zal worden uitgevoerd.
In het onderstaand voorbeeld is de overnameblokkering verwijderd en worden de GPO’s
“AanmeldScript” en “Default Domain Policy” overgenomen vanuit een bovenstaande OU. Het GPO
“IE-Instellingen” is gekoppeld aan het OU “Organisatie_OU”.
Als systeemadministrator is het mogelijk om ervoor te zorgen dat een GPO vanuit een bovenliggend
OU altijd wordt uitgevoerd op de onderliggende OU’s. Hiervoor moet de optie “Afgedwongen”
worden aangevinkt.
Let wel:
dit is een zeer krachtige optie en kan niet op de onderliggende OU’s worden
tegengehouden. Daarom is het beter om met deze optie zeer voorzichtig om te
gaan en ze zo weinig mogelijk toe te passen.
Windows server 2008
37 Groepsbeleidsbeheer (GPMC) module
In het onderstaand voorbeeld wordt het GPO “AanmeldScript” afgedwongen. Dit betekent dat het
GPO op alle onderliggende OU’s ook zal worden toegepast. Ook al wordt er ergens een blokkering
geplaatst.
Volgorde van gekoppelde OU’s Indien meerdere GPO’s zijn gekoppeld aan een OU, zou er een probleem kunnen ontstaan. Vandaar
dat de volgorde van de gekoppelde GPO’s zeer belangrijk is. Het is belangrijk om weten dat de GPO
met de laagste “Koppelingsvolgorde” de hoogste prioriteit krijgt.
In het onderstaand voorbeeld zal eerst het GPO “IE-instellingen” worden uitgevoerd en daarna het
GPO “AanmeldScript”. Dit betekent, dat mocht bij het GPO “IE-instellingen” worden toegestaan om
een printer te installeren en in het GPO “AanmeldScript” wordt het niet toegestaan om een printer te
installeren, zal de gebruiker als resultaat krijgen dat hij geen printer kan installeren.
Rudy Deboeuf
38 Windows server 2008
Beveiligingsfiltering De beveiligingsfiltering maakt het mogelijk om een bepaald GPO alleen toe te passen op een
bepaalde gebruiker, computer of groep. Zo is het mogelijk om een groep aan te maken waarin alleen
Windows XP toestellen aanwezig zijn en een groep met alleen Windows Vista toestellen in. Op deze
manier is het mogelijk om een bepaalde GPO alleen toe te passen op Windows XP toestellen.
Door het toepassen van het “Beveiligingsfiltering” kan een systeemadministrator bepalen om
bijvoorbeeld een nieuw programma (bvb office 2007 suite) alleen te installeren op
Windows Vista machines. De toestellen met Windows XP als operating systeem moeten verder
werken met office 2003 suite.
Windows server 2008
39 GPO update op een computer
GPO update op een computer De GPO geërfd van de Active Directory wordt op verschillende manieren vernieuwd op de computers
binnen het domein:
1 Aanmelden op een computer (Als het instellingen zijn voor “gebruikers-instellingen” in GPO);
2 Opnieuw opstarten van de computer (Als het instellingen zijn voor “computer-instellingen” in
GPO);
3 Om de 60 tot 90 minuten, de computers bevragen automatisch hun DC voor updates;
4 Handmatig met behulp van het gpupdate commando. Met de schakelaar /force is het
mogelijk om alle instellingen opnieuw toe te passen en niet alleen de vernieuwde
instellingen van het GPO.
Controle toegepast GPO Om zeker te zijn dat GPO correct is geïmplementeerd, kan dit op verschillende manieren worden
nagezien. Dit wordt ook wel RSoP - Resultant Sets of Policies - genoemd.
Gebruik gpresult commando in het uitvoeren venster.
Door gebruik te maken van het commando gpresult in het commando venster (DOS-venster), worden
de resultaten van de GPO’s getoond. Met de opties /v of /z wordt meer gedetailleerde info
verkregen.
Rudy Deboeuf
40 Windows server 2008
Resultant Set of Policy (RSoP) modulen in MMC
Typ “MMC” in het “Uitvoeren” venster in. Dit geeft als resultaat dat Microsoft Management Console
wordt opgestart op de client computer.
