Active Directory: Deployment mit GPO-Management
Aufbau einer Active Directory Domain mit Gruppenrichtlinien, RODC und automatisierter Client-Konfiguration.
Active DirectoryWindows ServerGPOPowerShell
Tech Stack
Windows Server 2022Active DirectoryPowerShellDNSDHCP
Projektziel
Aufbau einer produktionsnahen Active Directory-Umgebung mit Best Practices für Sicherheit, Organisation und automatisierte Client-Verwaltung.Infrastruktur
- DC01: Primary Domain Controller (Windows Server 2022)
- DC02: Secondary DC für Redundanz
- RODC01: Read-Only DC für Außenstelle (simuliert)
- Clients: Windows 10/11 VMs
Implementierung
Domain-Design
- Domäne:
lab.local - OU-Struktur: Standorte → Abteilungen → Objekte
- Sicherheitsgruppen nach AGDLP-Prinzip
- Service Accounts mit managed Service Accounts (gMSA)
Group Policy Objects (GPO)
Sicherheit:- Passwort-Policy (Komplexität, Länge, Ablauf)
- Windows Firewall aktiviert
- BitLocker auf Laptops erzwingen
- AppLocker für Whitelisting
- Desktop-Hintergründe und Branding
- Software-Deployment via GPO
- Laufwerkszuordnung nach Gruppe
- Energieverwaltung
- Login-Events loggen
- Änderungen an AD-Objekten protokollieren
DNS & DHCP Integration
- AD-integriertes DNS
- Sichere dynamische Updates
- DHCP-Reservierungen für Server
- Option 006 (DNS) und 015 (Domain)
Automatisierung
PowerShell-Script für Bulk-User-Import aus CSV:- User anlegen mit korrekten Attributen
- Gruppen-Mitgliedschaften automatisch setzen
- Home-Verzeichnisse erstellen und berechtigen
Monitoring & Backup
- Windows Admin Center für Übersicht
- Veeam Backup für DC-VMs
- AD Recycle Bin aktiviert
Learnings
- FSMO-Rollen verstehen (wer macht was?)
- Replikation troubleshooten (repadmin)
- GPO-Vererbung und Blockierung
- Sicherheits-Best-Practices (Least Privilege, Tier-Modell)