Teil 27b: DirectAccess-Gruppenrichtlinienobjekte vorbereiten

Der Wizard von DirectAccess erstellt alle notwendigen Einstellungen für die erfolgreiche Verindung in Gruppenrichtlinienobjekten. Weil ich die Sicherheitsfilterung und die verknüpften OUs vorher festlegen möchte, muss ich die DirectAccess-Gruppenrichtlinienobjekte vorbereiten. Diese einfachen Schritte sind schnell erledigt.

DirectAccess-Gruppenrichtlinienobjekte vorbereiten – Schritte:

  • Sicherheitsgruppen in Active Directory erstellen
  • Gruppenrichtlinienobjekte erstellen und verknüpfen

Sicherheitsgruppen in Active Directory erstellen

Wie in Teil 27 beschrieben, werde ich drei Sicherheitsgruppen für DirectAccess erstellen. Damit auf den DirectAccess-Server keine anderen Gruppenrichtlinieneinstellungen wirken, erstelle ich eine eigene OU. Bei dieser OU werde ich dann die Vererbung deaktivieren.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk erweitern
  4. In der OU Sicherheitgruppen folgende Gruppen erstellen
    1. DirectAccess Computers
    2. DirectAccess Servers
    3. DirectAccess ISATAP
      DA_ADDS-001
  5. Das Computerobject CLIENT1 zur Gruppe DirectAccess Computers hinzufügen
  6. Das Computerobjekt DA1 zur Gruppe DirectAccess Servers und IIS Web Server hinzufügen
  7. In der OU Servers eine weitere OU DirectAccess erstellen
  8. Das Computerobject DA1 in die OU DirectAccess verschieben
    DA_ADDS-002
  9. Fenster schließen

Gruppenrichtlinienobjekte erstellen und verknüpfen

  1. Server Manager > Tools > Group Policy Management
  2. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Folgende Gruppenrichtlinienobjekte erstellen
    1. DirectAccess Computers Custom
    2. DirectAccess Computers Wizard
    3. DirectAccess Servers
    4. DirectAccess ISATAP

  4. Folgende Sicherheitsfilter konfigurieren
    1. DirectAccess Computers Custom > DirectAccess Computers
    2. DirectAccess Computers Wizard > DirectAccess Computers
      DA_ADDS-003
    3. DirectAccess Servers > DirectAccess Servers
      DA_ADDS-005
    4. DirectAccess ISATAP > DirectAccess ISATAP
      DA_ADDS-004
  5. Folgende Gruppenrichtlinienobjekte auf die OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
    1. DirectAccess Computers Custom
    2. DirectAccess Computers Wizard
    3. DirectAccess ISATAP
  6. In der Reihenfolge darauf achten, dass DirectAccess Computers Custom nach DirectAccess Computers Wizard abgearbeitet wird (von unten nach oben!)
    DA_ADDS-006
  7. Das Gruppenrichtlinienobject DirectAccess Servers auf die OU Einfaches-Netzwerk\Servers\DirectAccess verknüpfen
  8. Die OU Einfaches-Netzwerk\Servers\DirectAccess rechts anklicken > Block Inheritance
    DA_ADDS-007
  9. Das blaue Rufzeichen bei der OU symbolisiert die Blockierung der Vererbung
    DA_ADDS-008
  10. Kontrolle auf DA1
    DA_ADDS-009
  11. Alle Fenster schließen

DirectAccess-Gruppenrichtlinienobjekte vorbereiten ist soweit fertig. Als nächstes werde ich die Zertifikate konfigurieren. Dafür verwende ich meine bestehende Two-Tier PKI Hierachy wie in Teil 26 und Teil 26a beschrieben.

CC BY-NC-SA 4.0 Teil 27b: DirectAccess-Gruppenrichtlinienobjekte vorbereiten von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.