Før vi snakker om Group Policy, NTFS-rettigheter eller PowerShell-automatisering, må vi forstå hva Active Directory egentlig er, og hvorfor det finnes. Denne modulen er fundamentet alt annet bygger på.
La oss starte med et problem. Tenk deg at du jobber som IT-ansvarlig i en bedrift med 30 ansatte og 30 datamaskiner. Hver ansatt skal ha sin egen bruker på sin egen maskin. Det høres jo enkelt ut?
Men så ringer Kari fra Salg: «Jeg har glemt passordet mitt.» OK, du går bort til hennes maskin, logger inn som administrator, og bytter passordet. Greit.
Så ringer Ola fra Markedsføring: «Kari skal låne maskinen min i morgen, kan du opprette en bruker for henne her?» OK, du oppretter en bruker for Kari på Olas maskin.
Så ansetter bedriften 5 nye personer. Du må gå bort til hver enkelt maskin og opprette brukere. Så slutter en av dem – nå må du gå bort til hver enkelt maskin igjen og slette brukeren overalt.
«Når du har 30 ansatte fordelt på 30 maskiner, har du potensielt 900 brukerkontoer å holde styr på. Det er ikke et IT-system. Det er kaos i tabellform.»
Dette er problemet AD løser. I stedet for at hver maskin har sin egen lille brukerdatabase, lager vi én sentral database som alle maskinene snakker med. Når Kari skal logge inn på hvilken som helst maskin i bedriften, spør maskinen den sentrale databasen: «Er dette virkelig Kari? Skal hun ha lov til å logge inn her?»
⚡ Kjernen i AD
AD = sentralisert administrasjon av brukere, maskiner og ressurser. Én sannhetskilde, ett sted å gjøre endringer.
🧠 Sjekk forståelsen · flervalg
Hva er hovedformålet med Active Directory?
Riktig! 🎯 Dette er nøyaktig hva eksamen 2024 spurte om — og hovedformålet er sentralisering. Alt annet (sikkerhet, policyer, gruppestyring) bygger på dette grunnpremisset.
Nesten – men ikke helt. AD handler om administrasjon, ikke kryptering eller backup. Tenk på problemet vi nettopp gikk gjennom: én sentral database for å unngå kaos. Det er C.
§ 02 — Kjernekonseptet
Hva er Active Directory, egentlig?
Den korte definisjonen: Active Directory er Microsofts katalogtjeneste for å sentralt administrere brukere, datamaskiner og ressurser i et nettverk.
«Katalogtjeneste» høres komplisert ut, men det betyr bare at AD er som en gigantisk, søkbar telefonkatalog – bare at den ikke lister bare folk, den lister alt: brukere, maskiner, skrivere, mapper, grupper.
Tenk på en stor by. Byen har en folkeregisterdatabase som vet hvem som bor der, hva de heter, hvor de bor, og hvilke rettigheter de har. Vil du sjekke om Per Hansen virkelig er den han sier han er? Du spør folkeregisteret. Vil du sende post til Per? Du slår opp adressen hans.
AD er folkeregisteret for bedriftens IT-nettverk. Hver «innbygger» – bruker, maskin, gruppe – har en oppføring med navn, attributter og rettigheter.
Det sentrale poenget er at AD lagrer data som objekter. Et brukerobjekt har attributter som navn, e-post, telefonnummer, avdeling. Et maskinobjekt har navn, operativsystem, plassering. Et gruppeobjekt har navn og medlemmer.
📌 Husk dette
Alt i AD er et objekt. Brukere er objekter. Datamaskiner er objekter. Grupper er objekter. Til og med containerne (OU-er) er objekter. Dette gjør PowerShell svært kraftig, fordi PowerShell er objektorientert – det er en match made in heaven.
⚡ Interaktiv øvelse · vokabular match pairs
Match termene til riktig definisjon
Klikk en term i venstre kolonne, deretter dens definisjon i høyre. Riktige par låses inn med grønn farge.
