In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Active Directory

Werbung 
Active Directory
Kay Ködel
25.01.06
Script zum Vortrag im Fach Rechnernetze Standards
bei
Prof. Dr.-Ing. Karsten Hartmann
Prof. Dr. rer. nat. Uwe Heuert
Übersicht
 1 Einführung in das Active Directory
1.1 Entstehung und Herkunft
1.2 Überblick über Active Directory
1.3 Wichtige Begriffe und Protokolle
1.4 Implementierung des Active Directory
 2 Aktive Direktory von Microsoft
2.1 Planung des Active Directory
2.2 Active Directory Datenbank
2.3 Installation des Active Directory
2.4 Organisationseinheiten
2.5 Active Directory Objektverwaltung,
2.6 Active Directory Berechtigungen
2.6.1 Administrationsberechtigungen
2.6.2 Standardberechtigungen
2.6.3 Assitent für die Rechteverwaltung
2.6.4 Vererbung von Rechten
2.7 Active Directory Administration
2.8 Replikation
2.9 Richtlinien
2.10 Sicherheitscheck
 3 Zusammenfassung
3.1 Allgemeines
3.2 Sicherheitscheck
3.3 Struktur
3.5 Namensvergabe
 4 Praxis
4.1 Szenario
4.2 Abschließende Bemerkungen
2
1 Einführung in das Active Directory
1.1 Entstehung und Herkunft
Definition Active Directory:
Das Active Directory ist ein hierarchischer Verzeichnisdienst, der
unternehmensrelevante Daten (Benutzer, Computer, Drucker, etc.) an einer
zentralen Stelle verwaltet und diese über standardisierte Schnittstellen
(LDAP) den Benutzern des Netzwerkes zur Verfügung.
oder
Verzeichnisse (engl. Directories) sind Sammlungen von Daten einer
bestimmten Art. So kann man Telefon- und Adressbücher wie auch Kataloge
oder Fernseh-Programme als Verzeichnisse bezeichnen. Dabei liegt allen
Directories ein ordnendes Prinzip zugrunde: Telefonbücher sind nach
Namen geordnet, Kataloge nach Themen und Fernseh-Programme nach TVKanälen und Datum.
Herkunft:
Mit Windows 2000 wurde zum ersten Mal das Konzept des Active
Directory eingeführt. Beim Active Directory handelt es sich um einen
zentralen Verzeichnisdienst, der zur Verwaltung des Netzwerkes, hierzu
zählen die Benutzer- und Gruppenkennzeichen sowie
Arbeitsplatzcomputer, Server und Drucker, benutzt wird.
3
Grundsätzlich ist ein Verzeichnisdienst unabhängig vom zugrundeliegenden
Betriebssystem. So wird von allen Betriebssystemherstellern ein
entsprechender Dienst zur Verfügung gestellt. (Active Directory [Microsoft],
Netware Directory Services (NDS) [Novell], Netscape Directory ...) Der
Verzeichnisdienst stellt eine zentrale Informationsquelle in einer Organisation
(Firma, Unternehmen) dar. Innerhalb dieser Informationsquelle werden
Informationen über die im Netzwerk vorhandenen Computer / Drucker sowie
Benutzer und Gruppenkennzeichen verwaltet und Informatione den
angemeldeten Benutzern zur Verfügung gestellt. Benutzer können in diesem
Verzeichnisdienst nach beliebigen Attributen eines Objektes suchen. So ist es
z.B. Möglich nach allen Druckern zu suchen die über spezielle Eigenschaften
(beidseitiger Druck, Farboption ...) verfügen. Dieses kann z.B. von Gästen in
einer Organisation benutzt werden, um Resourcen im Netzwerk zu suchen
und sich auf diese Art und Weise einen besseren Überblick zuverschaffen.
Die Entwicklung eines Verzeichnisdienstes geht zurück bis ins Jahr
1982/1985. Damals sollte ein Verzeichnisdienst implementiert werden, der
die vergebenen IP - Netzwerke und deren Administratoren beinhalten sollte.
Dieser Verzeichnisdienst ist als Whois-Datenbank bekannt. Die beteiligten
Standardisierungsgremien definieren einen Verzeichnisdienst wie folgt:
Der Verzeichnisdienst wird durch ein global verteiltes Verzeichnis
repräsentiert, das auf hierarchisch angeordneten Objekten mit den
zugehörigen Protokollen basiert. Die Hauptaufgabe eines
Verzeichnisdienstes ist die Zuordnung von Namen eines Objektes zu einer
Menge von Werten und Eigenschaften. Objekte können hier z.B.
Personen, Verteilerlisten, oder auch Anwendungen sein. Ein Anwender
kann die Objekte mittels geeigneter Browser beliebig durchsuchen.
(Internationale ISO/ITU-T Standards für einen plattformunabhängigen
verteilten Verzeichnisdienst)
4
1.2 Überblick über das Active Directory
Der LDAP-Verzeichnisdienst von Microsoft Windows 2000/2003 Server
heißt Active Directory Service (ADS). Bei einem Verzeichnis (engl.
Directory) handelt es sich um eine Zuordnungsliste. Das Active Directory
baut auf einer Datenbank auf, in der die Informationen über das Netzwerk
wie Benutzer, Gruppen und Computer gespeichert werden. Die Datensätze
werden im Active Directory als 'Objekte' und die Eigenschaften als
'Attribute' definiert. Welche Objekttypen im Active Directory verfügbar
sind, kann man beeinflussen, indem man neue Typen definiert. Das Muster,
nach dem man dabei vorzugehen hat, ist das Schema: Es definiert die
Objekte und ihre Attribute.
Anders als frühere Windows-Versionen welche für die Kommunikation
NetBIOS verwendeten, ist in Active Directory DNS und TCP/IP integriert.
Um voll funktionsfähig zu sein, muss der DNS-Server SRVRessourceneinträge unterstützen. Zwar können Windows-2000-Clients nach
wie vor mit Hilfe von WINS Server auffinden, aber ohne DNS funktioniert
Active Directory nicht.
Active Directory erlaubt es, Netzwerke logisch und hierarchisch mit Hilfe von
Objekten aufzubauen. Diese Objekte speichern Informationen über
Computer, Benutzer, Dateifreigaben und andere Geräte wie Drucker und
Scanner. Jedes Objekt hat Attribute und wird in einer zentralen Datenbank
gespeichert, in der viele Millionen Objekte abgelegt werden können. Die
Struktur des Active-Directory-Struktur ist ein hierarchisches System,
welches aus Objekten besteht. Die Objekte lassen sich in drei Kategorien
