LWsystems berät und betreut Sie in allen Fragen Ihrer IT.
Rufen Sie einfach an!

05451 - 9363 845 oder 05403 - 55 56

Anhang

Nächste Seite: Index Aufwärts: Einführung in Windows 2000 Vorherige Seite: Active Directory   Index


Unterabschnitte

• sonstiges
  • 16 Bit Applikationen
  • Installationsdateien
  • boot.ini
  • compatws.inf
  • sysdiff
  • Programme der Recovery Console
  • Beispiel einer Unattended- Antwortdatei
  • Das Setupprogramm winnt
  • Konvertieren in NTFS
  • Bootdiskette mit Netzwerkzugriff
  • format (Parameter)
  • Dienste
  
  
• Begriffsbestimmungen

---

Anhang

sonstiges

16 Bit Applikationen

Zur Ausführung von 16 Bit Applikationen emuliert W2K eine Umgebung mit Hilfe des Prozesses NTVDM (NT Virtual Device Manager (?)). Alle gestarteten 16 Bit Applikationen laufen als Threads dieses Prozesses und teilen sich einen gemeinsamen Adressraum. Auf diese Weise können sie, falls vorgesehen miteinader kommunizieren. Falls eines der 16 Bit Programme ausfällt oder ``hängt'', blockiert dieses auch die anderen 16 Bit Programme. Im Task-Manager können die einzelnen Prozesse nicht mehr einzeln identifiziert werden, da nur der NTVDM Task sichtbar ist. Soll ein Prozeß in einem separaten Adressraum starten, kann dieses auf der Registerkarte Eigenschaften unter dem Punkt Im separaten Adressraum starten eingestellt werden. Eine andere Möglichkeit ist den Prozeß per Konsole oder Batchdatei mit dem Befehl start /separate aufzurufen.

Installationsdateien

Windows 2000 kennt neben den .exe Dateien verschiedene ausführbare Dateitypen, die die Softwareverteilung und -Installation erleichtern.

.msi

Diese Dateiendung kennzeichnet die sogenannten Windows Installer Pakte. Sie werden vom Softwarehersteller zur Erleichterung der Installation einer Anwendung zur Verfügung gestellt. Die Datei muß im gleichen Verzeichnis wie die anderen Installationsdateien liegen.

Die Dateiendung .msi ist mit dem Programm msiexec.exe verknüpft, das eine .msi Datei läd und die Installation entsprechend startet.

.mst

Dateien mit der Endung .mst werden auch Transformationsdateien genannt. Mit Hilfe dieser Dateien wird die Installation eines Windows-Installer Paketes (.msi) zum Zeitpunkt der Zuweisung oder Veröffentlichung angepaßt, so daß z.B. nur ein Teil einer Anwendung oder bestimmte Optionen installiert werden. Der Administrator kann dem User also eine für seine Zwecke angepaßte Installation zur Verfügung stellen.

.msp

Zum Einspielen kleinerer Patche in Form von Dateien, die installiert werden müssen werden die .msp-Dateien verwendet. Diese Patches sollten nur für Bugfixes und Service Packs zur Anwendung kommen, da mit Hilfe der .msp-Dateien das Entfernen oder Ändern im Produktcode nicht möglich ist. Es können hiermit also keine Dateien gepatcht werden, sondern nur Dateien eingespielt werden. Auch das Ändern von Dateinamen oder Registryeinstellungen ist hiermit nicht erlaubt.

.zap

Zap-Dateien sind reine ASCII-Dateien, die mit einem Editor erzeugt und bearbeitet werden können. In einer .zap- Datei wird ein Executable angegeben, daß unter dem Punkt Software in der Systemsteuerung angezeigt wird. Der Systemadministrator kann eine .zap-Datei für eine Applikation erzeugen, wenn hierfür z.B. keine .msi- Datei vorliegt.

.aas

Scripte für die Zuweisung von Anwendungen z.B. an Dateiendungen werden in Form von .aas- Dateien veröffentlicht.

boot.ini

Beim Systemstart wird aus der Datei boot.ini, die im Rootverzeichnis der aktiven Partition liegt, ermittelt von wo das System gestartet wird^26.1. Hier legt der sogenannte ARC-Pfad (Advanced Risc Computing) fest, wie welches System gestartet wird.

Die Angaben unterscheiden sich je nach dem Bussystem.

AT-Bus

multi(0)disk(0)rdisk(0)partition(1)\WINNT=''W2K'' /param

multi(0)

Angabe des Controllers und der Controllernummer. Bei AT-Bus immer multi(0).

disk(0)

Bei AT-Bus (multi) immer 0.

rdisk(0)

Nummer der Platte am Controller (0 oder 1)

partition(1)

Partitionsnummer. Beginnt bei 1, da 0 für den MBR vorgesehen ist.

\WINNT

Subdirectory in dem die Systemdateien liegen (s.a. 3.3).

=''W2K''

Eintrag, der im Bootmenue angezeigt wird.

/param

Parameter, die beim Programmstart gesetzt werden können.

SCSI-Bus

scsi(0)disk(0)rdisk(0)partition(1)\WINNT=''W2K'' /param

scsi(0)

Angabe des Controllers und der Controllernummer.

disk(0)

SCSI-ID der Platte.

rdisk(0)

Bei SCSI immer 0. (ältere Angabe: LUN des Devices?)

partition(1)

Partitionsnummer. Beginnt bei 1, da 0 für den MBR vorgesehen ist.

\WINNT

Subdirectory in dem die Systemdateien liegen (s.a. 3.3).

=''W2K''

Eintrag, der im Bootmenue angezeigt wird.

/param

Parameter, die beim Programmstart gesetzt werden können.

Parameter in der boot.ini

Unter anderm können folgende Parameter in der boot.ini eingestellt werden:

/basevideo

W2K wird mit dem Standard-VGA Treiber geladen.

fastdetect=comX comY

Die serielle Mauserkennung wird deaktiviert. Ohne Festlegung einer Schnittstelle wird die Mauserkennung generell deaktiviert.

/maxmem

Maximaler Speicher, der genutzt wird, z.B. bei der Suche nach defekten Speicherchips.

/noguiboot

Beim Systemstart wird der Bildschirm mit dem Ladestatus nicht angezeigt.

