Einführung in Active Directory

Transcription

3
K A P I T E L
1
Der Active Directory-Verzeichnisdienst stellt eine zentrale Struktur für die Verwaltung von
Netzwerkressourcen bereit, in der Sie Benutzer und Ressourcen auf einfache Weise hinzufügen, entfernen und umstrukturieren können. Das vorliegende Kapitel liefert eine Einführung
in die Konzepte von Active Directory sowie die im Verzeichnisdienst durchgeführten Verwaltungsaufgaben und begleitet Sie durch die nötigen Schritte zur Planung einer Active Directory-Infrastruktur.
Hinweis In diesem Buch bezeichnen die Begriffe „Windows Server 2003“ und „Windows
Server 2003-Familie“ vier Produkte: Microsoft Windows Server 2003, Standard Edition;
Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition und Microsoft Windows Server 2003, Web Edition. Die Web Edition von Windows Server 2003 unterstützt den Einsatz von Active Directory jedoch nur teilweise. Ein
Computer mit Windows Server 2003, Web Edition, kann als Mitgliedsserver in einem Active
Directory-basierten Netzwerk fungieren, jedoch nicht als Active Directory-Domänencontroller eingesetzt werden.
Bedeutung dieses Kapitels
Dieses Kapitel führt Sie in die Grundlagen von Active Directory ein. Bei der Bearbeitung
der Lektionen dieses Kapitels sollten Sie berücksichtigen, dass auf die hier vorgestellten
Konzepte in den folgenden Kapiteln, die der Implementierung und Verwaltung von Windows Server 2003 gewidmet sind, im Detail eingegangen wird.
Lektionen in diesem Kapitel:
■
Lektion 1: Active Directory im Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
■
Lektion 2: Grundlegendes zu den Active Directory-Konzepten sowie
administrativen Aufgaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
■
Lektion 3: Planen des Active Directory-Infrastrukturdesigns . . . . . . . . . . . . . . . . . . . . 40
Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5)
4
Teil I
Selbststudium
Bevor Sie beginnen
Für die Bearbeitung des vorliegenden Kapitels müssen Sie die grundlegenden Verwaltungskonzepte von Microsoft Windows NT oder Microsoft Windows 2000 kennen.
Kapitel 1
5
Lektion 1: Active Directory im Überblick
Mit Active Directory können Sie eine Verzeichnisstruktur entwerfen, die genau auf die Anforderungen Ihrer Organisation zugeschnitten ist. Diese Lektion bietet eine Einführung in die
Konzepte eines Verzeichnisdienstes, den Einsatz von Objekten in Active Directory sowie die
Funktion der einzelnen Active Directory-Komponenten.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben
auszuführen:
■
■
■
■
■
■
Beschreiben der Funktionen eines Verzeichnisdienstes
Erläutern des Zwecks von Active Directory
Erläutern des Zwecks des Active Directory-Schemas
Benennen der Komponenten von Active Directory
Beschreiben der Funktion der Active Directory-Komponenten
Erläutern des Zwecks des globalen Katalogs in Active Directory
Veranschlagte Zeit für diese Lektion: 30 Minuten
Grundlegendes zu Verzeichnisdiensten
Ein Verzeichnis (Directory) ist eine gespeicherte Zusammenstellung von Informationen über
Objekte, die zueinander in Beziehung stehen. In einem E-Mail-Adressbuch werden beispielsweise Namen von Benutzern oder Einrichtungen und die jeweils zugehörige E-Mail-Adresse
gespeichert. Darüber hinaus können in einem solchen Adressbuch zusätzliche Informationen
wie zum Beispiel die Postanschrift des Benutzers bzw. der Einrichtung gespeichert sein.
In einem verteilten Computersystem oder einem öffentlichen Computernetzwerk wie z.B.
dem Internet gibt es zahlreiche Objekte. Hierzu gehören Dateiserver, Drucker, Faxserver, Anwendungen, Datenbanken und Benutzer. Die Benutzer müssen in der Lage sein, diese Objekte
aufzufinden und zu verwenden. Administratoren müssen in der Lage sein, die Verwendung
dieser Objekte zu verwalten. Ein Verzeichnisdienst speichert alle Informationen, die zur Verwendung und Verwaltung dieser Objekte an einem zentralen Punkt erforderlich sind. Auf
diese Weise wird das Auffinden und Verwalten der Ressourcen vereinfacht. Ein Verzeichnisdienst unterscheidet sich von einem Verzeichnis dahingehend, dass der Dienst sowohl die
Quelle der Informationen ist als auch die Mittel bereitstellt, mit denen dem Benutzer die Informationen zugänglich gemacht werden.
Ein Verzeichnisdienst fungiert als Schaltzentrale des Netzwerkbetriebssystems. Er ist die
zentrale Stelle, mit der die Netzwerkeinheiten verwaltet und Beziehungen zwischen den verteilten Ressourcen gehandhabt werden, damit eine Zusammenarbeit möglich wird. Da ein
Verzeichnisdienst diese fundamentalen Betriebssystemfunktionen erfüllt, muss er eng mit den
Verwaltungs- und Sicherheitsmechanismen des Betriebssystems gekoppelt werden, sodass
Integrität und Datenschutz des Netzwerks gewährleistet sind. Ferner spielt der Verzeichnisdienst bei der Definition und Erhaltung der Netzwerkinfrastruktur einer Organisation, bei der
6
Teil I
Selbststudium
Durchführung von Aufgaben zur Systemverwaltung sowie bei der Steuerung des Benutzerzugriffs auf das Informationssystem eines Unternehmens eine wichtige Rolle.
Wozu dient ein Verzeichnisdienst?
Ein Verzeichnisdienst stellt das Mittel zur Strukturierung und Vereinfachung des Zugriffs
auf die Ressourcen in einem vernetzten Computersystem dar. Benutzer und Administratoren
kennen möglicherweise nicht den exakten Namen eines benötigten Objekts. Sie können jedoch eventuell eines oder mehrere Attribute der fraglichen Objekte benennen. Wie in Abbildung 1.1 gezeigt, kann mithilfe eines Verzeichnisdienstes und einer Abfrage eine Liste von
Objekten im Verzeichnis angezeigt werden, die diese Attribute aufweisen. Mit der Abfrage
„Alle Farbdrucker auf der dritten Etage suchen“ wird das Verzeichnis beispielsweise nach
allen Druckerobjekten durchsucht, die das Attribut „Farbe“ und „dritte Etage“ besitzen (etwa
ein Standortattribut namens „dritte Etage“). Ein Verzeichnisdienst ermöglicht das Auffinden
eines Objekts basierend auf einem oder mehreren seiner Attribute.
Benutzer
Server 1
?
Drucker 1
Server 2
Abbildung 1.1
Verzeichnisserver
Name: Server 1
OS: Windows 2000
Typ: Dateiserver
Standort: erste Etage
Name: Server 2
OS: Novell NetWare 4.0
Typ: Dateiserver
Standort: zweite Etage
Drucker
k
Name: Drucker 1
Typ HP-4Si
Farbe: Nein
Duplex: Ja
Standort: dritte Etage
Einsatz eines Verzeichnisdienstes
Ein Verzeichnisdienst ist sowohl ein Verwaltungs- als auch ein Endbenutzertool. Je größer ein
Netzwerk wird, desto mehr Objekte müssen verwaltet werden. Dies macht einen Verzeichnisdienst unverzichtbar.
Kapitel 1
7
Der Windows Server 2003-Verzeichnisdienst
Active Directory ist der in die Windows 2003 Server-Produktfamilie integrierte Verzeichnisdienst. Die Active Directory-Dienste umfassen das Verzeichnis, in dem Informationen zu den
Netzwerkressourcen sowie sämtliche Dienste gespeichert werden, mit denen die Informationen verfügbar und einsetzbar gemacht werden. Active Directory ist auch der in Windows
2000 integrierte Verzeichnisdienst.
Features des Active Directory-Dienstes
Die Active Directory-Version der Windows Server 2003-Familie stellt eine bedeutende Erweiterung gegenüber dem flachen Domänenmodell von Windows NT dar. Active Directory
ist in die Windows Server 2003-Familie integriert und bietet folgende Features:
■
Zentraler Datenspeicher Sämtliche Active Directory-Daten werden in nur einem
verteilten Datenspeicher abgelegt, wodurch der Benutzer auf einfache Weise von einem
beliebigen Standort aus auf die Informationen zugreifen kann. Ein einzelner, verteilter
Datenspeicher erfordert weniger Verwaltung und muss nicht dupliziert werden. Darüber
hinaus werden Verfügbarkeit und Strukturierung der Daten verbessert.
■
Skalierbarkeit Active Directory ermöglicht aufgrund der Konfiguration von Domänen
und Strukturen sowie der Platzierung von Domänencontrollern eine Skalierung des Verzeichnisses in Abstimmung mit den Geschäfts- und Netzwerkanforderungen. Active
Directory kann pro Domäne mehrere Millionen Objekte verwalten und nutzt eine Indizierungstechnologie sowie hoch entwickelte Replikationstechniken zur Verbesserung der
Leistung.
■
Erweiterungsfähigkeit Die Struktur der Active Directory-Datenbank (das Schema)
kann erweitert werden, um angepasste Informationstypen zuzulassen.
■
Verwaltungsfähigkeit Im Gegensatz zum flachen Domänenmodell von Windows NT
basiert Active Directory auf hierarchischen Organisationsstrukturen. Diese Organisationsstruktur vereinfacht die Steuerung der administrativen Privilegien sowie weiterer Sicherheitseinstellungen und erleichtert den Benutzern das Auffinden von Netzwerkressourcen
wie Dateien und Druckern.
■
Integration in DNS (Domain Name System) Active Directory verwendet DNS, einen
Internetstandarddienst, der leicht lesbare Hostnamen in numerische IP-Adressen (Internet
Protocol) übersetzt. Wenngleich getrennt und zu unterschiedlichen Zwecken implementiert, weisen Active Directory und DNS die gleiche hierarchische Struktur auf. Active
Directory-Clients verwenden DNS zum Auffinden von Domänencontrollern. Bei Einsatz
des DNS-Dienstes von Windows Server 2003 können primäre DNS-Zonen in Active
Directory gespeichert werden, wodurch eine Replikation auf andere Active DirectoryDomänencontroller möglich wird.
■
Verwaltung der Clientkonfiguration Active Directory bietet neue Technologien für
das Verwalten von Aspekten der Clientkonfiguration, z.B. hinsichtlich Benutzermobilität
und Festplattenausfällen, und dies mit geringstmöglichem Verwaltungsaufwand und minimaler Ausfallzeit.
8
Teil I
Selbststudium
■
Richtlinienbasierte Verwaltung In Active Directory werden Richtlinien zur Definition
der erlaubten Aktionen und Einstellungen für Benutzer und Computer innerhalb eines
Standorts, einer Domäne oder Organisationseinheit eingesetzt. Die richtlinienbasierte Verwaltung erleichtert Aufgaben wie die Aktualisierung von Betriebssystemen, die Anwendungsinstallation sowie das Sperren von Benutzerprofilen oder Desktopsystemen.
■
Replikation von Informationen Active Directory stellt die Multimaster-Replikationstechnologie bereit, die Informationsverfügbarkeit, Fehlertoleranz und Lastenausgleich
sicherstellt und darüber hinaus weitere Leistungsvorteile bietet. Die Multimasterreplikation ermöglicht das Aktualisieren des Verzeichnisses von einem beliebigen Domänencontroller aus und repliziert Verzeichnisänderungen auf alle weiteren Domänencontroller. Da
mehrere Domänencontroller eingesetzt werden, wird die Replikation selbst dann fortgesetzt, wenn einer der Domänencontroller ausfällt.
■
Flexible, sichere Authentifizierung und Autorisierung Die Authentifizierungs- und
Autorisierungsdienste von Active Directory bieten Schutz für Ihre Daten und stellen eine
geringstmögliche Einschränkung für über das Internet durchgeführte Geschäftsaufgaben
sicher. Active Directory unterstützt verschiedene Authentifizierungsprotokolle, z.B. das
Kerberos 5-Protokoll, SSL 3 (Secure Sockets Layer) sowie TLS (Transport Layer Security) unter Verwendung von X.509-Zertifikaten der Version 3. Zusätzlich stellt Active
Directory domänenübergreifende Sicherheitsgruppen bereit.
■
Sicherheitsintegration Active Directory ist in die Windows Server 2003-Sicherheit
integriert. Die Zugriffssteuerung kann für jedes Objekt im Verzeichnis und für jede Eigenschaft eines Objekts definiert werden. Sicherheitsrichtlinien können lokal, auf einen
Standort, eine Domäne oder eine Organisationseinheit angewendet werden.
■
Verzeichnisfähige Anwendungen und Infrastruktur Die Features von Active Directory erleichtern die Konfiguration und Verwaltung von Anwendungen und anderen verzeichnisfähigen Netzwerkkomponenten. Zusätzlich bietet Active Directory mit ADSI
(Active Directory Service Interfaces) eine leistungsstarke Entwicklungsumgebung.
■
Interoperabilität mit anderen Verzeichnisdiensten Active Directory basiert auf Standardprotokollen für den Verzeichniszugriff. Hierzu zählen Lightweight Directory Access
Protocol (LDAP), Version 3, und Name Service Provider Interface (NSPI), wodurch eine
Interoperabilität mit anderen Verzeichnisdiensten möglich ist, die diese Protokolle nutzen.
Da das LDAP-Protokoll für den Verzeichnisdienstzugriff ein Protokoll nach Industriestandard ist, können mit ihm Programme entwickelt werden, welche die gemeinsame Nutzung
von Active Directory-Informationen mit anderen LDAP-fähigen Verzeichnisdiensten
ermöglichen. Active Directory unterstützt ferner das von Microsoft Exchange Server 4und 5.x-Clients verwendete NSPI-Protokoll, um Kompatibilität mit dem Exchange-Verzeichnis bereitzustellen.
■
Signierter und verschlüsselter LDAP-Datenverkehr Per Voreinstellung signieren und
verschlüsseln die zum Lieferumfang von Windows Server 2003 gehörenden Active Directory-Tools sämtlichen LDAP-Datenverkehr. Durch das Signieren des LDAP-Datenverkehrs wird sichergestellt, dass die Datenpakete von einer bekannten Quelle stammen und
nicht manipuliert wurden.
Kapitel 1
9
Weitere Informationen Wenn Sie sich bereits mit den Features von Active Directory für
Windows 2000 auskennen, finden Sie eine detaillierte Aufstellung der neuen Active Directory-Funktionen der Windows Server 2003-Familie in Anhang A, „Neue Active DirectoryFeatures in der Windows Server 2003-Familie“.
