[{"data":1,"prerenderedAt":1250},["ShallowReactive",2],{"content-\u002Ffaecher\u002Fbsa\u002F5-6-zsmf-sa2":3},{"id":4,"title":5,"body":6,"class":1233,"description":82,"extension":1234,"meta":1235,"navigation":1236,"path":1238,"pdfDownload":1239,"scope":1240,"scopeName":1241,"seo":1242,"stem":1243,"subject":1244,"subjectName":1245,"type":1246,"typeName":1247,"year":1248,"__hash__":1249},"faecher\u002Ffaecher\u002Fbsa\u002F5-6-zsmf-sa2.md","Zusammenfassung – Schulaufgabe 2",{"type":7,"value":8,"toc":1190},"minimark",[9,14,19,43,48,64,68,72,76,106,109,112,115,124,127,130,133,136,140,144,165,169,233,297,301,319,324,328,350,354,370,374,410,424,428,541,545,549,552,556,559,581,585,604,608,635,639,672,676,693,697,713,717,736,740,780,784,787,791,799,803,806,810,821,825,841,844,858,862,867,878,882,890,894,899,903,957,960,976,980,1016,1020,1042,1046,1050,1058,1062,1070,1074,1093,1097,1113,1117,1128,1132,1146,1150,1161,1165,1169,1177,1181,1186],[10,11,13],"h1",{"id":12},"active-directory","Active-Directory",[15,16,18],"h2",{"id":17},"verwaltete-dienstkonten","Verwaltete Dienstkonten",[20,21,22,26,29,32],"ul",{},[23,24,25],"li",{},"Konten für Dienste",[23,27,28],{},"Interaktive Anmelden mit diesen Konten nicht möglich",[23,30,31],{},"Bsp.: SYSTEM",[23,33,34,35],{},"Anwendungen\n",[20,36,37,40],{},[23,38,39],{},"Datenbankserver",[23,41,42],{},"ERP-Server (SAP-Server)",[44,45,47],"h3",{"id":46},"gruppenverwaltete-dienstkonten","Gruppenverwaltete Dienstkonten",[20,49,50,53],{},[23,51,52],{},"Dienstkonten, die sich an verschiedenen Servern mit den gleichen Daten anmelden",[23,54,55,56],{},"Typen:\n",[20,57,58,61],{},[23,59,60],{},"Sicherheit: Gruppen, die Zugriffsrechte regeln (z.B. im Dateisystem)",[23,62,63],{},"Verteilung: Mailverteiler",[10,65,67],{"id":66},"powershell","PowerShell",[15,69,71],{"id":70},"user-anlegen","User anlegen",[73,74,75],"p",{},"$password = ConvertTo-SecureString \"LarsStinkt\" -AsPlainText -Force",[77,78,83],"pre",{"className":79,"code":80,"language":81,"meta":82,"style":82},"language-bash shiki shiki-themes github-light github-dark","New-ADUser -Name \"Max Mustermann\" `\n\n","bash","",[84,85,86],"code",{"__ignoreMap":82},[87,88,91,95,99,103],"span",{"class":89,"line":90},"line",1,[87,92,94],{"class":93},"sScJk","New-ADUser",[87,96,98],{"class":97},"sj4cs"," -Name",[87,100,102],{"class":101},"sZZnC"," \"Max Mustermann\"",[87,104,105],{"class":101}," `\n",[73,107,108],{},"-GivenName \"Max\" `",[73,110,111],{},"-Surname \"Mustermann\" `",[73,113,114],{},"-SamAccountName \"mmustermann\" `",[73,116,117,118,123],{},"-UserPrincipalName \"",[119,120,122],"a",{"href":121},"mailto:mmustermann@domain.local","mmustermann@domain.local","\" `",[73,125,126],{},"-Path \"OU=IT,DC=domain,DC=local\" `",[73,128,129],{},"-AccountPassword $password `",[73,131,132],{},"-ChangePasswordAtLogon $true `",[73,134,135],{},"-Enabled $true",[15,137,139],{"id":138},"ou-anlegen","OU anlegen",[44,141,143],{"id":142},"root-ou","Root-OU",[77,145,147],{"className":79,"code":146,"language":81,"meta":82,"style":82},"New-ADOrganizationalUnit -Name \"IT\" -Path \"DC=domain,DC=local\"\n\n",[84,148,149],{"__ignoreMap":82},[87,150,151,154,156,159,162],{"class":89,"line":90},[87,152,153],{"class":93},"New-ADOrganizationalUnit",[87,155,98],{"class":97},[87,157,158],{"class":101}," \"IT\"",[87,160,161],{"class":97}," -Path",[87,163,164],{"class":101}," \"DC=domain,DC=local\"\n",[44,166,168],{"id":167},"sub-ou","Sub-OU",[77,170,172],{"className":79,"code":171,"language":81,"meta":82,"style":82},"New-ADOrganizationalUnit -Name \"Support\" -Path \"OU=IT,DC=domain,DC=local\"\n\n# Gruppenrichtlinien\n\n- Konfigurationsanweisungen -> Einstellungen werden erzwungen\n",[84,173,174,188,195,202,207],{"__ignoreMap":82},[87,175,176,178,180,183,185],{"class":89,"line":90},[87,177,153],{"class":93},[87,179,98],{"class":97},[87,181,182],{"class":101}," \"Support\"",[87,184,161],{"class":97},[87,186,187],{"class":101}," \"OU=IT,DC=domain,DC=local\"\n",[87,189,191],{"class":89,"line":190},2,[87,192,194],{"emptyLinePlaceholder":193},true,"\n",[87,196,198],{"class":89,"line":197},3,[87,199,201],{"class":200},"sJ8bj","# Gruppenrichtlinien\n",[87,203,205],{"class":89,"line":204},4,[87,206,194],{"emptyLinePlaceholder":193},[87,208,210,213,216,220,224,227,230],{"class":89,"line":209},5,[87,211,212],{"class":93},"-",[87,214,215],{"class":101}," Konfigurationsanweisungen",[87,217,219],{"class":218},"sVt8B"," -",[87,221,223],{"class":222},"szBVR",">",[87,225,226],{"class":101}," Einstellungen",[87,228,229],{"class":101}," werden",[87,231,232],{"class":101}," erzwungen\n",[20,234,235,238,252,278,286,289],{},[23,236,237],{},"Konfigurationsanweisungen -> Einstellungen werden erzwungen",[23,239,240,241],{},"Vorteile:\n",[20,242,243,246,249],{},[23,244,245],{},"Handlungsmöglichkeiten von Nutzern festlegen",[23,247,248],{},"Verwaltungsaufwand senken",[23,250,251],{},"Aufrechterhaltung von Computerkonfigurationen",[23,253,254,255],{},"Einsatz:\n",[20,256,257,260,263,266,269,272,275],{},[23,258,259],{},"Registry-Einträge überschreiben",[23,261,262],{},"Kennwortrichtlinie",[23,264,265],{},"RDP-Anmeldung",[23,267,268],{},"Softwareinstallation",[23,270,271],{},"Ordnerumleitung",[23,273,274],{},"Netzlaufwerk einbinden",[23,276,277],{},"Skript-Ausführung",[23,279,280,281],{},"Lokale Richtlinien: Konfiguration des lokalen Systems\n",[20,282,283],{},[23,284,285],{},"Keine Auswirkung auf die Domäne",[23,287,288],{},"Standort-, Domänen-, OU-Richtlinien: Wirken auf alle Nutzer innerhalb des gewählten Scopes",[23,290,291,292],{},"In Gruppenrichtlinienverwaltung können neue Vorlagen für Gruppenrichtlinien erstellt werden\n",[20,293,294],{},[23,295,296],{},"Werden erst aktiv, wenn sie an einen Scope verknüpft werden",[15,298,300],{"id":299},"anwendungsreihenfolge","Anwendungsreihenfolge",[302,303,304,307,310,313,316],"ol",{},[23,305,306],{},"Lokale Richtlinien",[23,308,309],{},"Multi-Lokale Richtlinien",[23,311,312],{},"Standortrichtlinie (Site)",[23,314,315],{},"Domänenrichtlinie (Domain)",[23,317,318],{},"OU-Richtlinie – übergeordnet zu untergeordnet",[20,320,321],{},[23,322,323],{},"Last-Write-Wins: Spätere Richtlinien überschreiben vorherige Richtlinien",[10,325,327],{"id":326},"freigaben","Freigaben",[20,329,330,344,347],{},[23,331,332,333],{},"SMB\n",[20,334,335,338,341],{},[23,336,337],{},"Windows-Freigabe",[23,339,340],{},"Netzwerkprotokoll für Dateizugriff",[23,342,343],{},"Aktuelle Version: SMBv3",[23,345,346],{},"NFS: Linux-Freigabe",[23,348,349],{},"Freigabe über Explorer\u002FServer-Manager",[15,351,353],{"id":352},"berechtigungen","Berechtigungen",[20,355,356,359],{},[23,357,358],{},"Vererbung: Rechte werden von übergeordneter Instanz übernommen",[23,360,361,362],{},"Einträge werden von oben nach unten abgearbeitet\n",[20,363,364,367],{},[23,365,366],{},"Oben: Verweigern",[23,368,369],{},"Unten: Zulassen",[15,371,373],{"id":372},"access-control-lists-acls","Access Control Lists (ACLs)",[20,375,376,379,393,407],{},[23,377,378],{},"Geordnete Liste von Zugriffseinträgen (ACEs)",[23,380,381,382],{},"Access Control Entry (ACE)\n",[20,383,384,387,390],{},[23,385,386],{},"SID des Nutzers oder der Gruppe",[23,388,389],{},"Spezifizierte Rechte",[23,391,392],{},"Bit zur Entscheidung der Vererbung",[23,394,395,396],{},"Abarbeitung ist beendet, wenn\n",[20,397,398,401,404],{},[23,399,400],{},"Explizit zugelassen",[23,402,403],{},"Explizit verweigert",[23,405,406],{},"Alle ACEs durchgelaufen",[23,408,409],{},"Reihenfolge der Abarbeitung",[302,411,412,415,418,421],{},[23,413,414],{},"ACEs die explizit verweigern",[23,416,417],{},"ACEs die explizit erlauben",[23,419,420],{},"ACEs die vererbt verweigern",[23,422,423],{},"ACEs die vererbt erlauben",[15,425,427],{"id":426},"gruppenrechtevergabe","Gruppenrechtevergabe",[429,430,431,459],"table",{},[432,433,434],"thead",{},[435,436,437,444,449,454],"tr",{},[438,439,440],"th",{},[441,442,443],"strong",{},"Gruppenart",[438,445,446],{},[441,447,448],{},"Lokale Gruppe",[438,450,451],{},[441,452,453],{},"Globale Grupp",[438,455,456],{},[441,457,458],{},"Universelle Gruppe",[460,461,462,480,495,511,526],"tbody",{},[435,463,464,471,474,477],{},[465,466,467],"td",{},[468,469,470],"em",{},"Sichtbarkeit",[465,472,473],{},"Sichtbar nur in lokaler Domäne",[465,475,476],{},"Auch außerhalb der eigenen Domäne sichtbar",[465,478,479],{},"Überall",[435,481,482,487,490,493],{},[465,483,484],{},[468,485,486],{},"Mitgliederherkunft",[465,488,489],{},"Aus allen Domänen",[465,491,492],{},"Aus eigener Domäne",[465,494,489],{},[435,496,497,502,505,508],{},[465,498,499],{},[468,500,501],{},"Mitgliedertypen",[465,503,504],{},"Mitglieder und Gruppen",[465,506,507],{},"Keine anderen Gruppen",[465,509,510],{},"Benutzer und Gruppen",[435,512,513,518,521,524],{},[465,514,515],{},[468,516,517],{},"Berechtigung",[465,519,520],{},"Innerhalb eigener Domäne",[465,522,523],{},"In beliebiger Domäne",[465,525,523],{},[435,527,528,533,536,538],{},[465,529,530],{},[468,531,532],{},"Bemerkung",[465,534,535],{},"Zusammenfassen globaler Gruppen möglich",[465,537],{},[465,539,540],{},"Alle Informationen stehen im globalen Katalog, werden repliziert und produzieren damit Netzlast",[15,542,544],{"id":543},"agdlp-regel","AGDLP-Regel",[44,546,548],{"id":547},"problem","Problem",[73,550,551],{},"Admin sieht nicht direkt welche Rechte für einen User aktiv sind",[44,553,555],{"id":554},"lösung","Lösung",[73,557,558],{},"AGDLP: Accounts Global, Domain Local, Permission",[20,560,561,564,567],{},[23,562,563],{},"Freigaben werden nur an lokale Gruppen vergeben, die nur dafür zuständig sind",[23,565,566],{},"Lokale Gruppen werden entsprechend ihres Zwecks und der damit verbundenen Rechte benannt",[23,568,569,570],{},"Beispiel:\n",[20,571,572,575,578],{},[23,573,574],{},"Lokale Gruppe „Share-Verwaltung“ wird auf die Freigabe \\server\\Verwaltung berechtigt",[23,576,577],{},"Die globale Gruppe „Verwaltung wird Mitglied der lokalen Gruppe und bekommt somit die Rechte auf die Freigabe",[23,579,580],{},"In der globalen Gruppe sind die tatsächlichen User der Verwaltung",[15,582,584],{"id":583},"sysvol","SYSVOL",[20,586,587],{},[23,588,589,590],{},"Freigabe in der Dateien mit Domäneneinstellungen geteilt werden\n",[20,591,592,595,598,601],{},[23,593,594],{},"Logon-Scripts",[23,596,597],{},"Gruppenrichtlinien",[23,599,600],{},"File-Replication-Service",[23,602,603],{},"Junction-Points: Ähnlich wie eine Verlinkung",[10,605,607],{"id":606},"domain-name-system-dns","Domain Name System (DNS)",[20,609,610,613,616,619,622],{},[23,611,612],{},"DNS-Server: Zuordnung von FQDNs zu IP-Adressen und umgekehrt",[23,614,615],{},"Alternative unter Windows: NetBIOS",[23,617,618],{},"Hierarchische Gliederung – Getrennt durch Punkte",[23,620,621],{},"Abfrage läuft Hierarchisch ab -> Anfragen werden weitergeleitet",[23,623,624,625],{},"AD-Domain = DNS-Domain (Domänencontroller oft auch DNS-Server)\n",[20,626,627],{},[23,628,629,630],{},"Bei Vertrauensstellungen zwischen Domänen muss DNS-Auflösung domänenübergreifend funktionieren\n",[20,631,632],{},[23,633,634],{},"In Zonendatei werden Delegierungen für Subdomänen und andere Domänen angelegt",[15,636,638],{"id":637},"zonendatei","Zonendatei",[20,640,641,652,655],{},[23,642,643,644],{},"Enthält gesamten Inhalt einer Domäne\n",[20,645,646,649],{},[23,647,648],{},"Autoritätsursprung (SOA): Eintrag für primären DNS-Server und Einstellungen z.B. zum Zonentransfer",[23,650,651],{},"Verschiedenste Records: NS, A, AAAA, PTR, CNAME, SRV, MX",[23,653,654],{},"Ein Primary-Server (Master) und beliebig viele Secondary-Server (Slave)",[23,656,657,658],{},"Replikationsmethoden\n",[20,659,660,663,666,669],{},[23,661,662],{},"Vollständige Zonenübertragung: Gesamte Zonendatei auf Slaves übertragen",[23,664,665],{},"Inkrementelle Zonenübertragung: Nur Änderungen werden auf Slaves übertragen",[23,667,668],{},"Benachrichtigung vom Master: Nach Veränderung benachrichtigt Master alle Slaves",[23,670,671],{},"Slave veranlasst Zonenübertragung: Slave fragt bei Master nach Änderungen",[15,673,675],{"id":674},"abfragenablauf","Abfragenablauf",[302,677,678,681,684,687,690],{},[23,679,680],{},"Client prüft, ob Hostname bereits in der lokalen Hostdatei enthalten ist",[23,682,683],{},"Wenn nicht wird rekursives Forward-Lookup-Request an den primären DNS-Server gesendet",[23,685,686],{},"DNS-Server prüft, ob er eine Zone für die angefragte Domain hat, wenn ja: Autoritativ Antwort zurück",[23,688,689],{},"Wenn der DNS-Server keine passende Zone hat prüft er den Cache -> Cache-Hit: Nicht-Autoritative Antwort zurück",[23,691,692],{},"Wenn auch im Cache nichts vorhanden ist wird die Anfragen an den Root-Server weitergeleitet",[15,694,696],{"id":695},"antwortarten","Antwortarten",[20,698,699,702],{},[23,700,701],{},"Autoritativ: Server hat Antwort in lokaler Zonendatei",[23,703,704,705],{},"Nicht Autoritativ: Antwort obwohl Server nicht zuständig ist\n",[20,706,707,710],{},[23,708,709],{},"Rekursiv: Server holt die Daten von einem anderen DNS-Server",[23,711,712],{},"Iterativ: Server antwortet mit einem Verweis auf einen anderen DNS-Server",[10,714,716],{"id":715},"dhcp-dynamic-host-configuration-protocol","DHCP: Dynamic Host Configuration Protocol",[20,718,719,722,725,728],{},[23,720,721],{},"Automatisierte Zuweisung von Netzwerkeinstellungen wie IP-Adresse, Subnetzmaske, Gateway und DNS-Server",[23,723,724],{},"Gegenstück ist die statische Adressierung",[23,726,727],{},"DHCP-Netzwerkgeräte fordern beim Verbinden zum Netzwerk DHCP-Daten an",[23,729,730,731],{},"Die DHCP-Daten haben eine definierte Gültigkeitsdauer (Lease-Dauer)\n",[20,732,733],{},[23,734,735],{},"Nach Ablauf werden die Daten neu