einteilen: Ressourcen (z.B. Drucker, Scanner, Kameras) Dienste (z.B. EMail) Benutzer (z.B. Benutzerkonten oder Benutzer und Benutzergruppen)
Mit Hilfe von Active Directory kann der Administrator die Informationen der
Objekte organisieren, bereitstellen und überwachen. Den Benutzern des
Netzwerkes können Zugriffsbeschränkungen erteilt werden. So darf zum
5
Beispiel nicht jeder Nutzer jede Datei ansehen oder jeden Drucker
verwenden. Die gesamte hierarchische Struktur heißt Wald (forest); eine
Ansammlung aller Objekte, deren Attributen, Regeln und Container in dem
Verzeichnis. Der Wald verwaltet einen oder mehrere transitiv verknüpfte
Bäume. Ein Baum verwaltet eine oder mehrere Domains welche wiederum
transitiv in der Hierarchie miteinander verknüpft sind. Domains werden nach
den Regeln des DNS-Systems benannt, dem "Namespace" (Namensraum).
Die Objekte in einer Domain können lokal in sogenannte „organisatorische
Einheiten“ (organizational units, OUs) gruppiert werden. Durch
organisatorische Einheiten wird eine Domain hierarchisch gegliedert, was die
Administration von Active Directory vereinfacht. Mit Hilfe von Active
Directory ist es möglich, ein Netzwerk ähnlich der realen Struktur des
Unternehmens oder seiner räumlichen Verteilung zu gliedern.
Organisatorische Einheiten können wiederum Organisatorische Einheiten als
Unterobjekte enthalten. Die Gruppenrichtlinien-Einstellungen werden in
Gruppenrichtlinien-Objekten gespeichert. Diese sind ebenfalls Domains und
Standorten zugeordnet. Die organisatorischen Einheiten sind die unterste
Ebene von Active Directory, in der administrative Rechte aufgeteilt werden
können. Die Objekte repräsentieren einzelne Einheiten (z.B. Benutzer,
Computer, Drucker, Programme oder Ordnerfreigaben) und deren Attribute.
Jedes Objekt hat einen Satz von Attributen, welche abhängig von ihrem Typ
definiert sind. Objekte werden eindeutig über ihren Namen identifiziert.
Eine weitere Möglichkeit der Unterteilung ist ein Standort. Dieser stellt eine
physikalische Gruppierung eines oder mehrerer logischer IP-Unternetze dar.
Standorte zeichnen sich durch die Verbindung zwischen langsamen
Netzwerken (z.B. WAN, VPN) und schnellen Netzwerken (z.B. LAN) aus.
Domains können Standorte enthalten und Standorte können Domains
beinhalten. Dies ist wichtig für die Kontrolle des Netzwerkverkehrs der durch
Replikationsvorgänge entsteht. Es ist fundamental, die Infrastruktur der
Unternehmensinformationen in eine hierarchische Aufteilung in Domains und
6
der Organisationseinheiten sorgfältig zu planen. Hierfür haben sich
Aufteilungen hinsichtlich geografischer Orte, Aufgaben oder IT-Rollen bzw.
einer Kombination aus diesen Modellen als nützlich erwiesen.
Active Directory ist in drei Teile aufgegliedert: Schema, Konfiguration und
Domain. Ein Schema ist eine Schablone für alle Active-Directory-Einträge.
Es definiert Objekttypen, ihre Klassen und Attribute als auch ihre
Attributsyntax. Die Konfiguration stellt die Struktur des Active-DirectoryWaldes und seiner Bäume dar. Die Domain schließlich speichert alle
Informationen über die erstellten Objekte und seiner Domain. Die ersten
beiden Teile der Active Directory werden mit jedem domain controller
repliziert. Es gibt nur einen globalen Katalog, in dem alle Informationen der
Domains gespeichert werden. Die Grenze der vollen Domainreplikation stellt
die Domain selbst dar.
Die Active-Directory-Datenbank in Windows 2000 benutzt die Jet-Basierende
ESE98, welche auf 17 Terabytes und 10 Millionen Objekte pro Domain
begrenzt ist. Dies ist ein theoretischer Grenzwert, da nicht mehr als eine
Million Objekte pro Domain empfohlen werden. Die Datenbankdatei enthält
drei Haupttabellen: die „schema table“ zur Speicherung der Schemata, die
„link table“ zur Speicherung der Objekt-Struktur und die „data table“ zur
Speicherung der Daten. Die Datenbankdatei heißt „NTDS.DIT“. ESE
(extensible storage engine) ordnet die nach einem relationalen Modell
abgespeicherten Active-Directory-Daten nach einem vorgegebenen Schema
in einem hierarchischen Modell an. Die Namensvergabe im Active Directory
unterstützt eine Benennung bzw. den Zugriff über UNC/URL und LDAPURL-Namen. Intern wird die LDAP-Version X.500 für die Namensstruktur
verwendet. Jedes Objekt hat einen vollqualifizierten Namen (distinguished
name, DN).
7
1.3 Wichtige Begriffe und Protokolle:
•
Domäne
•
Struktur
•
Standort
•
Organisationseinheit
•
Schema
•
DNS - Domain Naming Service
•
LDAP - Verzeichnisdienstprotokoll
•
NTFS – New Technologie File System
•
Kerberos – Authentifizierung und Vertrauensstellung
•
Whois – Verzeichnis für Domainen
•
Richtlinien – Konzuept im Active Directory
•
Globaler Katalog – root Server
•
Domain Controler – normaler Server
•
Dcpromo – Programm zum installieren des AD
•
Sysvol – Ordner für Axtive Directory
•
ADSI – Active directory Service Interface
•
Auditing - Sicherheitsüberprüfung
•
Schemamaster - Serverrolle
•
Domain Naming Master - Serverrolle
•
Relative ID Master - Serverrolle
•
PDC Emulator - Serverrolle
•
Infrastructure Master - Serverrolle
•
X.500 – Standardprotokoll für Verzeichnisdienste
•
SID – Security Identiefier
•
ACL - Acess Control List
•
ACE Acess Control Entrie
•
MMC - Microsoft Managementconsole
•
NBSS – NetbiosSessionService
8
•
SMB Service Message Protokoll
•
DCE(RPC)
•
SRVSVC Microsoft Server Service
•
SpoolSS Microsoft Spool Sub System
•
WKSSVC Microsoft Workstation Service
•
WINREG Microsoft Registery Service
•
LSA – Microsoft Security Architecture
•
Netlogon Microsoft Netlogon Protokoll
Domäne:
SD
SD