Active Directory-Objekte
Die in Active Directory gespeicherten Daten, z.B. Informationen über Benutzer, Drucker, Server, Datenbanken, Gruppen, Computer und Sicherheitsrichtlinien, werden in Form von Objekten organisiert. Ein Objekt ist ein individueller, benannter Attributsatz, der eine bestimmte
Netzwerkressource repräsentiert. Als Objektattribute werden die Eigenschaften der Objekte
im Active Directory-Verzeichnis bezeichnet. Die Attribute eines Benutzerkontos umfassen
beispielsweise den Vor-, Nach- und Anmeldenamen des Benutzers, während die Attribute
eines Computerobjekts den Computernamen und eine Beschreibung enthalten können (siehe
Abbildung 1.2).
Objekte
Active Directory
Attribute
Comp1
Computername
Beschreibung
Comp2
Computer
Comp3
Attribute
Attributwert
Users
Jane Doe
Vorname
Nachname
Anmeldename
John Doe
Benutzer
Abbildung 1.2
Active Directory-Objekte und -Attribute
Einige Objekte, die so genannten Container, können andere Objekte enthalten. Eine Domäne
ist beispielsweise ein Containerobjekt, das Informationen zu Benutzer- und Computerkonten
enthalten kann. In Abbildung 1.2 wird der Ordner User dargestellt, der als Container für Benutzerkontenobjekte dient.
Active Directory-Schema
Das Active Directory-Schema definiert Objekte, die in Active Directory gespeichert werden
können. Das Schema ist eine Definitionsliste, die festlegt, welche Art von Objekten und welche Art von Informationen zu einem Active Directory-Objekt gespeichert werden können. Da
die Schemadefinitionen selbst als Objekte gespeichert werden, können sie genau wie alle übrigen Active Directory-Objekte verwaltet werden.
10
Teil I
Selbststudium
Das Schema wird durch zwei Objekttypen definiert: Schemaklassenobjekte (auch als Schemaklassen bezeichnet) und Schemaattributobjekte (auch Schemaattribute genannt). Wie in
Abbildung 1.3 dargestellt, werden Klassen- und Attributobjekte in getrennten Listen innerhalb des Schemas definiert. Schemaklassenobjekte und Attributobjekte werden unter dem
Begriff Schemaobjekte oder Metadaten zusammengefasst.
Teilliste von
Schemaklassenobjekten
Teilliste von
Schemaattributobjekten
ComputerKlassenobjektdefinition
Computer
Gruppe
Benutzer
Abbildung 1.3
Beschreibung
Allgemeiner Name (CN)
X.500 OID
Klassentyp
Kategorie
categoryIDAttributobjektdefinition
Beschreibung
Allgemeiner Name (CN)
X.500 OID
Syntaxbereichsgrenzen
accountExpires
accountNameHistory
aCSAggregateTokenRatePerUser
catalogs
categories
categoryID
Schemaklassenobjekte und -attributobjekte
Schemaklassenobjekte beschreiben die Objekte, die in Active Directory erstellt werden können. Eine Schemaklasse fungiert als Vorlage für die Erstellung neuer Active Directory-Objekte. Jede Schemaklasse ist eine Auflistung von Schemaattributobjekten. Wenn Sie eine
Schemaklasse erstellen, speichern die Schemaattribute Informationen, die das Objekt beschreiben. Die Benutzerklasse z.B. setzt sich aus vielen Schemaattributen zusammen. Hierzu
zählen etwa Netzwerkadresse, Basisverzeichnis usw. Jedes Objekt in Active Directory stellt
eine Instanz einer Schemaobjektklasse dar.
Schemaattributobjekte definieren die Klassenobjekte, mit denen sie verknüpft sind. Jedes
Schemaattribut wird nur einmal definiert, kann jedoch in mehreren Klassen verwendet werden. Das Beschreibungsattribut beispielsweise kann in vielen Klassen eingesetzt werden, wird
jedoch im Schema nur einmal definiert, um die Einheitlichkeit zu gewährleisten.
Das Active Directory-Schema enthält einen Satz Basisklassen und -attribute. Erfahrene Entwickler und Netzwerkadministratoren können das Schema durch die Definition neuer Klassen
und Attribute für vorhandene Klassen dynamisch erweitern. Wenn Sie z.B. Informationen zu
Benutzern angeben müssen, die gegenwärtig nicht im Schema definiert sind, müssen Sie das
Schema der Benutzerklasse erweitern. Das Erweitern des Schemas ist jedoch eine erweiterte
Operation, die schwer wiegende Folgen haben kann. Ein Schema kann nur deaktiviert, jedoch
nicht gelöscht werden, und wird automatisch repliziert. Aus diesem Grund sollten Sie eine
Schemaerweiterung sorgfältig planen und vorbereiten.
Kapitel 1
11
Active Directory-Komponenten
Verschiedene Active Directory-Komponenten ermöglichen den Aufbau einer Verzeichnisstruktur, die genau auf Ihre Anforderungen zugeschnitten ist. Die folgenden Active Directory-Komponenten repräsentieren den logischen Aufbau einer Organisation: Domänen,
Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. Die folgenden Active
Directory-Komponenten repräsentieren physische Strukturen in einer Organisation: Standorte
(physische Subnetze) und Domänencontroller. Active Directory trennt hierbei die logische
und die physische Struktur vollständig voneinander.
Logischer Aufbau
In Active Directory werden Ressourcen in einer Struktur, die das Organisationsmodell reflektiert, logisch angeordnet. Hierzu verwenden Sie Domänen, Organisationseinheiten (OUs),
Strukturen und Gesamtstrukturen. Durch das logische Gruppieren von Ressourcen können
Sie eine Ressource problemlos anhand ihres Namens auffinden und müssen ihren physischen
Standort nicht kennen. Aufgrund der logischen Strukturierung der Ressourcen macht Active
Directory den physischen Aufbau des Netzwerks für die Benutzer transparent. Abbildung 1.4
veranschaulicht die Beziehung der Domänen, OUs, Strukturen und Gesamtstrukturen in
Active Directory.
Gesamtstruktur
OU
Domäne
Domäne
Domäne
Domäne
Domäne
OU
OU
OU
OU
OU
Struktur
Abbildung 1.4 Die Beziehung der Domänen, OUs, Strukturen und Gesamtstrukturen
in Active Directory
Domänen In Active Directory stellt die Domäne den Kernpunkt der logischen Strukturierung dar. In einer Domäne können Millionen von Objekten gespeichert werden. Die in einer
Domäne gespeicherten Objekte werden als für das Netzwerk relevant eingestuft. Es handelt
sich um die Objekte, die von den Netzwerkbenutzern zur Ausführung ihrer täglichen Aufgaben benötigt werden: Drucker, Dokumente, E-Mail-Adressen, Datenbanken, Benutzer, verteilte Komponenten und weitere Ressourcen. Alle Netzwerkobjekte liegen in einer Domäne
12
Teil I
Selbststudium
vor, und jede Domäne speichert ausschließlich Informationen zu den in ihr enthaltenen Objekten. Active Directory umfasst mindestens eine Domäne. Eine Domäne kann mehrere physische Standorte umspannen. Domänen weisen die folgenden Merkmale auf:
■
Alle Netzwerkobjekte sind in einer Domäne enthalten, und jede Domäne speichert ausschließlich Informationen zu den in ihr enthaltenen Objekten.
■
Eine Domäne stellt eine Sicherheitsbarriere dar. Der Zugriff auf die Domänenobjekte wird
über Zugriffssteuerungslisten (Access Control Lists, ACLs) gesteuert, welche die mit den
Objekten verknüpften Berechtigungen enthalten. Diese Berechtigungen steuern, welche
Benutzer Zugriff auf ein Objekt erhalten und in welchem Umfang dieser Zugriff erfolgen
kann. In der Windows Server 2003-Familie gehören zu den Objekten u.a. Dateien, Ordner,
Freigaben, Drucker und weitere Active Directory-Objekte. Sämtliche Sicherheitsrichtlinien und -einstellungen, beispielsweise Verwaltungsrechte und ACLs, gelten nicht
domänenübergreifend. Sie besitzen als Domänenadministrator sämtliche Rechte zur
Festlegung von Richtlinien, dies jedoch nur innerhalb der Ihnen unterstellten Domäne.
Die Domänenfunktionsebene (in Windows 2000 als Domänenmodus bezeichnet) stellt ein
Mittel zur Aktivierung domänenweiter Active Directory-Features innerhalb der Netzwerkumgebung dar. Es stehen vier Domänenfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standardeinstellung), Windows 2000 pur, Windows Server 2003 interim und
Windows Server 2003. Die Domänenfunktionsebene Windows 2000 gemischt ermöglicht
innerhalb einer Domäne die Interaktion zwischen einem Windows Server 2003-Domänencontroller und Domänencontrollern, auf denen Windows NT 4.0, Windows 2000 oder ein Produkt der Windows Server 2003-Familie ausgeführt wird. Die Domänenfunktionsebene
Windows 2000 pur ermöglicht einem Windows Server 2003-Domänencontroller die Interaktion mit Domänencontrollern in der Domäne, auf denen Windows 2000 oder Windows Server 2003 ausgeführt wird. Bei Verwendung der Domänenfunktionsebene Windows Server
2003 interim ist ein Windows Server 2003-Domänencontroller in der Lage, mit Domänencontrollern der Domäne zu interagieren, auf denen Windows NT 4.0 oder Windows Server
2003 ausgeführt wird. Die Domänenfunktionsebene Windows Server 2003 schließlich ermöglicht einem Windows Server 2003-Domänencontroller ausschließlich die Interaktion mit
Windows Server 2003-Domänencontrollern in der Domäne. Informationen zum Heraufstufen
der Domänenfunktionsebene finden Sie in Kapitel 3, „Verwalten von Active Directory“.
Als Administrator müssen Sie eine Domänenstruktur entwerfen, welche die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“,
werden die Grundlagen des Domänenentwurfs behandelt. Ausführliche Informationen zur
Erstellung von Domänen finden Sie in Lektion 4, „Installieren und Verwalten von Domänen,
Strukturen und Gesamtstrukturen“.
OUs Eine Organisationseinheit (OU) ist ein Container, mit dessen Hilfe Objekte innerhalb
einer Domäne in logische administrative Gruppen gegliedert werden. Organisationseinheiten
können zum Ausführen administrativer Aufgaben, beispielsweise zur Verwaltung von Benutzern und Ressourcen, verwendet werden, da sie die kleinste Einheit darstellen, an die administrative Aufgaben delegiert werden können. Eine Organisationseinheit kann Objekte wie
Benutzerkonten, Gruppen, Computer, Drucker, Anwendungen, Dateifreigaben sowie weitere
Kapitel 1
13
Organisationseinheiten derselben Domäne enthalten. Die Hierarchie einer Organisationseinheit innerhalb einer Domäne ist unabhängig von der Hierarchiestruktur der Organisationseinheiten anderer Domänen, d.h. jede Domäne kann eine eigene OU-Hierarchie implementieren.
Durch das Hinzufügen von OUs zu anderen OUs, die so genannte Verschachtelung, können
Sie die administrative Steuerung hierarchisch gestalten.
Als Administrator müssen Sie eine OU-Struktur entwerfen, welche die Unternehmensstruktur
widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die
Grundlagen des OU-Entwurfs behandelt. In Kapitel 6, „Implementieren einer OU-Struktur“
werden Informationen zur Implementierung einer OU-Struktur bereitgestellt.
In Abbildung 1.5 spiegelt die Domäne microsoft.com die Organisation eines Transportunternehmens wider. Die Domäne umfasst drei OUs: US, Aufträge und Versand, wobei die Ordner Aufträge und Versand in der OU US geschachtelt sind. In den Sommermonaten erhöht
sich die Zahl der auszuliefernden Bestellungen, weshalb die Geschäftsleitung einen Unteradministrator für die Auftragsabteilung angefordert hat. Der Unteradministrator benötigt nur
Berechtigungen zum Erstellen von Benutzerkonten und zum Versorgen der Benutzer mit
Zugriff auf die Dateien und freigegebenen Drucker der Auftragsabteilung. Statt eine neue
Domäne zu erstellen, können Sie diesen Anforderungen gerecht werden, indem Sie dem
Unteradministrator innerhalb der OU Aufträge geeignete Berechtigungen zuweisen.
OU „Aufträge“
microsoft.com
Admin
Benutzer
US
Dateien
AUFF
US
US
TRÄGE
G
VERSAND
Drucker
uc
Abbildung 1.5
Verwenden einer OU zur Handhabung administrativer Aufgaben
Wenn der Unteradministrator später Benutzerkonten in den Organisationseinheiten US, Aufträge und Versand erstellen soll, können Sie ihm die Berechtigungen innerhalb der einzelnen
Organisationseinheiten getrennt erteilen. Da die OUs Aufträge und Versand jedoch in der
OU US verschachtelt sind, ist es effizienter, die Berechtigungen nur einmalig der OU US zu
erteilen und die Berechtigungen per Vererbung an die OUs Aufträge und Versand weiterzugeben. Standardmäßig erben in Active Directory alle untergeordneten Objekte (Aufträge und
Versand) die Berechtigungen der ihnen übergeordneten Objekte (US). Das Erteilen von Berechtigungen auf einer höheren Ebene bei Einsatz der Vererbung kann die Verwaltungsaufgaben reduzieren.
14
Teil I
Selbststudium
Strukturen Eine Struktur ist eine Gruppierung oder hierarchische Anordnung einer oder
mehrerer Windows Server 2003-Domänen, die durch Hinzufügen einer oder mehrerer untergeordneter Domänen zu einer vorhandenen übergeordneten Domäne erstellt werden. Domänen in einer Struktur nutzen gemeinsam einen zusammenhängenden Namespace und eine
hierarchische Namensstruktur. Namespaces werden in der nächsten Lektion ausführlich
behandelt. Gemäß den DNS-Standards handelt es sich bei dem Domänennamen einer untergeordneten Domäne um den relativen Namen dieser untergeordneten Domäne, an den der
Name der übergeordneten Domäne angehängt wird. In Abbildung 1.6 stellt microsoft.com
die übergeordnete Domäne dar, die Domänen us.microsoft.com und uk.microsoft.com
sind ihr untergeordnete Domänen. Die untergeordnete Domäne von uk.microsoft.com lautet
sls.uk.microsoft.com. Durch das Erstellen einer Domänenhierarchie in einer Struktur können
Sie die Sicherheit erhalten und die Verwaltung innerhalb einer Organisationseinheit oder einer
einzelnen Domäne einer Struktur ermöglichen. In dieser Struktur können Organisationsänderungen mühelos umgesetzt werden.
microsoft.com
uk.microsoft.com
us.microsoft.com
sls.uk.microsoft.com
Abbildung 1.6
Eine Domänenstruktur
Als Administrator müssen Sie die Strukturen so entwerfen, dass sie die Unternehmensstruktur
widerspiegeln. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die
Grundlagen des Strukturentwurfs behandelt. Ausführliche Informationen zur Erstellung von
Strukturen finden Sie in Lektion 4, „Installieren und Verwalten von Domänen, Strukturen und
Gesamtstrukturen“.