angefordert",[15,737,739],{"id":738},"ablauf-dora","Ablauf (DORA)",[302,741,742,748,754,760],{},[23,743,744,747],{},[441,745,746],{},"Discover"," (Broadcast): Client sendet DHCP-Discover beim booten bzw. beim Herstellen einer Verbindung in einem Netzwerk",[23,749,750,753],{},[441,751,752],{},"Offer",": Ein DHCP-Server, der den Discover-Broadcast erhalten hat antwortet mit einem DHCP-Offer, in dem die Netzwerkdaten über eine bestimmte Lease-Dauer enthalten sind",[23,755,756,759],{},[441,757,758],{},"Request"," (Broadcast): Da ggf. mehrere DHCP-Server auf den Discover ein Offer senden muss der Client ein Offer wählen und es mit einem entsprechenden Request bestätigen. Das Paket ist ein Broadcast um ggf. anderen DHCP-Servern mitzuteilen für welches Offer sich der Client entschieden hat.",[23,761,762,765],{},[441,763,764],{},"Ack",[302,766,767,770],{},[23,768,769],{},"Wenn die angebotene Adresse aus dem Offer am Server noch verfügbar ist antwortet dieser mit einer entsprechenden Bestätigung",[23,771,772,773,776,777,779],{},"Ist die angebotene Adresse nicht mehr verfügbar antwortet der Server mit einer negativen Bestätigung (",[441,774,775],{},"NAK","). Das DHCP-Verfahren beginnt am Client mit einem ",[441,778,746],{}," von vorne.",[15,781,783],{"id":782},"lease-verlängerung","Lease Verlängerung",[73,785,786],{},"Funktioniert nur innerhalb eines Lease Zeitraums",[44,788,790],{"id":789},"ablauf","Ablauf",[302,792,793,796],{},[23,794,795],{},"DHCP-Request (Unicast): Eine direkte Anforderung an den DHCP-Server von dem das aktuelle Lease ist. Erhält der Client in einem bestimmten Zeitabstand keine Antwort sendet er das Request als Broadcast um andere verfügbare DHCP-Server zu erreichen.",[23,797,798],{},"DHCP-Ack (Unicast): Der Server bestätigt die Verlängerung",[10,800,802],{"id":801},"authentifizierung","Authentifizierung",[73,804,805],{},"Echtheit bezeugen bei der Kommunikation zwischen Server und Client",[15,807,809],{"id":808},"password-authentication-protocol-pap","Password Authentication Protocol (PAP)",[20,811,812,815,818],{},[23,813,814],{},"Client sendet Username und Passwort im Klartext",[23,816,817],{},"Server akzeptiert bei korrekten Credentials",[23,819,820],{},"Nachteil: Credentials können sehr leicht abgehört werden",[15,822,824],{"id":823},"new-technology-lan-manager-ntlm","New Technology LAN Manager (NTLM)",[20,826,827,830],{},[23,828,829],{},"Vorteil: Weder Passwort noch Passworthash werden im Klartext übertragen",[23,831,832,833],{},"Problem:\n",[20,834,835,838],{},[23,836,837],{},"Viele Anfragen -> Große Verwaltungslast durch Authentifizierungsprozess",[23,839,840],{},"Keine MFA-Unterstützung",[44,842,790],{"id":843},"ablauf-1",[302,845,846,849,852,855],{},[23,847,848],{},"Negotiate: Client sendet Anfrage mit Benutzernamen und Payload an Server",[23,850,851],{},"Challenge: Server generiert Zufallszahl und sendet diese an den Client",[23,853,854],{},"Authenticate: Client verschlüsselt die Zufallszahl mit DES und dem NT-Hash des eigenen Passworts als Schlüssel und sendet zurück an den Server. Damit beweist er, dass er das Passwort kennt.",[23,856,857],{},"Server führt parallel den gleichen Vorgang durch und gleicht die Ergebnisse ab. Server hat Zugriff auf den NT-Hash durch eigene SAM-Datenbank oder er leitet das Challenge\u002FResponse-Paar zur Validierung an den DC weiter",[44,859,861],{"id":860},"angriffsvektoren","Angriffsvektoren",[863,864,866],"h4",{"id":865},"pass-the-hash","Pass