Grundlagen und Struktur von Active Directory

Eingeordnet in Informatik

Geschrieben am in Deutsch mit einer Größe von 7,26 KB

Directory-Service-Funktionalität

Der Active Directory-Verzeichnisdienst bietet Funktionalität als Mittel, um den Zugriff auf Netzwerkressourcen zu organisieren, zu verwalten und zentral zu steuern.

  • Die physische Netzwerktopologie und Protokolle werden dabei übersehen.
  • Er ist in Abschnitte organisiert, die die Speicherung einer großen Anzahl von Objekten erlauben.
  • Das Active Directory wächst mit der Organisation mit.
  • Zentrale Steuerung des Zugriffs auf Netzwerkressourcen: Benutzer müssen sich nur einmal anmelden, um vollen Zugriff zu erhalten.

Directory-Service-Objekte

Die Objekte repräsentieren Netzwerkressourcen.

  • Ein einzelner Administrator steuert diese Ressourcen zentral in einer verteilten Datenbank.
  • Beim Erstellen eines Objekts beschreiben Eigenschaften oder Attribute das Objekt im Verzeichnis.
  • Benutzer können Objekte durch die Suche nach bestimmten Attributen finden.
  • Eine wichtige Funktion eines Objekts ist es, andere Objekte zu enthalten.

Verzeichnisdienstschemas

Das Schema enthält die Definitionen aller Objekte.

  • In Windows 2000 gibt es nur ein Schema.
  • Die zwei Arten von Schema-Definitionen sind Attribute und Objektklassen.
  • Objektklassen beschreiben die Verzeichnis-Objekte, die erstellt werden können.
  • Jede Klasse ist eine Menge von Attributen.
  • Attribute werden unabhängig von den Objektklassen definiert.
  • Jedes Attribut wird nur einmal definiert und kann in mehreren Objektklassen verwendet werden.

Die Datenbank speichert das Active Directory-Schema. Die Speicherung in einer Datenbank bedeutet, dass das Schema:

  • Dynamisch verfügbar für Benutzeranwendungen ist (ermöglicht das Entdecken verfügbarer Objekte und Eigenschaften).
  • Dynamisch aktualisierbar ist, um das Schema mit neuen Attributen und Objektklassen zu erweitern.
  • Zugriffssteuerungslisten (DACL) für alle Arten von Objekten und Attributen zum Schutz nutzen kann.

Active Directory

In Active Directory ist die logische Struktur von der physikalischen Struktur getrennt.

  • Die logische Struktur dient der Organisation von Netzwerkressourcen.
  • Die physikalische Struktur dient der Konfiguration und Verwaltung des Netzwerkverkehrs (definiert Replikationsverkehr und Anmeldezeiten).
  • Die logische Struktur ist flexibel und bietet eine Methode für die Gestaltung einer Verzeichnis-Hierarchie.

Die logischen Komponenten der Struktur enthalten:

  • Domains
  • OU (Organisationseinheiten)
  • Bäume
  • Wälder

Domain

Die Domain ist die zentrale Einheit der logischen Struktur von Active Directory.

  • Eine Gruppe von Computern, die von einem Administrator definiert wurde und eine gemeinsame Verzeichnisdatenbank teilt.
  • Eine Domäne hat einen eindeutigen Namen und bietet Zugriff auf zentralisierte Benutzer- und Gruppenkonten.
  • In einem Netzwerk dient die Domäne als Sicherheitsgrenze.
  • Ein Domain-Administrator hat nur innerhalb dieser Domäne Berechtigungen, sofern keine zusätzlichen Rechte erteilt wurden.
  • Alle Domänen haben eigene Sicherheitsrichtlinien.
  • Domänen sind Einheiten der Replikation: Alle Domänencontroller replizieren Änderungen innerhalb der Domäne.

Nach der Installation arbeitet eine Domäne standardmäßig im gemischten Modus (kompatibel mit allen Domänencontrollern). Wenn alle Domänencontroller auf Windows 2000 oder höher aktualisiert wurden, kann die Domäne in den einheitlichen Modus konvertiert werden (dies ist eine Einbahnstraße).

Bäume und Wälder

Die erste Windows-Domäne wird als Stammdomäne bezeichnet.

  • Der Wald wird nach der Stammdomäne benannt.
  • Weitere Domänen werden hinzugefügt, um Bäume und Wälder zu bilden.
  • In der Stammdomäne müssen die Funktionen Schemabetriebsmaster und Domänennamenmaster existieren.

Ein Baum ist eine hierarchische Anordnung von Windows-Domänen, die einen zusammenhängenden Namespace teilen. Ein Wald besteht aus einem oder mehreren Bäumen, die nicht zwingend einen zusammenhängenden Namespace teilen müssen, aber ein gemeinsames Schema, eine Konfiguration und einen globalen Katalog nutzen.

Vertrauensstellung

Ein Trust ist eine sichere Kommunikation zwischen Domänen.

  • Bidirektional: Vertrauen in beide Richtungen.
  • Transitiv: Vertrauen wird automatisch auf andere Domänen erweitert.
  • Standard in Windows-Gesamtstrukturen ist eine Zwei-Wege-transitive Vertrauensstellung.

OU (Organisationseinheit)

Eine Organisationseinheit (OU) ist ein Objekt, das zur Organisation von Domänenobjekten dient.

  • OUs können Objekte oder weitere OUs enthalten.
  • Die Hierarchie ist innerhalb jeder Domäne unabhängig.
  • Administrative Kontrolle kann delegiert werden, indem Berechtigungen für OUs an Benutzergruppen vergeben werden.

Global Catalog

Der globale Katalog ist ein Repository, das eine Teilmenge der Attribute aller Objekte im Active Directory enthält.

  • Ermöglicht die Suche nach Objekten im gesamten Wald.
  • Speichert Informationen über universelle Gruppenmitgliedschaften.
  • Ermöglicht die Anmeldung mit einem User Principal Name (UPN).
  • Der erste Domänencontroller wird automatisch zum globalen Katalog-Server.

Physikalische Struktur

Die physikalische Struktur definiert, wo und wann Anmelde- und Replikationsverkehr auftreten. Sie besteht aus Domänencontrollern und Sites.

Domänen-Controller

Ein Domänencontroller ist ein Windows Server, der eine Replik des Verzeichnisses speichert.

  • Verwaltet Änderungen und repliziert diese auf andere Domänencontroller.
  • Die Datenbank ist in drei Partitionen (Namenskontexte) unterteilt: Domäne, Konfiguration und Schema.
  • Active Directory verwendet ein Multi-Master-Replikationsmodell.

Sites

Eine Site ist eine Kombination aus einem oder mehreren IP-Subnetzen, die durch eine schnelle Verbindung verbunden sind.

  • Dient der Optimierung des Replikationsverkehrs.
  • Stellt sicher, dass Benutzer sich mit einem nahegelegenen Domänencontroller verbinden.
  • Logische und physische Strukturen sind voneinander unabhängig.

Domain Features

Vorteile einer Domäne:

  • Single Sign-On: Einmalige Anmeldung für verschiedene Ressourcen.
  • Zentralisierte Verwaltung: Alle Kontoinformationen an einem Ort.
  • Skalierbarkeit: Geeignet für kleine bis sehr große Netzwerke.
  • Organisationsvorteile: Einfaches Finden von Informationen, optimierter Zugriff durch Gruppenrichtlinien und delegierte Administration.

Verwandte Einträge: