Bei der Installation von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) müssen Sie die Anmeldeinformationen eines Domänenbenutzerkontos bereitstellen, das über ausreichende Rechte für die Bereitstellungskonfiguration verfügt, die Sie für den Domänencontroller auswählen, z. B. eine neue Gesamtstruktur, eine neue Domäne oder einen zusätzlichen Domänencontroller für eine bestehende Domäne. Mit dem Assistenten zum Installieren von Active Directory-Domänendiensten werden auch die von Ihnen eingegebenen Anmeldeinformationen überprüft, um die Gesamtstruktur zu ermitteln, in der der Domänencontroller installiert wird.

Wenn die Anmeldeinformationen für das Benutzerkonto, über das Sie zurzeit angemeldet sind, (oder die eingegebenen alternativen Anmeldeinformationen) die Zielgesamtstruktur für den zu installierenden Domänencontroller angeben, gibt der Assistent diesen Gesamtstrukturnamen automatisch auf der Seite Sicherheitsinformationen für das Netzwerk an. Durch Angabe des Gesamtstrukturnamens auf dieser Seite kann der Assistent später auf der Seite Domäne auswählen alle Domänen für diese Gesamtstruktur auflisten.

Der Assistent kann die Zielgesamtstruktur nicht immer anhand der eingegebenen Anmeldeinformationen erkennen. Wenn Sie die Anmeldeinformationen beispielsweise mithilfe einer Smartcard oder eines Benutzerprinzipalnamens (User Principal Name, UPN) bereitstellen, ist der Assistent möglicherweise nicht in der Lage, die Zielgesamtstruktur zu ermitteln. In diesem Fall müssen Sie den Namen der Zielgesamtstruktur auf der Seite Sicherheitsinformationen für das Netzwerk angeben. Der Name der Zielgesamtstruktur ist der Name der Stammdomäne der Gesamtstruktur.

Wenn der Assistent den Namen der Zielgesamtstruktur anhand der bereitgestellten Anmeldeinformationen ermitteln kann, können Sie den vom Assistenten angegebenen Namen überschreiben, um den Namen einer anderen Zielgesamtstruktur anzugeben, für die Sie über ausreichende Rechte zur Installation von AD DS verfügen.

In Netzwerken, die nur IPv6 (IP Version 6) ausführen, müssen Sie anstelle des Namens mit nur einer Domänenbezeichnung für die Anmeldeinformationen des Benutzerkontos den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) angeben. Geben Sie beispielsweise "corp.contoso.com\benutzername" oder "benutzername@corp.contoso.com" anstelle von "contoso\benutzername" an.

Anforderungen an die Sicherheitsinformationen für das Netzwerk

Die Sicherheitsinformationen für das Netzwerk, die vom Assistenten zum Installieren von Active Directory-Domänendiensten benötigt werden, unterscheiden sich bei den verschiedenen Bereitstellungskonfigurationen. Zur Installation einer neuen Active Directory-Gesamtstruktur müssen Sie beispielsweise nur ein Mitglied der lokalen Gruppe Administratoren auf dem Server sein, der als erster Domänencontroller in der Gesamtstruktur verwendet werden soll. Zum Hinzufügen einer neuen Domäne zu einer bestehenden Gesamtstruktur oder zum Entfernen einer Domäne müssen Sie hingegen ein Mitglied der Gruppe Organisations-Admins oder der Gruppe Domänen-Admins in der übergeordneten Domäne der Domäne sein, die Sie hinzufügen oder entfernen möchten. Der Assistent zum Installieren von Active Directory-Domänendiensten überprüft, ob die angegebenen Anmeldeinformationen ausreichend sind, um die Bereitstellungskonfiguration zu implementieren, die Sie im Assistenten angegeben haben.

In der folgenden Tabelle sind die Sicherheitsinformationen für das Netzwerk aufgeführt, die für die einzelnen Bereitstellungskonfigurationen erforderlich sind.

Hinweis

Wenn Sie eine vorhandene Active Directory-Umgebung für einen Domänencontroller unter Windows Server 2008 R2 vorbereiten, müssen Sie Adprep.exe ausführen. Diese Datei befindet sich auf dem Installationsmedium von Windows Server 2008 R2 im Ordner support\adprep. Zur Ausführung von Adprep sind möglicherweise weitere Anmeldeinformationen erforderlich, die in der folgenden Tabelle nicht aufgeführt sind.

Bereitstellungskonfiguration Erforderliche Anmeldeinformationen

Hinzufügen einer neuen Gesamtstruktur

Lokale Gruppe Administratoren auf dem Server, auf dem Sie AD DS installieren

Hinzufügen einer zusätzlichen untergeordneten Domäne

Organisations-Admins

Je nach Sicherheitseinstellungen sind möglicherweise auch Domänen-Admins zum Hinzufügen einer Domäne berechtigt.

Zur Erstellung einer DNS-Delegierung (Domain Name System) sind ebenfalls Domänen-Admin-Anmeldeinformationen in der übergeordneten Domäne erforderlich.

Hinzufügen einer neuen Domänenstruktur

Organisations-Admins

Je nach Sicherheitseinstellungen sind möglicherweise auch Domänen-Admins zum Hinzufügen einer Domänenstruktur berechtigt.

Hinzufügen eines zusätzlichen Domänencontrollers zu einer Domäne

Organisations-Admins oder Domänen-Admins

Hinzufügen eines schreibgeschützten Domänencontrollers (RODC) in einer normalen Installation

Organisations-Admins oder Domänen-Admins

Zum Ausführen von adprep /rodcprep sind Organisations-Admin-Anmeldeinformationen erforderlich.

Hinzufügen eines RODC in einer bereitgestellten Installation

Organisations-Admins oder Domänen-Admins zur Erstellung des RODC-Kontos

Domänen-Admins oder delegierte Berechtigungen für das Zuordnen eines Servers zum RODC-Konto

Zum Ausführen von adprep /rodcprep sind Organisations-Admin-Anmeldeinformationen erforderlich.

Entfernen eines zusätzlichen Domänencontrollers aus einer Domäne

Organisations-Admins oder Domänen-Admins

Entfernen eines RODC

Delegierter RODC-Administrator, Organisations-Admins oder Domänen-Admins

Entfernen einer Domäne

Organisations-Admins

Je nach Sicherheitseinstellungen sind möglicherweise auch Domänen-Admins zum Entfernen einer Domäne berechtigt, sie können jedoch möglicherweise nicht die DNS-Delegierungen entfernen, die in der übergeordneten DNS-Domäne erstellt wurden.

Entfernen einer Gesamtstruktur

Organisations-Admins

Siehe auch


Inhaltsverzeichnis