Gesamtstrukturen Eine Gesamtstruktur ist eine Gruppierung oder hierarchische Anordnung
einer oder mehrerer Strukturen, die in einer Domänenstruktur separat und vollständig unabhängig voneinander vorliegen. Gesamtstrukturen besitzen folgende Merkmale:
■
Alle Domänen einer Gesamtstruktur basieren auf einem gemeinsamen Schema.
■
Alle Domänen einer Gesamtstruktur nutzen einen gemeinsamen globalen Katalog.
■
Alle Domänen einer Gesamtstruktur sind durch bidirektionale, transitive Vertrauensstellungen miteinander verknüpft.
Kapitel 1
15
■
Die Strukturen einer Gesamtstruktur haben entsprechend ihren Domänen unterschiedliche
Namensstrukturen.
■
Domänen in einer Gesamtstruktur agieren unabhängig, die Gesamtstruktur ermöglicht
jedoch die Kommunikation innerhalb der gesamten Organisation.
In Abbildung 1.7 bilden microsoft.com und msn.com eine Gesamtstruktur. Der Namespace
ist hierbei nur innerhalb der jeweiligen Struktur zusammenhängend.
microsoft.com
uk.microsoft.com
msn.com
us.microsoft.com
us.msn.com
uk.msn.com
sls.uk.microsoft.com
Abbildung 1.7
sls.uk.msn.com
Eine aus einzelnen Strukturen bestehende Gesamtstruktur
Die Gesamtstrukturfunktionsebene bietet ein Mittel zur Aktivierung gesamtstrukturweiter
Active Directory-Features innerhalb Ihrer Netzwerkumgebung. Es stehen drei Gesamtstrukturfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standardeinstellung),
Windows 2000 pur, Windows Server 2003 interim und Windows Server 2003. Die Funktionsebene Windows 2000 gemischt ermöglicht innerhalb einer Domäne einem Windows
Server 2003-Domänencontroller die Interaktion mit Domänencontrollern, auf denen
Windows NT 4.0, Windows 2000 oder Windows Server 2003 ausgeführt wird. Die Funktionsebene Windows Server 2003 interim ermöglicht einem Windows Server 2003-Domänencontrollerdie Interaktion mit Domänencontroller der Domäne, die Windows NT 4.0 oder
Windows Server 2003 ausführen. Die Domänenfunktionsebene Windows Server 2003
schließlich ermöglicht einem Windows Server 2003-Domänencontroller ausschließlich die
Interaktion mit Windows Server 2003-Domänencontrollern in der Domäne. Sie können die
Funktionsebene einer Gesamtstruktur nur dann heraufstufen, wenn Sie die geeignete Windows-Version ausführen. Informationen zum Heraufstufen der Gesamtstrukturfunktionsebene
finden Sie in Kapitel 3, „Verwalten von Active Directory“.
Als Administrator müssen Sie die Gesamtstruktur so entwerfen, dass sie die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des Gesamtstrukturentwurfs behandelt. Ausführliche Informationen zur
Erstellung von Gesamtstrukturen finden Sie in Lektion 4, „Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen“.
16
Teil I
Selbststudium
Physische Strukturen
Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller.
Als Administrator entwickeln Sie anhand dieser Komponenten eine Verzeichnisstruktur, die
genau auf die physische Struktur Ihrer Organisation zugeschnitten ist.
Standorte Ein Standort ist ein Subnetz oder eine Kombination mehrerer IP-Subnetze (Internet Protocol), die über zuverlässige Hochgeschwindigkeitsverbindungen miteinander verbunden sind. Ein Standort weist üblicherweise die gleichen Grenzen wie ein lokales Netzwerk auf
(Local Area Network, LAN). Wenn Sie in Ihrem Netzwerk Subnetze gruppieren, sollten Sie
nur die Subnetze miteinander kombinieren, die schnelle, kostengünstige und zuverlässige
Netzwerkverbindungen besitzen. Eine Netzwerkverbindung wird als schnell eingestuft, wenn
sie mindestens 512 Kilobits pro Sekunde (KBit/s) übertragen kann. Eine verfügbare Bandbreite (die durchschnittliche Bandbreite, die bei normal hohem Datenaufkommen in einem
Netzwerk zur Verfügung steht) von 128 KBit/s und höher ist ausreichend für einen Standort.
Standort A
Eine einzige Domäne mit einem einzigen Standort
Standort A
Eine einzige Domäne mit mehreren Standorten
Standort B
Mehrere Domänen mit einem einzigen Standort
Standort A
Abbildung 1.8
Die Beziehung zwischen Standorten und Domänenstrukturen
Kapitel 1
17
In Active Directory sind Standorte nicht Teil des Namespace. Wenn Sie den logischen Namespace durchsuchen, werden Computer und Benutzer in einer Struktur von Domänen und OUs
angezeigt, nicht jedoch in einer Gliederung nach Standorten. Die Standorte enthalten lediglich
Computer- und Verbindungsobjekte, die zur Konfiguration der Replikation zwischen den
Standorten verwendet werden. Wie in Abbildung 1.8 dargestellt, kann eine einzelne Domäne
mehrere geografische Standorte umspannen, und ein einzelner Standort kann Benutzerkonten
und Computer enthalten, die mehreren Domänen angehören.
Als Administrator müssen Sie die Standortstruktur so entwerfen, dass sie die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des Standortentwurfs behandelt. Informationen zur Konfiguration von
Standorten finden Sie in Kapitel 5, „Konfigurieren von Standorten und Verwalten der Replikation“.
Domänencontroller Ein Domänencontroller ist ein Computer, auf dem Windows Server
2003 ausgeführt wird und auf dem ein Replikat des Domänenverzeichnisses (der lokalen
Domänendatenbank) gespeichert ist. Da eine Domäne einen oder mehrere Domänencontroller
aufweisen kann, besitzen alle Domänencontroller innerhalb einer Domäne ein vollständiges
Replikat des Domänenabschnitts des Verzeichnisses. Ein Domänencontroller kann nur eine
Domäne bedienen. Ein Domänencontroller authentifiziert außerdem Anmeldeversuche und
verwaltet die Sicherheitsrichtlinie für eine Domäne.
In der nachstehenden Liste werden #die Funktionen eines Domänencontrollers aufgeführt:
■
Auf jedem Domänencontroller wird eine vollständige Kopie der Active Directory-Informationen für die jeweilige Domäne gespeichert. Außerdem werden hier die Änderungen
an diesen Informationen verwaltet und auf die weiteren Domänencontroller in der Domäne
repliziert.
■
Die Domänencontroller innerhalb einer Domäne replizieren gegenseitig und füreinander
Verzeichnisinformationen für alle Objekte in der Domäne. Wenn Sie eine Operation
ausführen, durch die eine Aktualisierung von Active Directory nötig wird, werden die
Änderungen tatsächlich auf einem der Domänencontroller vorgenommen. Dieser Domänencontroller repliziert diese Änderungen auf alle weiteren Domänencontroller innerhalb
der Domäne. Sie können den bei der Replikation verursachten Datenverkehr zwischen den
Domänencontrollern steuern, indem Sie die Häufigkeit der Replikation sowie die Datenmenge festlegen, die in einem Arbeitsschritt repliziert wird.
■
Domänencontroller nehmen eine sofortige Replikation bestimmter wichtiger Aktualisierungen vor, beispielsweise die Deaktivierung eines Benutzerkontos.
■
Active Directory verwendet die so genannte Multimasterreplikation, bei der keiner der
Domänencontroller als Masterdomänencontroller fungiert. Stattdessen sind alle Domänencontroller innerhalb einer Domäne gleichberechtigt, und jeder Domänencontroller
besitzt eine Kopie der Verzeichnisdatenbank, in die Daten geschrieben werden können.
Die Domänencontroller speichern unter Umständen für kurze Zeiträume unterschiedliche
Informationen, jedoch nur solange, bis alle Domänencontroller die Active DirectoryÄnderungen synchronisiert haben.
18
Teil I
Selbststudium
■
Wenngleich Active Directory die Multimasterreplikation unterstützt, können einige Änderungen nicht im Multimastermodus durchgeführt werden. Mindestens ein Domänencontroller kann zur Durchführung von Replikationsoperationen im Einzelmastermodus
eingesetzt werden (Operationen, die nicht gleichzeitig an unterschiedlichen Stellen im
Netzwerk durchgeführt werden dürfen). Betriebsmasterfunktionen sind spezielle Rollen,
die einem (oder mehreren) Domänencontroller in einer Domäne zugewiesen werden,
damit dieser Replikationsoperationen im Einzelmastermodus ausführt.
■
Domänencontroller erkennen Konflikte, die auftreten können, wenn ein Attribut auf einem
Domänencontroller geändert wird, bevor eine Änderung desselben Attributs auf einem
anderen Domänencontroller vollständig übertragen wurde. Konflikte werden durch einen
Vergleich der Versionsnummer aller Eigenschaftenattribute ermittelt, einer attributspezifischen Nummer, die bei Erstellung des Attributs zugewiesen wird. Active Directory löst
derartige Konflikte auf, indem das geänderte Attribut mit der höheren Versionsnummer
repliziert wird.
■
Durch das Bereitstellen von mehr als einem Domänencontroller in einer Domäne sorgen
Sie für Fehlertoleranz. Befindet sich ein Domänencontroller im Offlinemodus, können
sämtliche Funktionen in dieser Zeit durch einen anderen Domänencontroller erfüllt werden, beispielsweise das Aufzeichnen von Active Directory-Änderungen.
■
Domänencontroller verwalten alle Aspekte der Interaktion zwischen Benutzern und
Domäne, z.B. das Suchen nach Active Directory-Objekten und das Validieren von Benutzeranmeldungen.
Als Administrator müssen Sie Domänencontroller in Standorten platzieren, um die physische
Struktur Ihrer Organisation abzubilden und Replikation und Authentifizierung zu optimieren.
In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen der
Platzierung von Domänencontrollern behandelt. Informationen zur Erstellung von Domänencontrollern finden Sie in Kapitel 2, „Installieren und Konfigurieren von Active Directory“.
Katalogdienste – der globale Katalog
Active Directory erlaubt Benutzern und Administratoren das Auffinden von Objekten, wie
z.B. Dateien, Druckern oder Benutzern innerhalb einer Domäne. Das Ermitteln von Objekten,
die sich innerhalb des Unternehmens, aber außerhalb der Domäne befinden, erfordert allerdings einen Mechanismus, der es der Domäne erlaubt, als eine Entität zu fungieren. Ein Katalogdienst enthält ausgewählte Informationen zu jedem Objekt in allen Domänen innerhalb
des Verzeichnisses, was für die Durchführung von Suchläufen innerhalb eines Unternehmens
von Nutzen ist. Der globale Katalog ist der von Active Directory bereitgestellte Katalogdienst.
Der globale Katalog ist der zentrale Speicher für Informationen zu Objekten in einer Struktur
oder Gesamtstruktur. Standardmäßig wird ein globaler Katalog automatisch auf dem ersten
Domänencontroller in der ersten Domäne der Gesamtstruktur erstellt. Ein Domänencontroller, der eine Kopie des globalen Katalogs speichert, wird als globaler Katalogserver bezeichnet. Sie können einen beliebigen Domänencontroller in der Gesamtstruktur als globalen
Katalogserver einsetzen. Active Directory verwendet die Multimasterreplikation zur Replikation der globalen Kataloginformationen zwischen globalen Katalogservern in anderen Domä-
Kapitel 1
19
nen. Der globale Katalogserver speichert für seine Hostdomäne ein vollständiges Replikat
aller Objektattribute im Verzeichnis und ein Teilreplikat aller Objektattribute, die im Verzeichnis jeder Domäne der Gesamtstruktur enthalten sind. Das Teilreplikat speichert Attribute, die in Suchoperationen häufig eingesetzt werden (beispielsweise Vor- und Nachname
eines Benutzers, Anmeldename usw.). Attribute werden im globalen Katalog für die Replikation gekennzeichnet (oder die Kennzeichnung wird entfernt), wenn sie im Active DirectorySchema definiert werden. In den globalen Katalog replizierte Objektattribute erben dieselben
Berechtigungen wie in Quelldomänen, wodurch die Sicherheit der Daten im globalen Katalog
gewährleistet wird.
Globale Katalogfunktionen
Der globale Katalog erfüllt die folgenden zwei Hauptfunktionen:
■
Er ermöglicht einem Benutzer die Anmeldung an einem Netzwerk, indem er bei Einleitung des Anmeldeprozesses Informationen über universelle Gruppenmitgliedschaften an
einen Domänencontroller weitergibt.
■
Er ermöglicht das Auffinden von Informationen im Verzeichnis, unabhängig davon, welche Domäne in der Gesamtstruktur die Daten tatsächlich enthält.
Wenn sich ein Benutzer am Netzwerk anmeldet, stellt der globale Katalog dem Domänencontroller, der die Anmeldeinformationen verarbeitet, Informationen zu Mitgliedschaften in
universellen Gruppen zum jeweiligen Konto zur Verfügung. Befindet sich nur ein Domänencontroller in der Domäne, fungiert der Domänencontroller auch als globaler Katalogserver.
Befinden sich mehrere Domänencontroller im Netzwerk, wird einer der Domänencontroller
als globaler Katalogserver konfiguriert. Ist kein globaler Katalog verfügbar, wenn ein Benutzer den Netzwerkanmeldeprozess einleitet, kann sich der Benutzer nur lokal am Computer
anmelden. Dies gilt nicht, wenn der Standort so konfiguriert wurde, dass Lookups zu universellen Gruppenmitgliedschaften bei Anmeldeversuchen zwischengespeichert werden.
Tipp Wenn ein Benutzer Mitglied der Gruppe Domänen-Admins ist, kann er sich auch
dann am Netzwerk anmelden, wenn der globale Katalog nicht verfügbar ist.