Selecteer daarna in takenbalk van de MMC “Bestand” en kies hierin de optie “Module
toevoegen/verwijderen…”. Klik op de knop “Toevoegen” en selecteer in de verkregen lijst
“Resulterende verzameling beleidsregels”. Klik op de knop “Toevoegen” en daarna op de knop
“Sluiten”. Druk daarna op de knop “OK” in het venster “Module toevoegen/verwijderen”.
Klik daarna met de rechtermuisknop op de optie “Resulterende verzameling beleidsregels” en
selecteer “RSoP-gegevens genereren…”. Klik op de knop “Volgende”. Vink de “Logmodus” aan en klik
op de knop “Volgende”. Selecteer “Deze computer” en klik op de knop “Volgende”. Vink “Huidige
gebruiker” aan en ga verder door op de knop “Volgende” te klikken. Klik op de knop “Volgende” en
sluit af door op de knop “Voltooien” te klikken. In de onderstaande afbeelding is een voorbeeld
weergegeven van het resultaat.
Windows server 2008
41 Instellingen bij een Cliënt
Instellingen bij een Cliënt In eerste instantie moeten een paar instellingen op het cliënttoestel worden uitgevoerd vooraleer
het toestel vlot kan worden toegevoegd aan het domein.
1 Computernaam
2 Netwerkinstellingen
Deze configuraties gelden voor alle toestellen en zijn dus platformonafhankelijk. In deze cursus wordt
nog altijd gebruik gemaakt van Windows XP Professional. Dit omdat een XP-cliënt slechts 128 MB
intern geheugen nodig heeft en dat de cliënt gemakkelijk te kopiëren is naar een USB-memory key.
Computernaam van de cliënt Om de computernaam van een cliënt te wijzigen, kan de volgende werkwijze een hulpmiddel zijn.
1 Klik met de rechtermuisknop op “Deze Computer” op het bureaublad. Indien het icoontje
“Deze computer” niet op het bureaublad staat kan dit eveneens worden bereikt door via
Start > Deze computer en daar de eigenschappen aan te klikken via de rechtermuisknop.
2 Selecteer daarna het tabblad “Computernaam” en klik op de knop “Wijzigen”.
Rudy Deboeuf
42 Windows server 2008
3 Vul een voldoend beschrijvende naam voor de computer in in vak “Computernaam:”.
Let wel:
1 De computernaam moet uniek zijn binnen het netwerk. Indien de
computernaam meerdere malen voorkomt binnen het domein, zal het
niet mogelijk zijn om het toestel toe te voegen aan het domein.
2 De computernaam mag alleen maar standaardtekens bevatten. Dus
alleen letters (A-Z, a-z), cijfers (0-9) en koppelstreepjes (-) Indien de
naam andere tekens bevat, is het mogelijk dat andere cliënts het
toestel niet terugvinden.
3 De NetBios-naam van de computer heeft een beperking van 15 bytes.
De Netbios –naam zal dus worden ingekort indien de opgegeven naam
langer is dan 15 karakters.
4 Druk op de knop “OK” om verder te gaan. De instellingen worden pas toegepast als de
computer opnieuw wordt opgestart. Ga verder door op de knop “OK” te drukken.
Windows server 2008
43 Instellingen bij een Cliënt
5 Sluit het “Systeemeigenschappen” venster door op de knop “OK” te klikken.
6 Nu wordt gevraagd om de computer opnieuw op te starten. Druk op de knop “Ja” en laat het
toestel opnieuw opstarten.
7 Na het opnieuw opstarten, controleer de naam van het cliënttoestel.
Rudy Deboeuf
44 Windows server 2008
Netwerkinstellingen bij de cliënt Hier wordt de discussie niet gevoerd wat beter is: dynamische IP-adressen of vaste IP-adressen. Het
toevoegen van computers met vaste IP-adressen verloopt net iets vlotter en sneller dan toestellen
met dynamische IP-adressen. Beide methodes zullen aan bod komen.
Vast IP-adres:
1 Open het configuratiescherm. Dit kan worden teruggevonden via
Start > Configuratiescherm.
