Bei der Installation von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) müssen Sie die Anmeldeinformationen eines Domänenbenutzerkontos bereitstellen, das über ausreichende Rechte für die Bereitstellungskonfiguration verfügt, die Sie für den Domänencontroller auswählen, z. B. eine neue Gesamtstruktur, eine neue Domäne oder einen zusätzlichen Domänencontroller für eine bestehende Domäne. Mit dem Assistenten zum Installieren von Active Directory-Domänendiensten werden auch die von Ihnen eingegebenen Anmeldeinformationen überprüft, um die Gesamtstruktur zu ermitteln, in der der Domänencontroller installiert wird.
Wenn die Anmeldeinformationen für das Benutzerkonto, über das Sie zurzeit angemeldet sind, (oder die eingegebenen alternativen Anmeldeinformationen) die Zielgesamtstruktur für den zu installierenden Domänencontroller angeben, gibt der Assistent diesen Gesamtstrukturnamen automatisch auf der Seite Sicherheitsinformationen für das Netzwerk an. Durch Angabe des Gesamtstrukturnamens auf dieser Seite kann der Assistent später auf der Seite Domäne auswählen alle Domänen für diese Gesamtstruktur auflisten.
Der Assistent kann die Zielgesamtstruktur nicht immer anhand der eingegebenen Anmeldeinformationen erkennen. Wenn Sie die Anmeldeinformationen beispielsweise mithilfe einer Smartcard oder eines Benutzerprinzipalnamens (User Principal Name, UPN) bereitstellen, ist der Assistent möglicherweise nicht in der Lage, die Zielgesamtstruktur zu ermitteln. In diesem Fall müssen Sie den Namen der Zielgesamtstruktur auf der Seite Sicherheitsinformationen für das Netzwerk angeben. Der Name der Zielgesamtstruktur ist der Name der Stammdomäne der Gesamtstruktur.
Wenn der Assistent den Namen der Zielgesamtstruktur anhand der bereitgestellten Anmeldeinformationen ermitteln kann, können Sie den vom Assistenten angegebenen Namen überschreiben, um den Namen einer anderen Zielgesamtstruktur anzugeben, für die Sie über ausreichende Rechte zur Installation von AD DS verfügen.
In Netzwerken, die nur IPv6 (IP Version 6) ausführen, müssen Sie anstelle des Namens mit nur einer Domänenbezeichnung für die Anmeldeinformationen des Benutzerkontos den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) angeben. Geben Sie beispielsweise "corp.contoso.com\benutzername" oder "benutzername@corp.contoso.com" anstelle von "contoso\benutzername" an.
Anforderungen an die Sicherheitsinformationen für das Netzwerk
Die Sicherheitsinformationen für das Netzwerk, die vom Assistenten zum Installieren von Active Directory-Domänendiensten benötigt werden, unterscheiden sich bei den verschiedenen Bereitstellungskonfigurationen. Zur Installation einer neuen Active Directory-Gesamtstruktur müssen Sie beispielsweise nur ein Mitglied der lokalen Gruppe Administratoren auf dem Server sein, der als erster Domänencontroller in der Gesamtstruktur verwendet werden soll. Zum Hinzufügen einer neuen Domäne zu einer bestehenden Gesamtstruktur oder zum Entfernen einer Domäne müssen Sie hingegen ein Mitglied der Gruppe Organisations-Admins oder der Gruppe Domänen-Admins in der übergeordneten Domäne der Domäne sein, die Sie hinzufügen oder entfernen möchten. Der Assistent zum Installieren von Active Directory-Domänendiensten überprüft, ob die angegebenen Anmeldeinformationen ausreichend sind, um die Bereitstellungskonfiguration zu implementieren, die Sie im Assistenten angegeben haben.
In der folgenden Tabelle sind die Sicherheitsinformationen für das Netzwerk aufgeführt, die für die einzelnen Bereitstellungskonfigurationen erforderlich sind.
Hinweis | |
Wenn Sie eine vorhandene Active Directory-Umgebung für einen Domänencontroller unter Windows Server 2008 R2 vorbereiten, müssen Sie Adprep.exe ausführen. Diese Datei befindet sich auf dem Installationsmedium von Windows Server 2008 R2 im Ordner support\adprep. Zur Ausführung von Adprep sind möglicherweise weitere Anmeldeinformationen erforderlich, die in der folgenden Tabelle nicht aufgeführt sind. |
Bereitstellungskonfiguration | Erforderliche Anmeldeinformationen |
---|---|
Hinzufügen einer neuen Gesamtstruktur |
Lokale Gruppe Administratoren auf dem Server, auf dem Sie AD DS installieren |
Hinzufügen einer zusätzlichen untergeordneten Domäne |
Organisations-Admins Je nach Sicherheitseinstellungen sind möglicherweise auch Domänen-Admins zum Hinzufügen einer Domäne berechtigt. Zur Erstellung einer DNS-Delegierung (Domain Name System) sind ebenfalls Domänen-Admin-Anmeldeinformationen in der übergeordneten Domäne erforderlich. |
Hinzufügen einer neuen Domänenstruktur |
Organisations-Admins Je nach Sicherheitseinstellungen sind möglicherweise auch Domänen-Admins zum Hinzufügen einer Domänenstruktur berechtigt. |
Hinzufügen eines zusätzlichen Domänencontrollers zu einer Domäne |
Organisations-Admins oder Domänen-Admins |
Hinzufügen eines schreibgeschützten Domänencontrollers (RODC) in einer normalen Installation |
Organisations-Admins oder Domänen-Admins Zum Ausführen von adprep /rodcprep sind Organisations-Admin-Anmeldeinformationen erforderlich. |
Hinzufügen eines RODC in einer bereitgestellten Installation |
Organisations-Admins oder Domänen-Admins zur Erstellung des RODC-Kontos Domänen-Admins oder delegierte Berechtigungen für das Zuordnen eines Servers zum RODC-Konto Zum Ausführen von adprep /rodcprep sind Organisations-Admin-Anmeldeinformationen erforderlich. |
Entfernen eines zusätzlichen Domänencontrollers aus einer Domäne |
Organisations-Admins oder Domänen-Admins |
Entfernen eines RODC |
Delegierter RODC-Administrator, Organisations-Admins oder Domänen-Admins |
Entfernen einer Domäne |
Organisations-Admins Je nach Sicherheitseinstellungen sind möglicherweise auch Domänen-Admins zum Entfernen einer Domäne berechtigt, sie können jedoch möglicherweise nicht die DNS-Delegierungen entfernen, die in der übergeordneten DNS-Domäne erstellt wurden. |
Entfernen einer Gesamtstruktur |
Organisations-Admins |