diff --git a/Aufgaben/01 AD Umgebung planen und VMs aufsetzen/Auftrag.md b/Aufgaben/01 AD Umgebung planen und VMs aufsetzen/Auftrag.md new file mode 100644 index 0000000..cd85992 --- /dev/null +++ b/Aufgaben/01 AD Umgebung planen und VMs aufsetzen/Auftrag.md @@ -0,0 +1,160 @@ +# Aufgabe 1 – Planen und VMs vorbereiten + +## Einleitung: + +In diesem Modul bauen Sie Ihre Active Directory-Umgebung schrittweise auf. Das Modul 159 ist modular aufgebaut, sodass Sie selbst bestimmen können, welche Aufgaben und somit auch welche Konfiguration Sie installieren. + +Sie beginnen mit einer sorgfältigen Planung. Füllen Sie dazu die leeren Felder in der [Portfolio-Vorlage](https://gitlab.com/ch-tbz-it/Stud/m159/-/blob/main/01_Instruktionen/M159-Portfolio-Vorlage.docx) aus, damit Ihre Planung abgeschlossen werden kann. + + + +Anbei erhalten Sie einen Überblick über Ihre zukünftige Umgebung. + + + +- Ein bis zwei Standorte + +- Ein bis vier Domänenkontroller (2 DCs an Standort 1 und 2 DCs an Standort 2) + +- Einen «Domain Tree» bestehend aus zwei Domänen (1x Hauptdomäne und 1x Subdomäne) + +- Pro Standort ein Windows 10 Client (Nicht im Bild enthalten) + +![Picture1](../images/01-Picture1.png) + +Die Grafik oben zeigt Ihnen Ihre lokale Installation ohne Azure, wenn Sie zwei Standorte und die Subdomain einrichten. + +Diese Namen in der Grafik sind nur **Beispiele** und müssen von Ihnen neu und individuell definiert werden. + + +## Aufgabe Spezifikationen (1 Punkt) (Portfolio) + +Füllen Sie im Portfolio, Punkt 3 Spezifikationen der Systeme aus. + +Lesen Sie , auf was Sie bei der Wahl Ihres Domänenamen achten, sollten + +Im Modul 159 möchten wir zwei Standorte simulieren. Sie können die Standorte frei wählen, zum Beispiel Zürich und Genf. Jeder Standort hat sein eigenes Subnetz, welches mit einem Router verbunden ist. Ein logisches Beispiel-Netzwerklayout finden Sie unter Punkt 2.2 in den Aufgaben im Repository. + + + +**Hinweis**: Füllen Sie das Portfolio komplett aus, auch wenn Sie später nicht alle Domänen, Maschinen und Standorte nicht installieren bzw. konfigurieren. + + + +## Logische AD/Netzwerklayout (1 Punkt) (Portfolio) + +Erstellen Sie mit Microsoft Visio oder mit [draw.io](draw.io) ein kombiniertes AD- und Netzwerklayout Ihrer kompletten Umgebung. Achten Sie darauf, dass sämtliche Standorte, Domänennamen, Computernamen (FQDN), IP-Adressen, Netzadressen und virtuelle Netzwerke im Layout vorhanden sind. + + + + + +## Aufsetzen der VMs + +Setzen Sie die rohen VMs auf. + +Iso Files können mit dem TBZ-Login unter: https://azureforeducation.microsoft.com/devtools +heruntergeladen werden + + + +## Standardeinstellungen (1 Punkt) (Praktische Überprüfung) + +Folgende Einstellungen müssen Sie auf sämtliches System vornehmen. Auf dem «Windows Core Server» müssen Sie lediglich 1.4.1 und 1.4.2 einstellen. + +> [!TIP] +> +> Im Ordner resources finden Sie verschiedene PowerShell Skripte, mit dem Sie diese Aufgabe beschleunigen können. Dieses Skript wurde einst von einem sehr guten Schüler erstellt, es fehlen aber noch Einstellungen. Kannst Du das PS-File verbessern? Falls ja zeig deine Idee dem Lehrer. + + + + + +### Server (Core / Desktop) + +#### Aktuelle Uhrzeit & Datum + +#### Firewall (Core & Desktop) + +- Ping erlauben + +### Tastaturlayout (Core & Desktop) + +- CH + +### Verstärkte Sicherheitskonfiguration für IE (Desktop) + +- Im Server Manager Ausschalten + +### Netzwerkadapter (Core & Desktop) + +- Deaktivieren Sie TCP/IP V6 + +### Anzeige & Ordneroptionen (Desktop) + +- Deaktivieren «Erweiterungen bei unbekannten Dateitypen ausblenden» + +- Deaktivieren «Freigabeassistenten verwenden» + +- Deaktivieren «Geschützte Systemdateien ausblenden» + +- Erstellen Sie eine Verknüpfung für CMD auf dem Desktop + +- Blenden Sie alle Desktopsymbole ein + +![Picture2](../images/01-Picture2.png) + +### Client + +#### Aktuelle Uhrzeit & Datum + +### Firewall + +- Ping erlauben + + + +### Tastaturlayout + +- CH + +### Netzwerkadapter + +- Deaktivieren Sie TCP/IP V6 + +### Ordneroptionen + +- Deaktivieren «Erweiterungen bei unbekannten Dateitypen ausblenden» + +- Deaktivieren «Freigabeassistenten verwenden» + +- Deaktivieren «Geschützte Systemdateien ausblenden» Erstellen Sie eine Verknüpfung für CMD auf dem Desktop + +- Erstellen Sie eine Verknüpfung für CMD auf dem Desktop + +- Blenden Sie alle Desktopsymbole ein + +### Deaktivieren Sie “UAC” (Unterste Stufe) + + + +## Spezifizierte Konfiguration auf den VMs festlegen (1 Punkt) (Praktische Überprüfung) + +Machen Sie die Einstellungen auf den VMs, welche Sie im Portfolio unter Punkt 1 festgelegt haben. + +Bereiten Sie Ihre Server für das Aufsetzen einer AD-Gesamtstruktur vor. Im Video «Active Directory-Installation vorbereiten.wmv» wird Ihnen gezeigt, was dazu alles gemacht werden muss. +**Hinweis: Ihre DNS-Zone für das AD muss nicht wie im Video gezeigt vorher manuell erstellt werden** + +> [!TIP] +> +> Erstellen Sie nach dieser Aufgabe Backup bzw. Snapshots von Ihren VMs, damit Sie im Falle wieder auf diesen Zustand zurückkehren könnten. + + + + + +# Kontrolle: + + +Zusätzlich muss das Portfolio **Abschnitt 1.1** für die Kontrolle dieser Aufgabe ausgefüllt und im MS Teams in Ihrem persönlichen Kanal abgelegt sein. + diff --git a/Aufgaben/02 Router (pfsense) installieren & konfigurieren/Auftrag.md b/Aufgaben/02 Router (pfsense) installieren & konfigurieren/Auftrag.md new file mode 100644 index 0000000..e477acb --- /dev/null +++ b/Aufgaben/02 Router (pfsense) installieren & konfigurieren/Auftrag.md @@ -0,0 +1,52 @@ +# Aufgabe 2 – «pf sense» installieren und konfigurieren – 1 Punkt +1. ## **ISO-Datei herunterladen** + +- + + +1. ## **Neue virtuelle Maschine erstellen** +- Zwei oder drei Netzwerkadapter (Konfiguration «VMnet» beachten) + + *Zwei Adapter = Wie im Portfolio definiert* + +*Drei Adapter = Ihre Umgebung hat zusätzlich noch ein Internetanschluss* + +- Boot type BIOS (Nicht UEFI) +- 8GB Harddisk +- 1GB Ram + 1. ## **ISO installieren** + + +1. ## **«pf sense» Konfiguration** +- Konfigurieren Sie die IP-Adressen die erste LAN Schnittstelle + +![Picture1](../images/02-Picture01.png) + +- Nun können Sie über das Webinterface zugreifen und weitere Interfaces «assignen» + +user: admin + +pass: pfsense + + +![Picture1](../images/02-Picture02.png) +- Konfigurieren Sie «Regeln» + +![Picture1](../images/02-Picture03.png) +![Picture1](../images/02-Picture04.png) + +1. ## **Firewall Regel kopieren** + Für das erste Interface erstellt «pfsense» automatisch eine «Default allow to any» Regel. Kopieren Sie diese Regel fürs zweite Interface und passen Sie die Schnittstelle und das Netzwerk an. + + +1. ## **Routing testen** +Pingen Sie Server 1 von Server 2 aus und umgekehrt. Falls der ping ankommt, ist das Routing korrekt eingerichtet. + +***Achtung:** Machen Sie ein Backup, Snapshot oder Checkpoint vom Router, wenn er funktioniert.