/sos

Die Namen der Gerätetreiber werden beim Laden angzeigt, um den fehlgeschlagenen Start eines Treibers festzustellen.

compatws.inf

Die Datei %SYSTEMROOT%\security\templates\compatws.inf ist ein Template für die Sicherheitseinstellungen für die einzelnen (vordefinierten) Benutzeraccounts wie z.B. Hauptbenutzer.

sysdiff

Das Tool sysdiff sollte genutzt werden, falls Applikationen installiert werden, die nicht über eine spezielle Installationsprozedur verfügen. Mit Hilfe dieses Tools wird ein Schnappschuß vom System vor und nach der Installation einer Applikation gemacht. Die Applikation soll sich dann später komplett aus dem System entfernen lassen.

Der Schalter /q weist das Tool an im unattended mode zu laufen.

Programme der Recovery Console

Die Recoveryconsole bietet einige der aus DOS bekannten Befehle sowie als Erweiterung die folgenden Befehle:

batch

führt Befehle aus einer Datei aus.

disable

Deaktiviert einen Systemdienst oder einen Gerätetreiber.

diskpart

Tool zur Verwaltung von Festplattenpartitionen.

enable

Startet oder aktiviert einen Systemdiens oder einen Gerätetreiber.

exit

Beenden und Computer neu starten.

expand

Extrahiert komprimierte Dateien der W2k-CD.

fixboot

Schreibt einen neuen Partitionsbootsektor auf die Systempartition.

fixmbr

Repariert den MBR des Partitionsbootsektors.

logon

Ermöglicht die Anmeldung an einer W2K Installation.

listsvc

Zeigt alle Dienste und Treiber an.

map

Zeigt die Zuordnung der Laufwerksbuchstaben an.

more

Zeigt Dateiinhalte an.

systemroot

Legt das aktuelle Verzeichnis als Stammverzeichnis (root) des Systems fest, an dem man zur Zeit angemeldet ist.

type

Zeigt Dateiinhalte an.

systemroot

Setzt das aktuelle Verzeichnis auf %SystemRoot%.

Beispiel einer Unattended- Antwortdatei

;file: unattend.txt
;SetupMgrTag

[Data]
    AutoPartition=1
    MsDosInitiated="0"               ; muß immer auf 0 (falls Setup von CDROM)
    UnattendedInstall="Yes"

[Unattended]
    UnattendMode=FullUnattended

    OemSkipEula=Yes           ; Nachfrage n. Lizenzzustimmung?
    
    OemPreinstall=No          ; OemPreinstall=Yes: erst Kopie von
                              ; Inststallationsdateien auf lokale 
                                     ; Platte. I.d.r No
                                     
    TargetPath=\WINNT

[GuiUnattended]
    AdminPassword=passwd
    OEMSkipRegional=1         ; Überspringt regionale Einstellungen
    TimeZone=110              ; W.Europa=110, GMT=090
    OemSkipWelcome=1          ; Begrüßungsnachricht wird übersprungen

[UserData]
    FullName="Martin Werthmoeller"
    ComputerName=singapore
    ProductID=MBK9M-JR62W-793WW-B3QHR-TY4D6

[Display]
    BitsPerPel=32             ; Bit pro Pixel (8,16,32)
    Xresolution=1024
    YResolution=768
    Vrefresh=85

[LicenseFilePrintData]        ; Lizenzmodell
    AutoMode=PerServer
    AutoUsers=50

[TapiLocation]
    CountryCode=49
    AreaCode=0251

[RegionalSettings]
    LanguageGroup=1
    Language=00000407

[Identification]
    JoinDomain=werthmoeller  ; In Domäne werthmoeller aufnehmen
;   JoinWorkgroup=wgroup     ; In Arbeitsgr. aufnehmen (eins von beiden)    

[Networking]
    InstallDefaultComponents=No

; NetAdapters
; Frei definierbarer Adaptername(n) als Key mit frei definierbarem 
; Wert. Der Wert beschreibt den Namen einer neuen Sektion, in der 
; weitere Key-Value-Paare eine Bezeichnung für die Karte festlegen

[NetAdapters]                
    Adapter1=params.Adapter1

[params.Adapter1]
    INFID="3com b"

[NetClients]
    MS_MSClient=params.MS_MSClient

[NetServices]
    MS_SERVER=params.MS_SERVER

[NetProtocols]
    MS_TCPIP=params.MS_TCPIP

[params.MS_TCPIP]
    DNS=Yes
    UseDomainNameDevolution=No
    EnableLMHosts=Yes
    AdapterSections=params.MS_TCPIP.Adapter1

[params.MS_TCPIP.Adapter1]
    SpecificTo=Adapter1
    DHCP=Yes
    WINS=No
    NetBIOSOptions=0

Das Setupprogramm winnt

Winnt32 dient zur Einrichtung oder Aktualisierung von Windows 2000 Server oder Windows 2000 Professional. Der Befeh winnt32 läßt sich an der Konsole von Windows 95, Windows 98 oder Windows NT nutzen. Auf 16-Bit Systemen (z.B. über DOS-Bootdiskette gestartet) wird der Befehl winnt genutzt. Achtung! Die Kommandozeilenparameter der beiden Befehle unterscheiden sich.

winnt

winnt /u:<Antwortdatei> /s:<Quellpfad> /t:<Ziellaufwerk>

Antwortdatei

Dateiname (ev. mit Pfad) der Antwortdatei

Quellpfad

Pfad zu den Quelldateien

Ziellaufwerk

Ziellaufwerk auf das W2K installiert werden soll (optional)

Parameter von winnt32

winnt32 [/s:Quellpfad] [/tempdrive:Laufwerk] [/unattend[Sekunden]:[Antwortdatei]] [/copydir:Verzeichnisname] [/copysource:Verzeichnisname] [/cmd:Befehlszeile] [/debug[Ebene]:[Dateiname]] [/udf:ID[,UDF-Datei]] [/syspart:Laufwerk] [/checkupgradeonly] [/cmdcons] [/m:Verzeichnisname] [makelocalsource] [/noreboot]

/s:Quellpfad

Gibt den Quellort der Windows 2000-Dateien an. Um gleichzeitig Dateien von mehreren Servern zu kopieren, geben Sie mehrere /s-Quellen an. Wenn Sie mehrere /s-Optionen verwenden, muss der erste angegebene Server verfügbar sein. Andernfalls schlägt Setup fehl.