0 / 5 matchet
Term
Active Directory
Domain Controller
Domene
Objekt
Distinguished Name
Definisjon
Den fulle, unike adressen til et objekt i AD-strukturen
Microsofts katalogtjeneste for sentralisert administrasjon
Det AD lagrer ting som: brukere, maskiner, grupper
Serveren som faktisk holder AD-databasen og autentiserer brukere
Den logiske grensen rundt et AD-miljø, f.eks. infrait.sec
§ 03 — Domenet
Domenet – grunnmuren
Når læreren din snakker om «domenet», så snakker hen om den logiske grensen rundt et AD-miljø. Et domene er en samling av nettverksressurser som deler en felles katalogdatabase og felles sikkerhetspolicy.
Domenet har et navn, ofte i form av noe.noe. I kursmaterialet ditt brukes navnet infrait.sec. Andre eksempler: contoso.com, ntnu.no, novatech.local.
Domenet infrait.sec – én logisk enhet med en domenekontroller som holder hele databasen, og objekter som lever under det.
Maskinen som faktisk holder AD-databasen kalles en Domain Controller (DC). Den autentiserer brukere, godkjenner pålogginger og holder katalogen oppdatert. Hvis en bruker logger seg på en hvilken som helst maskin i domenet, er det DC-en som svarer på «Stemmer brukernavn + passord? Får hun lov?»
🔑 Domene-vokabular
Domain: logisk grense for et AD-miljø (f.eks. infrait.sec). Domain Controller (DC): serveren som kjører AD-tjenesten. Tree / Forest: flere domener kan kobles sammen til større strukturer (du trenger ikke gå dypt på dette til eksamen, men vit at «forest» er det øverste nivået).
§ 04 — Objektene
Objektene – det AD faktisk lagrer
AD lagrer alt som objekter. De viktigste objekttypene du må kjenne til:
👤 Brukerobjekter
Representerer en person. Har attributter som SamAccountName (innloggingsnavn), UserPrincipalName (UPN, ofte i e-postformat), DisplayName, Department, og selvfølgelig et passord.
💻 Maskinobjekter
Representerer en datamaskin (klient eller server) som er meldt inn i domenet. Maskinen har også «sin egen identitet» i AD og kan motta policyer (mer om dette i Group Policy-modulen).
👥 Gruppeobjekter
Samlinger av andre objekter – typisk brukere – som du kan gi rettigheter til som gruppe. Hvis 10 personer skal ha tilgang til samme mappe, lager du én gruppe og legger dem inn der.
📁 Organizational Units (OU-er)
Containere som holder andre objekter. Tenk på dem som mapper i AD som du bruker til å organisere brukere, maskiner og grupper logisk.
⚡ Interaktiv øvelse · klassifisering drag to bucket
Hvilken objekttype er hva?
Klikk et element først, klikk deretter riktig bøtte. Hvis du bommer får du prøve igjen.
Klikk element → klikk bøtte
0 / 8 plassert
Kari Hansen
SALG-PC-007
g_salg_lese
Utvikling
SRV-DC-01
ola.nordmann
NovaTech-users
dl_filer_admin
👤 Bruker
💻 Maskin
👥 Gruppe
📁 OU
Toppen! 🎉 Du gjenkjenner objekttypene. Husk at navnekonvensjonen er stor hjelp her – g_ for global gruppe, dl_ for domain local, prefiks som SRV- for servere osv.
🧠 Sjekk forståelsen · flervalg
Hvilke type grupper inneholder Active Directory?
Riktig! ✨ AD har to grunnleggende gruppetyper: Sikkerhetsgrupper (for tilgangskontroll) og Distribusjonsgrupper (for e-postlister). Vi kommer tilbake til gruppescopes (Global / Domain Local / Universal) om litt.