the Hash",[20,868,869,872,875],{},[23,870,871],{},"Sobald ein Angreifer an den NT-Hash und den passenden Username gekommen ist kann er die Authentifizierung durchführen -> Es wird kein Passwort benötigt",[23,873,874],{},"NT-Hash entweder aus lokaler SAM-Datei oder aus dem Arbeitsspeicher",[23,876,877],{},"Username wird oft im Klartext übertragen",[863,879,881],{"id":880},"brute-force","Brute-Force",[20,883,884,887],{},[23,885,886],{},"Hash-Algorithmus wird ohne Salt (Zufällige Zeichenkette am Ende des Passworts, vor der Verschlüsselung) verwendet",[23,888,889],{},"Mithilfe eines Rainbow-Tables können leicht Brute-Force-Angriffe durchgeführt werden",[863,891,893],{"id":892},"ntlm-relay","NTLM-Relay",[20,895,896],{},[23,897,898],{},"Client kann die Identität des Servers nicht prüfen -> Angreifer kann sich als Server ausgeben (Man in the Middle)",[15,900,902],{"id":901},"kerberos","Kerberos",[20,904,905,908,922,948,951,954],{},[23,906,907],{},"Standard-Authentifizierungsprotokoll im AD",[23,909,910,911],{},"Beteiligte Parteien:\n",[20,912,913,916,919],{},[23,914,915],{},"Client: Fordert Ressource an",[23,917,918],{},"Service-Server: Den der Client nutzen möchte",[23,920,921],{},"Kerberos-Server\u002FKey Distribution Center (KDC): Stellt Authentifizierung zur Verfügung",[23,923,924,925],{},"Wichtige Komponenten:\n",[20,926,927,938],{},[23,928,929,930],{},"Ticket Granting Ticket (TGT): Ticket\u002FBerechtigung mit dem man weitere Tickets\u002FBerechtigungen erhalten kann (Vgl. Ticket für den Einlass zum Park)\n",[20,931,932,935],{},[23,933,934],{},"Hat bestimmte Lebensdauer",[23,936,937],{},"Wird mit Passwort des krbtgt-Accounts verschlüsselt",[23,939,940,941],{},"TGS\u002FServiceticket: Ticket\u002FBerechtigung für die Nutzung einer bestimmten Ressource\u002Feines Services (Vgl. Ticket für das Fahrgeschäft)\n",[20,942,943,945],{},[23,944,934],{},[23,946,947],{},"Wird mit Passwort des angefragten Service-Nutzers verschlüsselt",[23,949,950],{},"Durch Ticketsystem kann der Client selbst die Authentifizierung durchführen ohne den DC",[23,952,953],{},"Es werden auch keine Passwort-Hashes verschickt",[23,955,956],{},"Zeitsynchronisation zwischen Client und KDC ist Voraussetzung",[44,958,790],{"id":959},"ablauf-2",[302,961,962,965],{},[23,963,964],{},"Nutzer meldet sich am PC an",[23,966,967,968],{},"Anmeldedaten werden an den DC übergeben\n",[302,969,970,973],{},[23,971,972],{},"Client erhält TGT vom DC.",[23,974,975],{},"Client kann sich mit TGT am KDC authentifizieren und TGS lösen",[863,977,979],{"id":978},"beispiel-webaufruf","Beispiel Webaufruf",[302,981,982,985,993,996,999,1010,1013],{},[23,983,984],{},"Client verwendet Webbrowser um Verbindung zum Server aufzubauen. Vorerst Anonym.",[23,986,987,988],{},"Server antwortet mit HTTP-Status 401 (Unauthorized) und fordert Client zur Anmeldung auf.\n",[302,989,990],{},[23,991,992],{},"Durch die Aufforderung erhält der Client den Namen der Ressource für die er ein Ticket braucht",[23,994,995],{},"Der Client verlangt am KDC nach einem TGS für die entsprechende Ressource",[23,997,998],{},"KDC sucht im AD nach der angeforderten Ressource (über ServicePrincipalName)",[23,1000,1001,1002],{},"KDC stellt TGS auf den Namen und mit den Daten des Benutzers aus. TGS wird signiert und an den Client übergeben\n",[302,1003,1004,1007],{},[23,1005,1006],{},"Client speichert TGS im Cache",[23,1008,1009],{},"TGS ist mit dem