/tempdrive:Laufwerk

Weist Setup an, temporäre Dateien auf der angegebenen Partition zu speichern und Windows 2000 auf dieser Partition zu installieren.

/unattend

Aktualisiert frühere Versionen von Windows 2000, Windows NT 4.0, Windows 3.51, Windows 95 oder Windows 98 im Setupmodus ohne Beaufsichtigung. Sämtliche Benutzereinstellungen werden von der vorherigen Installation übernommen, so dass Setup ohne Benutzereingriff ausgeführt werden kann.

Mit der Option /unattend zur Automatisierung von Setup bestätigen Sie, dass Sie den Microsoft-Lizenzvertrag für Windows 2000 gelesen haben und sich mit diesem einverstanden erklären. Bevor Sie Windows 2000 mit dieser Option für eine andere Organisation als Ihre eigene installieren, müssen Sie sicherstellen, dass der Endbenutzer (entweder eine Einzelperson oder eine juristische Person) die im Microsoft-Lizenzvertrag für Windows 2000 festgelegten Bedingungen erhalten, gelesen und akzeptiert hat. OEMs dürfen diesen Schlüssel nicht auf Computern angeben, die an Endbenutzer verkauft werden.

/unattend[Sekunden]:[Antwortdatei]

Führt eine Neuinstallation im Setupmodus ohne Beaufsichtigung durch. Die Antwortdatei übergibt Ihre Spezifikationen an das Installationsprogramm.

Sekunden ist die Anzahl der Sekunden zwischen dem Zeitpunkt, zu dem Setup das Kopieren der Dateien beendet hat, und dem Neustart des Computers. Sie können Sekunden auf jedem Computer verwenden, der Windows NT oder Windows 2000 ausführt.

Antwortdatei ist der Name der Antwortdatei.

/copydir:Verzeichnisname

Erstellt eine zusätzlichen Verzeichnis innerhalb des Verzeichnisses, in dem die Windows 2000-Dateien installiert werden. Wenn z. B. der Quellverzeichis ein Verzeichnis namens Eigene_Treiber enthält, der Änderungen nur für Ihren Standort umfasst, können Sie /copydir Eigene_Treiber eingeben, damit Setup diesen Verzeichnis in Ihren Windows 2000-Installationsverzeichnis kopiert, wobei das neue Verzeichnis C:/Winnt/Eigene_Treiber lautet. Sie können /copydir zum Erstellen beliebig vieler zusätzlicher Verzeichnisse verwenden.

/copysource:Ordnername

Erstellt einen zusätzlichen temporären Ordner innerhalb des Ordners, in dem die Windows 2000-Dateien installiert sind. Wenn z. B. der Quellordner einen Ordner namens Eigene_Treiber enthält, der Änderungen nur für Ihren Standort umfasst, können Sie /copysource Eigene_Treiber eingeben, damit Setup diesen Ordner in Ihren Windows 2000-Installationsordner kopiert und die darin enthaltenen Dateien beim Setup verwendet, wobei das temporäre Ordnerverzeichnis C:/Winnt/Eigene_Treiber lautet. Im Gegensatz zu den von /copydir erstellten Ordnern werden /copysource-Ordner nach Abschluss von Setup gelöscht.

/cmd:Befehlszeile

Weist Setup an, vor der Schlussphase von Setup einen bestimmten Befehl auszuführen. Dieser Zeitpunkt liegt nach dem zweimaligen Neustarten des Computers und nachdem Setup die erforderlichen Konfigurationsdaten gesammelt hat, jedoch vor Abschluss von Setup. Anstelle eines einzelnen Befehls kann hier auch der Pfad zur Datei cmdlines.txt angegeben werden, in der die auszuführenden Befehle aufgelistet sind.

/debug[Ebene]:[Dateiname]

Erstellt ein Fehlersuchprotokoll auf der angegebenen Ebene, z. B. /debug4:C:/Win2000.log. Die Standardprotokolldatei ist C:/%Windir%/Winnt32.log mit der Debugebene 2. Die Protokollebenen sind wie folgt definiert: 0: Schwere Fehler; 1: Fehler; 2: Warnungen; 3: Informationen; 4: Detaillierte Informationen zur Fehlersuche. Jede Ebene beinhaltet jeweils die darunter befindlichen Ebenen.

/udf:ID[,UDB-Datei]

Gibt einen Bezeichner (ID) an, den Setup verwendet, um anzugeben, wie eine Uniqueness Database (UDB)-Datei eine Antwortdatei ändert (siehe unter /unattend). Der Parameter /udf überschreibt Werte in der Antwortdatei, und der Bezeichner bestimmt, welche Werte in der UDB-Datei verwendet werden. So überschreibt z. B. /udf:RAS_Benutzer,Unsere_Firma.udb Einstellungen, die für den Bezeichner RAS_Benutzer in der Datei Unsere_Firma.udb angegeben sind. Ohne Angabe von UDB-Datei fordert Setup den Benutzer auf, eine Diskette einzulegen, die die Datei $Unique$.udb enthält.

/syspart:Laufwerk

Gibt an, dass Sie Setup-Startdateien auf eine Festplatte kopieren, die Festplatte als aktiv kennzeichnen und sie dann in einen anderen Computer einbauen können. Wenn Sie diesen Computer booten, startet er automatisch mit der nächsten Phase von Setup. Sie müssen den Parameter /tempdrive immer zusammen mit dem Parameter /syspart verwenden.

/checkupgradeonly

Überprüft, ob der Computer für die Aktualisierung auf Windows 2000 kompatibel ist. Für die Aktualisierung von Windows 95 oder Windows 98 erstellt Setup im Windows-Installationsordner eine Berichtdatei mit dem Namen Upgrade.txt. Für die Aktualisierung von Windows NT 3.51 oder 4.0 speichert Setup diesen Bericht in Winnt32.log im Installationsordner.