Nei – disse alternativene blander sammen scope (Global, Domain Local, Universal) med type. Det er to typer: Sikkerhetsgrupper og Distribusjonsgrupper. Svaret er B.
§ 05 — Organisering
OU – organisering som speiler virkeligheten
En Organizational Unit – OU – er en container i AD som du bruker til å organisere andre objekter. Tenk på den som en mappe i Windows Utforsker, bare for AD-objekter.
Hvorfor lager vi OU-er? Tre hovedgrunner:
Lette administrasjonen av objekter (dette var faktisk eksamen 2023 spørsmål 1!)
Delegere rettigheter til andre administratorer (f.eks. la HR-sjefen administrere kun HR-brukere)
Anvende Group Policy (GPO-er) målrettet på spesifikke deler av organisasjonen
Måten din lærer organiserer OU-er på følger et helt spesifikt mønster du må kjenne. La oss bruke NovaTech-eksempelet fra forelesningene dine (det dukker også opp i eksamen 2024):
Legg merke til strukturen: vi separerer brukere, maskiner og grupper på toppnivået, og under hver av disse speiler vi avdelingsstrukturen.
Hvorfor akkurat denne strukturen?
Fordi brukere og maskiner ofte trenger forskjellige policyer. En GPO som gjelder for en bruker (f.eks. skrivebordsbakgrunn) er noe helt annet enn en GPO som gjelder for en maskin (f.eks. brannmurregler). Ved å skille dem på toppnivå, kan vi:
Sette felles bruker-GPO-er på NovaTech-users-rota – de gjelder alle brukere
Sette felles maskin-GPO-er på NovaTech-computers-rota – de gjelder alle maskiner
Sette avdelingsspesifikke GPO-er på de underliggende OU-ene
Hvor skal disse objektene plasseres i NovaTech-strukturen?
Plasser hvert objekt under riktig topp-OU. Dette er nøyaktig det eksamen 2024 spør om i Oppgave 2.
Klikk element → klikk topp-OU
0 / 6 plassert
Brukerkontoen til Per Hansen (Salg)
Laptop SALG-PC-004
Sikkerhetsgruppen g_utvikling
Brukerkontoen til marit.olsen (HR)
Serveren NOVA-SRV-FIL01
Gruppen dl_filer_salg_lese
📂 NovaTech-users
📂 NovaTech-computers
📂 NovaTech-Group
Perfekt! 🏆 Du har akkurat anvendt den samme OU-strategien som forelesningens NovaTech-eksempel. Husk dette mønsteret til eksamen – det er nøyaktig hva sensorveiledningen vil ha.
⚡ Eksamens-pro tips
Hvis du får en oppgave om å «foreslå en OU-struktur for en bedrift», skal du:
1) Lage en struktur som speiler organisasjonen 2) Skille brukere og maskiner på toppnivå (forskjellige policy-behov!)
3) Begrunne valgene dine med GPO-administrasjon og delegering
4) Følge fast navnekonvensjon (f.eks. g_ for grupper)
§ 06 — Grupper
Grupper – ryggraden i tilgangsstyring
Når læreren din sier «grupper», så er det ikke bare ett konsept – det er flere lag du må kjenne. Først: skillet mellom type og scope.
Type: Hva gruppen brukes til
🛡️ Sikkerhetsgruppe
Brukes for å gi tilgangsrettigheter til ressurser
Eksempel: gi alle i Salg lese-tilgang til \\fileserver\Salg
Dette er den du oftest jobber med
✉️ Distribusjonsgruppe
Brukes for e-postdistribusjon (f.eks. med Exchange)
Eksempel: alle-ansatte@firma.no sender til alle i gruppen
Kan ikke brukes til tilgangskontroll
Scope: Hvor gruppen kan brukes
For sikkerhetsgrupper finnes det tre scopes. Dette er supersentralt for AGDLP-prinsippet (kommer i neste modul, men vi gir deg en forsmak nå):
🌐 Global Group
Inneholder: Brukere fra samme domene. Brukes for: Å organisere brukere etter rolle/funksjon. Eksempel: g_salg for alle som jobber i Salg.