Passwort des Service-Benutzers verschlüsselt. Dieses Passwort kennt der Webserver ebenfalls.",[23,1011,1012],{},"Client stellt die Anfrage an den Webserver erneut und übergibt das TGS dabei an den Webserver.",[23,1014,1015],{},"Der Webserver vertraut dem KDC und kann somit unabhängig das Ticket validieren",[10,1017,1019],{"id":1018},"betriebsmasterrollen-flexible-single-master-operations-fsmos","Betriebsmasterrollen \u002F Flexible Single Master Operations (FSMOs)",[20,1021,1022,1025,1033,1036,1039],{},[23,1023,1024],{},"AD kann über mehrere DCs verteilt sein",[23,1026,1027,1028],{},"Jeder DC darf Objekte im AD anlegen\n",[20,1029,1030],{},[23,1031,1032],{},"Es gilt „last write wins“ -> Nur der letzte Schreibvorgang ist gültig",[23,1034,1035],{},"FSMOs sind Aufgaben die eine zentrale Instanz benötigen, da ein Konflikt fatal wäre",[23,1037,1038],{},"FSMOs: Spezielle Aufgaben innerhalb einer Domäne, die auf verschiedene Server verteilt werden können",[23,1040,1041],{},"FSMOs sind immer einmalig (Gesamtstruktur\u002FDomäne)",[15,1043,1045],{"id":1044},"auflistung","Auflistung",[44,1047,1049],{"id":1048},"domain-naming-master-gesamtstruktur","Domain Naming Master (Gesamtstruktur)",[20,1051,1052,1055],{},[23,1053,1054],{},"Zuständig für (Sub-)Domainnamen",[23,1056,1057],{},"Muss neue Domainnamen freigeben",[44,1059,1061],{"id":1060},"schema-master-gesamtstruktur","Schema Master (Gesamtstruktur)",[20,1063,1064,1067],{},[23,1065,1066],{},"Zwingend gleicher Server wie Domain Naming Master",[23,1068,1069],{},"Definiert Klassen-Schablone für AD-Objekte",[44,1071,1073],{"id":1072},"relative-id-master-domäne","Relative ID Master (Domäne)",[20,1075,1076,1079,1090],{},[23,1077,1078],{},"Sorgt dafür, dass RID eindeutig ist",[23,1080,1081,1082],{},"SID besteht vereinfacht aus:\n",[20,1083,1084,1087],{},[23,1085,1086],{},"Local-ID",[23,1088,1089],{},"Relative-ID",[23,1091,1092],{},"SIDs identifizieren Objekte im AD",[44,1094,1096],{"id":1095},"primary-domain-controller-pdc-emulator-domäne","Primary Domain Controller (PDC) Emulator (Domäne)",[20,1098,1099,1107,1110],{},[23,1100,1101,1102],{},"Problem: Replikation des Ads dauert sehr lange\n",[20,1103,1104],{},[23,1105,1106],{},"Passwortänderungen sind erst nach langer Zeit aktiv",[23,1108,1109],{},"PDC-Emulator zieht Passwortänderungen vor",[23,1111,1112],{},"Bei fehlerhaftem Anmeldeversuch: PDC-Emulator wird befragt ob Passwort gültig ist",[44,1114,1116],{"id":1115},"domain-infrastructure-master-domäne","Domain Infrastructure Master (Domäne)",[20,1118,1119,1122,1125],{},[23,1120,1121],{},"Stellt referentielle Integrität zwischen verlinkten Objekten sicher",[23,1123,1124],{},"Bsp.: Bei Gruppen und Mitgliedern: Attribute „Members“ und „MemberOf“ müssen übereinstimmen",[23,1126,1127],{},"DIM sorgt dafür, dass Änderung eines Attributs in das andere nachgezogen wird",[10,1129,1131],{"id":1130},"just-enough-administration-jea","Just Enough Administration (JEA)",[20,1133,1134,1137,1140,1143],{},[23,1135,1136],{},"Administrative Mitarbeiter sollen nur die minimalen Rechte für bestimmte Arbeiten erhalten",[23,1138,1139],{},"Unter PowerShell: User kann nur bestimmte CMDlets ausführen",[23,1141,1142],{},"Rechte werden in Role Capability Files (.psrc) gespeichert",[23,1144,1145],{},"Funktioniert nur in Bereichen für die es entsprechend auch PowerShell-Befehle gibt",[10,1147,1149],{"id":1148},"just-in-time-administration-jit","Just-In-Time