2 Druk op link “Netwerk- en Internet-verbindingen”.
Windows server 2008
45 Instellingen bij een Cliënt
3 Druk op link “Netwerkverbindingen”.
4 Klik met rechtermuisknop op het icoontje van de “LAN-verbinding” en selecteer de optie
“Eigenschappen”.
5 Selecteer het “Internet-protocol (TCP/IP)” en klik vervolgens op de knop “Eigenschappen”.
Rudy Deboeuf
46 Windows server 2008
6 Vink “Het volgende IP-adres gebruiken” en “De volgende DNS-serveradressen gebruiken”
aan. Geef het overeengekomen IP-adres, het subnetmasker en de Standaard-gateway in. Bij
Voorkeurs-DNS-server wordt het IP-adres van de server ingegeven. Als
Alternatieve DNS-server wordt het IP-adres van de router ingegeven. De waarden in de
onderstaande afbeelding kan alleen als voorbeeld worden gebruikt.
7 Druk daarna op de knop “OK” en in het “Eigenschappen” venster op de knop “Sluiten”.
8 Sluit het venster van de “Netwerkverbindingen”. Controleer met het “ping” commando of
het wel mogelijk is om de server te bereiken. In eerste instantie door te pingen met het
IP-adres en de tweede maal ping uit te voeren met de servernaam.
Windows server 2008
47 Instellingen bij een Cliënt
Dynamisch IP-adres:
1 Open het configuratiescherm. Dit kan worden teruggevonden via
Start > Configuratiescherm.
2 Druk op link “Netwerk- en Internet-verbindingen”.
Rudy Deboeuf
48 Windows server 2008
3 Druk op link “Netwerkverbindingen”.
4 Klik met rechtermuisknop op het icoontje van de “LAN-verbinding” en selecteer de optie
“Eigenschappen”.
5 Selecteer het “Internet-protocol (TCP/IP)” en klik vervolgens op de knop “Eigenschappen”.
Windows server 2008
49 Instellingen bij een Cliënt
6 Vink “Automatisch een IP-adres laten toewijzen” en “Automatisch een DNS-serveradres laten
toewijzen” aan. Klik op de knop “OK” om verder te gaan.
7 Druk in het “Eigenschappen” venster op de knop “Sluiten” en sluit het venster met de
“Netwerkverbindingen”.
8 Open het command-prompt venster. Dit kan via Start > Uitvoeren en aldaar het commando
cmd intypen en op de knop “OK” te drukken.
Rudy Deboeuf
50 Windows server 2008
9 Typ het commando ipconfig /all in. Er moet een IP-adres toegekend zijn aan de
Ethernet-adapter.
10 Controleer met het “ping” commando of het wel mogelijk is om de server te bereiken. In
eerste instantie door te pingen met het IP-adres en de tweede maal ping uit te voeren met
de servernaam.
Windows server 2008
51 Cliënt toevoegen aan het domein
Cliënt toevoegen aan het domein
Cliënt met een vast IP-adres toevoegen aan het domein Na de voorgaande netwerkinstellingen met succes te hebben uitgevoerd en de computernaam van
het cliënttoestel te hebben gewijzigd, kan deze cliënt tot het domein worden toegevoegd.
1 Klik met de rechtermuisknop op “Deze computer” en selecteer de optie “Eigenschappen”.
2 Druk op de knop “Wijzigen” in het tabblad “Computernaam”.
3 Vink “Domein” aan en geef de domeinnaam waarin de server DC is. Klik daarna op de knop
“OK”.
Rudy Deboeuf
52 Windows server 2008
4 Geef de gebruikersnaam en het wachtwoord van de domeinbeheerder In het venster
“Identificatie wijzigen” in.
5 De server zal het toestel verwelkomen binnen het domein. Klik op de knop “OK”.
6 De instellingen worden pas van toepassing nadat de computer opnieuw is opgestart.
7 Druk in het venster met de “Systeemeigenschappen” om “OK” en laat de computer opnieuw
opstarten door op ja te klikken.
8 Na het opnieuw opstarten moet opnieuw worden aangemeld. Let wel: deze maal in het
domein aanmelden. Klik hiervoor in het aanmeldvenster op de knop “Opties” en druk op het
pijltje in het vak “Aanmelden bij:”.
