Active Directory: Struktur, Funktionen und Verwaltung

Directory Service-Funktionalität

Der Active Directory-Verzeichnisdienst bietet Funktionalität als Mittel, um den Zugriff auf Ressourcen zentral zu organisieren, zu verwalten und zu steuern. Die physische Netzwerktopologie und Protokolle bleiben dabei im Hintergrund. Er ist in Abschnitte unterteilt, die die Speicherung einer großen Anzahl von Objekten ermöglichen. Es ist möglich, Active Directory zu erweitern, da es eine zentrale Steuerung bietet. Der Zugriff auf Netzwerkressourcen wird durch die einmalige Anmeldung der Benutzer ermöglicht.

Directory Service-Objekte

Die Objekte repräsentieren Ressourcen im Netzwerk. Ein Administrator steuert diese Ressourcen zentral in einer verteilten Datenbank. Wenn ein Objekt erstellt wird, können die Eigenschaften und Attribute, die es beschreiben, im Benutzerverzeichnis gespeichert werden. Objekte werden bei der Suche nach spezifischen Elementen gefunden. Eine Rolle bestimmter Objekte ist es, andere Objekte zu enthalten.

Verzeichnisdienstschemas

Das Schema enthält die Definitionen aller Windows 2000 Objekte. Im Schema werden nur zwei Arten von Schema-Definitionen beschrieben: die Arten von Attributen und Objektklassen. Die Directory-Objekte können aus Objektklassen und Attributen erstellt werden. Jeder Attributsatz ist unabhängig von der Objektklasse. Jedes Attribut wird nur einmal definiert und kann in mehreren Objekten verwendet werden. Die Active Directory-Datenbank verwendet das Schema. Das Schema wird in einer Datenbank gespeichert, was bedeutet, dass es dynamisch für Anwendungen verfügbar ist. Dies ermöglicht es Benutzeranwendungen, das Schema zu lesen, um zu entdecken, welche Objekte und Eigenschaften verfügbar sind und verwendet werden können. Es ist dynamisch aktualisierbar, so dass eine Anwendung das Schema mit neuen Eigenschaften und Objektklassen erweitern kann. Es können Access Control Lists (DACL) verwendet werden, um alle Arten von Objekten und Attributen zu schützen.

Active Directory

Die logische Struktur von Active Directory unterscheidet sich von der physischen Struktur und wird von dieser getrennt. Die logische Struktur dient zur Organisation von Netzwerkressourcen, während die physische Struktur zur Konfiguration und Verwaltung des Netzwerk- und Replikationsverkehrs verwendet wird. Die logische Struktur ist flexibel und bietet eine Methode zur Gestaltung einer Verzeichnishierarchie. Die logischen Komponenten der Struktur umfassen: Domains, Organisationseinheiten, Bäume und Wälder.

Domain

Die Domain ist die zentrale Einheit der logischen Struktur von Active Directory. Sie ist eine Gruppe von Geräten, die von einem Administrator definiert werden und eine gemeinsame Datenbank nutzen. Eine Active Directory-Domain hat einen eindeutigen Namen und bietet zentralisierten Zugriff auf Benutzer- und Gruppenkonten der Domain. Für einen Netzwerkadministrator dient die Domain als Sicherheitsgrenze. Ein Domain-Administrator hat die erforderlichen Berechtigungen zur Verwaltung nur in diesem Bereich, es sei denn, sie wurden ihm ausdrücklich in einer zusätzlichen Domain gewährt. Alle Domains haben ihre eigenen Sicherheitsrichtlinien und Sicherheitsbeziehungen zu anderen Domains. Domains sind Replikationseinheiten. Eine Replikationseinheit bedeutet, dass alle Domänencontroller die geänderten Informationen aus der eigenen Domain erhalten und diese Änderungen an andere Domänencontroller replizieren. Nach der Installation von Active Directory und dem Betrieb einer Domain arbeitet diese im Mixed Mode. Der Mixed Mode ist standardmäßig aktiviert und kompatibel mit allen Domains. Der Domänencontroller installiert Active Directory im Mixed Mode, um die Kompatibilität mit bestehenden Domänencontrollern zu gewährleisten. Wenn alle Domänencontroller auf Windows 2000 oder höher aktualisiert wurden, kann die Domain in den Native Mode konvertiert werden. Einige Active Directory-Funktionen setzen voraus, dass die Domain im Native Mode arbeitet. Die Änderung vom Mixed Mode zum Native Mode ist eine Einbahnstraße.

Bäume und Wälder

Die erste Windows-Domain wird als Stammdomain des Waldes bezeichnet. Die Stammdomain ist aus folgenden Gründen wichtig: Sie bestimmt den Namen des Waldes mit dem Namen der Stammdomain. Das Umbenennen von Active Directory bedeutet, alle Domänencontroller zu entfernen. Zusätzliche Domains werden zur Stammdomain hinzugefügt, um die Struktur von Bäumen oder Wäldern zu bilden. Die Verwaltung von Active Directory erfolgt in der Stammdomain des Waldes. In der Stammdomain des Waldes müssen der Schema-Betriebsmaster und der Domänennamen-Betriebsmaster vorhanden sein. Ein Baum ist eine hierarchische Anordnung von Windows-Domains, die gemeinsam einen zusammenhängenden Namespace bilden. Wenn eine Domain zu einem bestehenden Baum hinzugefügt wird, wird die neue Domain eine untergeordnete Domain der bestehenden Domain. Der Domainname wird mit dem primären Domainnamen kombiniert, um den sekundären DNS-Domainnamen zu bilden. Jede Domain hat eine bidirektionale transitive Vertrauensstellung zu ihrer übergeordneten Domain. Ein Wald besteht aus einem oder mehreren Bäumen. Die Bäume in einem Wald teilen sich nicht unbedingt einen zusammenhängenden Namespace. Die Bäume in einem Wald teilen sich einen Schema-, Konfigurations- und globalen Katalog. Ein einzelner Baum, der nicht mit einem anderen verbunden ist, ist ein Wald mit einem Baum. Jede Stammdomain eines Baumes hat eine transitive Vertrauensstellung mit der Stammdomain des Waldes. Der Name der Stammdomain des Waldes wird verwendet, um sich auf einen bestimmten Wald zu beziehen. Jeder Baum in einem Wald hat seinen eigenen Namespace.

Vertrauensstellung

Eine Vertrauensstellung ist eine sichere Kommunikation zwischen Domains. Eine Einweg-Vertrauensstellung bedeutet, dass die Vertrauensstellung in entgegengesetzte Richtungen zwischen zwei Domains geht. Eine transitive Vertrauensstellung bedeutet, dass die Vertrauensstellung automatisch auf alle anderen Domains erweitert wird, die dieser Domain vertrauen. Eine bidirektionale transitive Vertrauensstellung ist die Standard-Vertrauensstellung zwischen Domains in derselben Gesamtstruktur in Windows. Eine bidirektionale transitive Vertrauensstellung ist eine Kombination aus einer transitiven und einer bidirektionalen Vertrauensstellung.

Organisationseinheit (OU)

Eine Organisationseinheit ist ein Objekt, das verwendet wird, um Objekte innerhalb einer Domain zu organisieren. Eine OU kann Objekte oder sogar andere Organisationseinheiten enthalten.