/cmdcons

Fügt dem Bildschirm für die Betriebssystemauswahl die Option Wiederherstellungskonsole zum Reparieren einer fehlgeschlagenen Installation hinzu. Diese wird nur im Anschluss an Setup verwendet.

/m:Ordnername

Gibt an, dass Setup Ersatzdateien von einer alternativen Quelle kopiert. Weist Setup an, zuerst an der alternativen Quelle zu suchen. Wenn dort Dateien vorhanden sind, werden diese anstelle der Dateien auf dem Standardpfad verwendet.

/makelocalsource

Weist Setup an, alle Installationsquelldateien auf Ihre lokale Festplatte zu kopieren. Verwenden Sie /makelocalsource beim Installieren von einer CD, um Installationsdateien auch dann zur Verfügung zu haben, wenn die CD im weiteren Installationsverlauf nicht mehr verfügbar ist.

/noreboot

Weist Setup an, den Computer nicht neu zu starten, nachdem winnt32 die Dateikopierphase abgeschlossen hat, damit Sie einen anderen Befehl ausführen können.

Konvertieren in NTFS

Falls ein Laufwerk mit dem FAT Filesystem formatiert wurde kann es nachträglich auf NTFS konvertiert werden. Hierzu wird der Befehl convert genutzt. Falls das Systemlaufwerk konvertiert werden soll, muß der Rechner noch einmal neu gestartet werden. Die Syntax des Befehls lautet:

CONVERT Datenträger /FS:NTFS [/V]

Datenträger  Gibt den Laufwerkbuchstaben (gefolgt von einem Doppelpunkt), den
             Bereitstellungspunkt oder den Datenträgernamen an.
/FS:NTFS     Gibt den Datenträger an, der in das NTFS-Format konvertiert
             werden soll.
/V           Ausführliches Anzeigeformat bei der Ausführung von CONVERT.

Die Konvertierung des Laufwerks erfolgt z.B. mit:
convert c: /FS:NTFS

Bootdiskette mit Netzwerkzugriff

Eine rudimentäre bootfähige Diskette kann mit den Befehlen format oder sys erstellt werden:

• format a: /s /u
• sys a:

Eine Bootdiskette für den Netzwerkzugriff kann unter Novell oder NT4 erfolgen. Hier wird das Zusammenstellen der Treiber durch Installation der Netzwerk Clientsoftware erfolgen. Hier werden die protokollspezifischen Treiber auf die Diskette kopiert. Die Treiber für die Netzwerkkarte werden dann manuell auf die Diskette kopiert, und die Bootdiskette entsprechend angepaßt.

datei.dos

Kartenspezifischer Treiber, der auf die Diskette kopiert wird.

protocol.ini

Muß systemspezifisch angepaßt werden. Die Beschreibung hierfür findet sich in der Regel im Verzeichnis für den DOS NIC-Treiber.

system.ini

Wird zum Laden des Treibers angepaßt.

format (Parameter)

    format  
    /s      Systemdateien mitkopieren (wie sys a:)
    /u
    /q      Quickformat

Dienste

Serverdienst

Der Serverdienst ist für Datei- und Druckeranfragen aus dem Netz zuständig. Der Arbietsstationsdienst ist für die lokalen Datei- und Druckeranfragen zuständig.

Begriffsbestimmungen und Abkürzungen

Account/Logon Event

Ein Logon Event ist ein Ereignis, daß auftritt, wenn über das Netzwerk auf freigegebene Ressourcen zugegriffen wird. Dieses Ereignis kann mitprotokolliert werden. Ein Account Event ist dagegen ein Ereignis, daß auftritt wenn sich jemand an einem Benutzeraccount anmeldet.

Acitve Directory

Das Active Directory ist auf jedem Domänencontroller lokal in einer Datei abgespeichert (ntds/ntds.dit). Änderungen am Directory werden zuerst lokal gespeichert und dann auf die anderen Rechner verteilt. Jede Domäne hat ein eigenes AD (Active Directory).

ACE

Ein Access Control Entry (deutsch Berechtigungseintrag) ist ein Eintrag in der Systemdatenbank, in dem Informationen gespeichert werden, für welchen Sicherheitsprincipal (z.B. einen Benutzer) Zugriffsrechte gewährt oder verweigert werden, oder welche Zugriffsereignisse überwacht werden sollen. Die ACEs eines Objektes werden zu einer geordneten Liste - der ACL - zusammengefaßt.
Siehe auch 27.0.5

ACL

Die Access Control List (deusch Zugriffkontrolliste) legt die Berechtigugnen für jedes Objekt fest. Die Sicherheitsbeschreibung eines Objektes besteht genau genommen aus einer ACL für die Benutzer und Gruppen denen ein Zugriff gewährt wird (DACL 27.0.16), sowie aus einer ACL in der vermerkt ist, welche Zugriffe auf das zugehörige Objekt überwacht werden sollen (SACL 27.0.56).
Siehe auch 27.0.4

ACPI

Advanced Configuration and Power Interface
Von Microsoft, Intel und Toshiba erstellte Spezifikation zur Beschreibung definierter Schnittstellen zur Hardware um die Steuerung von Plug-and-Play und Powermanagement zu vereinheitlichen. Das Betriebsystem und die Hardware können hierüber systemnahe Konfigurationsinformationen austauschen.

ADSI

Active Directory Services Interface

AGLP

Access Global Group Local Group Permissions

ALP

Accounts Access Local Group Permissions

ARC

Advanced Risc Computing (s.a. 26.3)

APM

Advanced Power Management

Dialogbox Ausführen (Run)

Im Startmenü befindet sich die Dialogbox Ausführen (Run) mit der ein Programm, insbesondere ein Konsolenprogramm direkt aufgerufen werden kann. Allerdings ist hier zu beachten, daß interne Befehle des Kommandozeileninterpreters (cmd.exe) nicht direkt aufgerufen werden können, sondern nur indem dieser explizit mit dem Schalter /c und dem internen Befehl gestartet wird, wie z.B.: cmd /c start /low httpd.exe.