🏠 Domain Local Group
Inneholder: Brukere/grupper fra hele skogen. Brukes for: Å gi tilgang til en spesifikk ressurs. Eksempel: dl_salg_filer_read.
🌍 Universal Group
Inneholder: Brukere/grupper fra hele skogen. Brukes for: Store organisasjoner med flere domener.
Når læreren din spør om «forskjellen på Global og Domain Local», så er kjernen: Global organiserer brukere etter hvem de er, mens Domain Local gir tilgang til hvilken ressurs.
🧠 Sjekk forståelsen · flervalg
Hva er forskjellen mellom en Global Group og en Domain Local Group?
Yes! 🔥 Dette var eksamen 2023 spørsmål 4 – og du fikser den. Husk mønsteret: Global = brukerorganisering. Domain Local = ressurstilgang.
A er nesten omvendt av sannheten. B er feil – det handler ikke om prioritet. D er definitivt feil. Riktig svar er C.
AGDLP er det viktigste designmønsteret i AD. Klikk tilene i riktig rekkefølge for å bygge tilgangskjeden fra bruker til ressurs. Hint: tenk hvem → rolle → ressurstilgang → faktisk rettighet.
0 / 4 plassert
Global group (g_salg)
Permissions (NTFS Read)
Account (kari.hansen)
Domain Local group (dl_salg_filer_read)
Mesterlig! 🎓 Du har nettopp lært det viktigste konseptet for tilgangsstyring i AD. Husk: Account → Global → Domain Local → Permissions. Akkurat dette stod på eksamen 2024 (spørsmål 6) og dukker opp som drag-and-drop i 2022!
§ 07 — Adressen
Distinguished Name – objektets fulle adresse
Hver objekt i AD har et helt unikt navn som forteller nøyaktig hvor i hierarkiet det ligger. Dette heter Distinguished Name (DN).
La oss ta et konkret eksempel. Anta at Kari Hansen jobber i Salg-avdelingen hos NovaTech. Hennes DN kan se slik ut:
Hva betyr alle disse forkortelsene? La oss bryte det ned, fra venstre til høyre:
Distinguished Name bygges fra spesifikt (selve objektet) til generelt (domenet), separert med komma.
Tenk på det som en postadresse, bare baklengs: «Kari Hansen → Salg → NovaTech-users → novatech → .local».
⚡ Interaktiv øvelse · DN-bygger sequence builder
Bygg Distinguished Name for Per Hansen
Per Hansen jobber i Utvikling-avdelingen hos NovaTech (domenet er novatech.local). Bygg DN-en hans ved å klikke komponentene i riktig rekkefølge – fra mest spesifikt til mest generelt.
0 / 5 plassert
OU=NovaTech-users
DC=local
CN=Per Hansen
DC=novatech
OU=Utvikling
Spot on! 🎯 Du har akkurat skrevet en DN. Når du jobber med PowerShell (Modul 2), bruker du nøyaktig denne syntaksen for å fortelle New-ADUser hvor du vil opprette en bruker. Eksempel: -Path "OU=Utvikling,OU=NovaTech-users,DC=novatech,DC=local"
🧠 Sjekk forståelsen · flervalg
Hva består en 'Distinguished Name' (DN) av i Active Directory?
Spot on! 🎯 Du har akkurat svart riktig på eksamen 2024 spørsmål 8.
Tenk «full adresse i AD-strukturen». Svaret er B – DN inkluderer CN (selve objektet), OU-er (containerne) og DC-er (domenedelene).
§ 08 — Kontotyper
Lokal konto vs. domenekonto
Dette er en favoritt på eksamen, så vi tar det grundig. Forskjellen koker ned til hvor brukerinformasjonen lagres og hvem som autentiserer deg.