Der globale Katalog ist so konzipiert, dass auf Benutzer- und Programmanforderungen zu Objekten an beliebigen Standorten in der Domänenstruktur oder Gesamtstruktur mit maximaler
Geschwindigkeit und minimalem Netzwerkverkehr reagiert werden kann. Da ein globaler Katalog Informationen zu allen Objekten aller Domänen der Gesamtstruktur enthält, kann eine
Abfrage eines nicht in der lokalen Domäne vorliegenden Objekts durch einen globalen Katalog in der Domäne verarbeitet werden, in der die Abfrage ausgelöst wurde. Daher führt die
Suche nach Informationen im Verzeichnis nicht zu unnötigem Datenverkehr über Domänengrenzen hinaus.
20
Teil I
Selbststudium
Der Abfrageprozess
Eine Abfrage ist eine spezifische Anforderung eines Benutzers im globalen Katalog, mit deren
Hilfe Active Directory-Daten abgerufen, geändert oder gelöscht werden. Die nachfolgend
aufgelisteten und in Abbildung 1.9 veranschaulichten Schritte beschreiben den Abfrageprozess:
1. Der Client fragt den DNS-Server ab, um den globalen Katalogserver zu ermitteln.
2. Der DNS-Server sucht nach dem Standort des globalen Katalogservers und gibt die IPAdresse des Domänencontrollers zurück, der als globaler Katalogserver fungiert.
3. Der Client fordert die IP-Adresse des Domänencontrollers an, der als globaler Katalogserver fungiert. Die Anforderung wird an Port 3268 auf dem Domänencontroller gesendet;
Active Directory-Standardabfragen werden an Port 389 gesendet.
4. Der globale Katalogserver verarbeitet die Abfrage. Wenn der globale Katalog das Attribut
des gesuchten Objekts enthält, sendet der globale Katalogserver eine Antwort an den
Client. Ist das Attribut des gesuchten Objekts nicht im globalen Katalog enthalten, wird
die Abfrage an Active Directory weitergeleitet.
Sie können beliebige Domänencontroller oder dedizierte zusätzliche Domänencontroller als
globale Katalogserver konfigurieren. Berücksichtigen Sie bei der Auswahl der Domänencontroller, die als globale Katalogserver fungieren sollen, die Kapazität Ihres Netzwerks im Hinblick auf die Verarbeitung des Replikations- und Abfrageverkehrs.
Domäne A
Domäne B
Client
DC3
DC1
1
4
2
DC2
3
DC3
Globaler
Katalogserver
Globaler
Katalogserver DC2
Multimasterreplikation
Globaler
Katalog
DC1
Globaler
Katalog
Abbildung 1.9
Der Abfrageprozess
Kapitel 1
21
Als Administrator müssen Sie globale Katalogserver in Standorten platzieren, um schnelle
Antwort auf Benutzeranforderungen zu gewährleisten und Redundanz bereitzustellen. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen der Platzierung von globalen Katalogservern behandelt. Informationen zur Konfiguration von
globalen Katalogservern finden Sie in Kapitel 5, „Konfigurieren von Standorten und Verwalten der Replikation“.
Lernzielkontrolle
Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen.
Können Sie eine Frage nicht beantworten, bearbeiten Sie das entsprechende Lektionsmaterial
noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten zu den
Lernzielkontrollfragen finden Sie im Abschnitt „Fragen und Antworten“ am Ende dieses Kapitels.
1. Inwiefern unterscheiden sich Verzeichnisdienst und Verzeichnis?
2. Inwieweit ist Active Directory skalierbar?
3. Was ist die Multimasterreplikation?
4. Benennen Sie die Active Directory-Komponenten, die zur Darstellung des logischen Aufbaus einer Organisation herangezogen werden.
5. Benennen Sie die physischen Komponenten von Active Directory.
6. Welche Funktion erfüllt der globale Katalog?
22
Teil I
Selbststudium
Zusammenfassung der Lektion
■
Ein Verzeichnisdienst speichert alle Informationen, die zur Verwendung und Verwaltung
der Systemobjekte an einem zentralen Punkt erforderlich sind. Auf diese Weise wird das
Auffinden und Verwalten der Ressourcen vereinfacht.
■
Die in Active Directory gespeicherten Daten werden in Form von Objekten organisiert, die
wiederum Attribute aufweisen. Das Active Directory-Schema definiert Objekte, die in
Active Directory gespeichert werden können. Schemaklassen und -attribute definieren das
Active Directory-Schema.
■
Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, Organisationseinheiten (OUs), Strukturen und
Gesamtstrukturen.
■
■
Der globale Katalog ist der zentrale Speicherort für Informationen zu Objekten in einer
Struktur oder Gesamtstruktur.
Kapitel 1
23
Lektion 2: Grundlegendes zu den Active Directory-Konzepten
sowie administrativen Aufgaben
Die Windows Server 2003-Familie und Active Directory haben nicht nur verschiedene neue
Konzepte zu bieten, sondern weisen gegenüber Windows NT auch einige Änderungen an bisher verwendeten Konzepten auf. Diese Konzepte betreffen Replikation, Vertrauensstellungen,
Änderungs- und Konfigurationsverwaltung, Gruppenrichtlinien, DNS sowie die Objektbenennung. Es ist wichtig, die Bedeutung dieser Konzepte und deren Anwendung auf Active
Directory zu verstehen. Zusätzlich sollten Sie sich mit den Active Directory-Verwaltungsaufgaben vertraut machen, die in den verschiedenen Kapiteln dieses Trainings behandelt werden.
auszuführen:
■
■
■
■
■
■
■
Erklären der Active Directory-Replikation
Erläutern der sicherheitstechnischen Beziehungen zwischen Domänen in einer Struktur
(Vertrauensstellungen)
Benennen der Komponenten für die Änderungs- und Konfigurationsverwaltung
Erläutern des Zwecks und der Funktion von Gruppenrichtlinien
Beschreiben des von Active Directory verwendeten DNS-Namespace
Beschreiben der Objektbenennung in Active Directory
Beschreiben der Active Directory-Verwaltungsaufgaben
Replikation
Benutzer und Dienste sollten in der Lage sein, jederzeit und von einem beliebigen Computer
in der Domänenstruktur oder Gesamtstruktur aus auf die Informationen im Verzeichnis zuzugreifen. Durch die Replikation wird sichergestellt, dass Änderungen an einem Domänencontroller auch auf allen weiteren Domänencontrollern in der Domäne vorgenommen werden. Die
Verzeichnisinformationen werden sowohl auf den Domänencontroller innerhalb eines Standortes als auch auf den Domänencontrollern anderer Standorte repliziert.
24
Teil I
Selbststudium
Welche Informationen werden repliziert?
Die im Verzeichnis (der Datei Ntds.dit) gespeicherten Informationen werden in vier Kategorien unterteilt. Jede dieser Informationskategorien wird Verzeichnispartition genannt. Eine
Verzeichnispartition wird auch als Namenskontext bezeichnet. Die Verzeichnispartitionen
stellen die Einheiten der Replikation dar. Das Verzeichnis enthält die folgenden Partitionen:
■
Schemapartition Diese Partition definiert die im Verzeichnis erstellbaren Objekte
sowie die Attribute, die diese Objekte aufweisen können. Diese Daten sind allen Domänen
in einer Gesamtstruktur gemein und werden auf alle Domänencontroller in einer Gesamtstruktur repliziert.
■
Konfigurationspartition Diese Partition beschreibt den logischen Aufbau der Bereitstellung, einschließlich Domänenstruktur oder Replikationstopologie. Diese Daten sind
allen Domänen in einer Gesamtstruktur gemein und werden auf alle Domänencontroller in
einer Gesamtstruktur repliziert.
■
Domänenpartition Diese Verzeichnispartition beschreibt alle Objekte in einer Domäne.
Diese Daten sind domänenspezifisch und werden nicht auf andere Domänen repliziert. Die
Daten werden jedoch auf alle Domänencontroller in dieser Domäne repliziert.
■
Anwendungsverzeichnispartition Diese Partition speichert dynamische, anwendungsspezifische Daten in Active Directory, ohne sich nennenswert auf die Netzwerkleistung
auszuwirken, da Umfang der Replikation und Platzierung der Replikate durch Sie gesteuert werden können. Die Anwendungsverzeichnispartition kann beliebige Arten von Objekten enthalten. Ausgenommen hiervon sind Sicherheitsprinzipale (Benutzer, Gruppen und
Computer). Daten können explizit an durch den Administrator spezifizierte Domänencontroller in einer Gesamtstruktur umgeleitet werden, um unnötigen Replikationsdatenverkehr zu vermeiden. Alternativ können alle Daten auf alle Domänencontroller
repliziert werden, ähnlich wie bei der Replikation von Schema, Konfiguration und Domänenpartitionen.
Ein Domänencontroller speichert und repliziert die folgenden Daten:
■
Die Schemapartitionsdaten einer Gesamtstruktur.
■
Die Konfigurationspartitionsdaten aller Domänen in einer Gesamtstruktur.
■
Die Domänenpartitionsdaten (alle Verzeichnisobjekte und -eigenschaften) für die zugehörige Domäne. Diese Daten werden auf alle zusätzlichen Domänencontrollern der Domäne
repliziert. Zum Auffinden von Informationen wird ein Teilreplikat mit häufig verwendeten
Attributen aller Objekte in der Domäne in den globalen Katalog repliziert.
Kapitel 1
25
Ein globaler Katalog speichert und repliziert die folgenden Daten:
■
Die Schemapartitionsdaten einer Gesamtstruktur.
■
Die Konfigurationspartitionsdaten aller Domänen in einer Gesamtstruktur.
■
Ein Teilreplikat mit häufig verwendeten Attributen für alle Verzeichnisobjekte in der
Gesamtstruktur (wird nur zwischen den globalen Katalogservern repliziert).
■
Ein vollständiges Replikat mit allen Attributen für alle Verzeichnisobjekte in der Domäne,
in der sich der globale Katalog befindet.
Vorsicht Erweiterungen des Schemas in einem globalen Katalog sollten mit besonderer
Umsicht vorgenommen werden. Schemaerweiterungen können fatale Folgen auf große Netzwerke haben, da die Erweiterungen nicht gelöscht (nur deaktiviert) werden können und die
Synchronisierung der Erweiterungen innerhalb der Gesamtstruktur zu einem erheblichen
Anstieg des Netzwerkdatenverkehrs führt.
Wie werden Informationen repliziert?
Active Directory repliziert Informationen auf zwei Arten: standortintern und standortübergreifend. Die Notwendigkeit aktuellster Verzeichnisinformationen muss gegen die Beschränkungen durch verfügbare Netzwerkbandbreite abgewogen werden.
Standortinterne Replikation Innerhalb eines Standorts sorgt ein Windows Server 2003Dienst mit dem Namen Konsistenzprüfung (KCC) für die automatische Erzeugung einer
Replikationstopologie zwischen den Domänencontrollern einer Domäne. Die erzeugte Topologie entspricht einer Ringstruktur. Der Konsistenzprüfungsdienst ist ein integrierter Prozess,
der auf allen Domänencontrollern ausgeführt wird. Die Topologie definiert den Pfad der Verzeichnisaktualisierungen so, dass diese von einem Domänencontroller zum nächsten geleitet
werden, bis alle Domänencontroller innerhalb des Standorts die Verzeichnisaktualisierungen
empfangen haben. Der Konsistenzprüfungsdienst bestimmt, welche Server am besten für die
Replikation untereinander geeignet sind und legt bestimmte Domänencontroller als Replikationspartner fest. Bei dieser Festlegung werden Konnektivität, Verlauf der erfolgreichen
Replikationen sowie Übereinstimmungen hinsichtlich vollständiger und teilweiser Replikate
zugrunde gelegt. Domänencontroller können mehr als einen Replikationspartner besitzen.
Der Konsistenzprüfungsdienst erstellt in diesem Fall Verbindungsobjekte, welche die Replikationsverbindungen zwischen den Replikationspartnern repräsentieren.
Durch die Ringstruktur wird sichergestellt, dass mindestens zwei Replikationspfade von einem Domänencontroller zu einem anderen verfügbar sind. Wenn einer der Domänencontroller vorübergehend nicht verfügbar ist, kann die Replikation dennoch für alle verbleibenden
Domänencontroller vorgenommen werden, was in Abbildung 1.10 veranschaulicht wird.
26
Teil I
Selbststudium
Verknüpfungen der Replikationstopologie
DC1
DC4
DC2
Fehler auf Domänencontroller 3
Replikationsring
ist unterbrochen
Replikationsring
ist unterbrochen
DC3
Abbildung 1.10
Standortinterne Replikationstopologie
Der Konsistenzprüfungsdienst analysiert die standortinterne Replikationstopologie alle
15 Minuten, um ihre Funktionstüchtigkeit sicherzustellen. Wenn Sie einem Netzwerk oder
Standort einen Domänencontroller hinzufügen bzw. einen Domänencontroller entfernen, wird
die Replikationstopologie über den Konsistenzprüfungsdienst (KCC) entsprechend rekonfiguriert.
DC2
DC1
DC3
DC4
DC8
DC7
DC5
DC6
Abbildung 1.11 Aufgrund der durch den Konsistenzprüfungsdienst (KCC) zusätzlich
hinzugefügten Verbindungsobjekte müssen zwischen den Domänencontrollern maximal drei
Replikations-Hops zurückgelegt werden
Kapitel 1
27
Werden einem Standort mehr als sieben Domänencontroller hinzugefügt, erstellt der Konsistenzprüfungsdienst zusätzliche Verbindungsobjekte innerhalb der Ringstruktur. So ist
sichergestellt, dass bei einer Änderung auf einem beliebigen Domänencontroller Replikationspartner verfügbar sind, die nicht weiter als drei Hops von einem anderen Domänencontroller entfernt sind (siehe Abbildung 1.11). Diese der Optimierung dienenden Verbindungen
werden willkürlich erstellt und liegen nicht notwendigerweise auf jedem Domänencontroller
vor.
Standortübergreifende Replikation Zur Sicherstellung der standortübergreifenden Replikation müssen Sie die Standorte durch Erstellung von Standortverknüpfungen manuell verbinden. Standortverknüpfungen repräsentieren Netzwerkverbindungen und ermöglichen die
Replikation. Ein einziger Konsistenzprüfungsdienst pro Standort erstellt alle Verbindungen
zwischen Standorten. Active Directory verwendet die Netzwerkverbindungsinformationen
zur Erzeugung von Verbindungsobjekten, die eine effiziente Replikation und Fehlertoleranz
ermöglichen (siehe Abbildung 1.12).
Sie geben hierbei Informationen zum verwendeten Replikationstransport, zu den Kosten einer
Standortverbindung, zu den Zeiten sowie der Häufigkeit der Verbindungsnutzung an. Active
Directory greift auf diese Informationen zurück, um zu bestimmen, welche Standortverknüpfung zum Replizieren von Informationen verwendet werden soll. Sie können die Replikation
effektiver gestalten, indem Sie die Replikationspläne so anpassen, dass die Replikation zu
Zeiten mit niedrigem Datenverkehr erfolgt.