PROSIGNIA
•
Besteht aus mind. 1 DC
•
Der das komplette Verzeichnis
vorhält

200
PRO
SIGNIA
R
p.e..n..t.iu.m
.
200
R
p.e..n..t.iu..m
•
Änderungen von allen DCs aus
SD
möglich

PROSIGNIA
Durch Multi-Master Replikation
200
R
p.e..n..ti.u.m
•
Domäne bildet Grenze für die
Replikation
Struktur / Tree
•
Beliebig tiefer hierarchischer
Domänen-Baum
•
einheitliches Namensschemata
halle.alka.de
verwaltung.halle.alka.de
•
Transitive Kerberos
Vertrauensstellung
9
Standort / Site
•
Definiert ein Netzwerk mit schnellen Verbindungen.
•
Definition über IP-Subnetze
•
Replikation innerhalb des Standorts und über Standortgrenzen hinweg
separat konfigurierbar
•
Clients können stets „nahe“ Ressourcen nutzen.
Organisationseinheit
•
Active Directory Container Objekt innerhalb einer Domäne
•
Verwaltung Benutzer-, Gruppen und Computerobjekten
•
Kleinste Bereich auf den Gruppenrichtlinienobjekte angewendet werden
können
Gruppemnrichtlinien / Group Policies
•
Gruppenrichtlinene (Group Policy Object GPO)
•
Definition: Policies bieten die Möglichkeit, an zentraler Stelle die
Anwendungsumgebung der Benutzer einmalig festzulegen, wobei das
Betriebssystem die Einhaltung sicherstellt.
•
Ca. 600 Konfigurationsmöglichkeiten
•
Unterteilt in Computer- und Benutzereinstellungen
•
Können vom Administrator erweitert werden
Schema
•
Beschreibung aller Objekte inkl. Ihrer Attribute des Active Directory
•
Wird vom Schema-Master verwaltet
•
1 Schemamaster pro Domäne
•
Administration des Schemas mit adsiedit.msc (W2K Support Tools)
•
Eindeutigkeit in einem Forest sicherstellen
10
1.4 Implementierung des Active Directory
Die Implementierung des Active Directories lehnt sich an gängige TCP/IP
Standards an. So besteht das Active Directory aus mindestens einer
Domäne, die entweder ein frei erfundener Name, oder ein vom NIC
vergebener Name sein kann. Als Beipsiel kann z.B. alka.de dienen. Diese
erste Domäne innerhalb eines Active Directory wird auch als Root Domäne
bezeichnet. Untergeordnete Domänen (z.B. halle.alka.de) können unter die
Root Domäne gehängt werden. Diese Domänen bilden zudammen mit der
Root Domäne einen Baum (Domain Tree). Innerhalb einer Domäne werden
Ressourcen (Benutzerkennzeichen, Drucker, Computer und ihre zugehörigen
Eigenschaften in Organisationseinheiten (organisational units) verwaltet.
Wenn nun ein zweiter Baum z.B.alka.imweb.de ebenfalls von der Domäne
halle.alka.de verwaltet werden soll, so spricht man von einer Gesamtstruktur
oder Forest. Neben der Einteilung des Netzwerkes in Domänen erfolgt eine
zweite Einteilung anhand der vorhandenen Netzwerkinfrastruktur. In einem
Standort (Site) werden alle Domänen zusammen gefasst zwischen denen
eine gute Netzwerkverbindung (10 MBit) besteht. Diese Aufteilung ist
wichtig, um die Replikation (dazu später mehr) des Active Directories
zwischen mehreren Domänencontroller besser konfigurieren zu können.
Aufgrund dieser Struktur sollte klar sein, dass das Active Directory nicht nur
zur Verwaltung lokaler Netze dienen kann, sondern dass eine verteilte
Netzwerkarchitektur dass sich nicht nur auf ein Gebäude beschränkt,
verwaltet werden kann.
Sicherheitseinstellungen auf Benutzer- oder Computerebene können mit Hilfe
der Gruppenrichtlinien (Group Policies) realisiert werden. Diese
Richtlinien werden auf Ebene der Organisational Units angewendet und
stehen innerhalb einer Domäne zur Verfügung.
Wie bereits erläutert verwaltet das Active Directory z.B. Benutzer, Computer
11
oder Drucker. Diese werden allgemein als Objekte bezeichnet. Jedes dieser
Objekte verfügt über einen spezifischen Satz an Attributen. Alle Attribute
eines Objektes werden als Klasse bezeichnet. Alle Attribute, die im
Verzeichnis gespeichert sind, werden im Schema definiert. In dieser
Definition ist nicht nur das Attribut definiert, sondern auch Regeln die für
dieses Attribut gelten. So kann z.B. das Ablaufdatum eines Benutzernamens
keine Buchstaben enthalten. Damit ein konsistenter Verzeichnisdienst
garantiert werden kann, muss die Definition der Attribute innerhalb eines
Baumes eindeutig sein. Um auf das Schema, dass der jeweiligen Struktur
zugrundeliegt, zuzugreifen muss zuerst die schmmgmt.dll mit Hilfe des
Kommandozeilenprogramms regserv32 im System registriert werden.
Eine Aufgabe des Verzeichnisdienstes ist es, dem Anwender die Möglichkeit
zu geben, nach bestimmten Informationen innerhalb des Netzwerkes zu
suchen. Da wie oben beschrieben ein Domänen Baum auf mehrer Standorte
aufgeteilt sein kann, muss es einen Mechanismus geben, der es erlaubt, das
Verzeichnis schnell nach bestimmten Informationen durchsuchen zu können.
Dieser Mechanismus wird vom Globalen Katalog (Global Catalog) realisiert.
12
2 Aktive Directory von Microsoft
2.1 Planung des Active Directory