Backup Domänencontroller (BDC)

Der Backup Domänencontroller ist ein Konstrukt der NT 3.x/4 Domänenstruktur. Er dient dazu, eine Kopie der Verzeichnisdatenbank mit allen Domäneneinstellungen zu halten. An dieser Maschiene können keine Eistellungen hinsichtlich der Domäne vorgenommen werden. Dieses darf nur auf dem primären Domänencontroller durchgeführt werden. Der BDC gleicht sich in regelmäßigen Abständen automatisch mit dem primären Domänencontroler ab. Um einen BDC zu einem PDC hochzustufen, muß der PDC entfernt werden und der BDC dann hochgestuft werden. Ein einfacher Memberserver kann nur durch Neuinstallation mit entsprechender Konfiguration bei der Installation zu einem BDC/PDC hochgestuft werden.

Benutzerprofile

Die Benutzerprofile sind in der Datei ntuser.dat unter Dokumente und Einstellungen je nach User abgelegt. Das Profil wird erst geschrieben nachdem sich der User an- und wieder abgemeldet hat. Falls diese Datei in ntuser.man umbenannt wird, kann der User sein Profil nicht mehr ändern.

CN

Der CN ist der Name für ein Objekt, das keine Organsiationseinheit (OU) und auch keine Domänenkomponente (DC) ist. Letztendlich kennzeichnet er das Objekt innerhalb der OU eindeutig.

DACL

Die Discretional Access Control List gibt die Benutzer und Gruppen an, denen der Zugriff auf das gehörige Objekt gewährt oder verweigert wird.
Siehe auch ACL 27.0.5

Daemon

Unter Un*x-System Bezeichnung für Programm, welches im Hintergrund laufend als Severdienst fungiert.

DC

Eine DC ist einen Komponente eines FQDM wie z.B. com oder de.

DDF

Data Decryption Field
Feld im Vorspann einer Datei im NT-Filesystem, in dem die Schlüssel hinterlegt werden (s.a. 4.2.2).

displayName

Der displayName ist der Name, der in das Feld ``vollständiger Name'' auf dem Blatt Neues Objekt - User eingegeben wurde, bzw. unter der Eigenschaft ``Anzeigename'' für ein Objekt angezeigt wird.

DRF

Data Recovery Field
Feld im Vorspann einer Datei im NT-Filesystem, in dem die Schlüssel für die Datenwiederherstellung hinterlegt werden (s.a. 4.2.2).

DN

Der Distinguished Name gibt den Pfad zum Benutzerkonto im Verzeichnis an.

DNS

Domain Name System, Achtung! Ein DNS-Name darf keinen Unterstrich enthalten.

DNS

Desoxiribonukleinsäure, auch DNA (Desoxyribonucleinacid)

DHCP

Dynamic Host Configuration Protocol

Mit Hilfe eines DHCP-Servers werden IP Adressen automatisch im Netzwerk verteilt. Ein Client, der eine Adresse anfordert schickt beim Systemstart ein Paktet mit der Absenderadresse 0.0.0.0 an die Adresse 255.255.255.255. Die Adresse 255.255.255.255 ist in jedem Netzwerksegment eine Broadcastadresse, die von jeder Maschine im IP-Netz empfangen wird. Ein DHCP-Server der eine solche Anfrage empfängt, teilt diesem Client eine IP-Adresse zu. Daneben werden dem Client noch die Adresse des Defaultgateway und eventuell die WINS-Serveradresse (bei Windows-DHCP-Servern) mitgeteilt.

Falls die automatische Adresszuweisung in einem grouteten Netz erfolgen soll, stellt sich das Problem, daß die Router Broadcasts nicht in eine anderes Netzwerksegment übermitteln. Um die per Broadcast erfolgenden DHCP-Anfragen an einen Router in einem anderen Subnetz weiterzuleiten, müssen die zwischengeschalteten Router so konfiguriert werden können, daß sie die Anfragen der DHCP-Clients routen (RFC 1542). In einem größeren Netzwerk mit vielen Segmenten würde diese Lösung allerdings einen erhebliche Netzlast in jedem Segment erzeugen. Aus diesem Grunde wird hier oft ein DHCP Relay Agent eingesetzt. Dieser ist in jedem Subnetz installiert, in dem sich DCHP-Clients befinden. Er nimmt einen Broadcast eines Clients entgegen und sendet ihn per Unicast direkt an den DHCP-Server. Dieser erkennt, daß die Anfrage über einen Relay Agent erfolgte und sendet die Antwort wiederum direkt an den Agent, der sie an den DHCP-Client weiterleitet.

DHCP-Optionen

Das DHCP Protokoll bietet die Möglichkeit verschiedenste Informationen an den Client zu übermitteln. Die zu übermittelndne Optionen können auf dem DHCP-Server global oder für einen Adressbereich zugewiesen werden. Auch hier besitzen letztendlich die für eine Adresse oder einen Adressbereich festgelegten Optionen Vorrang vor denen, die global definiert wurden. Die Standard- Optionen sind im RFC 2132 aufgeführt. Sie können noch durch Herstellerspezifische Optionen ergänzt werden. In Windows Systemen werden häufig genutzt:

Subnet-Mask

Subnetzmaske des DHCP-Clients,

Router

IP-Adresse von einem oder mehreren Routern, die als Gateway für den Client fungieren,

DNS-Server

IP-Adressen der zu benutzendne DNS-Server,

Domain-Name

Domain-Name des DHCP-Clients,

WINS/NBNS-Server

IP-Adressen von zu nutzenden WINS/NetBIOS- Nameservern,

WINS/NetBT-Knotentyp

NetBIOS-Knotentyp für NetBIOS over TCP/IP,

NetBIOS Scope ID

NetBIOS over TCP/IP Scope-ID

EAP

Das Extended Authentification Protocol ist eine Erweiterung des Point-to-Point Protokolls (PPP). Es erlaubt Clients mit RAS-Verbindungen eine (verschlüsselte) Authentifikation. Das Protokoll ist in RFC 2284 definiert.

einheitlicher Modus

Eine Domäne, die sich im einheitlichen Modus (native mode) befindet, kann nur W2K Domänencontroler enthalten. Falls sich in der Domäne noch NT4 (Backup-)Domänencontroller befinden, muß die Domäne im gemischten Modus (mixed-mode) betrieben werden. Eine Domäne kann jeder Zeit in den einheitlichen Modus überführt werden, allerdings ist ein zurückführen in den gemischten Modus dann nicht mehr möglich.