🖥️ Lokal konto
Lagres i SAM (Security Account Manager) lokalt på maskinen
Autentiseres av den lokale maskinen
Eksisterer kun på den ene maskinen
Kan ikke brukes på andre maskiner i nettverket
Eksempel: «Administrator»-kontoen som finnes på hver Windows-PC
🌐 Domenekonto
Lagres sentralt i Active Directory
Autentiseres av Domain Controller (DC)
Kan brukes på alle maskiner i domenet
Får tilgang til delte nettverksressurser
Eksempel: Karis bedriftsbruker som virker på alle PC-er
⚠️ Vanlig forvirring
SAM (Security Account Manager) er ikke det samme som AD. SAM er den lille databasen som hver Windows-maskin har for sine egne lokale brukere. AD er den store sentrale databasen som hele domenet deler. Lokal konto = SAM. Domenekonto = AD.
Et hotell-analogi: En lokal konto er som en nøkkel som kun virker på dør nummer 213. Hvis du flytter til rom 214, må du ha en helt ny nøkkel. En domenekonto er som et stamgjest-armbånd – det åpner alle dører du har lov til på hele hotellet, og resepsjonen (DC-en) sjekker armbåndet hver gang.
⚡ Interaktiv øvelse · klassifisering drag to bucket
Lokal konto, domenekonto, eller begge?
Klassifiser hvert utsagn. Noen gjelder kun lokal, noen kun domene, og noen gjelder begge.
Klikk utsagn → klikk bøtte
0 / 6 plassert
Lagres i SAM-databasen på maskinen
Autentiseres av domenekontrolleren
Kan logge inn på flere maskiner i samme nettverk
Virker kun på én spesifikk datamaskin
Har et brukernavn og passord
Kan ha administrative rettigheter
🖥️ Lokal
🌐 Domene
↔ Begge
Glimrende! 🌟 Du skiller nå tydelig mellom hvor kontoene lagres og hvem som autentiserer. Dette er den sentrale forskjellen eksamen tester år etter år.
🧠 Sjekk forståelsen · flervalg
Hva er forskjellen mellom en lokal konto og en domenekonto i Active Directory?
You got it! 💪 Lokal konto = SAM (lokalt på maskinen). Domenekonto = AD (sentralt på domenekontrolleren). Dette var eksamen 2023 spørsmål 2.
Husk hovedforskjellen: hvor lagres kontoen, og hvem autentiserer? Lokal = SAM. Domene = AD via DC. Svar B.
🔥 § 09 — Final boss
Mixed challenge – kan du AD nå?
Disse spørsmålene er enten direkte hentet fra eksamen 2024 eller utviklet ut fra sensorveiledningen din. Klare dem alle, og du har et solid AD-fundament klart til eksamen. Husk: dette er ikke for å straffe – det er for å bygge selvtillit.
⚔️ Boss-spørsmål 1 av 5 · Eksamen 2024
Hva representerer et 'domene' i Active Directory?
Riktig! 💪 Domenet er en logisk gruppering av ressurser som deler felles katalogdatabase og sikkerhetspolicy.
Husk: et domene er ikke én server (det er DC), ikke programvare (det er AD), ikke en gruppe brukere. Det er hele samlingen. Svar B.
⚔️ Boss-spørsmål 2 av 5 · Eksamen 2024
Hvilken rettighet må en brukerkonto ha for å kunne melde en maskin inn i et AD-domene?
Riktig! 🎯 Du må ha domeneadministrator-rettigheter (eller delegert «Add workstations to domain»). Lokal administrator er ikke nok.
«Rootbruker» finnes ikke i Windows (det er Linux). Lokal administrator gjelder kun den ene maskinen. Standardbruker har ikke nok rettigheter. Svar er C: Domeneadministrator.