* + + +# **Kontrolle:** +Beim Video muss ersichtlich sein, dass es sich um Ihre Umgebung handelt. + +![Picture1](../images/Kontrolle.png) + diff --git a/Aufgaben/03 Neue Gesamtstruktur/Auftrag.md b/Aufgaben/03 Neue Gesamtstruktur/Auftrag.md new file mode 100644 index 0000000..c0a8165 --- /dev/null +++ b/Aufgaben/03 Neue Gesamtstruktur/Auftrag.md @@ -0,0 +1,54 @@ +# Aufgabe 3: Neue Gesamtstruktur aufsetzen (DC1) (2 Punkte) + + +Unter einer neuen Gesamtstruktur versteht man eine neue Domäne aufsetzen. +Achtung: Weitere DCs werden erst später in die Domäne aufgenommen. + + +### Video zur Aufgabe 3 + +[Einen ersten Domänencontroller installieren](https://gitlab.com/ch-tbz-it/Stud/m159/-/blob/main/02_Unterrichtsressourcen/03_Fachliteratur&Tutorials/Videos.md) + + + +## AD DS-Rolle auf dem DC1 hinzufügen + +- Server Manager Rolle hinzufügen + + + +## DC1 promoten (1 Punkt) + +- Neue Gesamtstruktur + +- Domainname Spezifikationen (a-z, 0-9, ‘-‘) + +- Standardspeicherorte belassen + + + +## DNS (0.5 Punkt) + +- Richten Sie eine DNS-Weiterleitung an 8.8.8.8 (oder alternative Ihrer Wahl) für Ihren ersten DNS-Server ein. + +- Forward-Zone einrichten (Wird beim Promoten eines DC automatisch erstellt) +- Für Jedes Subnetz müssen Sie eine «Reverse-Zone» einrichten +- Wenn Sie Ihren DC in der Forward-Zone finden, machen Sie eine Aktualisierung des PTR-Records, damit der Host auch in der Reverse-Zone zu finden ist. + +- «NS LOOKUP» auf dem Server vorwärts und rückwärts testen + + + +### Diverse AD-Einstellungen (0.5 Punkt) + +- Ändern Sie den Namen des Administrators auf den von Ihnen vorgesehenen Namen ab (0.5 Punkte) +- Aktivieren Sie den AD-Papierkorb + + + + + +# Kontrolle: + + ![Kontrolle](../images/Kontrolle.png) + diff --git a/Aufgaben/04 Client in Domäne einbinden/Auftrag.md b/Aufgaben/04 Client in Domäne einbinden/Auftrag.md new file mode 100644 index 0000000..0af50ce --- /dev/null +++ b/Aufgaben/04 Client in Domäne einbinden/Auftrag.md @@ -0,0 +1,33 @@ +# Aufgabe 4: Client in Domäne einbinden (1 Punkt) (Praktische Überprüfung) + +Damit der Computer im Active Directory verfügbar ist und Active Directory Benutzer sich anmelden können, muss der Client der Domäne hinzugefügt werden. Im Klartext: Der Computer muss ein Objekt im Active Directory werden. +Voraussetzung ist, dass der Domänencontroller und das DNS korrekt installiert sind. Windows 7/10 Home Premium und Basic können keiner Domäne hinzugefügt werden. Hierzu ist Professional, Enterprise, Ultimate oder Education notwendig. + +## 4.1 Updaten Sie auch den «PTR-Record» für Ihre Clients in der DNS Reverse-Zone + +| | | +| ----------- | ----------- | +| Um den Client in die Domäne aufzunehmen unter Systemsteuerung\Alle Systemsteuerungselemente\System im Bereich Einstellungen für Computernamen, Domäne und Arbeitsgruppe den Punkt Einstellungen ändern aufrufen. | ![image01](../images/04-Picture1.png) | +| Im Reiter Computername auf Ändern klicken. | ![image02](../images/04-Picture2.png) | +|Den Name des Computers angeben. Dieser muss eindeutig sein und darf im Active Directory noch nicht vorhanden sein. Unter Domäne die URL der Domäne eintragen. Mit einem Klick auf OK, wird nach dem Domänencontroller gesucht. Wurde der Domänencontroller gefunden, erscheint ein Anmeldefenster.| ![image03](../images/04-Picture3.png) | +|Einen Domänenbenutzer angeben, der über die Rechte verfügt einen Computer der Domäne hinzuzufügen. Standardmäßig haben dieses Recht Domänen-Administratoren.| ![image04](../images/04-Picture4.png) | +| | ![image05](/images/04-Picture5.png) | +|Nach einem Neustart ist der Computer der Domäne hinzugefügt.Domänenbenutzer können sich jetzt am Computer anmelden. Der neu hinzugefügte Domänencomputer befindet sich standardmäßig in der Organisationseinheit Computer.| ![image06](../images/04-Picture6.png) | + + +## 4.2 Wichtig: Merken Sie sich folgenden für das Anmelden in Zukunft + +- .\Logonname -> Anmeldung lokal am Client + +- Computername\Logonname -> Anmeldung lokal am Client + +- Domain\Logonname -> Anmeldung an Domäne über NETBIOS-Name + +- Logonname@Domain -> Anmeldung an Domäne über DNS-Name + +# Kontrolle: + + ![Kontrolle](../images/Kontrolle.png) + + + diff --git a/Aufgaben/05 Active Directory erste Schritte/Auftrag.md b/Aufgaben/05 Active Directory erste Schritte/Auftrag.md new file mode 100644 index 0000000..12d48b5 --- /dev/null +++ b/Aufgaben/05 Active Directory erste Schritte/Auftrag.md @@ -0,0 +1,110 @@ +# Aufgabe 5: Gruppen und Berechtigungen im AD (5 Punkt) + +Für diese Aufgabe müssen Sie wissen, wie man Freigaben und Berechtigungen unter Windows verwendet. Falls Ihnen der Unterschied zwischen Freigabe- und NTFS-Berechtigungen nicht bekannt ist, Fragen Sie Ihre Klassenkameraden oder lesen Sie es im Internet nach. Falls Sie nicht sicher sind, Fragen Sie die Lehrperson. + +> [!TIP] +> +> Im Ordner resources finden Sie verschiedene PowerShell Skripte, mit dem Sie diese Aufgabe beschleunigen können. Dieses Skript wurde einst von einem sehr guten Schüler erstellt, es fehlen aber noch Einstellungen. Kannst Du das PS-File verbessern? Falls ja zeig deine Idee dem Lehrer. + +## User und Gruppen anlegen (1 Punkt) + + + +- Erstellen Sie Ihre Benutzer wie im Portfolio definiert +Falls Sie Probleme mit dem Anlegen der Benutzer haben, weil Ihre Passwörter zu schwach sind, ziehen Sie Aufgabe «9.1 Default Domain Policy - Verändern der Passwortrichtlinien» vor. Falls Sie überfragt sind, kann Ihnen die Lehrperson kurz helfen, da dieses Thema erst später im Modul behandelt wird. + +- Erstellen Sie für jede Abteilung, sowie für intern und extern “globale” Sicherheitsgruppen. Intern und extern werden wie die Abteilungen als normale Sicherheitsgruppenerstellt. Anschliessend fügen Sie alle internen Abteilungen in die Gruppe intern und alle externen Abteilungen in die Gruppe extern. + + - GL (intern) + + - Aussendienst (extern) + + - Sekretariat (intern) + + - Buchhaltung (intern) + + - Promoter (extern) + + - Partner (extern) + + - Informatik (intern) + + - Messemitarbeiter (extern) + +- Fügen Sie die Benutzer in die entsprechenden Gruppen (Siehe Portfolio) + +- Fügen Sie die Abteilungsgruppen in Gruppen intern und extern + +- Testen Sie einige Benutzer, indem Sie sich mit diesem am Windows 10/11 Client anmelden + + +## UNC + +Sie müssen wissen, wie UNC-Pfade aufgebaut sind und verwendet werden können + +- https://de.wikipedia.org/wiki/Uniform_Naming_Convention + +- https://gitlab.com/ch-tbz-it/Stud/m159/-/blob/main/02_Unterrichtsressourcen/04_%C3%9Cbungen/%C3%9Cbung UNC.docx + + + +## Ordner und Freigaben erstellen + ABE aktivieren (2 Punkt) + +- Erstellen Sie die Ordner- und Freigabestruktur wie in der Tabelle aufgeführt + +- Setzen Sie für jede Freigabe die Freigabeberechtigungen für «Jeder» auf «ändern/change» + +- Deaktivieren