Entwerfen einer Bennenungsstrategie

Entwerfen einer Schematarichtlinie

Unterstützung von Gruppenrichtlinien

Verzeichnisstruktur mit mehreren Domains

Entwerfen einer Standardtopologie

Entwerfen einer Infrastruktur
Vor der Implementierung einer Windows 2000-Netzwerkumgebung ist
festzulegen, wie das Active Directory eingerichtet werden soll. Bei der
Planung sollten die Organisationsstrukturen berücksichtigt werden. Dazu
gehören Bürostandorte bzw. Außenstellen, eventuelle
Organisationsveränderungen und der Zugriff auf die
Netzwerkressourcen. Des Weiteren sollten auch die
Administrationsanforderungen berücksichtigt werden. Außerdem muss
das Modell skalierbar und erweiterbar sein, um Änderungen in der
Organisationsstruktur übernehmen zu können.
Zunächst ist der DNS-Namensraum (DNS-Namespace) festzulegen. Ein
DNS-Namensraum ist ein Domänenname der obersten Ebene im Active
Directory. An den Namensraum sind die Domänenhierarchie,
Vertrauensstellungen und die Replikation geknüpft. Beim
Implementieren der Active Directory-Dienste gibt es zwei Möglichkeiten für
die Festlegung des Namensraums. Entweder wird der DNS-Namensraum
nach einem durch die Organisation bereits registrierten externen Internet-
13
DNS-Namensraum oder als eigenständiger losgelöster DNS-Namensraum
vergeben.
Es gibt bei beiden Modellen Vor- und Nachteile. Im Ergebnis wird aber der
Administrationsaufwand bei identischem internen und externen DNSNamensraum erheblich höher sein. Die logische Struktur des Active Directory
ist eine Baumstruktur, die eine Abbildung einer gesamten Organisation
ermöglicht. Sie umfasst folgende Elemente:
Die erste Windows 2000-Domäne ist eine so genannte Root-Domäne. Sie
enthält alle Betriebsmasterfunktionen sowie den Globalen Katalog.
Weitere untergeordnete Domänen bilden den ersten Domänenbaum (Domain
Tree). Die Einrichtung eines zweiten Domänenbaums erzwingt die
Erweiterung des Namensraums. Mehrere Domänenbäume bilden dann einen
so genannten Domänenwald (Forest).
2.2 Active Directory-Datenbank
Die Active Directory-Datenbank ist das Verzeichnis für die neue Domäne.
In dem Verzeichnis bzw. in der hierarchischen Datenbank eines jeden
Domänencontrollers (DC) werden die Verzeichnisobjekte Benutzer, Gruppen,
Computer, Drucker, Freigaben und Dienste gespeichert. Änderungen werden
zwischen allen Domänencontrollern innerhalb der Domäne und der
Domänengesamtstruktur repliziert und stehen somit den Benutzern und
Applikationen im Netzwerk zur Verfügung. Der standardmäßige Speicherort
für die Datenbank und die Datenbankprotokolldateien lautet
Stammverzeichnis:\ntds. Der Ordner muss sich auf einer Partition oder
einem Datenträger befinden, der mit dem Dateisystem NTFS formatiert
14
wurde. Er kann aber während der Installation des Active Directory geändert
werden. Aufgrund der wachsenden Größe der Datenbank und des ständigen
Zugriffs kann eine bessere Performance erzielt werden, wenn die Datenbank
und die Protokolldateien auf separaten Datenträgern bzw. Festplatten mit
einer RAIDImplementation (Redundant Array of Independent Disks)
gespeichert werden. Damit wird zugleich eine höhere Verfügbarkeit der
elementaren Active Directory-Daten erreicht. Die Datenbank wird in einer
Datei mit dem Namen Ntds.dit gespeichert. Sie enthält alle Informationen,
die im Active Directory enthalten sind. Dazu gehören das gesamte Schema,
der Globale Katalog sowie alle Objekte, die auf dem Domänencontroller
gespeichert werden.Während des Heraufstufens zum Domänencontroller wird
die Datei Ntds.dit vom Verzeichnis bzw. Ordner
Stammverzeichnis:\System32 in das angegebene Verzeichnis kopiert. Die
Active Directory-Dienste werden anschließend von der Datenbank gestartet.
Falls andere Domänencontroller vorhanden sind, wird die Datei durch die
Replikation aktualisiert. Das Verzeichnis bzw. der Ordner Sysvol ist ebenfalls
ein Bestandteil des Active Directory. In dem Ordner werden Skripte und
einige der Gruppenrichtlinienobjekte für die aktuelle Domäne gespeichert.
Der standardmäßige Speicherort für den freigegebenen Ordner lautet
Stammverzeichnis:\Sysvol. Der Ordner muss sich ebenfalls auf einer
Partition oder einem Datenträger befinden, der mit dem Dateisystem NTFS
formatiert wurde.
15
2.3 Installation des Active Directory
Nach der Installation von Windows 2000 Server wird das Active Directory
nicht automatisch installiert. Erst über das Programm dcpromo kann es auf
dem Server folgendermaßen eingerichtet werden:
 Erstellung der ersten Root-Domäne (erste Domäne in der
Gesamtstruktur bzw. im Forest) und gleichzeitig die Einrichtung des
ersten Domänencontrollers,
 Erstellung eines zusätzlichen Domänencontrollers
(Replikationscontroller) in einer bestehenden Domäne,
 Erstellung einer weiteren Sub- bzw. Child-Domäne und gleichzeitig die
Einrichtung des ersten Domänencontrollers in der neuen Domäne,
 Erstellung eines neuen Domänenbaums innerhalb der
Domänengesamtstruktur (Domänenwald) und gleichzeitig die
Einrichtung des ersten Domänencontrollers.
Die erste Root-Domäne hat eine Sonderstellung, da sie die Gruppen SchemaAdmins und Organisations-Admins enthält. Für die volle Funktionsweise des
Active Directory wird ein DNS-Server benötigt. Dieser wird mit der
Installation von Active Directory in der Regel automatisch installiert, wenn
noch kein DNS-Server vorhanden ist.
Ist DNS nicht ordnungsgemäß konfiguriert, werden einzelne Bereiche des
Active Directory, wie z. B. die Umsetzung der Gruppenrichtlinien, nicht
unterstützt. Es ist deshalb zu empfehlen, zunächst die Einstellungen des DNS
zu überprüfen
16
Active Directory installieren
„dcpromo“
17
Die Installation gestaltet sich insgesammt einfach und komfortabel.
Bei Windows 2000 gibt es 5 Serverrollen
Schema Master (Müssen in einem Forest eindeutig sein)
Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema
definiert alle Objekttypen der AD-Datenbank.
Domänennamen-Master (Müssen in einem Forest eindeutig sein)
Er kontrolliert das Hinzufügen und Entfernen von Domänen in der
Gesamtstruktur. Zusätzlich gibt es drei domänenweite FISMOs:
RID-Master (Müssen in einer Domäne eindeutig sein)
Stellt den DCs seiner Domäne sogenannte Relative IDs (RID) in Kontingenten
zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security
Principals, das sind User-, Gruppen- oder Computer-Objekten. Zusammen
mit der SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus
die endgültige SID.
PDC-Emulator (Müssen in einer Domäne eindeutig sein)
Übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere nichtW2k-Clients oder BDCs enthält. Überwacht Anmeldungen und
Paßwortänderungen.
Infrastruktur-Master (Müssen in einer Domäne eindeutig sein)
Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder
umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar
solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt,
wodurch sie wieder zu Gruppenmitgliedern werden.
18
Folgende Dateien sollten vorhanden sein
NTDS.DIT
die AD Datenbank
EDB.LOG
das Transaktionsprotokoll
EDBxxxx.LOG
fortlaufende LOG Dateien
EDB.CHK
Log Checkpoint
RES1(2).LOG
Reserve-Log Dateien
Temp.EDB
Suchoptionen
Schema.INI
Standard Schema
Die Deinstallation des Active Directories wird genauso wie die Installation mit
„dcpromo“ gestartet:
2.4 Organisationseinheiten (OE)
Nach der Installation des Active Directory ist es notwendig, Strukturen zu
schaffen, die die Administration der Systeme vereinfachen und die
Datensicherheit erhöhen. Mithilfe so genannter Organisationseinheiten (OE)
lassen sich Domänen strukturieren. Sie können hierarchisch angeordnet und
ineinander verschachtelt werden. Mit dem Entwurf der OE-Struktur wird in
erster Linie das Verwaltungsmodell für das Active Directory festgelegt. Es
können über Zugriffsrechte Zuständigkeiten für die Verwaltung einzelner
Objekte (Benutzer, Gruppen usw.) vergeben werden. Außerdem können den
einzelnen OE (Abteilungen) Gruppenrichtlinien zugewiesen werden, sodass
die (z. B. von den Abteilungen) festgelegten Sicherheitsanforderungen
differenziert zugeordnet werden können.
Eine OE kann folgende Objekte enthalten:
19
Benutzer,
Gruppen,
Computer,
Drucker
Sicherheitsrichtlinien
Dateifreigaben
Applikationen
Objekteeinheiten.
2.5 Active Directory-Objektverwaltung
Mit dem Verwaltungsprogramm Active Directory-Benutzer und -Computer
können Objekte im Active Directory verwaltet werden. Dem Administrator
stehen für die Objektbearbeitung verschiedene Funktionen (wie z. B. Suchen,
Löschen, Anlegen oder Verschieben) zur Verfügung. Nach der Installation des
Active Directory werden von Windows 2000 folgende Objekte angelegt (die
Option ANSICHT-ERWEITERTE FUNKTIONEN muss aktiviert sein, damit alle
unten aufgeführten Objekte angezeigt werden):