⚔️ Boss-spørsmål 3 av 5 · Eksamen 2024
Hvilken innstilling må konfigureres på klientmaskiner for at de skal kunne finne og koble seg til et lokalt, ikke kjent domene i AD (f.eks. infrait.sec)?
Yes! 🔥 AD bruker DNS for å finne domenekontrollere via SRV-records. Internet DNS kjenner ikke .local-domenet, så klienten må peke på domenets egne DNS-servere.
Husk: AD = avhengig av DNS. Et internt domene som infrait.sec finnes ikke på internett. Klientene må peke på domenets DNS for å finne DC-en. Svar A.
⚔️ Boss-spørsmål 4 av 5 · Eksamen 2024
Hva står AGDLP for i Active Directory beste praksis?
Perfekt! 🎓Accounts → Global groups → Domain Local groups → Permissions. Akkurat som du bygget i sequence-øvelsen!
Husk: A står for Accounts (brukere), G for Global groups, DL for Domain Local groups, P for Permissions. Svar B.
⚔️ Boss-spørsmål 5 av 5 · Scenario
Du designer OU-struktur for NovaTech. Du har akkurat plassert alle brukere under NovaTech-users og alle maskiner under NovaTech-computers. En kollega spør hvorfor du gjør det sånn. Hva er den beste begrunnelsen?
Du har skjønt det! 🏆 Dette er kjernen av OU-design: separasjonen reflekterer at User Configuration og Computer Configuration i Group Policy er to forskjellige verdener. Du kan nå svare på Oppgave 2 fra eksamen 2024 med selvtillit.
A er overfladisk. C er ikke sant (det er ikke et krav). D har ingenting med saken å gjøre. Det egentlige svaret handler om GPO-administrasjon: User vs. Computer config. Svar B.
💪 Klarte du alle 5? Da har du knust eksamens-AD!
§ 10 — Oppsummering
Nøkkelpunktene du må huske
Pust ut. Du har nettopp lært fundamentet for hele faget. Her er de viktigste punktene destillert:
📋 Modul 1 – Cheat sheet
AD er Microsofts katalogtjeneste for sentralisert administrasjon av brukere, maskiner og ressurser.
Domain Controller (DC) er serveren som faktisk kjører AD og holder databasen.
Domenet er den logiske grensen rundt et AD-miljø (f.eks. infrait.sec). Maskinen meldes inn i domenet for å delta.
Alt i AD er et objekt: brukere, maskiner, grupper, OU-er. Hvert objekt har attributter.
OU-er er containere som organiserer objekter. Hovedformål: lette administrasjonen, delegere rettigheter, anvende GPO-er.
Standard OU-struktur: skill brukere, maskiner og grupper på toppnivå, speil avdelingsstruktur under hver.
To gruppetyper: Sikkerhetsgrupper (tilgang) og Distribusjonsgrupper (e-post).
Tre gruppe-scopes: Global (organiserer brukere), Domain Local (gir ressurstilgang), Universal (store skoger).
AGDLP: Account → Global → Domain Local → Permissions. Memoriser dette!
Distinguished Name (DN) er objektets fulle adresse: CN=...,OU=...,DC=...
Lokal konto = SAM på maskinen. Domenekonto = AD via DC.
For å melde en maskin inn i et domene trenger du domeneadministrator-rettigheter.
For at en klient skal finne et internt domene må den ha domenets DNS-servere som primær DNS.
→ NESTE
Modul 2: AGDLP i praksis + PowerShell-automatisering
Nå som AD-fundamentet sitter, skal vi automatisere det med PowerShell. Vi lærer å lese CSV-filer, iterere med ForEach-Object, betinget logikk med If/Else, feilhåndtering med Try/Catch — og bygge pseudokode som faktisk ligner det som kreves på eksamen. Si fra når du er klar! 🚀
AGDLP i praksisPowerShellImport-CSVForEach-ObjectTry-CatchPseudokode