Sie die Vererbung auf der Freigabe «Daten» und allen Unterordnern + +- Entfernen Sie die Standardgruppe «Domänenbenutzer» + +- Vergeben Sie die NTFS-Berechtigungen aus der Matrix für sämtliche Ordner. + +- Es reicht für die volle Punktzahl, nur die Berechtigungen der grün markierten Zeilen zu erfassen + +![Table](../images/05-Table1.png) + + + +LB = Laufwerksbuchstabe (Wird erst bei Aufgabe 9 für die Netzlaufwerk benötigt) + +R = Read + +C = Change + +"-" = Kein Zugriff + +## Einige Berechtigungen testen + +- Melden Sie sich mit dem Benutzer der Abteilung «Sekretariat» an. Prüfen Sie, ob Sie auf den UNC-Pfad «Buchhaltung» Leserechte haben. + +- Melden Sie sich mit dem Benutzer der Abteilung «GL» an. Prüfen Sie, ob Sie auf den UNC-Pfad «Pool» Schreibrechte haben. + +- Melden Sie sich mit dem Benutzer der Abteilung «Promoter» an. Prüfen Sie, ob Sie auf das Laufwerk «Aussendienst» keine Rechte haben. + +- Machen zwei bis fünf Tests Ihrer Wahl, damit Sie sicher sind, dass alles stimmt. + +## ABE + +- Informieren Sie sich über ABE + +- Aktivieren Sie anschliessend ABE für alle Freigaben + + + +## Erstellen Sie Ihr eigenes "[Group Nesting](https://gitlab.com/ch-tbz-it/Stud/m159/-/blob/main/02_Unterrichtsressourcen/03_Fachliteratur&Tutorials/AGDLP-AGUDLP/Group-Nesting.md?ref_type=heads)" Konzept (2 Punkte) + +- Überlegen Sie sich, wie Sie die vorgegebene Berechtigungsstruktur verbessern können. +- Erstellen Sie eine visualisierte Version der neuen Berechtigungsstruktur mit Rollengruppen & Berechtigungsgruppen basierend auf [AGDLP](https://www.youtube.com/watch?v=zHHzjjqVhTc&t=5s). +- Rekonfigurieren Sie zwei Abteilungen Ihre Umgebung entsprechend der neuen Planung. + +# Kontrolle + +Im Video sollen die Aufgaben 5.4, 5.5 und 5.6 gezeigt und erklärt werden. + + ![Kontrolle](../images/Kontrolle.png) + + + + + diff --git a/Aufgaben/06 DIT design und im AD anlegen/Auftrag.md b/Aufgaben/06 DIT design und im AD anlegen/Auftrag.md new file mode 100644 index 0000000..43463aa --- /dev/null +++ b/Aufgaben/06 DIT design und im AD anlegen/Auftrag.md @@ -0,0 +1,59 @@ +# Aufgabe 6 – Directory Information Tree (2 Punkt) + +Bevor Sie mit der Aufgabe beginnen, lesen Sie das Kapitel «5.2.1 OUs und Gruppenrichtlinien» im Dokument Gruppenrichtlinien-Kapitel5.pdf + + + +## DIT erstellen (Portfolio) (1 Punkte) + +Erstellen Sie aus den nachfolgenden Daten einen passenden DIT in einem visuell dafür vorgesehenen Tool. Zum Beispiel Visio oder «https://draw.io». + +Erstellen Sie für einen User und einen Computer den DN direkt im Diagramm gut ersichtlich. + + + +Richtlinien für den DIT: + +- Jede Abteilung darf in diesem DIT nur einmal als Organisationseinheit vorkommen + +- Die Standorte müssen in diesem DIT abgebildet sein + +- Alle Abteilungen, welche an beiden Standorten vorkommen, sollen über einen fiktiven Standort mit einem sinnvollen Namen abgedeckt sein + +- Pro Standort gibt es einmal intern und extern + +- Achten Sie darauf, dass Sie eindeutige Namen verwenden + +- Die letzte Ebene soll immer zwischen Benutzer- und Computerkonten aufteilen + +- Verwenden Sie eindeutige Namen + + +| Standort 1 | Standort 2 | +| ----------- | ----------- | +| • GL (intern) |• GL (intern) | +| • Sekretariat (intern) |• Aussendienst (extern) | +| • Aussendienst (extern) |• Promoter (extern | +| • Buchhaltung (intern) |• Messemitarbeiter (extern) | +| • Promoter (extern) |• Partner (extern) | +| • Partner (extern) |• Informatik (intern) | +| • Informatik (intern) | + + +## Struktur im AD anlegen (0.5 Punkt) + +Wenn Sie sicher sind, dass Sie eine gute Struktur haben, legen Sie Ihre im DIT definierte Struktur im AD an. + + + +## Verschieben Sie alle Benutzer in die passenden OUs (0.5 Punkte) + +- Kontrolle graphisches DIT +- Zeigen Sie die erstellen OU’s im Video + + + + + + + diff --git a/Aufgaben/07a DC2 zur Gesamtstruktur hinzufügen/Auftrag.md b/Aufgaben/07a DC2 zur Gesamtstruktur hinzufügen/Auftrag.md new file mode 100644 index 0000000..0778623 --- /dev/null +++ b/Aufgaben/07a DC2 zur Gesamtstruktur hinzufügen/Auftrag.md @@ -0,0 +1,17 @@ +## Aufgabe 7 - DC2 zur Gesamtstruktur hinzufügen (0.5 Punkte) + +In dieser Aufgabe müssen Sie einen zusätzlichen DC zu Ihrer Hauptdomäne hinzufügen(promote). + +- Schauen Sie sich folgendes Video «Integration\_neuer\_DC.wmv» an. + +## Fügen Sie den zweiten DC(Desktop) wie im Video gezeigt zur vorhandenen Gesamtstruktur(Hauptdomäne) hinzu. + +## Kontrolle + Zeigen Sie folgendes Fenster mit dem neuen Domänencontroller im Video + +![Picture1](../images/07-Picture1.png) + + +# Kontrolle +![Picture1](../images/Kontrolle.png) + diff --git a/Aufgaben/07b DC3 zur Gesamtstruktur hinzufügen/Auftrag.md b/Aufgaben/07b DC3 zur Gesamtstruktur hinzufügen/Auftrag.md new file mode 100644 index 0000000..5769acd --- /dev/null +++ b/Aufgaben/07b DC3 zur Gesamtstruktur hinzufügen/Auftrag.md @@ -0,0 +1,20 @@ +## Aufgabe 7a – DC3 zur Gesamtstruktur hinzufügen (1 Punkte) + +## Fügen Sie nun den DC(Core) zur Hauptdomäne hinzu. Suchen Sie im Internet selbst nach einer Anleitung. Alternativ können Sie auch folgenden Link verwenden) + + + +Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools + + + +Install-ADDSDomainController -InstallDns -Credential (Get-Credential DomänenName\administrator) - DomainName DomänenName -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Passwort" -Force) + + +## Kontrolle + Zeigen Sie folgendes Fenster mit dem neuen Domänencontroller im Video + +![Picture1](../images/07-Picture2.png) + + + diff --git a/Aufgaben/08 DNS in ActiveDirectory/Auftrag.md b/Aufgaben/08 DNS in ActiveDirectory/Auftrag.md new file mode 100644 index 0000000..7ecb28f --- /dev/null +++ b/Aufgaben/08 DNS in ActiveDirectory/Auftrag.md @@ -0,0 +1,19 @@ +# Aufgabe 8 - DNS in Active Directory (1 Punkt) +Schauen Sie sich folgende Videos zum Thema DNS in Active Directory an + +- Primäre\_und\_sekundäre\_Zone\_konfigurieren.wmv +- Einstellungen\_der\_Zonenübertragung\_konfigurieren.wmv +- Benachrichtigungseinstellungen\_konfigurieren.wmv +- Bedingte\_Weiterleitung\_konfigurieren.wmv + +1. ## **Neue «nicht AD integrierte» Forward-Zone übertragen** + 1. Erstellen Sie auf dem DC1 eine neue Forward-Zone mit dem Namen «lab.tbz», welche nicht in Active Directory integriert ist. + 1. Fügen Sie den DC2 zu den Nameservern dieser neuen Zone hinzu und erlauben Sie sämtlichen Nameservern eine Zonenübertragung. + 1. Erstellen Sie auf dem DNS des DC2 eine sekundäre Zone von «lab.tbz» + 1. Erstellen Sie einen Printscreen von der sekundären Zone auf dem DC2 und speichern Sie diesen Printscreen im Portfolio ab. + + ![Picture1](../images/08-Picture1.png) + + + +### Kontrolle: Zeigen Sie die sekundäre Zone im Video diff --git a/Aufgaben/09 GPOs/Auftrag.md b/Aufgaben/09 GPOs/Auftrag.md new file mode 100644 index 0000000..bfaa155 --- /dev/null +++ b/Aufgaben/09 