Builtin,

Computers,

ForeignSecurityPrinzipals,

LostAndFound,

System,

Users.
20
Diese vordefinierten Objekte werden im Active Directory als Container
bezeichnet, sind aberwie Organisationseinheiten zu verstehen. Zu
berücksichtigen ist jedoch, dass die vordefinierten Container/OE
administrativ nicht gelöscht oder in andere OE verschoben werden können.
Über die rechte Maustaste können jedoch weitere Objekte innerhalb der
Container hinzugefügt, gelöscht, verschoben oder umbenannt werden.
Die vordefinierten Container können auch am Ordnersymbol erkannt werden.
Es enthält im Gegensatz zu den OE kein „geöffnetes Buch“.
Active Directory-Objekte:
Benutzer
Die in diesem Objekt gespeicherten Informationen erlauben einem Benutzer
sich an der Domäne anzumelden. Das Objekt besitzt viele optionale Felder,
u. a. Vorname, Name, Telefonnummer und E-Mail- Adresse.
Gruppe Diesem Objekt werden insbesondere Benutzerkonten zugewiesen,
um z. B. die Administration der Rechtezuweisung zu vereinfachen.
Organisationseinheit
Mit den OE-Objekten wird das Active Directory strukturiert.
Computer
Dieses Objekt enthält Informationen über einen Computer, der Mitglied der
Domäne ist.
Drucker
Das Objekt Drucker richtet eine Verknüpfung zu einem unter Windows 2000
eingerichteten Drucker ein.
21
Freigegebener Ordner
Das Objekt Freigegebener Ordner stellt eine Verknüpfung mit einem in der
Domäne verfügbaren Ordner dar.
Kontakt
Das Objekt Kontakt enthält Name, Vorname und Anzeigename.
2.6 Active Directory-Berechtigungen
Die Zuweisung von Administrationsrechten im Active Directory ist dann
sinnvoll, wenn die Aufgaben der Administratoren in Bezug auf die Verwaltung
des Active Directory verteilt werden sollen. Auf den ersten Blick wirkt die
Vergabe von Berechtigungen im Active Directory einfach. Mithilfe des
Assistenten können den Benutzern bzw. Administratoren in einfacher Weise
auf alle Objekte Berechtigungen zugewiesen werden. Bei näherer
Betrachtung verbirgt sich dahinter aber ein ausgesprochen komplexes
Modell. Die Erteilung von Berechtigungen im Active Directory kann auf der
Ebene

der Domäne,

der Organisationseinheiten sowie

der einzelnen Objekte erfolgen.
Mit dem Assistenten können über die Funktion Objektverwaltung zuweisen
einige „wenige“ Berechtigungen (Aufgaben) für die Domäne oder die OE
vergeben werden. Ohne Einsatz des Assistenten können hingegen auf allen
Ebenen die vollständigen Berechtigungen über die Registerkarte
Sicherheitseinstellungen unter Eigenschaften angezeigt bzw. Verändert
werden. Erst in diesem Bereich wird der Umfang der
Berechtigungsverwaltung deutlich. Hinzu kommt, dass die Vergabe von
Berechtigungen hierarchisch nach unten vererbt wird.
22
2.6.1 Administrationsberechtigungen
Unter der Registerkarte Sicherheitseinstellungen wird eine Liste der
Benutzer- und Gruppenkonten angezeigt, die über einen Zugriff auf das
ausgewählte Objekt verfügen. Durch Auswahl eines Benutzer- oder
Gruppenkontos können dann in der Liste im unteren Teil des Fensters die am
häufigsten verwendeten Zugriffsberechtigungen angezeigt und administriert
werden. An dieser Stelle werden „Detailberechtigungen“ zusammengefasst
und als übergeordnete allgemeine Berechtigungen dargestellt. Zum Beispiel
verfügt die allgemeine Berechtigung Lesen über die Detailrechte Inhalt lesen,
Alle Eigenschaften lesen und Berechtigungen lesen. Je nach gewähltem
Objekt können die angezeigten Rechte variieren. Grau schattierte Einträge
bedeuten, dass die Berechtigungen für das entsprechende Benutzer- oder
Gruppenkonto von dem übergeordneten Objekt vererbt wurden. Durch die
Auswahl der Schaltfläche ERWEITERT kann ein weiteres Dialogfenster
aufgerufen werden, in dem objektbezogen eine Auflösung der Einstellungen
vorgenommen werden kann. Sicherheitseinstellungen der OE
„Zugriffsberechtigungen von Personalabteilung“
Es wird angezeigt, für wen die definierten Berechtigungen gelten. Hier
können weitere Einträge hinzugefügt und bestehende Einträge verändert
bzw. gelöscht werden.Durch Doppelklick auf ein Benutzer- bzw.
Gruppenkonto öffnet sich ein weiteres Dialogfenster, in dem alle
zugewiesenen „Detailberechtigungen“ für das Objekt angezeigt werden.
Sicherheitseinstellungen der OE „Objekt-Berechtigungen“ Die Berechtigungen
unter der Registerkarte Objekt beziehen sich auf das Objekt (z. B. ein
Benutzerkonto) insgesamt, während sich die Berechtigungen unter der
Registerkarte Eigenschaften ausschließlich auf die Felder bzw. Attribute (z. B.
Anmeldename oder Telefonnummer des Benutzerkontos) des Objektes
beziehen.
23
2.6.2 Standardberechtigungen
Für die Verwaltung des Active Directory ist von Windows 2000 das
Gruppenkonto Organisations-Admins eingerichtet worden. In dieser
Gruppe ist nach der Installation standardmäßig das Benutzerkonto
Administrator Mitglied. Das Gruppenkonto verfügt über
Vollzugriffsberechtigungen auf alle Objekte im Active Directory.
Registerkarte: „Sicherheitseinstellungen auf OE-Ebene“ −
Standardberechtigungen
Mit der Installation des Active Directory werden von Windows 2000 darüber
hinaus standardmäßig auf Domänen- und Container- bzw.
Organisationseinheitenebene weitere Berechtigungen an Gruppen- und
Benutzerkonten vergeben. Vergleichbar ist dieses mit den
Betriebssystemordnern, für die Windows 2000 ebenfalls automatisch
zahlreiche NTFSBerechtigungen vergibt. Die von Windows 2000
standardmäßig angelegte Active Directory-Struktur enthält also bereits eine
Vielzahl von Berechtigungseinträgen, die auf ihre Notwendigkeit hin
überprüft werden sollten. Da sich die Berechtigungen bei dem Hinzufügen
von Objekten automatisch weitervererben, sollten die Berechtigungen auf
das tatsächlich erforderliche Maß reduziert werden. Beispielsweise sind die
Gruppen Authentifizierte Benutzer, Jeder, Druck-Operatoren und KontenOperatoren zu entfernen, da sie zunächst für das Active Directory keine
Bedeutung haben.
24
Registerkarte: „Sicherheitseinstellungen auf OE-Ebene“ –
Erforderliche Berechtigungen
Im Active Directory sollte in Bezug auf die Administrationsbefugnisse der
Grundsatz gelten: „Es werden nur so viele Berechtigungen vergeben, wie
administrativ notwendig sind.“ Beachten Sie aber, dass dem Administrator
bei der Zuweisung von Freigabe- und NTFS-Berechtigungen nur die
Benutzer- und Gruppenkonten angezeigt werden, für die er im Active
Directory Administrationsrechte erhalten hat.
Sofern die Administration des Active Directory nicht delegiert wird, sollte
ausschließlich das Gruppenkonto Organisations-Admins über Befugnisse im
Active Directory verfügen. Zusätzliche Gruppenkonten können dann
hinzugefügt werden, wenn die Administration des Active Directory auf
mehrere Administratoren verteilt wird oder einzelne Administratoren
besondere Aufgaben, wie z. B. die Benutzerkontenverwaltung, übernehmen.
Registerkarte: „Sicherheitseinstellungen auf OE-Ebene“
– Delegierte Berechtigungen
Sie sollten auf keinen Fall auf der Domänenebene die Gruppe OrganisationsAdmins entfernen. Das würde dazu führen, dass Sie sich als Administrator
die Berechtigung für das Active Directory entziehen und somit aussperren.
Sie haben weder über das Verwaltungsprogramm noch über die
Wiederherstellungskonsole die Möglichkeit, die Berechtigungen
wiederherzustellen. Sie könnten nur über die Datensicherungsbänder die
Datenbank des Active Directory zurücksichern. Sollten keine
Datensicherungsbänder mit der Active Directory-Datenbank vorliegen,
müssen Sie den Domänencontroller herabstufen, um anschließend das Active
Directory neu zu installieren. Das hätte einen Verlust aller Objekte
(Benutzerkonten, Computerkonten, Organisationseinheiten usw.) und
Berechtigungszuweisungen zur Folge.
25
2.6.3 Assistent für die Rechteverwaltung
Auf der Domänenebene können einem Benutzer- oder Gruppenkonto über
den Assistenten folgende „allgemeine“ Aufgaben in Form von Berechtigungen
zugewiesen werden:

Fügt einen Computer einer Domäne hinzu:
Nachdem diese „Aufgabe“ z. B. Dem neu angelegten Gruppenkonto
Help-Desk-Admins zugewiesen wurde, können die Administratoren
dieser Gruppe einen Computer in die Domäne aufnehmen.

Verwaltet Gruppenrichtlinien-Verknüpfungen:
Mithilfe dieser „Aufgabe“ können vorhandene Gruppenrichtlinien
Objekten (z. B. Organisationseinheiten) zugeordnet werden.
Objektverwaltung zuweisen auf Domänenebene, „Zuzuweisende
Aufgaben“ Wenn hingegen auf der Ebene der Organisationseinheiten
(OE) der Assistent aufgerufen wird, können einem Benutzer- oder
Gruppenkonto bzw. einem Administrator folgende „Aufgaben“
zugewiesen werden:

Erstellt, entfernt und verwaltet Benutzerkonten:
Es können ausschließlich Benutzerkonten innerhalb der OE verwaltet
werden. Die Befugnisse Setzt Kennwörter von Benutzerkonten zurück
und Liest alle Benutzerinformationen sind enthalten.

Setzt Kennwörter von Benutzerkonten zurück:
Es können Kennwörter der innerhalb einer OE angelegten
Benutzerkonten zurückgesetzt werden.
26

Liest alle Benutzerinformationen:
Die Benutzerkonten können mit lesendem Zugriff aufgerufen werden.

Erstellt, entfernt und verwaltet Gruppen:
Die Administration wird auf die Verwaltung von Gruppenkonten
beschränkt.

Ändert die Mitgliedschaft einer Gruppe:
Es können ausschließlich die Mitgliedschaften verwaltet werden.

Verwaltet Gruppenrichtlinien-Verknüpfungen:
Der Organisationseinheit können Gruppenrichtlinien zugeordnet
werden. Objektverwaltung zuweisen auf OE-Ebene, Benutzer und
Gruppen hinzufügen. Über die Schaltfläche BENUTZERDEFINIERTE
AUFGABEN ZUM ZUWEISEN ERSTELLEN können alternativ spezifische
Objektberechtigungen vergeben werden. Objektverwaltung zuweisen
auf OE-Ebene, „Zuzuweisende Aufgaben“ Objektverwaltung zuweisen,
„Active Directory-Objekttyp“ Nachdem ein oder mehrere Objekte
ausgewählt wurden, können im nächsten Schritt die Berechtigungen
gesetzt werden. Es stehen drei Optionen zum Anzeigen der
Berechtigungen zur Auswahl: Objektverwaltung zuweisen,
„Berechtigungen“

Allgemein:
Es stehen für alle Objekte gleichermaßen anwendbare Berechtigungen,
wie z. B. Lesen und Schreiben usw., zur Auswahl. Die Berechtigungen
beziehen sich auf das gesamte Objekt, d. h., auch die Eingabefelder
bzw. Eigenschaften eines Objektes erhalten diese Berechtigungen.
27

Eigenschaftenspezifisch:
Mit dieser Option können die Berechtigungen Lesen und Schreiben für
Eigenschaften bzw. Eingabefelder eines Objektes vergeben werden.
Der Assistent zeigt jedoch nur einige Eigenschaften der einzelnen
Objekte z. T. in abgekürzter englischer Sprache an. Vollständig können
die Eigenschaften von Objekten über die Registerkarte
Sicherheitseinstellungen administriert werden. Das Objekt
Benutzerkonto verfügt z. B. über zahlreiche Eingabefelder (Anrede,
Anmeldename usw.) für die jeweils lesende und/oder schreibende
Befugnisse vergeben werden können. Soll beispielsweise das
Eingabefeld Anmeldename eines Benutzerkontos vor administrativen
Veränderungen geschützt werden, ist dem entsprechenden
Benutzerkonto die Schreibberechtigung für dieses Eingabefeld zu
entziehen.