EFS

Encrypted File System (s.a. 4.2.2)

Gatewayservices

Die Gatewayservices (GSNW Gateway (and Client) Services for NetWare) ermöglichen es einen W2K Server so zu konfigurieren, daß er als Gateway zwischen den NetWare Servern und den Windows Clients fungiert. Mit dieser Konfiguration benötigen die Clients keinen NW Client für den Zugriff auf die NetWare Ressourcen. Der Zugriff läuft immer über den W2K Server. Allerdings müssen die User, die mit Hilfe der Gatewayservices auf den NW-Server zugreifen sollen, zur Gruppe NTGATEWAY gehören. Dieses beinhaltet den Nachteil, daß keine differenzierte Rechteverwaltung der Novell-Seite möglich ist. Falls die Netware Server noch mit SPX/IPX kommunizieren, muß auf dem W2K Server zusätzlich noch NWLink, die MS Implementierung des SPX/IPX Protokollstacks, installiert werden. Zusätzlich wird noch die Installation von NetBIOS over NWLink empfohlen, um die Server direkt mit ihren Computername ansprechen zu können.

Die Gateway-Services für Novell benötigen auf jeden Fall das NWLink Protokoll, auch wenn der NetWare Server mit Hilfe von TCP/IP kommuniziert.

globaler Katalog

Im globalen Katalog sind alle Ressourcen und User des gesamten Forrest mit ihrer Domänenzugehörigkeit aufgeführt. Zugleich enthält er die Zugriffsberechtigungen der Objekte. Er stellt so etwas wie eine Index-Relation der Datenbank dar. Er ist in erster Linie dafür zuständig ein bestimmtes Objekt eindeutig lokalisieren zu können. Der erste installierte Domänencontroller ist der per Standard der Katalogserver. Es können jedoch noch weitere Domänencontroller zu Katalogservern erklärt werden.

GPO

Group Policy Object, Gruppenrichtlinienobjekt

HCL

Hardware Compatibility List

Hot Swap

W2K ist in der Lage mit externen, Hot Swap fähigen Geräten zu arbeiten. Dieses sind in der Regel externe Geräte, die dem System im laufenden Betrieb hinzugefügt oder entfernt werden können. Werden Hot Swap Festplattenlaufwerke genutzt, sollten diese im Hot Swap Betrieb neu eingelesen werden, um sicherzustellen, daß die internen Puffer auf dem aktuellen Stand sind. Dieses erfolgt mit dem Menüpunkt Festplatten neu einlesen (Rescan Disks) in der Computerverwaltungskonsole.

IIS

Internet Information Server, MS- Webserver, vergleichbar mit dem Apache httpd Server.

Internet Connection Sharing (ICS)

Als Internet Connection Sharing wird die Möglichkeit bezeichnet, ein an einem lokalen Rechner angeschlossenes Modem (oder ISDN-Karte) im Netzwerk anderen Rechnern zur Verfügung zu stellen.

IP-Adresszuweisung

Falls der Rechner keine IP-Adresse zugewiesen bekommen hat, stellt er selbstständig eine Adresse im Adressraum 169.254.xxx.xxx ein.

IPSec

Zur Sicherung der Datenauthentizität (Erkennen von Änderungen, Verhindern von Änderungen) auf dem Transportweg, sowie zur Verschlüsselung von Daten auf dem Transportweg bietet sich die Nutzung von IPSec an. IPSec sitzt auf der IP-Schicht des Protokollstapels und arbeitet für die darüberliegenden Protokollschichten vollkommen transparent. Zur Nutzung von IPSec müssen die darüberliegenden Anwendungen also nicht speziell angepaßt werden (wie dieses z.B. bei SSL notwendig ist).

Mit Hilfe von IPSec kann ein gesicherter Tunnel zwischen zwei Rechnern aufgebaut werden. Hier können sich die an der Übertragung beteiligten Partner gegenseitig authentifizieren (AH Authentication Header). Die Verbindung kann darüber hinaus die Authentizität der übermittelten Datenpakete gewährleisten, und bietet eine Verschlüsselung der Daten auf dem Übertragungsweg an (EPS Encapsulating Security Payloads).

Die Konfiguration eines sicheren Tunnels kann auf zwei verschiedene Arten durchgeführt werden.

L2TP/IPSec

Das Layer Two Tunneling Protocol ist wie der Name schon sagt auf der zweiten Netzwerkschicht ansetzendes Protokoll zum Aufbau einer Punkt-zu-Punkt Verbindung über ein Netzwerk. L2TP ist in RFC 2661 beschrieben und geht auf letztendlich auf ein Protokoll der Firma Cisco zurück. Die Verschlüsselung der Daten erfolgt hier mittels IPSec.

Liegt auf der Verbindungsschicht und kann daher unterhalb beliebiger Transportprotokollen wie IP oder Frame Relay genutzt werden. Die einzige Voraussetzung für den Einsatz von L2TP ist daß die in den Schichten unterhalb von L2TP liegenden Protokolle paketorientierten Punkt-zu-Punkt- Netzwerkverkehr ermöglichen. Hierfür müssen entweder spezielle Router eingesetzt werden, die zu L2TP kompatibel sind, oder es muß eine Einwahlverbindung aufgebaut werden.(?) L2TP bietet selbst eine optionale Header-Komprimierung an.

Beim Aufbau eines VPN mit L2TP/IPSec wird der Tunnel direkt zwischen den beiden Endpunkten der Kommunikation aufgebaut, so daß an dieser Stelle auch eine Benutzerauthentifizierung erfolgen kann.

IPSec Tunnelmodus

Im IPSec Tunnelmodus wird eine Punkt-zu-Punkt Verbindung auf IP-Ebene aufgebaut. Hier werden die Daten mit Hilfe von ESP (Encapsulated Security Payloads) verschlüsselt. Ein IPSec- Tunnel kann zwischen zwei beliebigen Servermaschinen aufgebaut werden und hier an bestimmte TCP- Ports gebunden werden. Somit läßt sich ein transparenter VPN Tunnel über ein unsicheres Netzwerk aufbauen.

Der IPSec Tunnelmodus ermöglicht eine Authentifizierung der beiden an der Kommunikation beteiligten Rechner an. Eine gegenseitige Authentifizierung der Benutzer ist hier nicht möglich.