GPOs/Auftrag.md @@ -0,0 +1,112 @@ +# Aufgabe 9 Mit GPOs arbeiten (4 Punkte) (Praktische Überprüfung) + +Falls Sie noch nie mit Gruppenrichtlinien gearbeitet haben, können Sie sich, über die Grundlagen von Gruppenrichtlinien mit den folgendes PDFs informieren. + + + +- Gruppenrichtlinien-Kapitel1.pdf + +- Gruppenrichtlinien-Kapitel2.pdf + +- Gruppenrichtlinien-Kapitel3.pdf + + + +## 9.1 Default Domain Policy - Verändern der Passwortrichtlinien (1 Punkt) + + + +> [!WARNING] +> +> Vermeiden Sie Änderungen an den zwei vorkonfigurierten Gruppenrichtlinien „Default Domain Policy“ und „Default Domain Controllers Policy“, die über das Anpassen der Kennwortrichtlinien hinausgehen. Änderungen in den Default Policies erschweren die Fehlersuche und Behebung. + + + +Ändern Sie also nur Passwortrichtlinien in der Default Domain Policy. Schalten Sie sämtliche Richtlinien, welche eine Passwortkomplexität verlangen aus. Deaktivieren Sie ebenfalls das Erzwingen von neuen Passwörter nach einer gewissen Zeit. Natürlich sollten Sie dies in der Praxis nicht machen aber für unsere Testumgebung macht es Sinn. + + + +## 9.2 Neue Gruppenrichtlinienobjekte für Netzlaufwerke (1 Punkte) + +Für diese Aufgabe lesen Sie bitte vorher den Abschnitt «5.4 Benennung von GPOs» in Gruppenrichtlinien-Kapitel5.pdf. + +Wenn Sie neue Gruppenrichtlinienobjekt erstellen, beachten Sie die Punkte aus dem Kapitel 5.4 für eine sinnvolle Benennung. + + + +Folgende Netzlaufwerke sollen für die Mitarbeiter zur Verfügung stehen + + + +- «Pool» unter dem entsprechenden Laufwerksbuchstaben für die ganze Firma +- Jede Abteilung soll Ihr Abteilungslaufwerk haben +- Alle Interne Abteilungen sollen das Laufwerk Intern haben +- Alle Externe Abteilungen sollen das Laufwerk Extern haben + +## 9.3 Verknüpfung «CRM» auf dem Desktop verteilen mittels positiver Sicherheitsfilterung (1 Punkt) + + + +Falls Sie nicht wissen, wie die positive Sicherheitsfilterung funktioniert, lesen Sie die Erklärung zur «Positiven Sicherheitsfilterung» unter «Kapitel 3.4.5.1 Positive Sicherheitsfilterung» und 5.2.2 GPOs und Sicherheitsfilterung. + + + +Ihre Firma arbeitet mit einem Web-CRM(«https://crm.webapp.ch»). Erstellen Sie nun ein GPO für das Erstellen dieser Verknüpfung auf dem Desktop und verknüpfen Sie die GPO auf oberster Ebene. Mit der positiven Sicherheitsfilterung sollen nun Gruppen zur Filterung hinzugefügt werden, damit diese Abteilungen die Verknüpfung automatisch erhalten. + +Entfernen sämtliche Gruppen und Testen Sie das Ganze mit der Gruppe «intern». + + + + + + + +### 9.4 GPO mit WMI-Filter erstellen und anwenden (1 Punkt) + + + +Lesen Sie für diese Aufgabe Kapitel «4.3 WMI-Filter» durch. + + + +- Legen Sie einen WMI-Filter an, welcher überprüft, ob es sich um eine Windows10 Installation handelt. (Infos im Buch, Seite 50 im Kapitel «4.3 WMI-Filter»: + + + +- Erstellen Sie anschiessend ein neues GPO-Objekt mit dem Namen “Textdatei kopieren” und verknüpfen Sie dieses mit der OU-Promoter. Auf dieses neue GPO-Objekt soll der WMI-Filter angewendet werden. + + + +- Erstellen Sie anschliessend auf der Freigabe Pool eine neue Textdatei mit dem Namen “WMI-Filter.txt”. Der Inhalt der Datei kann leer sein. + + + +- Das GPO-Objekt “Textdatei kopieren”, soll nun bei sämtlichem User der OU Promoter, die Textdatei “WMI-Filter.txt” in das Verzeichnis mit der Variable %temp% kopieren. + + + +#### Damit die GPO von 9.4 funktioniert, müssen zwei Dingen berücksichtigt werden + +- Der Der Dateiname “WIM-Filter.txt” muss auch beim Zielpfad angegeben werden + +- Im Sicherheitskontext des angemeldeten Benutzers ausführen muss unter “Geminsame Optionen” aktiviert sein, damit man mit der Variable %temp% arbeiten kann + + + +# Kontrolle 9.1-9.3 + +![Kontrolle](../images/Kontrolle.png) + + +# Kontrolle 9.4 + + + +- Exportieren Sie zusätzlich zum Screencast eine HTML-Datei mit dem Befehl auf einem Ihrer Clients + +- gpresult /h «gpo.html» + +- Speichern Sie die HTML Datei in Ihrem privaten Kanal im Teams. + + + diff --git a/Aufgaben/10 Standorte einrichten/Auftrag.md b/Aufgaben/10 Standorte einrichten/Auftrag.md new file mode 100644 index 0000000..2f831ca --- /dev/null +++ b/Aufgaben/10 Standorte einrichten/Auftrag.md @@ -0,0 +1,21 @@ +## **Aufgabe 10.1 Standorte einrichten und mit Subnetzen verknüpfen** +Richten Sie Ihre Standorte wie im PDF Standort.pdf (Seite 600 und 601) beschrieben ein und verknüpfen Sie diese mit Ihren beiden Subnetzen. + +*Hinweis: Im Standorte.pdf File werden drei Standorte und Subnetze eingerichtet. Sie müssen aber nur zwei einrichten. Denken Sie daran, dass Sie Ihre Subnetze verwenden und nicht die vorgegebenen aus dem PDF.* + +*Nachdem die Standorte mit den entsprechenden Subnetzen erstellt sind, verschieben Sie die Domain Controller via Drag & Drop in die entsprechenden Standorte.* + +## **Aufgabe 10.2 Logonserver Sunetz1** +Führen Sie auf dem Client, welcher sich im Subnetz1 befindet, den Befehl «set logonserver» in der CMD aus. Es sollte nun der entsprechende Server vom Standort, welcher mit Subnetz1 verknüpft ist, angezeigt werden. + +Speichern Sie diesen Printscreen im Portfolio ab. + + +## **Aufgabe 10.3 Logonserver Sunetz2** +Führen Sie auf dem Client, welcher sich im Subnetz2 befindet, den Befehl «set logonserver» in der CMD aus. Es sollte nun der entsprechende Server vom Standort, welcher mit Subnetz2 verknüpft ist, angezeigt werden. + +# Kontrolle +Zeigen Sie im Screencast wie der Logonserver sich verändert, wenn Sie den Client in ein anderes Subnetz setzen. + +![Picture1](../images/Kontrolle.png) + diff --git a/Aufgaben/11 GPO pro Standort/Auftrag.md b/Aufgaben/11 GPO pro Standort/Auftrag.md new file mode 100644 index 0000000..f930228 --- /dev/null +++ b/Aufgaben/11 GPO pro Standort/Auftrag.md @@ -0,0 +1,15 @@ +# 11 GPO mit Standort verknüpfen (1 Punkt) +*Lesen Sie unter Fachliteratur auf dem BSCW das Dokument Gruppenrichtlinien-Kapitel2.pdf durch.