Windows server 2008
53 Cliënt toevoegen aan het domein
9 Kies hierin het domein waarbij moet worden aangemeld.
10 Vul een gebruikersnaam in die reeds is gekend in de AD van de DC.
11 Na het aanmelden moet die gebruikersnaam verschijnen.
Rudy Deboeuf
54 Windows server 2008
Cliënt met een dynamisch IP-adres toevoegen aan het domein De computer verkrijgt een IP-adres van een DHCP server in het domein. De computernaam van het
cliënttoestel is gewijzigd. De cliënt is klaar om toe gevoegd te worden tot het domein.
De werkwijze is identiek als die hierboven beschreven, alleen kan er vanaf het puntje 4 een probleem
ontstaan. Dit heeft te maken met het feit dat de computer nog niet direct een verbinding kan maken
met de DC binnen het domein.
Dit probleem kan perfect worden verholpen door de volgende stappen uit te voeren in het
command prompt venster.
1 Verwijder het toegekende IP-adres uit de netwerkkaart door het commando
ipconfig /release uit te voeren.
2 Maak de DNS tabel op de cliënt ledig met ipconfig /flushdns.
3 Hernieuw het IP-adres met het commando ipconfig /renew.
4 Ga verder vanaf stap 3 in de voorgaande handleiding “Cliënt met een vast IP-adres
toevoegen aan het domein”. Indien het nog niet lukt om contact met de AD van de DC te
krijgen moet je de stappen 1 tot en met 3 herhalen totdat het wel werkt.
Windows server 2008
55 Cliënt toevoegen aan het domein
Inhoudsopgave
Inhoud Hardware specificaties ............................................................................................................................ 2
Installatie procedure ............................................................................................................................... 3
Standaardconfiguratie van de server .................................................................................................... 10
Netwerkinstellingen .......................................................................................................................... 10
Naam van de server ........................................................................................................................... 12
Instellingen beheer met Remote Desktop ........................................................................................ 14
Installatie Actief Directory ..................................................................................................................... 16
Eerste methode – Serverbeheer ....................................................................................................... 17
Tweede methode – servermanagercmd.exe .................................................................................... 21
Derde methode – DCPROMO doet het werk .................................................................................... 21
Uitvoeren DCPROMO ............................................................................................................................ 22
Termen .................................................................................................................................................. 30
Lokaal beleid: ..................................................................................................................................... 30
GPO – Group Policy Object ................................................................................................................ 30
GPC – Group Policy Container ........................................................................................................... 30
GPT – Group Policy Template ............................................................................................................ 30
Netlogon ............................................................................................................................................ 30
GPO gedrag ............................................................................................................................................ 31
Onderdelen groepsbeleid ...................................................................................................................... 32
GPO Configuratiehulpmiddelen ............................................................................................................ 32
Groepsbeleidsbeheer (GPMC) module ................................................................................................. 33
Aanmaken van een GPO .................................................................................................................... 33
GPO koppelen .................................................................................................................................... 33
Bewerken van een GPO ..................................................................................................................... 34
Koppeling ingeschakeld ..................................................................................................................... 34
GPO Toestand .................................................................................................................................... 35
Instellingen ........................................................................................................................................ 35
Overname van het groepsbeleid ....................................................................................................... 36
Volgorde van gekoppelde OU’s ......................................................................................................... 37
Beveiligingsfiltering ........................................................................................................................... 38
Rudy Deboeuf
56 Windows server 2008
GPO update op een computer .............................................................................................................. 39
Controle toegepast GPO .................................................................................................................... 39
Gebruik gpresult commando in het uitvoeren venster. ................................................................ 39
Resultant Set of Policy (RSoP) modulen in MMC .......................................................................... 40
Instellingen bij een Cliënt ...................................................................................................................... 41
Computernaam van de cliënt ............................................................................................................ 41
Netwerkinstellingen bij de cliënt ....................................................................................................... 44
Vast IP-adres: ................................................................................................................................. 44
Dynamisch IP-adres: ...................................................................................................................... 47
Cliënt toevoegen aan het domein ......................................................................................................... 51
Cliënt met een vast IP-adres toevoegen aan het domein ................................................................. 51
Cliënt met een dynamisch IP-adres toevoegen aan het domein ...................................................... 54