Kerberos

Von Windows 2000 per default genutztes Authentifizierungsprotokoll im Netzwerk. Der Kerberos Authentifizierungsmechanismus arbeitet mit verschlüsselten Sitztungsschlüsseln, mit deren Hilfe sich der jeweilige Client gegenüber dem einzelnen Serverdienst authentifiziert. Zwischen Client und Server wird ein sogenanntes Schlüsselverteilungscenter (Key Distribution Center KDC) installiert, welches einen verschlüsselten Schlüssel für die jeweilige Sitzung erstellt und dem Client und Server gleichermaßen vertrauen.

KDC (Key Distribution Center)

Ein KDC ist ein Schlüsselverteilungscenter für die Kerberos-Authentifizierung. Von diesem wird das Sitzungsticket ausgestellt. Unter W2K dient der Domänencontroller als KDC.

LDAP

Lightweight Directory Access Protocol

LPD

Line Printer Daemon
Druckservice auf UN*X Systemen.

MTBF

Mean Time Between Failure, durchschnittliche Betriebszeit (in h) bis ein Gerät ausfällt.

NAT

Die Technik des Network Address Translation (NAT) bietet die Möglichkeit, die IP-Adressen eines Teilnetzes auf einer einzigen anderen IP-Adresse abzubilden. Hiermit läßt sich z.B. ein privates Netzwerk an das Internet anschließen, wobei die Rechner im privaten Netzwerk mit IP-Adressen aus den privaten Adressbereichen arbeiten können. NAT funktioniert so, daß die Kombinationen interne IP-Adresse / Sendeport auf einem Port des NAT-Rechners abgebildet werden, der dann eine Verbindung mit dem entfernten Host aufnimmt. Ein NAT-Rechner wird auch als transparenter Proxy bezeichnet. (?)

NAT kann als Dynamic NAT arbeiten, bei der eine n:1 Zuordnung zwischen den privaten IP-Adressen (n) und der offizell zugeteilten IP-Adresse (1) erfolgt. Gleichfalls kann eine n:m Zuordnung erfolgen (Static NAT), bei der die Adressen des internen Netzes auf mehreren offiziellen Adressen abgebildet werden.

NWLink

NWLink muß auf den Clients für die Nutzung von Novell-Diensten in MS-Netzwerken installiert werden. Nwlink unterstützt Schnittstellen zu Socket und zu NetBIOS. Hier werden die Systemaufrufe von Windows in entsprechende Aufrufe der Novell Netzwerk API umgesetzt.

Für die Nutzung in IPX-Netzwerken muß noch das IPX-Protokoll installiert werden und an die Netzwerkkarte gebunden werden.

organisatorische Einheiten

Die Domänenstruktur kann zusätzlich mit Hilfe von organisatorischen Einheiten unterteilt werden. Die Strukturierung sollte möglichst die Firmenstruktur abbilden. Hierdurch wird die Domänenstruktur für den User vollkommen transparent.

Innerhalb der einzelnen OU können die Ressourcen abgebildet werden.

OS

Operating System (Betriebsystem)

OSPF

Das Open Shortest Path First (OSPF) Protokoll ist eines der Protokolle, die das dynamische Routing unter IP ermöglichen (s.a. 27.0.54). Hier tauscht der jeweilige Router mit benachbarten Routern Informationen über den Status seiner Verbindungen zu anderen Netzen aus. Sobald sich die Routen eines Routers ändern, werden diese Informationen an die benachbarten Router weitergegeben. Dieses Protokoll ist also gut geeignet, wenn die Routingtabellen in kleineren Netzen mit möglichst geringer Verzögerung aktualisert werden sollen, wie es z.B. bei einem Router mit einer Dial-up Verbindung notwendig ist. Für Dial-on-Demand Verbindungen wird das OSPF Protokoll unter W2K allerdings nur unterstützt, wenn diese Verbindungen persistent gehalten werden, also immer nur eine Verbindung zum gleichen Subnetz aufgebaut wird. Das OSFP-Protokoll ist im RFC 2328 beschrieben. Es ist vor allem zum Einsatz in großen Netzwerken geeignet.

PPTP

Das Point-to-Point Tunneling Protocol bietet die Möglichkeit der Verschlüsselung einer Verbindung auf der PPP-Ebene. Es setzt im Gegensatz zu L2TP (siehe auch 27.0.36) IP als Netzwerkprotkoll voraus und bietet keinerlei Möglichkeit der gegenseitigen Authentifizierung. PPTP bietet die Möglichkeit, einen Tunnel zu Maschinen aufzubauen, die temporär per NAT an das Netz angeschlossen sind.

Falls eine VPN- Verbindung (s. 27.0.68) Router passieren soll, die kein L2TP unterstützen, oder ein verschlüsselter Kanal zu Rechnern mit Windows NT 4.0 oder Windows 98 aufgebaut werden soll ist die Nutzung von PPTP zwingend erforderlich. Die älteren Microsoft Betriebssysteme unterstützen kein IPSec.

Principalname

Der Pricipalname (Prinzipalname) ist volle Name eines Users in Form einer SMTP Adresse, wie z.B. adminstrator@bog.local.

PXE

Pre Boot Execution Environment z. Booten über das Netzwerk

PWS

Peer Web Server, Webserver für kleiner Intranets

Quotas

Mit Hilfe der Disk-Quotas läßt sich die maximal zu speichernde Datenmenge pro Benutzer und pro Volume(?)/Partition einstellen. Zu beachten ist hier, daß zur Berechnung der Quotas die unkomprimierte Größe einer Datei herangezogen wird. Eine Komprimierung auf Filesystemebene ermöglicht also keine größere zu speichernde Datenmenge (s.a. 4.2.1). Ebenso werden die Dateien des Benutzers im ``Papierkorb'' (Recycle Bin) mit zur Berechnung herangezogen, so daß bei Überschreiten der Quotas zuerst einmal der Papierkorb geleert werden sollte.