* + +## **Auftrag 11.1: (Praktische Überprüfung)** +Erstellen Sie einen individuellen Background über die Gruppenrichtlinien und verknüpfen Sie diese neuen GPOs mit Ihren zwei Standorten. Wenn sich ein Client an Standort 1 anmeldet, soll er einen anderen Background bekommen, als wenn er sich an Standort 2 anmeldet. + +Auch die Domaincontroller in den entsprechenden Standorten sollen unterschiedliche Backgrounds erhalten. + +# Kontrolle + + +- Zeigen Sie im Video wo und wie Sie die neuen Gruppenrichtlinienobjekt für die Standorte erstellt haben. +- Zeigen Sie anschliessend auf dem Client mit «Gpresult /R» dass die GPOs auch am entsprechenden Standort angewendet werden. + +![Picture1](../images/Kontrolle.png) \ No newline at end of file diff --git a/Aufgaben/13 Drucker mit GPO verteilen/Auftrag.md b/Aufgaben/13 Drucker mit GPO verteilen/Auftrag.md new file mode 100644 index 0000000..ce591b6 --- /dev/null +++ b/Aufgaben/13 Drucker mit GPO verteilen/Auftrag.md @@ -0,0 +1,69 @@ +# 13 Farbige und SW Drucker per GPO verteilen (1 Punkt) + + + +# 13.1 Ausgangslage + +Sie möchten auf dem Server zwei freigegebene Drucker via GPO an die Benutzer verteilen. Dabei möchten einmal einen Drucker verteilen, welcher per Standardeinstellung «schwarz» druckt und ein anderer Drucker, welcher automatisch «farbig» druckt. Der Endbenutzer, soll zwei verschiedene Drucker zur Verfügung haben, welche schlussendlich, auf dasselbe (fiktive) Endgerät, mit unterschiedlicher Farbeinstellung drucken. + +Hinweis: Falls Ihnen nicht bekannt ist, wie man auf dem Server einen TCP/IP-Drucker installiert (Es kann eine fiktive IP-Adresse verwendet werden), gibt es im GIT Repo unter eine Anleitung (Netzwerkdrucker_einrichten.docx + +# Auftrag + +### 13.2.1 Drucker auf dem Server einrichten + +Installieren einen beliebigen „fiktiven“ Farblaserdrucker zwei Mal unter einer fiktiven IP-Adresse. + +Nun können Sie pro Drucker in den Einstellungen die Farbeinstellungen definieren und den Drucker so benennen. Achtung: Damit die Einstellungen auch beim User ankommen müssen Sie die Werte unter Standardwerte anpassen. Siehe Printscreen + +![Picture01](../images/13-Picture1.png) + +Wenn Sie nicht wissen, wie man einen TCP/IP Drucker installiert finden Sie eine Anleitung in MS Teams unter Tools. + + + +Geben Sie die Drucker unter diesem Namen frei. + +- Drucker_Farbe + +- Drucker_SW + + + + + + + +## GPO für die Verteilung der Drucker einrichten + + + +Wenn Sie Ihre Drucker konfiguriert haben, können Sie die Verteilung mittels GPO in Angriff nehmen. + +- Einstellungen => Systemsteuerungseinstellungen => Drucker + +Klicke dort mit der rechten Maustaste auf Drucker und anschließend auf + +„Neu“ + „Freigegebener Drucker„. + +![Picture01](../images/13-Picture2.png) + +Es öffnet sich das Fenster „Neue Eigenschaften für freigegebene Drucker“ in welchem Du nun den Drucker als UNC-Pfad angeben kannst mit \\FQDN\Druckerfreigabename + +Unter Aktion kannst Du entweder Aktualisieren oder Ersetzen auswählen. Den korrekten Freigabepfad erhältst Du, indem Du auf die drei Punkte […] klickst und den gewünschten Drucker aus dem Verzeichnis wählst. Die Option „Drucker als Standarddrucker festlegen“ wähle ich in diesem Schritt noch nicht aus. + + + +![Picture01](../images/13-Picture3.png) + + +# Kontrolle + +Wenn Sie die Drucker auf dem Client unter dem entsprechenden AD-Benutzer sehen, hat die Verteilung via Gruppenrichtlinie funktioniert. +Löschen Sie nun die Drucker manuell und führen Sie ein «gpupdate /force» durch, um festzustellen, dass die Drucker erneut angelegt werden. Machen Sie ein Video von diesem Prozess und speichern Sie den Pfad in Portfolio. + +**Tipp:** +Dies funktioniert nur wenn Sie beim GPO Objekt «replace» oder «update» verwendet haben. + + + diff --git a/Aufgaben/14 Deploy MSI mit GPO/Auftrag.md b/Aufgaben/14 Deploy MSI mit GPO/Auftrag.md new file mode 100644 index 0000000..7ac81b0 --- /dev/null +++ b/Aufgaben/14 Deploy MSI mit GPO/Auftrag.md @@ -0,0 +1,30 @@ +# 14 Deploy MSI mit GPO (1 Punkt) + +Lesen Sie das PDF Gruppenrichtlinien-Kapitel6.pdf bis und mit Kapitel 6.5. + + + +**Auftrag** + +- 14.1 Erstellen Sie einen Share für die Bereitstellung des zu verteilenden MSI Pakets. + +- 14.2 Laden Sie das aktuelle 7-Zip MSI herunter. + +- 14.3 Verteilen Sie das 7-Zip MSI auf Ihrem Client in der Domäne + + + +Achtung: Sofern Sie die GPO richtig konfiguriert haben aber in der Ereignisanzeige einen Fehler %%1274 haben dann hilft diese Einstellung: + + + +Auf der Freigabe über welche Sie das MSI freigeben, setzen Sie noch zusätzlich die Rechte auf «lesen» für «jeder» 7 «everyone» + + + + + +# Kontrolle: + +Suchen Sie im Video in der Ereignisanzeige auf dem Client nach einem Ereignis, welches zeigt, dass das MSI Paket via Gruppenrichtlinien erstellt wurde. + diff --git a/Aufgaben/15 ADDS-DNS und Replikation Fehleranalyse/Auftrag.md b/Aufgaben/15 ADDS-DNS und Replikation Fehleranalyse/Auftrag.md new file mode 100644 index 0000000..1b66571 --- /dev/null +++ b/Aufgaben/15 ADDS-DNS und Replikation Fehleranalyse/Auftrag.md @@ -0,0 +1,62 @@ +# 15 ADDS - DNS und Replikation Fehleranalyse (2 Punkte) +**15.1 Replmon (0.3 P.)** + +15\.1.1 Installieren Sie Replmon «adreplstatusInstaller.msi» auf einem Ihrer Domain Controller + +15\.1.2 Führen Sie eine Replication-Statusabfrage durch + +15\.1.3 Exportieren Sie das Ergebnis in eine CSV-Datei (Excel) + +15\.1.4 Öffnen Sie die CSV-Datei im Excel und speichern Sie einen Printscreen davon im Portfolio. + +**15.2 RepAdmin (0.3 P.)** + +15\.2.1 Öffnen Sie die CMD als Administrator + +15\.2.2 Führen Sie den Befehl «repadmin /replsummary» aus + +15\.2.3 Speichern Sie einen Printscreen vom Ergebnis ins Portfolio + +**15.3 DCDiag (0.3 P.)** + +15\.3.1 Öffnen Sie die CMD als Administrator + +15\.3.2 Erstellen Sie einen Ordner tmp auf dem C:\ + +15\.3.3 Führen Sie den Befehl «dcdiag > c:\tmp\dcdiag.txt» aus + +15\.3.4 Öffnen Sie das File «dcdiag.txt» und schauen Sie sich die Ergebnisse genauer an + +15\.3.5 Erstellen Sie eine Liste von sämtlichen bestandenen sowie nicht bestandenen Tests und kopieren Sie diese ins Portfolio unter Aufgaben ab. + +## **15.4 Gruppenrichtlinien-Eventlog (0.5 P.)** +*Lesen Sie im PDF Gruppenrichtlinien-Kapitel15.pdf das Kapitel 15.5 Gruppenrichtlinien-Eventlog* + +15\.4.1 Suchen Sie auf einem Ihrer Clients den Start-Event der Gruppenrichtlinienverarbeitung + +15\.4.2 Machen Sie einen Printscreen von der «Correlation-ID» und speichern Sie diesen ins Portfolio + +15\.4.3 Suchen Sie auf einem Ihrer Clients den Ende-Event der Gruppenrichtlinienverarbeitung + +15\.4.4 Machen Sie einen Printscreen von der «Correlation-ID» und speichern Sie diesen ins Portfolio + +**15.5 Active Directory Log Level (0.5 P.)** + +*Lesen Sie im PDF Unentbehrliche\_Helfer\_für\_Admins.pdf das Kapitel 7 Der Event Log und die Registry* + +15\.5.1 Leeren Sie den Container im Eventviewer unter Anwendungs- Dienstprotokolle -> Directory Service + +15\.5.2 Starten Sie einen Ihrer Domaincontrollers neu und zählen Sie sämtliche Ereigniseinträge + +15\.5.3 Erhöhen Sie in der Registry wie in Kapitel 7 beschrieben den Event Log Level vom Typ «5 Replication Events» auf Stufe 5. + +15\.5.4 Leeren Sie den Container im Eventviewer erneut, unter Anwendungs- Dienstprotokolle -> Directory Service + +15\.5.5 Starten Sie einen Ihrer Domaincontrollers nochmals neu und zählen Sie erneut sämtliche Ereigniseinträge unter Anwendungs- Dienstprotokolle -> Directory Service + +15\.5.6 Schreiben Sie ins Portfolio, wie hoch die Differenz der Einträge in der Ereignisanzeige zum vorhergegangenen Bootvorgang ist +# Kontrolle: +Erklären Sie Ihre Ergebnisse und Interpretationen im Screencast zu sämtlichen Teilaufgaben. + +![Picture1](../images/Kontrolle.png) + diff --git a/Aufgaben/16 