Erstellen/Löschen der Berechtigungen von bestimmten
untergeordneten Objekten:
Die Option ermöglicht es, Berechtigungen zu vergeben, um weitere
Objekte innerhalb einer OE zu erstellen und/oder zu löschen. Die
Berechtigungen stehen also in Abhängigkeit zu den einzelnen
Objekten, d. h., es werden nur die Berechtigungen angezeigt, die für
das ausgewählte Objekt verwendbar sind. Mit der Festlegung der
Berechtigungen ist die Arbeit mit dem Assistenten abgeschlossen. Im
letzten Fenster des Assistenten können die vorgenommenen
Einstellungen noch einmal überprüft werden.
28
2.6.4 Vererbung von Rechten
Die Funktionsweise der Vererbung in Windows ist umfangreich gestaltet.
Standardmäßig erben Objekte immer die Rechte des übergeordneten
Objektes (grau Schattierte Felder). Jede Freigabe muss explizit vergeben
werden. Dazu muss zunächst die Vererbung von übergeordneten Rechten
deaktiviert werden. Dabei wird man gefragt, ob diese Einstellung auch für
alle anderen untergeordneten Objekte übernommen werden soll. Dann kann
man entweder eine ganzen Gruppe oder einem einzelnen Benutzer ein Recht
(Lesen, Schreiben, Suchen, Ausführen...) explizit zuweisen.
Für Ordnerfreigaben gilt es generell die Steurung über die NTFS Freigabe zu
regeln. Verbote sollte man im Normalfall nicht erteilen sondern nur
Freigaben. Im Zweifelsfall kann sonst nicht auf die Ressource zugegriffen
werden. Verweigert man Beispielsweise der der Gruppe „jeder“ den Zugriff,
kann niemand mehr auf die Ressource zugreifen auch kein Administrator.
Man sollte sich im Vorfeld genau Gedanken über die Freigaben machen da
gewisse Einstellungen auch das System lahmlegen könnten. Auf jedenfall
sollte man die Einstellungen testen damit die Datensicherheit erhalten bleibt.
29

Die Verwaltung der Berechtigungen können über den Assistenten oder
unter SICHERHEITSEINSTELLUNGEN sehr differenziert vergeben
werden. Um Fehler in der Berechtigungsverwaltung zu vermeiden,
sollte die Zuweisung von administrativen Aufgaben im Detail geplant
und dokumentiert werden.

Nach der Zuweisung von Berechtigungen sollten die Einstellungen
unter dem entsprechenden Benutzerkonto überprüft werden.

Die Berechtigungszuweisung kann sich auch auf Objekte des
Verwaltungsprogramms Active Directory-Standorte und -Dienste
beziehen.
30
2.7 Active Directory-Administration
Die Administration des Active Directory ist sehr vielfältig und kann in der
Regel nur an der Konsole des Domänencontrollers durchgeführt werden. Um
die Arbeit des Administrators zu erleichtern und administrative Aufgaben des
Active Directory auf Arbeitsplätze einzelner Administratoren zu verlagern,
kann der Zugriff auf die Verwaltungsprogramme des Active Directory auf
einem Computer unter Windows 2000 Professional eingerichtet werden. Die
Windows 2000-Verwaltungsprogramme ermöglichen die Remoteverwaltung
eines Servers bzw. eines Domänencontrollers von einem beliebigen
Computer unter Windows 2000. Die Windows 2000-Verwaltungsprogramme
werden auf dem Client durch die Datei adminpak.msi installiert. Bereits nach
der Installation können Verwaltungsaufgaben im Active Directory
durchgeführt werden. Wenn Sie die Windows 2000-Verwaltungsprogramme
installieren und ausführen möchten, müssen Sie über Administratorrechte für
den betreffenden Computer verfügen. Sie benötigen außerdem
Administratorrechte für die Domäne, in der Sie Verwaltungsaufgaben für die
Remoteverwaltung des Servers ausführen möchten.
2.8 Replikation
Die Replikation von Änderungen der Active Directory-Informationen spielt
dann eine Rolle, wenn mehrere Domänencontroller in einem Windows 2000Netzwerk installiert sind. Jeder Domänencontroller repliziert bzw.
synchronisiert seine Active Directory-Datenbank mit anderen
Domänencontrollern in der Domänengesamtstruktur. Die Bedeutung der
Replikation von Active Directory-Informationen steigt mit der Größe des
Netzwerkes.
31
Die Active Directory-Datenbank ist in mehrere Verzeichnispartitionen
eingeteilt, die jede für sich eine eigene Replikationsmethode bzw. Topologie
aufweist:

Schemapartition: Sie enthält die Definition und Beschreibung der
Objekte und Attribute. Die Schemapartition ist eine so genannte
Organisationspartition. Sie wird in der Domänengesamtstruktur auf alle
Domänencontroller repliziert, damit jedes Objekt nach den gleichen
Regeln erstellt und bearbeitet werden kann.

Konfigurationspartition: Sie enthält Informationen über die Struktur
von Active Directory und beinhaltet Angaben über die vorhandenen
Domänen und Standorte. Existierende Domänencontroller und die
angebotenen Dienste sind ihr bekannt. Sie wird deshalb ebenfalls als
Organisationspartition auf alle Domänencontroller in der
Domänengesamtstruktur repliziert.

Domänenpartition: Sie enthält die domänenspezifischen
Informationen und speichert die Objekte einer Domäne, wie z. B.
Benutzer, Computer, Gruppen und Organisationseinheiten. Sie wird nur
auf die Domänencontroller der entsprechenden Domäne repliziert.

Partielle Domänen-Verzeichnispartition (globaler Katalog-Server):
Ein globaler Katalog-Server enthält außer den drei oben genannten
Verzeichnispartitionen eine zusätzliche partielle DomänenVerzeichnispartition, die die Teilmenge aller in der
Domänengesamtstruktur enthaltenen Objekte enthält.
32
Active Directory-Replikationsmonitor (Support-Tools)
Die Replikation kann über das Verwaltungsprogramm Active DirectoryStandorte und -Dienste gesteuert werden. Darüber hinaus ist in den
Support-Tools ein Active Directory-Replikationsmonitor für Abfragen und
Auswertungen enthalten. Er verfügt z. B. über folgende wichtige Funktionen:

Abfragen aktueller Statistiken und des Replikationsstatus des Servers,

Durchführen der Synchronisation und

Anzeige der Replikationstopologie der Domänencontroller.
2.9 Richtlinien
Mit Hilfe des Gruppenrichtilinieneditors lassen sich umfangreiche
Einstellungen vornehmen um die Administration zu vereinfachen. Neben den
schon bereits erleuterten Sicherheitseinstellungen können speziell
Benutztereinstellungen wie verfügbare Programme, installierte Dienste,
Windowseinstellungen und Administrative Aufgaben konfiguriert werden. Als
Standard existiert am Anfang nur die Default Domain Policy. Auch hier
können einzelne Benutzer, Gruppen oder ganze Netze mit Hilfe solcher
Vorlagen verwaltet werden.
33
34
3 Zusammenfassung
3.1 Allgmeines
Hauptwerkzeuge - Active Directory unter Verwaltung:

Active Directory Benutzer und Gruppen

Active Directory Domänene und Vertrauensstellungen

Active Directory Standorte und Dienste

Sicherheitsrichtilininien für Domänen

Sicherheitsrichtlinien für Domänencontroler
Serververwaltung – Standardkomponenten bei Windows 2003

Dateiserver

Druckserver

Anwendungsserver (IIS,ASP.NET)

Meilserver(POP3, SMTP)

Terminalserver

RAS/VPN-Server

Domänencontroler

DNS-Server

DHCP-Server

Streaming-Media-Server

WINS-Server
35
3.2 Sicherheitscheck

Vor der Installation des Active Directory sollten Sie Folgendes
festlegen: DNS-Namensraum, Speicherort der Datenbank, Struktur des
Active Directory, Aufgaben- bzw. Berechtigungszuweisungen in Bezug
auf die Administration, Datensicherung bzw. Replikation des Active
Directory.