RDP

Remote Desktop Protocol

RIP

Das Routing Information Protocol (RIP) ist ein Protokoll um das dynamische Routing zu ermöglichen. Hier sendet jeder RIP- Router in regelmäßigen Abständen (30 Sekunden, eventuell auch wenn eine Änderung vorliegt), Informationen darüber welche Netzwerke über ihn erreichbar sind, an andere Router. Mit Hilfe dieser Technik wird ein relaiv zuverlässiges Routing ermöglicht, da die Informationen vor allen in kleinen Netzen ziemlich schnell im ganzen Netz aktualisiert werden. RIP liegt in zwei Versionen vor, die sich u.a. in der Technik des Informationsaustausches unterscheiden. RIPv1 arbeitet zur Weitergabe seiner Routing-Informationen mit Broadcasts, was in größeren Netzen eine nicht unerhebliche Netzlast erzeugt, hier also nicht unbedingt geeignet ist. RIPv2 dagegen spricht die anderen Router direkt per Mulitcast an. Allerdings wird bei größeren Netzen auch hier eine gewisse Netzlast erzeugt, da eine größere Anzahl von Routern erreicht werden muß.

Die RIP Protokolle sind vor allem in kleineren Netzen und für nicht persistente Dial-Up Verbindungen gut geeignet, da die Informationen gezielt ausgetauscht werden. RIP sollte nicht eingesetzt werden, wenn die Routingeinträge möglichst zeitnah aktuell gehalten werden müssen, da die Informationen eine gewisse Zeit benötigen, bis sie repliziert werden.

RPC

Remote Procedure Call

SACL

Die System Access Control List gibt an, welche Zugriffe auf das zugehörige Objekt überwacht werden sollen.
Sihe auch ACL 27.0.5

samAccountName

Der samAccountName ist der Benuzteranmeldename, wie er unter Windows NT 3.5x/4.0 genutzt wurde. Es ist also der UPN (s.a. 27.0.64) ohne das Suffix nach dem ``@''

SID

Security Identifier
Ein Security Identifier ist eine interne Kennung für ein Objket (z.B. Benutzer, Gruppe, ...). Er kennzeichnet ein Objekt eindeutig. Wird das zuehörige Objekt gelöscht, wird auch der SID unwiederruflich entfernt.

SMB

Server Message Block

SMS

System Management Server

start (interner Befehl)

Der interne Befehl start startet ein Programm in einem neuen Fenster. Für dieses Programm kann z.B. der Titel oder die Prozeßpriorität (z.B.: /NORMAL, /HIGH, /REALTIME) eingestellt werden. Der Befehl wird häufig in Batch-Scripten benutzt, um ein Programm im Hintergrund auszführen, so daß nicht auf die Beendigung des Programmes gewartet werden soll.

UNC

Universal Naming Convention

URL

Uniform Ressource Locator (z.B. http://www.servername.com)

UPN (userPrincipalName)

Der User Principal Name (UPN) ist der Anmeldename, der für die Anmeldung am Windows 2000 Netzwerk verwendet werden kann. Ein UPN besteht aus einem Präfix und einem Suffix, die durch das @ Symbol getrennt werden. Das Präfix ist der Benutzername während das Suffix die Stammdomäne dieses Benutzers ist (Bsp.: foo@bar.baz.com). Die Anmeldung kann nun erfolgen, ohne daß im entsprechenden Feld eine Domäne angegeben wird. Bei Eingabe eines ``@'' im Feld ``Benutzername'' des Anmeldefensters wird das Feld ``Domäne'' automatisch abgeblendet und für Eingaben gesperrt. Der UPN ist im gesamten AD eindeutig; er ändert sich nicht wenn ein Benutzerkonto in eine andere Domäne verschoben wird. Aufgrund des speziellen Formates kann sich ein User mit seiner Email-Adresse am Netzwerk anmelden.

userAccountControl

Mitm dem userAccountControl werden die Eigenschaften eines Benutzerkontos eingestellt. Für den Import einer ASCII-Datei mit Einstellungen wird hier z.B. der Wert 512 für ein aktiviertes Konto, 514 für ein deaktiviertes Konto eingestellt.

Verwaltungsprogramme

Um auf einer W2K Workstation die Verwaltung der Domäne durchführen zu können werden hier die Verwaltungsprogramme (Start/Programme/Verwaltung) benötigt. Diese Programme werden von der Installations-CD von I386/Adminpak.msi installiert.

Vertrauensstellungen!transitive

Die Domänenstruktur unter W2K sieht transitive Vertrauensstellungen vor. Transitive Vertrauensstellungen gelten implizit (oder indirekt) zwischen einzelnen Domäenen, so daß alle Domänen in einer Struktur einander vertrauen, ohne daß explizit für jedes Paar eine Vertrauensstellung eingerichtet werden muß.

Virtual Private Network (VPN)

Ein Virtal Private Network ist eine verschlüsselte Verbindung zwischen zwei Hosts oder Netzwerken über einen unsicheren Kanal, wie z.B. das Internet. Unter W2K wird der verschlüsselte Tunnel mit den Protokoll PPTP (Point to Point Tunnelin Protocol) oder mit L2TP (Layer Two Tunneling Protocol) aufgebaut. Diese Protokolle werden automatisch installiert, falls bei der Installation von RRAS VPN-Ports erstellt werden sollen.

Windows Update

Mit Hilfe der Website von Windows Update kann das System dahingehend überprüft werden, ob Treiber, aktuelle Patches oder andere Komponenten aktualisiert werden sollten.

WINS

Windows Internet Naming Service
Wins ordnet IP-Adressen NetBIOS Namen zu.

WINS-Proxy

Ein Wins-Proxy wird für Clients benötigt, die ihre Namensauflösung nicht über einen Wins-Server durchführen können. Dieses sind Clients, die die Namensauflösung nur über einen Broadcast durchführen können.

---

Fußnoten

... wird^26.1

Die Angaben gelten auch für NT4

---

Nächste Seite: Index Aufwärts: Einführung in Windows 2000 Vorherige Seite: Active Directory   Index

Copyright © 2001 Martin Werthmöller

Der Text darf nicht verändert, allerdings frei kopiert werden falls dieser Copyright-Hinweis erhalten bleibt. Anregungen, Korrekturen und Beiträge zu diesem Dokument sind jederzeit willkommen. Bitte senden Sie diese per Email an: doku@werthmoeller.de