Active Directory-Verbunddienste automatisiert installieren

Wir beginnen unseren Workshop zur Automatisierung der ADFS (Active Directory Federation Services) mit der Konfiguration der zugehörigen Server. Für unsere Beispiele hier gehen wir davon aus, dass die Arbeiten im Active Directory (AD) und DNS selbst abgeschlossen sind und auch der SQL Server installiert bereitsteht. Das Dienstkonto im AD, in dessen Kontext der Dienst auf allen Verbundservern läuft, besitzt keine speziellen Berechtigungen. Allerdings muss es auf jedem Verbundserver Mitglied in der Gruppe der lokalen Administratoren sein. Dies stellen Sie mit einem Skript oder über die Eingabeaufforderung, mit dem Kommando

Net Localgroup administratoren KBCORP\ADFSSrv /add

sicher. Der NetBIOS-Name der Domäne in unseren Beispielen lautet "KBCORP" und wird uns noch einige Male begegnen. Das Kommando funktioniert so übrigens nur auf einem deutschen Server. Auf einem englischen Server lautet der Gruppenname "Administrators", denn Gruppen und Benutzernamen sind lokalisiert und der jeweiligen Serversprache angepasst.

Haben Sie mehrere Verbundserver für Ihre Farm im Einsatz und möchten Sie die Gruppe der lokalen Administratoren auf den Servern zentral und aus der Ferne befüllen, bieten sich die Sysinternals PSTools psexec.exe an. Im Zeitalter von PowerShell Remoting und Co. gibt es zwar viele Möglichkeiten, um Server aus der Ferne zu administrieren, aber nur wenige, die so einfach zu handhaben sind wie die PSTools [1]. Ohne etwas auf dem Zielsystem oder anderswo zu registrieren oder zu installieren, genügt es, »psexec.exe« aus einem beliebigen Ordner aufzurufen. Damit fügen wir dem Verbundserver "ADFS1" das Konto "ADFSSrv" in der Gruppe der Administratoren hinzu:

psexec \\adfs1 net localgroup administratoren kbcorp\ADFSSrv /add

Zertifikate als Vertrauensbasis

Zu den

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.