Als Administrator müssen Sie Standorte und Replikation konfigurieren, um sicherzustellen,
dass den Benutzern die neusten Informationen zur Verfügung stehen. Die Konfiguration von
Replikation und Standortverknüpfungen wird in Kapitel 5, „Konfigurieren von Standorten
und Verwalten der Replikation“, ausführlich behandelt.
Standort A
Standortverknüpfung AB
Standortverknüpfung CA
Standort B
Standort C
Standortverknüpfung BC
DC1
Abbildung 1.12
DC2
Standortübergreifende Replikationstopologie
28
Teil I
Selbststudium
Vertrauensstellungen
Eine Vertrauensstellung ist eine Verknüpfung zwischen zwei Domänen, bei der die vertrauende
Domäne bei Anmeldungen die Echtheitsbestätigung der vertrauten Domäne übernimmt (siehe
Abbildung 1.13). Benutzer und Anwendungen werden in Windows Server 2003 unter Verwendung von einem von zwei Protokollen authentifiziert: Kerberos, Version 5 oder NTLM (NT
LAN Manager). Kerberos 5 ist das Standardprotokoll für Computer, auf denen Windows Server 2003 ausgeführt wird. Bietet einer der an der Transaktion beteiligten Computer keine Unterstützung für Kerberos 5, kommt das NTLM-Protokoll zum Einsatz. Eine Vertrauensstellung
ist auch mit einem beliebigen MIT Kerberos 5-Bereich möglich. An einer Vertrauensstellung
sind zwei Domänen beteiligt, die vertrauende und die vertrauenswürdige Domäne.
Zugriffsrichtung
Richtung der
Vertrauensstellung
Vertrauende (Ressourcen-)
Domäne A
Vertraute (Konten-)
Domäne B
Abbildung 1.13 Über eine unidirektionale Vertrauensstellung verbundene vertrauende und
vertrauenswürdige Domänen
Vertrauensstellungen besitzen folgende Eigenschaften:
■
Methode der Erstellung Vertrauensstellungen können manuell (explizit) oder automatisch (implizit) erstellt werden. Nicht alle Vertrauensstellungen können auf beide Arten
erstellt werden.
■
Transitivität Vertrauensstellungen können entweder nicht an die Domänen innerhalb
der Vertrauensstellung gebunden sein (transitiv) oder an die Domänen in der Vertrauensstellung gebunden sein (nicht transitiv). Bei einer transitiven Vertrauensstellung gilt: Wenn
Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, dann vertraut Domäne
A auch Domäne C. Bei einer nicht transitiven Vertrauensstellung gilt: Wenn Domäne A
Domäne B vertraut und Domäne B Domäne C vertraut, besteht keine Vertrauensstellung
zwischen Domäne A und Domäne C.
■
Richtung Vertrauensstellungen können uni- oder bidirektional sein. Eine unidirektionale Vertrauensstellung ist eine einzelne Vertrauensstellung, bei der Domäne A Domäne B
vertraut, wie dargestellt in Abbildung 1.13. Eine unidirektionale Vertrauensstellung kann
je nach Typ der erstellten Vertrauensstellung nicht transitiv oder transitiv sein. In einer
bidirektionalen Vertrauensstellung vertraut Domäne A Domäne B und Domäne B vertraut
Domäne A. Dies bedeutet, dass zwischen den zwei Domänen Authentifizierungsanforderungen in beide Richtungen gesendet werden können.
Kapitel 1
29
In der Windows Server 2003-Familie unterstützt Active Directory die folgenden Formen von
Vertrauensstellungen:
■
Strukturstamm-Vertrauensstellung Eine Strukturstamm-Vertrauensstellung wird
implizit erstellt, wenn Sie einer Gesamtstruktur eine neue Strukturstammdomäne hinzufügen. In Abbildung 1.14 beispielsweise wird eine Strukturstamm-Vertrauensstellung
zwischen Domäne A und Domäne 1 erstellt, wenn mit Domäne 1 eine neue Strukturstammdomäne der Gesamtstruktur hinzugefügt wird. Die Vertrauensstellung wird
zwischen der erstellten Domäne (dem neuen Strukturstamm) und der vorhandenen
Stammdomäne der Gesamtstruktur erstellt. Eine Strukturstamm-Vertrauensstellung
kann nur zwischen den Stämmen zweier Strukturen derselben Gesamtstruktur erstellt
werden. Die Vertrauensstellung ist transitiv und bidirektional.
■
Überordnungs-Unterordnungs-Vertrauensstellung Eine Überordnungs-Unterordnungs-Vertrauensstellung wird implizit eingerichtet, wenn Sie in einer Struktur eine neue
untergeordnete Domäne erstellen. In Abbildung 1.14 beispielsweise wird eine Überordnungs-Unterordnungs-Vertrauensstellung zwischen Domäne 1 und Domäne 2 erstellt,
wenn mit Domäne 2 eine neue untergeordnete Domäne der Struktur hinzugefügt wird.
Während des Active Directory-Installationsprozesses wird automatisch eine Vertrauensstellung zwischen der neuen Domäne und der Domäne erstellt, die der ersten Domäne in
der Namespacehierarchie direkt vorangeht (beispielsweise wird uk.microsoft.com als
untergeordnetes Element von microsoft.com erstellt). Als Ergebnis verfügt eine Domäne,
die in eine Struktur aufgenommen wird, sofort über Vertrauensstellungen mit jeder
Domäne in der Struktur. Durch diese Vertrauensbeziehungen stehen alle Objekte in sämtlichen Domänen der Struktur auch allen Domänen in der Struktur zur Verfügung. Die
Vertrauensstellung ist transitiv und bidirektional.
Gesamtstruktur mit zwei Strukturen
Domäne A
Domäne 1
Domäne B
Domäne D
Domäne C
Domäne 2
Domäne E
Abbildung 1.14 Domänenstruktur mit Strukturstamm- und Überordnungs-UnterordnungsVertrauensstellungen
30
Teil I
Selbststudium
■
Shortcutvertrauensstellung Eine Shortcutvertrauensstellung muss von einem Systemadministrator explizit zwischen zwei Domänen in einer Gesamtstruktur erstellt werden.
Diese Vertrauensstellung wird zur Verkürzung der Anmeldezeiten eingesetzt, die sich verlängern können, wenn zwei Domänen in einer Gesamtstruktur oder Strukturhierarchie
logisch voneinander entfernt liegen. Diese Art von Vertrauensstellung ist transitiv und
kann uni- oder bidirektional sein.
■
Externe Vertrauensstellung Eine externe Vertrauensstellung muss von einem Systemadministrator explizit zwischen Windows Server 2003-Domänen unterschiedlicher
Gesamtstrukturen oder zwischen einer Windows Server 2003-Domäne und einer Domäne
erstellt werden, auf deren Domänencontroller Windows NT 4.0 oder früher ausgeführt
wird. Diese Vertrauensstellung wird eingesetzt, wenn Benutzer Zugriff auf Ressourcen
einer Windows NT 4.0-Domäne oder einer Domäne in einer separaten Gesamtstruktur
benötigen, die nicht über eine Gesamtstrukturvertrauensstellung aufgenommen werden
kann. Diese Art von Vertrauensstellung ist nicht transitiv und kann uni- oder bidirektional
sein.
■
Gesamtstrukturvertrauensstellung Eine Gesamtstrukturvertrauensstellung muss von
einem Systemadministrator explizit zwischen den Stammdomänen zweier Gesamtstrukturen erstellt werden. Diese Art von Vertrauensstellung ermöglicht allen Domänen in einer
Gesamtstruktur die Einrichtung einer transitiven Vertrauensstellung mit allen Domänen in
einer anderen Gesamtstruktur. Eine Gesamtstrukturvertrauensstellung ist über drei oder
mehr Gesamtstrukturen nicht transitiv. Beispiel: Gesamtstruktur A vertraut Gesamtstruktur B, und Gesamtstruktur B vertraut Gesamtstruktur C. Es besteht keine Vertrauensstellung zwischen Gesamtstruktur A und Gesamtstruktur C. Die Vertrauensstellung ist nur
zwischen zwei Gesamtstrukturen transitiv und kann uni- oder bidirektional sein. Gesamtstrukturvertrauensstellungen sind nur verfügbar, wenn die Gesamtstruktur die Funktionsebene Windows Server 2003 aufweist.
■
Bereichsvertrauensstellung Eine Bereichsvertrauensstellung muss von einem Systemadministrator explizit zwischen einem Nicht-Windows Kerberos-Bereich und einer Windows Server 2003-Domäne erstellt werden. Diese Art von Vertrauensstellung bietet
Interoperabilität zwischen der Windows Server 2003-Domäne und einem beliebigen
Bereich, der in Kerberos v5-Implementierungen verwendet wird. Die Vertrauensstellung
kann transitiv oder nicht transitiv, uni- oder bidirektional sein.
Als Administrator müssen Sie Vertrauensstellungen planen, um Benutzern Zugriff auf benötigte Ressourcen zu gewähren. Nähere Informationen zur Planung von Vertrauensstellungen
finden Sie in Kapitel 4, „Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen“.
Kapitel 1
31
Änderungs- und Konfigurationsverwaltung
Die Änderungs- und Konfigurationsverwaltung umfasst Windows Server 2003-Features, die
der Vereinfachung von Aufgaben bei der Computerverwaltung dienen. Hierzu zählen u.a.:
■
Verwalten der Konfiguration von Benutzerdesktops.
■
Verwalten der Art und Weise, mit der Software auf Benutzercomputern bereitgestellt und
installiert wird. So können Sie sicherstellen, dass die Benutzer über genau die Software
verfügen, die sie zur Ausführung ihrer Aufgaben benötigen.
■
Installieren eines anfänglichen Betriebssystems auf einem neuen Computer.
■
Ersetzen von Computern.
Die Änderungs- und Konfigurationsverwaltung umfasst folgende Aufgaben: Verwalten der
Benutzerdaten, Softwareinstallation und -wartung, Verwalten der Benutzereinstellungen sowie Verwalten von Computereinstellung. Sämtliche dieser Features werden unter dem Begriff
IntelliMirror-Verwaltungstechnologien zusammengefasst. Die Änderungs- und Konfigurationsverwaltung umfasst außerdem Technologien für die Remoteinstallation von Betriebssystemen.
Features der Änderungs- und Konfigurationsverwaltung
Die IntelliMirror-Verwaltungstechnologien können folgendermaßen beschrieben werden:
■
Verwaltung von Benutzerdaten Daten und Dokumente „folgen“ den Benutzern, sodass
ein Zugriff auf die benötigten Daten möglich ist. Die verwendeten Technologien sind u.a.
Active Directory, Gruppenrichtlinien, Offlinedateien, Synchronisationsverwaltung,
Datenträgerkontingente und servergespeicherte Benutzerprofile.
■
Softwareinstallation und -wartung Die Software „folgt“ den Benutzern, damit die
benötigte Software stets verfügbar ist. Die verwendeten Technologien sind u.a. Active
Directory, Gruppenrichtlinien, Windows Installer sowie das Tool Software in der Systemsteuerung.
■
Verwaltung von Benutzereinstellungen Die Benutzereinstellungen „folgen“ den
Benutzern, sodass stets die bevorzugten Desktopeinstellungen angezeigt werden. Zu den
verwendeten Technologien gehören Active Directory und servergespeicherte Benutzerprofile.
■
Verwaltung von Computereinstellungen Administratoren können definieren, wie
Computer angepasst und im Netzwerk beschränkt werden. Zu den verwendeten Technologien zählen die Konsole Active Directory-Benutzer und -Computer und das Tool Gruppenrichtlinie.
■
Remoteinstallationsdienste (RIS) Administratoren können die Remoteinstallation von
Microsoft Windows XP; Windows Server 2003, Standard Edition; Windows Server 2003,
Enterprise Edition; Microsoft Windows 2000 Professional; Microsoft Windows 2000 Server
und Windows 2000 Advanced Server auf neuen oder Ersatzcomputern ohne Vorinstallation
oder vor Ort ausgeführten technischen Support aktivieren. Zu den verwendeten Technologien zählen Active Directory, Gruppenrichtlinien und die Remoteinstallationsdienste.
32
Teil I
Selbststudium
IntelliMirror umfasst verschiedene Windows 2000-Features, die Sie bei der Verwaltung von
Benutzer- und Computerinformationen, Einstellungen und Anwendungen unterstützen. Wenn
IntelliMirror sowohl auf dem Server als auch auf dem Client eingesetzt wird, „folgen“ die Benutzerdaten, -anwendungen und -einstellungen dem Benutzer, wenn dieser an einen anderen
Computer wechselt. IntelliMirror greift auf Active Directory und die Konsole Gruppenrichtlinie zurück, um den Benutzerdesktop basierend auf Geschäftsfunktionen, Gruppenmitgliedschaften und Standorten zu verwalten. Sie können Desktops so konfigurieren, dass sie den
Anforderungen eines neuen Benutzers bei jeder Netzwerkanmeldung gerecht werden.
Gruppenrichtlinien
Gruppenrichtlinien sind Zusammenstellungen von Benutzer- und Computerkonfigurationseinstellungen, die mit Computern, Standorten, Domänen und OUs verknüpft werden können,
um das Verhalten des Benutzerdesktops zu definieren. Mithilfe von Gruppenrichtlinien können Sie beispielsweise die für einen Benutzer verfügbaren Programme sowie die Programme
festlegen, die auf dem Benutzerdesktop und in den Startmenüoptionen angezeigt werden.
Zum Erstellen einer spezifischen Desktopkonfiguration für eine bestimmte Benutzergruppe
erstellten Sie Gruppenrichtlinienobjekte (Group Policy Objects, GPOs). Gruppenrichtlinienobjekte sind eine Zusammenstellung von Gruppenrichtlinieneinstellungen. Jeder Windows
Server 2003-Computer verfügt über ein lokales Gruppenrichtlinienobjekt und kann darüber
hinaus einer beliebigen Anzahl von nicht lokalen (Active Directory-basierten) GPOs unterliegen. Lokale Gruppenrichtlinienobjekte werden durch nicht lokale Gruppenrichtlinienobjekte
außer Kraft gesetzt. Nicht lokale GPOs werden mit Active Directory-Objekten (Standorten,
Domänen oder OUs) verknüpft. Nicht lokale Gruppenrichtlinienobjekte können entweder auf
Benutzer (unabhängig davon, an welchem Computer diese angemeldet sind) oder auf Computer angewendet werden (unabhängig davon, wer sich an ihnen anmeldet). Gemäß der Vererbungseigenschaften von Active Directory werden nicht lokale GPOs der Hierarchie folgend
von der Gruppe mit den meisten Berechtigungen (Standort) bis hin zur Gruppe mit den wenigsten Berechtigungen (OU) angewendet und sind kumulativ.