Sie sollten die Datenbank des Active Directory in größeren Netzwerken
auf separaten Datenträgern verwalten.

Das Anlegen von Organisationseinheiten (OE) vereinfacht die
Administration. Sie bilden die Grundlage für die Abgrenzung von
Administrationsbefugnissen und die Zuweisung von Gruppenrichtlinien.

Prüfen Sie die Administrationsbefugnisse im Active Directory sorgfältig
und begrenzen Sie sie auf ein Minimum. Der Assistent vereinfacht die
Zuweisung von administrativen Aufgaben.

Die Gruppe Organisations-Admins hat die Aufgabe, das Active
Directory zu verwalten. Sie verfügt über Vollzugriffsrechte auf allen
Ebenen und darf auf der Domänenebene nicht entfernt werden.

Nach der Installation der Datei adminpak.msi können Sie das Active
Directory von einem Windows 2000 Professional Client administrieren.

In größeren Netzwerken sollten Sie zur besseren Auslastung des
Netzwerkverkehrs STANDORTE einrichten.

Um eine hohe Verfügbarkeit (Replikation) des Active Directory zu
gewährleisten,sollten Sie innerhalb jeder Domäne zwei
Domänencontroller einrichten.
36
3.3 interesannte Programme
NLTEST
liefert Informationen über die Serverkonfiguration
NETDIAG
überprüft die Netzwerkfunktionalität
DCDIAG
führt Funktionstest auf Domänen Servern aus
DSASTAT
Überprüft die Konsistenz der Datenbanken
NETDOM
Überprüft Vertrauensstellungen zwischen Domänen
Nslookup
Überprüfung der DNS Konfiguration
Dcpromo
(De)Installation des Active Directory
REGSERV32
Zugriff auf Windwosregistrierung
NTDSUTIL
Verwaltungsprogramm für AD
MMC
Managementkonsole
Ipconfig
Zeigt IP Einstellungen
Netstat
Zeigt netzwerkeinstellungen
Msconfig
Zeigt Systemdatein
Informationsquellen:
http://www.microsoft.de
http://www.microsoft.com
http://www.rz.rwth-aachen.de
http://www.wikipedia.de
Offizielles Microsoft Curriculum:
Implementieren und Verwalten von Microsoft Windows 2000
Verzeichnisdiensten
37
4 Praxis
4.1 Abschließende Bemerkungen
Aktive Direktory ist ein mächtiges Werkzeug für die Administration der
gesamten IT in einem Unternehmen. Es stehen umfassende Programme zur
Verfügung um die Verwaltung von Active Direkory Objekten zu erleichtern
und effizient zu gestalten.
Eine Anmerkung wäre noch das Windows 2003 im Gegensatz zu Windows
2000 einige Neuerungen und Besserungen beinhaltet. Bei Windows 2003
Server ist nach der Installation alles sehr restriktiv ausgelegt. Standardmäßig
sind viele wichtige Einstellungen deaktiviert. Zum Beispiel müssen
Passwörter „stark“ sein und lokales anmelden ist deaktiviert.
Für das Active Directory existieren .Net Schnittstellen. Damit ist es möglich
die Funktionalität des Active Directory in eigenen Programmne zu
implementieren. Damit erweitern sich die Möglichkeiten des Active Directory
enorm. Es ist also Möglich mit eigenen Programmen problemlos nach
beliebigen AD-Objekten zu suchen oder sie zu benutzen.
Mit Hilfe der Gruppenrichtlinien lassen sich Benutzerumgebungen,
(Desktopaussehen und Verhalten, installierte Programme usw.) individuell
für Gruppen anpassen und vorgeben. Fehlkonfigurationen kann somit gut
vergebeugt werden.
Vorteil ist weiterhin das Benutzer nicht an spezielle computer gebunden sind,
sondern er kann sich an jedem Terminal, der natürlich für den Benutzer
freigegeben ist, anmelden und von dort aus seine Arbeit erledigen.
38
Durch primäre und sekundäre Server wird das Netzwerk in der Regel durch
den Ausfall eines Servers nicht beeinträchtig. Die verschiedenen Standorte
Sichern wichtige Informationen verteilt damit sie im Falle von Datenverlußt
schnell wieder hergestellt werden können.
Allgemein erzeugt Active Directory große Mengen an Daten. Wenn sich ein
User das erste mal an einem Computer anmeldet, kann dies sehr lange
dauern, weil das Benutzerprofil lokal gespeichert wird, ggf. Software
installiert wird und gewisse Tests durchgeführt werden. Ein Administrator
sollte es auf jedenfall vermeiden sich an weniger gesicherten Computern (wie
z.B Laptops) anzumelden da dies ein erhöhtes sicherheitsrisiko darstellt.
Die meisten Einstellungen die man am Active Directory vornimmt werden
nicht sofort umgesetzt und dauern eine Weile. Dies hängt von den jeweiligen
Einstellungen der Ressource, der Replikation sowie der Netzwerkanbindung
ab.
39
4.2 Szenario
Firma:
AlKa
Server:
1 Server(leistungsfähig), viele Clientcomputer
Domainname:
halle.alka.de
Feste IP:
192.168.10.1
Servername:
PDC
Benutzer:
Otto Chef
Inge Verwaltung
Hans Produktion
Ingo Administrator
Paula Praktikantin
Computer:
10 Clienten
Drucker:
Verwaltung1
Verwaltung2
Produktion1
Firmenverzeichnis:
c:/Firmenverzeichnis/Chefsache/*
c:/Firmenverzeichnis/Verwaltung/*
c:/Firmenverzeichnis/PublicFirma/*
c:/Firmenverzeichnis/Produktionsdaten/*
1. Installation von Microsoft Windows 2003 Enterprise Edition
2. Update von Windows
3. Aktivierung und Festlegung des Active Direktory mit dcpromo
4. Konfiguration des Aktive Direktory (Benutzer, Computer, ...)
5. Test der Funktionalitäten
6. Deinstallation des Active Directory
40
Zugehörige Unterlagen
ChangeAuditor™ für Active Directory
ChangeAuditor™ für Active Directory
network identity SAVERNOVA™
network identity SAVERNOVA™
Mitarbeiterin/Mitarbeiter im Facility Management
Mitarbeiterin/Mitarbeiter im Facility Management
Pressemappe - Active Bremen
Pressemappe - Active Bremen
Tools für die Problembehandlung bei Active Directory
Tools für die Problembehandlung bei Active Directory
Problembehandlung bei NTDS-Ereignis-ID 1311
Problembehandlung bei NTDS-Ereignis-ID 1311
2011_04_05-biztalk_hsg
2011_04_05-biztalk_hsg
WD Arkeia™ RA5300
WD Arkeia™ RA5300
70-640 Konfigurieren von Active Directory
70-640 Konfigurieren von Active Directory
Broschüre - Stiftung Männergesundheit
Broschüre - Stiftung Männergesundheit
Protein Engineering with Genetic Selection - ETH E
Protein Engineering with Genetic Selection - ETH E
Grundlagen des Active Directorys
Grundlagen des Active Directorys
Herunterladen
Werbung