Administration (JIT)",[20,1151,1152,1155,1158],{},[23,1153,1154],{},"Nur temporäres freigeben von administrativen Berechtigungen",[23,1156,1157],{},"Administrative Fähigkeiten werden nur auf Anfrage erlangt",[23,1159,1160],{},"Zur Verwaltung der Time-To-Live wird ein TGT von Kerberos verwendet. Privilegierter Zugriff ist nur möglich solange das TGT gültig ist.",[10,1162,1164],{"id":1163},"offene-punkte","Offene Punkte",[15,1166,1168],{"id":1167},"nur-klick-für-klick-anleitungen","Nur Klick-Für-Klick Anleitungen",[20,1170,1171,1174],{},[23,1172,1173],{},"Freigaben und Gruppenrichtlinien: Netzlaufwerk freigeben, Software installieren, Skript beim Start ausführen",[23,1175,1176],{},"User Homes",[15,1178,1180],{"id":1179},"unbekanntes-thema","Unbekanntes Thema",[20,1182,1183],{},[23,1184,1185],{},"NTLM für Service Server",[1187,1188,1189],"style",{},"html pre.shiki code .sScJk, html code.shiki .sScJk{--shiki-default:#6F42C1;--shiki-dark:#B392F0}html pre.shiki code .sj4cs, html code.shiki .sj4cs{--shiki-default:#005CC5;--shiki-dark:#79B8FF}html pre.shiki code .sZZnC, html code.shiki .sZZnC{--shiki-default:#032F62;--shiki-dark:#9ECBFF}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html pre.shiki code .sJ8bj, html code.shiki .sJ8bj{--shiki-default:#6A737D;--shiki-dark:#6A737D}html pre.shiki code .sVt8B, html code.shiki .sVt8B{--shiki-default:#24292E;--shiki-dark:#E1E4E8}html pre.shiki code .szBVR, html code.shiki .szBVR{--shiki-default:#D73A49;--shiki-dark:#F97583}",{"title":82,"searchDepth":190,"depth":190,"links":1191},[1192,1195,1196,1200,1201,1202,1203,1204,1208,1209,1210,1211,1212,1213,1216,1217,1221,1224,1231,1232],{"id":17,"depth":190,"text":18,"children":1193},[1194],{"id":46,"depth":197,"text":47},{"id":70,"depth":190,"text":71},{"id":138,"depth":190,"text":139,"children":1197},[1198,1199],{"id":142,"depth":197,"text":143},{"id":167,"depth":197,"text":168},{"id":299,"depth":190,"text":300},{"id":352,"depth":190,"text":353},{"id":372,"depth":190,"text":373},{"id":426,"depth":190,"text":427},{"id":543,"depth":190,"text":544,"children":1205},[1206,1207],{"id":547,"depth":197,"text":548},{"id":554,"depth":197,"text":555},{"id":583,"depth":190,"text":584},{"id":637,"depth":190,"text":638},{"id":674,"depth":190,"text":675},{"id":695,"depth":190,"text":696},{"id":738,"depth":190,"text":739},{"id":782,"depth":190,"text":783,"children":1214},[1215],{"id":789,"depth":197,"text":790},{"id":808,"depth":190,"text":809},{"id":823,"depth":190,"text":824,"children":1218},[1219,1220],{"id":843,"depth":197,"text":790},{"id":860,"depth":197,"text":861},{"id":901,"depth":190,"text":902,"children":1222},[1223],{"id":959,"depth":197,"text":790},{"id":1044,"depth":190,"text":1045,"children":1225},[1226,1227,1228,1229,1230],{"id":1048,"depth":197,"text":1049},{"id":1060,"depth":197,"text":1061},{"id":1072,"depth":197,"text":1073},{"id":1095,"depth":197,"text":1096},{"id":1115,"depth":197,"text":1116},{"id":1167,"depth":190,"text":1168},{"id":1179,"depth":190,"text":1180},"5-6","md",{},{"title":1237},"Zusammenfassung – Schulaufgabe 2 (2024\u002F2025)","\u002Ffaecher\u002Fbsa\u002F5-6-zsmf-sa2","\u002Fdownloads\u002FBSA\u002FBSA_5-6_ZSMF_SA2.pdf","SA2","Schulaufgabe 2",{"title":5,"description":82},"faecher\u002Fbsa\u002F5-6-zsmf-sa2","BSA","Betriebssysteme und Administration","ZSMF","Zusammenfassung","2024\u002F2025","I9JuvyQtKKbEu_FTZ5wR7TPK8bffyEYdpKQhJCFtZeQ",1778676320557]