Anwendung von Gruppenrichtlinienobjekten
Da nicht lokale Gruppenrichtlinienobjekte der Hierarchie folgend angewendet werden, ist die
Benutzer- oder Computerkonfiguration ein Ergebnis der Gruppenrichtlinienobjekte, die mit
dem Standort, der Domäne und OU verknüpft sind. Gruppenrichtlinienobjekte werden in der
folgenden Reihenfolge angewendet:
1. Lokales GPO Jeder Windows Server 2003-Server verfügt über genau ein lokal gespeichertes Gruppenrichtlinienobjekt.
2. Mit Standorten verknüpfte GPOs Als Nächstes werden alle Gruppenrichtlinienobjekte angewendet, die mit dem Standort verknüpft wurden. Die Anwendung der Gruppenrichtlinienobjekte erfolgt synchron. Der Administrator legt die Reihenfolge der mit einem
Standort verknüpften GPOs fest.
Kapitel 1
33
3. Mit Domänen verknüpfte GPOs Mit einer Domäne verknüpfte Gruppenrichtlinienobjekte werden synchron angewendet. Der Administrator legt die Reihenfolge der mit einer
Domäne verknüpften GPOs fest.
4. Mit Organisationseinheiten verknüpfte GPOs Die Gruppenrichtlinienobjekte werden
gemäß der Position der zugehörigen OU in der Active Directory-Hierarchie angewendet,
d.h. zuerst werden die GPOs angewendet, die mit der höchsten OU verknüpft sind, dann
folgen GPOs, die mit untergeordneten OUs verknüpft sind usw. Ganz zum Schluss wird
das Gruppenrichtlinienobjekt angewendet, das mit der OU verknüpft ist, die das Benutzeroder Computerobjekt enthält. Auf der Ebene jeder OU in der Active Directory-Hierarchie
können entweder ein GPO, mehrere GPOs oder kein GPO verknüpft werden. Sind verschiedene Gruppenrichtlinien mit einer OU verknüpft, werden diese synchron in der vom
Administrator festgelegten Reihenfolge angewendet.
Abbildung 1.15 zeigt die Anwendung von Gruppenrichtlinien am Beispiel der OUs Marketing und Server.
Domäne
Gruppenrichtlinienobjekte
A1
A2
microsoft.com
A3
Standort
OUs
Konten
Hauptau
sitz
Ressourcen
Marketing
k
Desktops
A4
A5
A6
Server
Auf OU „Server“ angewendete GPOs = A3, A1, A2, A4, A6
Auf OU „Marketing“ angewendete GPOs = A3, A1, A2, A5
Abbildung 1.15
Anwendung von Gruppenrichtlinien
Die Standardreihenfolge bei der Verarbeitung von Gruppenrichtlinieneinstellungen kann Ausnahmen unterliegen, wenn der betreffende Computer Mitglied einer Arbeitsgruppe ist, eine
der Einstellungen Kein Vorrang, Richtlinienvererbung deaktivieren oder Loopback für
das Gruppenrichtlinienobjekt aktiviert wurden.
34
Teil I
Selbststudium
Der Assistent Richtlinienergebnissatz vereinfacht die Implementierung und Problembehandlung von Richtlinien. Bei diesem Assistenten handelt es sich um ein Abfragemodul, das in
zwei Modi arbeitet: im Protokollmodus und im Planungsmodus. Im Protokollmodus fragt der
Assistent vorhandene Richtlinien und jedwede Anwendungen ab, die mit einem bestimmten
Benutzer oder Computer verknüpft sind, und stellt die Abfrageergebnisse bereit. Im Planungsmodus stellt der Assistent Fragen zu einer geplanten Richtlinienimplementierung und
liefert anschließend entsprechende Abfrageergebnisse.
Als Administrator müssen Sie in der Lage sein, Gruppenrichtlinien zu verwalten, um Benutzern Zugriff auf benötigte Ressourcen zu gewähren. Nähere Informationen zur Verwaltung
von Gruppenrichtlinien finden Sie in Kapitel 10, „Implementieren von Gruppenrichtlinien“,
Kapitel 11, „Verwalten von Gruppenrichtlinien“, und in Kapitel 12, „Bereitstellen von Software mit dem Tool Gruppenrichtlinie“.
DNS
DNS ist ein Dienst, der in TCP/IP-Netzwerken (Transmission Control Protocol/Internet Protocol), wie z.B. dem Internet, dazu dient, lokale Computer und Dienste über benutzerfreundliche
Namen aufzufinden. DNS bietet eine Methode der Benennung von Computern und Netzwerkdiensten mithilfe einer Hierarchie aus Domänen. Wenn ein Benutzer einen benutzerfreundlichen
DNS-Namen in einer Anwendung eingibt, kann DNS den Namen in andere Informationen auflösen, die mit dem Namen verknüpft sind, z.B. eine IP-Adresse. Beispielsweise ist es einfach,
sich zum Auffinden eines Computers in einem Netzwerk einen benutzerfreundlichen Namen
wie example.microsoft.com zu merken. Computer kommunizieren in einem Netzwerk jedoch
über numerische Adressen. DNS bietet eine Möglichkeit zum Zuordnen des benutzerfreundlichen Namens eines Computers oder Dienstes zu der entsprechenden numerischen Adresse.
Wenn Sie gelegentlich einen Webbrowser benutzen, haben Sie auch schon DNS verwendet.
Active Directory verwendet DNS als Namens- und Suchdienst für Domänen. DNS bietet die
folgenden Vorteile:
■
DNS-Namen sind benutzerfreundlich, da sie leichter zu merken sind als IP-Adressen
(Internet Protocol).
■
DNS-Namen sind dauerhafter als IP-Adressen. Die IP-Adresse eines Servers kann sich
ändern, sein Name jedoch bleibt gleich.
■
Anhand von DNS können Benutzer unter Verwendung derselben Namenskonvention wie
für das Internet eine Verbindung zu lokalen Servern herstellen.
Weitere Informationen Weitere Informationen zu DNS finden Sie in RFC 1034 und RFC
1035. Suchen Sie mithilfe einer Suchmaschine im Internet nach den Schlüsselwörtern „RFC
1034“ und „RFC 1035“. RFCs (Request for Comments) sind offizielle Dokumente der IETF
(Internet Engineering Task Force), in welchen die Details neuer Internetspezifikationen oder
-protokolle ausgeführt werden. RFC 1034 trägt den Titel „Domain Names – Concepts and
Facilities“, RFC 1035 trägt den Titel „Domain Names – Implementation and Specification“.
Kapitel 1
35
Objektbenennung
Da es sich bei Active Directory um einen LDAP-fähigen Verzeichnisdienst handelt, verwenden Netzwerkclients LDAP zur Abfrage der Active Directory-Datenbank. Jedes Objekt in Active Directory wird durch einen Namen identifiziert. LDAP-Standards bestimmen, wie die
Objekte benannt werden. Active Directory verwendet verschiedene Namenskonventionen für
Objekte: definierte Namen (DNs), relativ definierte Namen (RDNs), global eindeutige Kennungen (Global Unique Identifier, GUID) und Benutzerprinzipalnamen (UPNs).
Weitere Informationen Weitere Informationen zu LDAP finden Sie in RFC 1779, RFC 2247
und RFC 2251. Suchen Sie mithilfe einer Suchmaschine im Internet nach den verschiedenen
RFCs. RFC 1779 trägt den Titel „A String Representation of Distinguished Names“, der Titel
von RFC 2247 lautet „Using Domains in LDAP/X.500 Distinguished Names“, RFC 2251 trägt
den Titel „Lightweight Directory Access Protocol (v3)“.
Definierte Namen
Jedes Objekt in Active Directory verfügt über einen definierten Namen (Distinguished Name,
DN), mit dem das Objekt eindeutig identifiziert wird. Dieser Name enthält ausreichende Informationen, um das Objekt aus dem Verzeichnis abzurufen. Der DN umfasst den Namen der
Domäne, in der das Objekt gespeichert wird, sowie den vollständigen Pfad in der Containerhierarchie, der zu diesem Objekt führt. Der folgende DN beispielsweise identifiziert das Benutzerobjekt Scott Cooper in der Domäne microsoft.com:
CN=Scott Cooper,OU=Promotions,OU=Marketing,DC=Microsoft,DC=Com
Im definierten Namen werden die drei LDAP-Abkürzungen CN, OU und DC für die
Namensattribute eingesetzt. CN (Common Name) steht für den allgemeinen Namen, OU
(Organizational Unit) bezeichnet den Namen der Organisationseinheit, DC (Domain Component) verweist auf den Namen der Domänenkomponente. Definierte Namen müssen innerhalb
von Active Directory eindeutig sein, die mehrfache Verwendung eines DNs ist unzulässig.
Relativ definierte Namen
Active Directory unterstützt die Abfrage nach Attribut, daher kann ein Objekt sogar dann aufgefunden werden, wenn der exakte DN nicht bekannt ist oder sich geändert hat. Der relativ
definierte Name (Relative Distinguished Name, RDN) eines Objekts ist der Namensbestandteil, der selbst ein Objektattribut darstellt. Im obigen Beispiel lautet der relativ definierte
Name des Benutzerobjekts Scott Cooper. Der relativ definierte Name des übergeordneten
Objekts lautet Promotions.
36
Teil I
Selbststudium
Hinweis Active Directory zeigt die LDAP-Abkürzungen für die Namensattribute CN, OU
und DC nicht an. Diese Abkürzungen werden hier gezeigt, um zu verdeutlichen, wie LDAP
die Teile eines definierten Namens erkennt. Die meisten Active Directory-Tools zeigen
Objektnamen in kanonischer Form an, d.h. die RDNs werden von Stamm oder DNS-Domänenname ausgehend abwärts aufgelistet.
Global eindeutige Kennung
Eine global eindeutige Kennung (Global Unique Identifier, GUID) ist ein 128-Bit-Zahlenwert, der immer eindeutig ist. Jedem Objekt wird bei dessen Erstellung eine GUID zugewiesen. Die GUID ändert sich niemals, auch wenn Sie das Objekt verschieben oder umbenennen.
Anwendungen können die GUID eines Objekts speichern und diese zum Abrufen des Objekts
ohne Berücksichtigung des aktuellen definierten Namen des Objekts verwenden.
Unter Windows NT wurde jede Domänenressource mit einer Sicherheitskennung (Security
Identifier, SID) verknüpft, die innerhalb der Domäne erzeugt wurde. Dies bedeutete, dass die
SID nur in der Domäne auf jeden Fall eindeutig war. Eine GUID ist in allen Domänen eindeutig. Sie können Objekte also zwischen verschiedenen Domänen verschieben, ohne dass der
eindeutige Bezeichner verloren geht.
Benutzerprinzipalname
Jedes Benutzerkonto verfügt über einen „benutzerfreundlichen“ Namen, den sogenannten Benutzerprinzipalnamen (User Principal Name, UPN). Der Benutzerprinzipalname besteht aus
einem Benutzerkontonamen (gelegentlich auch Benutzeranmeldename genannt) und einem
Domänennamen, der die Domäne angibt, in der das Benutzerkonto gespeichert ist. Das Benutzerobjekt Scott Cooper in der Struktur microsoft.com könnte beispielsweise den Benutzerprinzipalnamen [email protected] aufweisen (bei Verwendung des vollständigen
Vornamens plus dem ersten Buchstaben des Nachnamens).
Active Directory-Verwaltungsaufgaben
Das Verwalten von Windows Server 2003 Active Directory umfasst sowohl Konfigurationsaufgaben als auch täglich anfallende Aufgaben. Die administrativen Aufgaben können in
verschiedene Kategorien gegliedert werden, die in Tabelle 1.1 beschrieben sind. Diese Verwaltungskategorien entsprechen grob gesehen den weiteren Kapiteln des vorliegenden Trainings.
Kapitel 1
Tabelle 1.1
37
Active Directory-Verwaltungsaufgaben
Verwaltungskategorie
Spezifische Aufgabe
Planen des Active Directory-Infrastrukturdesigns
Zusammenstellen eines Designteams. Analysieren der
geschäftlichen und technischen Umgebung. Erarbeiten eines
Gesamtstrukturplans. Erarbeiten eines Domänenplans. Erarbeiten eines OU-Plans. Erarbeiten eines Plans für die Standorttopologie.
Installieren und Konfigurieren von
Active Directory
Zusammentragen von Informationen für die Installation.
Installieren von Active Directory. Überprüfen der Active
Directory-Installation. Entfernen von Active Directory. Einsetzen von Tools zur Problembehandlung der Active Directory-Installation.
Verwalten von Active Directory
Einsetzen der Active Directory-Verwaltungstools. Einsetzen
und Anpassen von MMC-Konsolen (Microsoft Management
Console). Sichern und Wiederherstellen von Active Directory.
Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen
Planen und Erstellen zusätzlicher Domänen, Strukturen und
Gesamtstrukturen. Übertragen von Betriebsmasterfunktionen. Übernehmen von Betriebsmasterfunktionen. Planen und
Implementieren von Vertrauensstellungen.
Konfigurieren von Standorten und
Verwalten der Replikation
Planen, Erstellen und Konfigurieren von Standorten. Konfigurieren der standortübergreifenden Replikation. Konfigurieren
von globalen Katalogservern. Einsetzen von Tools zur Verwaltung, Überwachung und Problembehandlung der Replikation.
Implementieren einer OU-Struktur
Planen, Erstellen und Verwalten einer OU-Struktur.
Verwalten von Benutzerkonten
Erstellen von Benutzerkonten, Benutzerprofilen und Basisverzeichnissen. Verwalten von Benutzerkonten.
Verwalten von Gruppenkonten
Planen, Erstellen und Verwalten von Gruppenkonten.
Verwalten von Active DirectoryObjekten
Auffinden von Active Directory-Objekten. Veröffentlichen
von Ressourcen in Active Directory. Steuern des Zugriffs auf
Active Directory-Objekte. Delegieren der Verwaltung von
Active Directory-Objekten. Verschieben von Active Directory-Objekten. Einsetzen von Skripts zur Verwaltung von
Active Directory-Objekten.
Implementieren von Gruppenrichtlinien
Planen und Erstellen von Gruppenrichtlinienobjekten (GPOs).