LDAP-Powershelltool/Auftrag.md b/Aufgaben/16 LDAP-Powershelltool/Auftrag.md new file mode 100644 index 0000000..05a2533 --- /dev/null +++ b/Aufgaben/16 LDAP-Powershelltool/Auftrag.md @@ -0,0 +1,97 @@ +# Übung 16 + +# 16.1 LDAP-Abfragen / LDAP-Queries (CMD-Prompt) (1 Punkt) + +![Picture01](../images/16-Picture1.png) + +Damit Sie diese LDAP-Befehle in der CMD ausführen können, müssen Sie die RSAT Tools für Ihren Server installieren. Sie finden eine Anleitung dazu im Ordner Tools. + +## Auftrag 16.1.1: + +Erstellen Sie folgende vier AD-Objekte mit Dsadd: + +- User + +- Computer + +- Kontakt + +- Gruppe + +## Auftrag 16.1.2: + +Schreiben Sie eine LDAP-Abfrage mit «Dsquery», welche sämtliche User einer von Ihnen erstellten OU ausgibt + +Schreiben Sie eine LDAP-Abfrage mit «Dsquery», welche sämtliche Computer einer erstellten OU ausgibt + + + +## Auftrag 16.1.3: + +Fügen Sie mit Dsmod einen User in eine Gruppe. + + + +Auftrag 16.1.4: + +Geben Sie einige Eigenschaften Ihrer Wahl des Kontaktes, welcher in Auftrag 1 erstellt wurde, mit DSget aus + +## + +Auftrag 16.1.5: + +Führen Sie die Beispiele (Examples) aus, welche unter dem QR-Code von «Dsmove» zu finden sind. Adaptieren Sie die Beispiele auf Ihre eigenen Objekte. + +Rename a user object from XY to YZ + +Move the user object for XY from XY to the YZ organization + +To combine the rename and move operations + + + +Auftrag 16.1.6: + +Löschen Sie mit «Dsrm» ein Testobjekt Ihrer Wahl + + + +# Kontrolle + +Dokumentieren Sie sämtliche Schritte also «Input und Rückmeldung» der LDAP-Abfrage mit Printscreens in einem separaten Dokument. Speichern Sie dieses Dokument mit der Namenskonvention «vorname.nachname» in Ihrem privaten Teams Kanal ab. + +Erstellen Sie zusätzlich ein Screencast Video mit zwei Beispiel, um zu zeigen, dass Sie in der Lage sind, diese Befehle selbstständig auf Ihrer Umgebung auszuführen. + + + + + + +# 16.2 PowerShell-Tool (X Punkte) + +Importieren Sie das Modul für Active Directory unter PowerShell. + +![Picture01](../images/16-Picture2.png) + + + +## Auftrag 16.2.1 + +Erstellen Sie ein PowerShell-Tool, welches AD-Aufgaben ausführen kann. Das PowerShell Tool soll ein Menu haben, dass entweder mit der Maus(grafisch) oder mit der Tastatur (Konsole) bedient werden kann. + +Den Umfang Ihres Powershell-Tools können Sie frei wählen. Damit Sie wissen wie viele Punkte Ihnen der Lehrer dafür gibt besprechen Sie Ihr Vorhaben im Vorfeld mit der Lehrperson. + +> [!WARNING] +> +> Jede/r Lernende muss eine eigene Aufgabe für sein Tool definieren. Das Kopieren von Powershell-Skripten ist einfach, deshalb ist das unvermeidlich. + + + +# Kontrolle + +- Machen Sie ein Screencast wie man das Tool im Einsatz sieht und wie Sie die erforderlichen Funktionen ausführen. + +- Speichern Sie das PowerShell Tool in Ihrem privaten Teams Kanal ab. + +- Sie erhalten Punkte – und zwar individuell, je nach Umfang Ihrer PowerShell-Tools. + diff --git a/Aufgaben/17 DFS einrichten und Namespace anlegen/Auftrag.md b/Aufgaben/17 DFS einrichten und Namespace anlegen/Auftrag.md new file mode 100644 index 0000000..fc7a0fc --- /dev/null +++ b/Aufgaben/17 DFS einrichten und Namespace anlegen/Auftrag.md @@ -0,0 +1,123 @@ +# Aufgabe 17 – DFS einrichten und Azure File Sync einrichten (3 Punkte) + +Schauen Sie für diese Aufgabe das DFS-Einrichten Video an unter + +## DFS einrichten, Namespace anlegen und GPO anpassen (1 Punkt) + + + +### Rolle hinzufügen + +Fügen Sie Ihrem DC1, die Rolle «DFS-Namespaces» + +### Namespace erstellen + +Erstellen Sie einen Namespace ihrer Wahl + +### Freigabe hinzufügen + +Fügen Sie Ihre bestehende Freigabe «Daten», ihrem neuen Namespace hinzu + +### GPO-Netzlaufwerk anpassen + +Passen Sie die Gruppenrichtlinie mit dem Netzlaufwerkes so an, dass nun neu, der Pfad mit dem neuen Namespace verwendet wird. Überprüfen Sie das Ergebnis auf dem Client mit «GPUPDATE». + + + +# Kontrolle + +Zeigen Sie im Video die Einrichtung und den Zugriff über neuen Namespace + + + + + + + + +# Azure Storage & File Sync einrichten (2 Punkt) + +> [!CAUTION] +> +> Leider gibt es bei dieser Aufgabe beim Hinzufügen des Servers einen Fehler. Die Punkte erhalten Sie aber trotzdem, wenn Sie es bis dorthin schaffen. + + +https://www.youtube.com/watch?v=nfWLO7F52-s +Sie sollen nun den DFS-Namespace mit Azure synchronisieren + + + +## Azure File Sync Agent herunterladen +https://aka.ms/afs/agent + + + +## Azure File Sync Agent auf dem Server installieren + + +![Picture01](../images/17-Picture1.png) + + +## Erstellen Sie einen Storage Account in Azure (Storage Account / Speicherkonto) + +- Verwenden Sie hierfür Ihr TBZ-Account und aktivieren Sie die kostenlose Azure-Umgebung + +- Gehen Sie zu Alle Ressourcen und installieren Sie Ihr neues Speicherkonto / Storage Account + + +![Picture02](../images/17-Picture2.png) + +- Gehen Sie zu Alle Ressourcen und installieren Sie Ihr neues Speicherkonto / Storage Account + +![Picture02](../images/17-Picture3.png) + +- Verwenden Sie nicht wie im Printscreen Daten als Speicherkontoname da dieser Name eindeutig sein muss. Alle restlichen Einstellungen können Sie auf «Standard» belassen. + + + +## Erstellen Sie nun im Storage Account einen File Share / Dateifreigabe + +- Gehen Sie auf Ihre Ressource + +- Gehen Sie zu File Share / Datei Freigaben + +- Erstellen Sie eine neuen File Share / Dateifreigabe + +![Picture03](../images/17-Picture4.png) + + + +## Azure File Sync einrichten + +- Gehen Sie wieder auf Alle Ressourcen -> erstellen + +- Suchen Sie nach Azure File Sync + +![Picture04](../images/17-Picture5.png) + +## Server registrieren und Azure Sync einrichten + +- Gehen Sie zurück zum Server + +- Wählen Sie «Sign in» für AzurCloud + +![Picture05](../images/17-Picture6.png) + +- Melden Sie sich mit Ihrem Azure Account an und registrieren Sie Ihren Server + +![Picture05](../images/17-Picture7.png) + +- Anschliessend sehen Sie Ihren Server unter «Registrierte Server» + +- Gehen Sie zurück zu Azure auf Sync group / Synchronisierungsgruppen -> Neue hinzufügen + +- Füllen Sie die erforderlichen Felder aus + +- Fügen Sie einen Serverendunkt hinzu geben Sie dabei + +![Picture05](../images/17-Picture8.png) + +# Kontrolle + +- Zeigen Sie den registrierten Server in der Azure Cloud. Erstellen Sie anschliessend eine Datei lokal auf dem on-prem Server und zeigen Sie im Video wie diese in die Cloud synchronisiert wird. + diff --git a/Aufgaben/18 Testdomain einrichten/Auftrag.md b/Aufgaben/18 Testdomain einrichten/Auftrag.md new file mode 100644 index 0000000..1770eca --- /dev/null +++ b/Aufgaben/18 Testdomain einrichten/Auftrag.md @@ -0,0 +1,62 @@ +# 18 Testdomäne einrichten (5 Punkte) + +*Die Testdomäne ist eine “Child-Domain", sprich eine untergeordnete Domäne Ihrer Hauptdomäne.* + +*Damit dies ohne Probleme funktioniert, müssen Sie zuerst den DNS-Server von der Hauptdomäne beim DC der Testdomäne korrekt einrichten und die Namensauflösung in beide Richtungen testen. Falls der DC von der Hauptdomäne ohne Probleme aufgelöst werden kann, können Sie mit der Installation beginnen. Der DC auf dem Sie die “Child-Domain” installieren, muss nicht aufgelöst werden können.* + + # Testdomäne einrichten und mit Client beitreten (2 Punkte) + ## Installieren Ihrer “Child-Domain” +Installieren Sie auf dem DC4 beim Standort 1 eine “Child-Domain” nach der Vorgabe, welche Sie im Portfolio gemacht haben. + ## Treten Sie nun mit dem Client von Standort 1 der Testdomäne bei + + + Adminrechte in Testumgebung für Abteilung “IT” aus Hauptdomäne + ` `(2 Punkte) + =============================================================== + ## Erstellen Sie eine neue Organisationseinheit “Testcomputer” und fügen Sie den Client + ## in diese neue OU. Erstellen Sie ein neues GPO-Objekt mit dem Namen “IT-lokale-Adminrechte" + ## Und verknüpfen Sie dieses mit der OU “Testcomputer”. + + ## Erstellen Sie auf der GPO “IT-lokale-Adminrechte" die Einstellung, dass alle User aus der + ## Sicherheitsgruppe “IT” von der Hauptdomäne, Adminrechte auf den lokalen Clients der OU +## “Testcomputer” haben. Eine englische Anleitung finden Sie am Ende dieser Aufgabe 18. + + ## Erstellen Sie dasselbe in der “Default Domain Controllers Policy” + + ## Sorgen Sie dafür, dass die Abteilung IT auch die “Default Domain Policy” bearbeiten kann. + +## +Anleitung Benutzer aus Hauptdomäne zu den Administratoren in der Testdomäne hinzuzufügen: + +- Create and link a GPO at the root of the child domain (actually, link it to a sub-OU with a test computer in it first, then when you know it's working, link it to the root of the domain). + +- In that GPO, open "Computer Settings", then "Windows Settings", "Security Settings", and "Restricted Groups". + +- Right-click "Restricted Groups" and do an "Add Group". + +- Click "Browse" in the "Add Group" dialog, key in "Administrators" (**not** "Domain Admins" or anything else), and click "Check Name" and "OK". Click "OK" to dismiss the "Add Group" dialog. + +- In the "Administrators Properties" dialog, click the "Add" button at the top, beside the "Members of this Group" list-box. + +- Click "Browse" in the "Add Member" dialog and key in "Domain Admins" and click "Check Name" and "OK". In the "Add Member" dialog, you'll see "CHILDDOMAINNETBIOSNAME\Domain Admins" listed. Click "OK". + +- In the "Administrators Properties" dialog, click the "Add" button at the top, beside the "Members of this Group" list-box again. + +- Click "Browse" in the "Add Member" dialog and key in the name of the global group in the parent domain that you created to hold users who are getting "Administrator" rights in the child domain. Before you click "Check Name", click "Locations" and choose your parent domain in the "Locations" dialog and click "OK". Then click "Check Name" and "OK". In the "Add Member" dialog, you'll see "PARENTDOMAINNETBIOSNAME\Group name you created" listed. Click "OK". + +When this GPO applies to computers, their local "Administrators" group will get the groups "CHILDDOMAINNETBIOSNAME\Domain Admins" and "PARENTDOMAINNETBIOSNAME\Group name you created" nested into it automatically. + + + Freigabe erstellen und Gruppe aus Hauptdomäne berechtigen + ` `(0.5 Punkte) + ========================================================== + ## Erstellen Sie eine Freigabe mit dem Namen “Labor” auf dem DC der Testumgebung. Denken Sie + daran, die Freigabeberechtigungen auf “Jeder hat Change”, zu setzen + ## Geben Sie der Gruppe Partner aus der Hauptdomäne schreibrechte auf diese Freigabe + + # Erstellen einer “Universalen Gruppe” (0.5 Punkte) + ## Erstellen Sie auf der Testumgebung eine “Universale Gruppe” mit dem Namen “Testgruppe” + ## Erstellen Sie einen User Ihrer Wahl auf der Testumgebung und fügen Sie diesen in die Testgruppe. + ## Fügen Sie die Abteilung Aussendienst ebenfalls in diese universelle Gruppe + ## Erstellen Sie eine neue Freigabe mit dem Namen Test-Universal auf der Hauptdomäne und fügen Sie + ## diese universelle Gruppe mit Leserechten hinzu diff --git a/Aufgaben/19 Windows Admin Center einrichten/Auftrag.md b/Aufgaben/19 Windows Admin Center einrichten/Auftrag.md new file mode 100644 index 0000000..5f40e62 --- /dev/null +++ b/Aufgaben/19 Windows Admin Center einrichten/Auftrag.md @@ -0,0 +1,13 @@ +# 19 Windows Admin Center einrichten** + +*Damit das Windows Admin Center installiert werden kann braucht es eine neue Server-VM, da dieses nicht auf einem DC installiert werden kann.* + + ## 19.1 Neuen Server aufsetzen und im Portfolio nachtragen und der Domäne beitreten (0.5 P.) + 1. Machen Sie die Spezifikationen für einen neuen Server und tragen Sie diese ins Portfolio ein + 1. Setzen Sie den neuen Server auf und fügen Sie diesen zur Domain hinzu (kein DC!) + ### 19.2 Admin Center installieren (0.5 P.) + 1. Laden Sie das Admin Center für Windows Server herunter und installieren Sie dieses + 1. Melden Sie sich am Admin Center an und fügen Sie den DC mit den Shares aus Aufgabe 5 hinzu + ### 19.3 Server hinzufügen (0.5 P.) + 1. Melden Sie sich am Admin Center an und fügen Sie den DC mit den Shares aus Aufgabe 5 hinzu + diff --git a/Aufgaben/20 Azure AD mit AD-Connect einrichten/Auftrag.md b/Aufgaben/20 Azure AD mit AD-Connect einrichten/Auftrag.md new file mode 100644 index 0000000..9c771cf --- /dev/null +++ b/Aufgaben/20 Azure AD mit AD-Connect einrichten/Auftrag.md @@ -0,0 +1,58 @@ +# 20 Azure AD & AD Connect (2 P.) + +Bei dieser Aufgabe verbinden Sie Ihre on premises AD-Umgebung mit dem Azure AD inkl. Office365 Integration. Ziel ist es, dass Ihre lokalen Benutzer in die Cloud synchronisiert werden und automatisch eine Office Lizenz gewissen Benutzern zugewiesen wird. + + + +## Account erstellen (1 Punkt) + +Gehen Sie auf die Seite und registrieren sie eine neue Developer Umgebung. Erstellen Sie im Portfolio einen neuen Abschnitt für diese Daten/Logins. + +Achtung: Die Registration führt im TBZ-Netzwerk zu einem Fehler bei der Überprüfung Ihrer Mobile-Nummer (Security check fail), registrieren Sie sich mit einem Hotspot, dann sollte es gehen. + +| | | +| ----------- | ----------- | +| **IMAGE** | Melden Sie sich mit einem bestehenden Microsoft Account an oder erstellen Sie einen neuen Account. Falls Sie einen neuen Account erstellen, verwenden Sie als Domain «outlook.com»| +| ![Picture01](../images/20-Picture1.png) | Falls Sie einen neuen Account erstellen, füllen Sie die Daten entsprechen aus.