Verknüpfen von GPOs mit Standorten, Domänen und OUs.
Verwalten von Gruppenrichtlinien
Einsetzen des Richtlinienergebnissatzes zur Prüfung der
Ergebnisse von Gruppenrichtlinienobjekten. Umleiten spezieller Ordner mithilfe des Tools Gruppenrichtlinie. Einsetzen
von Tools zur Verwaltung und Problembehandlung von Gruppenrichtlinien.
38
Teil I
Selbststudium
(Fortsetzung)
Verwaltungskategorie
Spezifische Aufgabe
Bereitstellen von Software mit dem
Tool Gruppenrichtlinie
Bereitstellen von Software mit dem Tool Gruppenrichtlinie.
Bereitstellen eines Softwareupgrades oder Sicherheitspatches
mit dem Tool Gruppenrichtlinie. Einsetzen von Tools zur
Verwaltung und Problembehandlung der Softwarebereitstellung.
Verwalten der Active DirectorySicherheit
Implementieren von Richtlinien zur Softwareeinschränkung.
Implementieren einer Überwachungsrichtlinie zur Protokollierung von Sicherheitsereignissen. Verwalten des Sicherheitsprotokolls und Anzeigen von Sicherheitsereignissen.
Verwalten von Sicherheitsvorlagen. Einsetzen der Konsole
Sicherheitskonfiguration und -analyse zur Analyse der Systemsicherheit.
Verwalten der Active DirectoryLeistung
Einsetzen von Active Directory-Tools zur Überwachung der
Active Directory-Leistung. Optimieren und Problembehandlung der Active Directory-Leistung.
Lernzielkontrolle
Können Sie eine Frage nicht beantworten, bearbeiten Sie die entsprechende Lektion noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten auf die Lernzielkontrollfragen finden Sie im Abschnitt „Fragen und Antworten“ am Ende dieses Kapitels.
1. Nennen Sie die vier Verzeichnispartitionen der Active Directory-Datenbank.
2. Welche Funktion erfüllt der Konsistenzprüfungsdienst (KCC)?
3. Nennen Sie die sechs Arten von Vertrauensstellungen, die in Active Directory verwendet
werden.
Kapitel 1
39
4. Was versteht man unter Änderungs- und Konfigurationsverwaltung? Was ist IntelliMirror?
5. Erläutern Sie die Funktion von Gruppenrichtlinien.
6. Definieren Sie jeden der folgenden Namen: DN, RDN, GUID, UPN.
■
Die in Active Directory gespeicherten Informationen werden in vier logische Replikationseinheiten unterteilt: Schemapartition, Konfigurationspartition, Domänenpartition und
Anwendungspartition.
■
Active Directory repliziert Informationen auf zwei Arten: standortintern (innerhalb eines
Standorts) und standortübergreifend (zwischen Standorten).
■
Eine Vertrauensstellung ist eine Verknüpfung zwischen zwei Domänen, bei der die vertrauende Domäne bei Anmeldungen die Echtheitsbestätigung der vertrauten Domäne
übernimmt. Windows Server 2003 unterstützt die folgenden Vertrauensstellungen: Strukturstamm-Vertrauensstellung, Überordnungs-Unterordnungs-Vertrauensstellung, Shortcutvertrauensstellung, externe Vertrauensstellung, Gesamtstrukturvertrauensstellung und
Bereichsvertrauensstellung.
■
Gruppenrichtlinien sind eine Zusammenstellung von Konfigurationseinstellungen für
Benutzer und Computer, die mit Computern, Standorten, Domänen und OUs verknüpft
werden können, um das Verhalten von Benutzerdesktops festzulegen. Gruppenrichtlinienobjekte sind eine Zusammenstellung von Gruppenrichtlinieneinstellungen.
■
DNS ist ein Dienst, der in TCP/IP-Netzwerken, wie z.B. dem Internet, dazu dient, lokale
Computer und Dienste über benutzerfreundliche Namen aufzufinden. Active Directory
verwendet DNS als Namens- und Suchdienst für Domänen.
40
Teil I
Selbststudium
Lektion 3: Planen des Active Directory-Infrastrukturdesigns
Diese Lektion bietet eine Einführung in das Design der Active Directory-Infrastruktur. Darüber hinaus werden die Tools vorgestellt, die Sie zur Erarbeitung des Infrastrukturdesigns
benötigen. Ferner erhalten Sie einen Überblick über den Designprozess. In jeder Phase des
Designprozesses werden die Beweggründe für die Definition jeder Active Directory-Komponente im Design erläutert. Es ist von grundlegender Bedeutung, dass Sie die Wichtigkeit der
Planung einer Active Directory-Infrastruktur erkennen, bevor Sie mit der Implementierung
beginnen. Sie sollten außerdem die Gründe kennen, aus denen Active Directory-Komponenten in einem Design definiert werden.
auszuführen:
■
■
■
■
■
■
■
■
Erläutern der Funktion eines Active Directory-Infrastrukturdesigns
Benennen der Ressourcen, die zur Erarbeitung eines Active Directory-Infrastrukturdesigns erforderlich sind
Benennen der Schritte im Designprozess für eine Active Directory-Infrastruktur
Benennen der Gründe für den Einsatz mehrerer Gesamtstrukturen
Benennen der Gründe für den Einsatz mehrerer Domänen
Benennen der Gründe für die Definition von OUs
Benennen der Gründe für die Definition von Standorten
Benennen der Gründe für die Platzierung von Domänencontrollern in Standorten
Was ist ein Active Directory-Infrastrukturdesign?
Bevor Sie Active Directory in Ihrer Organisation implementieren, müssen Sie einen Plan erarbeiten. Als Active Directory-Infrastrukturdesign wird ein von Ihnen erarbeiteter Plan bezeichnet, der die Netzwerkinfrastruktur Ihrer Organisation abbildet. Mithilfe dieses Plans
wird festgelegt, wie in Active Directory Informationen zu den Objekten des Netzwerks gespeichert und den Benutzern und Netzwerkadministratoren zugänglich gemacht werden.
Da Ihr Active Directory-Infrastrukturdesign der Schlüssel zum Erfolg Ihrer Windows Server
2003-Bereitstellung ist, müssen Sie zunächst umfassende Informationen sammeln und Ihr
Design sorgfältig entwickeln und testen, bevor Sie es bereitstellen. An verschiedenen Punkten
im Designprozess kann ein Überdenken, eine Neuentwicklung und erneutes Testen erforderlich sein, um sicherzustellen, dass das Design den Anforderungen Ihrer Organisation gerecht
wird. Ein effektives Infrastrukturdesign unterstützt Sie bei der Bereitstellung einer kosteneffektiven Implementierung und erspart Ihnen die Zeit und Kosten, die bei einer weniger sorgfältigen Vorbereitung für die Umarbeitung Ihrer Infrastruktur erforderlich würden.
Kapitel 1
41
Designtools
Zur Entwicklung eines effektiven Infrastrukturdesigns benötigen Sie Folgendes:
■
Designteam
■
Geschäftliche und technische Analysen
■
Testumgebung
Zusammenstellen eines Designteams
Bevor Sie mit dem Entwurf Ihres Active Directory-Infrastrukturdesigns beginnen, müssen
Sie Mitarbeiter in Ihrer Organisation in das Designteam aufnehmen, die am Designprozess
beteiligt werden sollten. Um sicherzustellen, dass in Ihrer Active Directory-Implementierung
sämtliche organisationsrelevanten Aspekte berücksichtigt sind, können Sie ein aus drei Gruppen bestehendes Designteam zusammenzustellen:
■
Infrastrukturdesigner Die Schlüsselpersonen beim Design einer Active DirectoryInfrastruktur.
■
Belegschaftsrepräsentanten Das Organisationspersonal, das für die Ausführung täglicher Operationen verantwortlich ist.
■
Managementrepräsentanten Führungskräfte, die für die Genehmigung von geschäftlichen Entscheidungen innerhalb der Organisation verantwortlich sind.
Die für jede dieser Gruppen ausgewählten Designteammitglieder müssen die nötige Motivation und Zeit besitzen, ihre Ideen in den Designprozess einfließen zu lassen, sodass ein effektives Infrastrukturdesign erarbeitet werden kann, das den Anforderungen der jeweiligen
Organisation voll und ganz gerecht wird.
Analyse der geschäftlichen und technischen Umgebung
Nach der Zusammenstellung eines Designteams benötigen Sie eine Analyse der geschäftlichen und technischen Umgebung Ihrer Organisation. Eine Analyse der geschäftlichen Umgebung einer Organisation definiert, wie nicht technische Ressourcen strukturiert und verwaltet
werden, z.B. Produkte und Kunden, Geschäftsstruktur, Geschäftsprozesse, Unternehmensstrategien und das IT-Management. Die Analyse der technischen Umgebung einer Organisation liefert Aufschluss darüber, wie die technischen Ressourcen strukturiert und verwaltet
werden, z.B. Netzwerkarchitektur, Hardware, Software, technische Standards, DNS-Umgebung (falls zutreffend) und Windows NT-Umgebung (falls zutreffend). In den meisten Fällen
ist innerhalb einer Organisation bereits eine Geschäftsinfrastruktur oder ein Netzwerk vorhanden. Es liegt an Ihnen als Infrastrukturdesigner, die weiteren Mitglieder des Designteams aufzufordern, Informationen zu diesen Umgebungen zusammenzutragen.
42
Teil I
Selbststudium
Testumgebung
Nach der Fertigstellung Ihres Infrastrukturdesigns sollten Sie dieses in einer Testumgebung
testen. Eine Testumgebung ist eine Simulation Ihrer Produktionsumgebung, in der Sie Teile
der Windows Server 2003-Bereitstellung, wie z.B. das Active Directory-Infrastrukturdesign,
ohne Risiko für Ihr Unternehmensnetzwerk testen können. Zur Sicherstellung des Erfolges
Ihrer Windows Server 2003-Bereitstellung sollte Ihre Organisation eine Testumgebung einrichten.
Durch das Einrichten des Infrastrukturdesigns in einer Testumgebung können Sie feststellen,
ob sich das Design in der Praxis bewährt und können gleichzeitig prüfen, ob zur Verbesserung
gegebenenfalls Änderungen erforderlich sind. Das Überprüfen des Designs in einer Testumgebung ist bei der Entwicklung eines effektiven Designs von unschätzbarem Wert.
Der Designprozess
Nachdem Sie ein Designteam zusammengestellt, die geschäftliche und technische Analyse
durchgeführt und eine Testumgebung eingerichtet haben, können Sie mit der Planung Ihres
Infrastrukturdesigns beginnen. Der Designprozess für die Active Directory-Infrastruktur umfasst die folgenden vier Phasen:
1. Erarbeiten eines Gesamtstrukturplans
2. Erarbeiten eines Domänenplans
3. Erarbeiten eines OU-Plans
4. Erarbeiten eines Plans für die Standorttopologie
Während jeder Phase ziehen Sie die Dokumente der geschäftlichen und technischen Analyse
zu Rate und schätzen die Organisationsanforderungen ein. Darüber hinaus müssen Sie auch
geplante Änderungen hinsichtlich Wachstum und Skalierbarkeit berücksichtigen.
Phase 1 – Erarbeiten eines Gesamtstrukturplans
Nach Analyse der Organisationsanforderungen besteht der erste Schritt zur Erarbeitung eines
Gesamtstrukturplans darin, die Anzahl der erforderlichen Active Directory-Gesamtstrukturen
zu ermitteln. Da der Einsatz mehrerer Gesamtstrukturen die Verwaltung mehrerer Schemas,
Konfigurationscontainer, globaler Kataloge und Vertrauensstellungen erfordert sowie dem
Benutzer komplexe Schritte bei Verwendung des Verzeichnisses abverlangt, sollten Sie die
Verwendung von nur einer Gesamtstruktur für Ihre Organisation anstreben. In den folgenden
Situationen sollten Sie jedoch die Verwendung mehrerer Gesamtstrukturen erwägen:
■
Die Netzwerkverwaltung ist in autonome Gruppen unterteilt, die keine Vertrauensstellung
zueinander aufweisen.
■
Unternehmensabteilungen sind in autonome Gruppen unterteilt.
■
Unternehmensabteilungen müssen getrennt verwaltet werden.
Kapitel 1
■
Es ist erforderlich, das Schema, Konfigurationscontainer oder den globalen Katalog zu
isolieren.
■
Der Umfang von Vertrauensbeziehungen zwischen Domänen oder Domänenstrukturen
muss begrenzt werden.
43
In dieser Phase erstellen Sie außerdem eine Richtlinie zur Schemaänderung. Hierbei handelt
es sich um einen Plan, der umreißt, welche Personen Steuerung über das Schema erhalten und
wie Modifikationen verwaltet werden, welche die ganze Gesamtstruktur betreffen. In Einhaltung der Richtlinie zur Schemaänderung bewerten Sie die Schemaanforderungen einer Organisation und legen fest, ob das Schema bearbeitet werden muss. Falls eine Schemabearbeitung
erforderlich ist, entwerfen Sie einen Plan für die Schemabearbeitung.
Phase 2 – Erarbeiten eines Domänenplans
Nach Analyse der Organisationsanforderungen besteht der erste Schritt zur Erarbeitung eines
Domänenplans darin, die Anzahl der erforderlichen Domänen zu ermitteln. Da das Hinzufügen von Domänen zur Gesamtstruktur die Kosten für Verwaltung und Hardware ansteigen
lässt, sollten Sie die Anzahl der Domänen so gering wie möglich halten. Nach Erstellung einer
Domäne kann diese nicht mehr ohne Weiteres verschoben oder umbenannt werden. In den folgenden Situationen sollten Sie jedoch die Verwendung mehrerer Domänen erwägen:
■
Zur Erfüllung von Sicherheitsrichtlinieneinstellungen in Bezug auf Domänen
■
Zur Erfüllung spezieller Verwaltungsanforderungen, z.B. rechtliche oder datenschutztechnische Aspekte
■
Zur Optimierung des Replikationsdatenverkehrs
■
Zur Erhaltung von Windows NT-Domänen
■
Zur Einrichtung eines getrennten Namespace
Der zweite Schritt bei der Erstellung eines Domänenplans besteht in der Definition der
Stammdomäne der Gesamtstruktur. Sie können eine vorhandene Domäne als Stammdomäne
der Gesamtstruktur festlegen oder eine neue Domäne als dedizierte Gesamtstruktur-Stammdomäne festlegen. Der Einsatz einer dedizierten Gesamtstruktur-Stammdomäne bietet hierbei
Vorteile hinsichtlich Sicherheitsverwaltung, Replikationsdatenverkehr und Skalierbarkeit.