| +| ![Picture01](../images/20-Picture2.png) | | +| ![Picture01](../images/20-Picture3.png) | Wählen Sie «Instant Sandbox»| +| ![Picture01](../images/20-Picture4.png) | Setzen Sie ein Passwort für Ihren Azure Admin. Notieren Sie sich diese Angaben im Portfolio unter dem neuen Abschnitt. | +| ![Picture01](../images/20-Picture5.png) | Richten Sie Zwei-Faktor-Authentifizierung ein | +| ![Picture01](../images/20-Picture6.png) | Wenn die Einrichtung erfolgreich abgeschlossen wurde, sollten Sie folgendes Bild sehen. Sie sehen hier wie lange Ihre Sandbox bzw. Ihre Testumgebung läuft| +| ![Picture01](../images/20-Picture7.png) | Melden Sie sich nun mit Ihrem Azure-Administrator bei Azure an, um einen ersten Einblick zu erhalten. https://azure.microsoft.com/de-de/services/active-directory/ oder https://entra.microsoft.com/ Beim ersten Login müssen Sie noch die Microsoft Authenticator App einrichten. Installieren Sie die App auf Ihrem Smartphone und scannen Sie den QR-Code. Nachdem erfolgreichen einrichten, sehen Sie Ihr Admin-Konto in der Authenticator App| +| ![Picture01](../images/20-Picture8.png) |Wenn Sie nun Azure AD öffnen, sehen Sie die 20 vordefinierten Testbenutzer. Wir werden diese Benutzer aber nicht benötigen, sondern wollen nun eine Synchronisation aus unserer AD-Umgebung ins Azure einrichten.| +## AD Connect auf einem Domänencontroller installieren (1 Punkt) +| | | +| ----------- | ----------- | +| https://www.microsoft.com/en-us/download/details.aspx?id=47594 AD Connect V2 wurde im Oktober 2023 durch Microsoft veröffentlich. Das Setup hat etwas geändert. Lassen Sie sich dadurch aber nicht beirren. Die Schritt für Schritt Anleitung an dieser Stelle hier wird bei Gelegenheit aktualisiert. | Laden Sie die Datei AzureADConnect.msi herunter | +| | Installieren Sie das Paket AzureADConnect.msi | +| **IMAGE** | Wählen Sie Anpassen| +| ![Picture01](../images/20-Picture9.png) | Melden Sie sich nun mit dem Azure-AD Administrator an. | +| ![Picture01](../images/20-Picture10.png) | Evtl. öffnet sich ein Popup für die Authentifizierung mittels Authenticator App. | +| ![Picture01](../images/20-Picture11.png) | Wählen Sie Kennwort-Hashsynchronisierung| +| ![Picture01](../images/20-Picture12.png) | Sie sollten nun in der Lage sein, Ihre Gesamtstruktur für die Synchronisation auszuwählen | +| ![Picture01](../images/20-Picture13.png) | Erstellen Sie einen Benutzer für die Synchronisation z.B. “AdSyncAdmin” Geben Sie einen Benutzer an, der die Rolle Unternehmensadministrator» und “besitzt.| +| https://learn.microsoft.com/en-us/microsoft-365/enterprise/prepare-a-non-routable-domain-for-directory-synchronization?view=o365-worldwide | Fügen Sie einen weiteren UPN-Suffix hinzu | +| ![Picture01](../images/20-Picture14.png) | Starten Sie den Synchronisation Service und machen Sie einen Printscreen der letzten Synchronisation | +| **IMAGE** | Überprüfen Sie nach der erfolgreichen Synchronisation mit Azure AD, ob Sie Ihre lokalen User und Gruppen in Azure AD finden können. https://entra.microsoft.com/ Melden Sie sich mit dem Aussendienstbenutzer bei https://www.office.com/ an.| + + + + + + + + + + + + + + + + + + + + + diff --git a/Aufgaben/21 Windows Client zu Azure AD hinzufügen/Auftrag.md b/Aufgaben/21 Windows Client zu Azure AD hinzufügen/Auftrag.md new file mode 100644 index 0000000..35d3f36 --- /dev/null +++ b/Aufgaben/21 Windows Client zu Azure AD hinzufügen/Auftrag.md @@ -0,0 +1,59 @@ +# 21 Windows Client in Azure AD (2 Punkte) + +Damit Sie mit dieser Aufgabe starten können, müssen Sie Ihren Client aus der OnPremisis Umgebung erhausnehmen. + + + +Das hinzufügen eines lokalen Clients in Azure AD basiert auf zwei Schritten. Zuerst fügen Sie den Client in die Azure AD mittels Windows Boardmittel. Obwohl sich anschliessend User aus Azure AD am Windows Client anmelden können, kann der Client noch nicht mit Intune verwaltet werden. Dazu benötigen Sie eine Software namens «Company Portal». + + + + + +# Azure AD-Join (0.5 Punkte) + +Nachdem AD-Join können sich Benutzer von der Azure AD anmelden. + + +![Picture01](../images/21-Picture1.png) + + +![Picture01](../images/21-Picture2.png) + +### Ansicht Geräte im Azure Portal +https://portal.azure.com/#view/Microsoft_AAD_Devices/DevicesListBlade/mezzoEnabled~/true + +![Picture01](../images/21-Picture3.png) + + +![Picture01](../images/21-Picture4.png) + +# Intune Join (1.5 Punkte) + +## Company Portal installieren + + + +- Via PowerShell: +`winget install "company portal" --source msstore --accept-package-agreements --accept-source-agreements` + + +- Via Windows Store + - Suchen Sie nach «Company Portal» + +### Starten Sie die Applikation “Company Portal» +### Gerät zu Intune hinzufügen + +![Picture01](../images/21-Picture5.png) + + +![Picture01](../images/21-Picture6.png) + +### Überprüfen Sie, ob das Gerät bei Intune angezeigt wird + +![Picture01](../images/21-Picture7.png) + +### Führen Sie «dsregcmd /status» aus + + + diff --git a/Aufgaben/22 Deploy MSI mit Intune/Auftrag.md b/Aufgaben/22 Deploy MSI mit Intune/Auftrag.md new file mode 100644 index 0000000..2d54179 --- /dev/null +++ b/Aufgaben/22 Deploy MSI mit Intune/Auftrag.md @@ -0,0 +1,12 @@ +# 22 Deploy 7-ZIP in Intune as Win32 (3 Punkte) + + + +**Tutorial:** + +https://m365edutech.org/7-zip/ + + +**Link Microsoft Win32 Content Prep Tool** + +https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool diff --git a/Aufgaben/23 Sicherheitsgruppe mit Office Lizenz verknüpfen/Auftrag.md b/Aufgaben/23 Sicherheitsgruppe mit Office Lizenz verknüpfen/Auftrag.md new file mode 100644 index 0000000..6922b1f --- /dev/null +++ b/Aufgaben/23 Sicherheitsgruppe mit Office Lizenz verknüpfen/Auftrag.md @@ -0,0 +1,25 @@ +# 23 Lokale Sicherheitsgruppe Microsoft 365 E5 Lizenz verknüpfen (1 Punkt) + +- https://learn.microsoft.com/en-us/entra/identity/users/licensing-groups-assign + +- https://www.youtube.com/watch?v=Bn1CYcx1gC0 + + + + + +# Weisen Sie der Gruppe Aussendienst eine Microsoft 365 E5 Lizenz zu + +![Picture01](../images/23-Picture1.png) + +# Melden Sie sich mit dem Aussendienstbenutzer bei an und überprüfen Sie, dass Sie die Office Aplikationen zur Verfügung haben + +![Picture01](../images/23-Picture2.png) + +# Gehen Sie unter https://admin.microsoft.com und suchen Sie Ihren Aussendienstuser unter den zugewiesenen Lizenzen + +Vorher: 17 von 25 Lizenzen in Verwendung + +![Picture01](../images/23-Picture3.png) + +Nachher: 18 von 25 Lizenzen in Verwendung diff --git a/Aufgaben/24 Bitlocker Festplattenverschlüsselung/Auftrag.md b/Aufgaben/24 Bitlocker Festplattenverschlüsselung/Auftrag.md new file mode 100644 index 0000000..022e194 --- /dev/null +++ b/Aufgaben/24 Bitlocker Festplattenverschlüsselung/Auftrag.md @@ -0,0 +1,9 @@ +# 24_Bitlocker Festplattenverschlüsselung via Intune für Clients konfigurieren (2 Punkte) + +Um diese Aufgabe lösen zu können, muss euer Client von Intune in AzureAD verwaltet werden. + +- https://www.youtube.com/watch?v=D3BEF14wXbA + + +Für diese Aufgabe existiert noch kein Schritt für Schritt Anleitung. Jedoch könnt Ihr dem YouTube Video folgen, um herauszufinden, wie Ihr für das Aktivieren von Bitlocker vorgehen müsst. +