Definieren Sie Ihre Gesamtstruktur-Stammdomäne mit Bedacht. Sobald Sie die Stammdomäne der Gesamtstruktur benannt haben, ist eine Änderung der Stammdomäne ohne Umbenennung und Umarbeitung der gesamten Active Directory-Struktur nicht mehr möglich.
Der dritte Schritt bei der Erarbeitung eines Domänenplans ist die Definition von Domänenhierarchie und Namensdomänen. Zur Definition der Domänenhierarchie müssen folgende Aufgaben ausgeführt werden:
■
Festlegen der Anzahl an Domänenstrukturen
■
Festlegen der Strukturstammdomänen für jede Struktur
■
Anordnen der verbleibenden untergeordneten Domänen in einer Hierarchie unterhalb der
Stammdomänen
44
Teil I
Selbststudium
Zur Domänenbenennung sind folgende Schritte erforderlich:
■
Für jede Gesamtstruktur innerhalb der Organisation Zuweisen eines DNS-Namens für die
Stammdomäne der Gesamtstruktur
■
Zuweisen eines DNS-Namens für jede Strukturstammdomäne
■
Zuweisen eines DNS-Namens für jede verbleibende Subdomäne, entsprechend ihrer Position in der Hierarchie
Abschließend legen Sie die Platzierung von DNS-Servern fest. Sie planen ferner zusätzliche
Zonen, ermitteln vorhandene DNS-Dienste auf DNS-Servern und legen die zu verwendende
Methode für die Zonenreplikation fest. Das Endergebnis eines Domänenplans ist ein Diagramm der Domänenhierarchie, in dem Domänennamen und geplante Zonen aufgeführt sind.
Phase 3 – Erarbeiten eines OU-Plans
Nach Analyse der Organisationsanforderungen ist zur Erstellung eines OU-Plans die Definition einer OU-Struktur erforderlich. Es gibt drei Gründe, die für das Definieren einer OU
sprechen:
■
Sie möchten Verwaltungsaufgaben delegieren
■
Sie möchten Objekte verbergen
■
Sie möchten Gruppenrichtlinien verwalten
Der Hauptgrund für die Definition einer OU ist die Delegierung von Verwaltungsaufgaben.
Das Delegieren von Verwaltungsaufgaben ist die Zuweisung von IT-Verwaltungszuständigkeit für einen Teil des Namespace, z.B. einer OU, an einen Administrator, Benutzer oder eine
Gruppe von Administratoren oder Benutzern.
Nachdem Sie die OU-Struktur festgelegt haben, müssen Sie Benutzerkonten in den geeigneten OUs platzieren. Das Endergebnis eines OU-Plans ist ein Diagramm der OU-Strukturen für
jede Domäne sowie eine Liste der Benutzer in jeder OU.
Phase 4 – Erarbeiten eines Plans für die Standorttopologie
Nach Analyse der Organisationsanforderungen besteht der erste Schritt der Erarbeitung eines
Plans für die Standorttopologie in der Definition von Standorten. Der Hauptzweck eines
Standortes ist die physische Gruppierung von Computern zur Optimierung des Netzwerkverkehrs. In Active Directory spiegelt die Standortstruktur die Standorte der Benutzergruppen
wider. Sie müssen für jedes der folgenden Elemente einen Standort definieren:
■
Für jedes LAN oder jede Gruppe von LANs, die durch einen HochgeschwindigkeitsBackbone miteinander verbunden sind
■
Für jeden Standort, der nicht direkt an das übrige Netzwerk angeschlossen und nur per
SMTP-Mail erreichbar ist
Kapitel 1
45
Der zweite Schritt bei Erstellung eines Plans für die Standorttopologie ist die Platzierung
der Domänencontroller. Da die Verfügbarkeit von Active Directory mit dem Vorhandensein
von Domänencontrollern steht und fällt, muss immer ein Domänencontroller für die Benutzerauthentifizierung verfügbar sein. Zum Erzielen optimaler Netzwerkantwortzeiten und
Anwendungsverfügbarkeit gilt Folgendes:
■
Mindestens ein Domänencontroller pro Standort
■
Mindestens zwei Domänencontroller in jeder Domäne
Zusätzlich müssen Sie gegebenenfalls zusätzliche Domänencontroller in einem Standort einsetzen, wenn Folgendes gilt:
■
In einem Standort sind sehr viele Benutzer vorhanden, und die Verbindung zum Standort
ist langsam oder nahe an der Kapazitätsgrenze
■
Die Verbindung zum Standort ist bekanntermaßen unzuverlässig oder steht nur periodisch
zur Verfügung
Der dritte Schritt bei der Erarbeitung eines Plans für die Standorttopologie ist die Definition
einer Replikationsstrategie. Eine effektive Replikationsstrategie stellt eine effiziente Replikation und Fehlertoleranz sicher. In diesem Schritt konfigurieren Sie Standortverknüpfungen,
was die Zuweisung einer Methode für den Replikationstransport, die Festlegung von Kostenwerten für Standortverknüpfungen sowie das Angeben von Replikationshäufigkeit und Replikationsverfügbarkeit umfasst. Sie haben ferner die Option, bevorzugte Bridgheadserver
anzugeben.
Der abschließende Schritt bei der Erarbeitung eines Plans für die Standorttopologie besteht
darin, globale Katalogserver und Betriebsmaster innerhalb einer Gesamtstruktur zu platzieren. Das Endergebnis eines Plans für die Standorttopologie ist ein Standortdiagramm mit
Standortverknüpfungen und einer Standortverknüpfungstabelle, die Details zur Konfiguration
der Standortverknüpfungen liefert und die Verteilung der Domänencontroller und Betriebsmasterfunktionen angibt. In Abhängigkeit von den Anforderungen einer Organisation kann
der Plan für die Standorttopologie auch eine Tabelle umfassen, in der Details zu Standortverknüpfungsbrücken und bevorzugten Bridgeheadservern aufgeführt sind.
Lernzielkontrolle
Können Sie eine Frage nicht beantworten, bearbeiten Sie die entsprechende Lektion noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten auf die Lernzielkontrollfragen finden Sie im Abschnitt „Fragen und Antworten“ am Ende dieses Kapitels.
1. Welche drei Dinge sind zur Erarbeitung eines effektiven Active Directory-Infrastrukturdesigns erforderlich?
46
Teil I
Selbststudium
2. Listen Sie die vier Phasen im Active Directory-Designprozess auf.
3. Aus welchem Grund sollten Sie die Erstellung von nur einer Gesamtstruktur für Ihre Organisation anstreben?
4. Warum sollten Sie die Anzahl der Domänen innerhalb der Organisation so gering wie
möglich halten?
5. Aus welchem Grund sollten Sie bei der Definition der Stammdomäne für die Gesamtstruktur besonders umsichtig vorgehen?
6. Wie lautet der Hauptgrund für die Definition einer OU?
■
Der Designprozess für die Active Directory-Infrastruktur umfasst die folgenden vier
Phasen: (1) Erarbeiten eines Gesamtstrukturplans, (2) Erarbeiten eines Domänenplans,
(3) Erarbeiten eines OU-Plans und (4) Erarbeiten eines Plans für die Standorttopologie.
■
Sie sollten nach Möglichkeit nur eine Gesamtstruktur für eine Organisation erstellen, um
die Verwaltung mehrerer Schemas, Konfigurationscontainer, globaler Kataloge und Vertrauensstellungen zu vermeiden und um zu verhindern, dass die Verwendung des Verzeichnisses dem Benutzer komplexe Schritte abverlangt.
■
Minimieren Sie die Anzahl der Domänen, um Verwaltungs- und Hardwarekosten möglichst niedrig zu halten. Sobald Sie die Stammdomäne der Gesamtstruktur benannt haben,
ist eine Änderung ohne Umarbeitung der gesamten Active Directory-Struktur nicht mehr
möglich.
■
Es gibt drei Gründe, die für das Definieren einer OU sprechen: (1) das Delegieren von
Verwaltungsaufgaben, (2) das Verbergen von Objekten und (3) das Verwalten von Gruppenrichtlinien. Der Hauptgrund für die Definition einer OU ist die Delegierung von Verwaltungsaufgaben.
Kapitel 1
■
47
Der Hauptzweck eines Standortes ist die physische Gruppierung von Computern zur Optimierung des Netzwerkdatenverkehrs. In Active Directory spiegelt die Standortstruktur die
Standorte der Benutzergruppen wider.
Zusammenfassung des Kapitels
■
Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, OUs, Strukturen und Gesamtstrukturen.
■
■
Der globale Katalog ist die zentrale Speicherdatenbank für Informationen zu den Objekten
in einer Struktur oder Gesamtstruktur.
■
Die in Active Directory gespeicherten Informationen werden in vier logische Replikationseinheiten unterteilt: Schemapartition, Konfigurationspartition, Domänenpartition und
Anwendungspartition.
■
■
Windows Server 2003 unterstützt die folgenden Vertrauensstellungen: StrukturstammVertrauensstellung, Überordnungs-Unterordnungs-Vertrauensstellung, Shortcutvertrauensstellung, externe Vertrauensstellung, Gesamtstrukturvertrauensstellung und Bereichsvertrauensstellung.
■
werden können, um das Verhalten von Benutzerdesktops festzulegen.
■
Der Designprozess für die Active Directory-Infrastruktur umfasst die folgenden vier
Phasen: (1) Erarbeiten eines Gesamtstrukturplans, (2) Erarbeiten eines Domänenplans,
(3) Erarbeiten eines OU-Plans und (4) Erarbeiten eines Plans für die Standorttopologie.
Prüfungsrelevante Themen
Vor Prüfungsteilnahme sollten Sie die in diesem Kapitel behandelten Schlüsselinformationen
und -begriffe noch einmal durchgehen. Sie müssen diesen Prüfungsstoff beherrschen.
Schlüsselinformationen
■
Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, OUs, Strukturen und Gesamtstrukturen.
■
48
Teil I
Selbststudium
■
■
werden können, um das Verhalten von Benutzerdesktops festzulegen.
■
■
Der Hauptzweck eines Standortes ist die physische Gruppierung von Computern zur Optimierung des Netzwerkdatenverkehrs.
Schlüsselbegriffe
Active Directory Ein Windows-basierter Verzeichnisdienst. Active Directory speichert
Informationen zu Objekten in einem Netzwerk und stellt den Benutzern und Administratoren diese Informationen zur Verfügung. Über Active Directory wird den Netzwerkbenutzern anhand eines einzigen Anmeldeprozesses Zugriff auf Ressourcen an beliebigen
Standorten im Netzwerk erteilt. Netzwerkadministratoren wird eine intuitive hierarchische
Sicht auf das Netzwerk und ein zentraler Punkt für die Verwaltung aller Netzwerkobjekte
zur Verfügung gestellt.
Domäne Eine Zusammenstellung von Computer-, Benutzer- und Gruppenobjekten, die
vom Administrator definiert werden. Diese Objekte nutzen eine gemeinsame Verzeichnisdatenbank, Sicherheitsrichtlinien und Sicherheitsbeziehungen zu anderen Domänen.
Gesamtstruktur Eine oder mehrere Active Directory-Domänen, die gleiche Klassen- und
Attributdefinitionen (Schema), Standort- und Replikationsinformationen (Konfiguration)
nutzen und auf die gleichen gesamtstrukturweiten Suchfunktionen (globaler Katalog)
zurückgreifen. Domänen in derselben Gesamtstruktur sind über bidirektionale, transitive
Vertrauensstellungen miteinander verknüpft.
Organisationseinheit (Organizational Unit, OU) Ein Containerobjekt in Active Directory, das innerhalb von Domänen verwendet wird. Eine OU ist ein logischer Container, in
dem Benutzer, Gruppen, Computer und weitere OUs platziert werden. Eine OU kann nur
Objekte der übergeordneten Domäne enthalten. Eine OU ist der kleinste Bereich, der mit
einem Gruppenrichtlinienobjekt verknüpft werden kann oder für den Berechtigungen vergeben werden können.
Standort Ein oder mehrere gut (sehr zuverlässig und schnell) verbundene TCP/IP-Subnetze. An einem Standort können Administratoren Active Directory-Zugriff und Replikationstopologie schnell und mühelos konfigurieren, um den Vorteil des physischen
Netzwerks zu nutzen.
Kapitel 1
49
Fragen und Antworten
Seite 21
Lernzielkontrolle Lektion 1
1. Inwiefern unterscheiden sich Verzeichnisdienst und Verzeichnis?
Ein Verzeichnisdienst unterscheidet sich von einem Verzeichnis dahingehend, dass
der Dienst sowohl die Quelle der Informationen ist als auch die Mittel bereitstellt, mit
denen dem Benutzer die Informationen zugänglich gemacht werden.
2. Inwieweit ist Active Directory skalierbar?
Active Directory ermöglicht aufgrund der Konfiguration von Domänen und Strukturen sowie der Platzierung von Domänencontrollern eine Skalierung des Verzeichnisses in Abstimmung auf die Geschäfts- und Netzwerkanforderungen. Active Directory
kann pro Domäne mehrere Millionen Objekte verwalten und nutzt eine Indizierungstechnologie sowie hoch entwickelte Replikationstechniken zur Verbesserung
der Leistung.
3. Was ist die Multimasterreplikation?
Die Multimasterreplikation ist ein Replikationsmodell, bei dem jeder Domänencontroller die Verzeichnisänderungen akzeptiert und sie auf jeden beliebigen Domänencontroller repliziert. Da mehrere Domänencontroller eingesetzt werden, wird die
Replikation selbst dann fortgesetzt, wenn einer der Domänencontroller ausfällt.
4. Benennen Sie die Active Directory-Komponenten, die zur Darstellung des logischen Aufbaus einer Organisation herangezogen werden.
Zur Darstellung des logischen Aufbaus einer Organisation werden Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen eingesetzt.
5. Benennen Sie die physischen Komponenten von Active Directory.
6. Welche Funktion erfüllt der globale Katalog?
Der globale Katalog hat zwei Hauptfunktionen: (1) er ermöglicht einem Benutzer die
Anmeldung an einem Netzwerk, indem Informationen zu universellen Gruppenmitgliedschaften an einen Domänencontroller gesendet werden, wenn der Anmeldeprozess eingeleitet wird, (2) er ermöglicht das Auffinden von Verzeichnisinformationen
unabhängig von der Domäne in der Gesamtstruktur, welche die Daten tatsächlich
enthält.
50
Teil I
Seite 38
Selbststudium
1. Nennen Sie die vier Verzeichnispartitionen der Active Directory-Datenbank.
Die vier Verzeichnispartitionen der Active Directory-Datenbank lauten Schemapartition, Konfigurationspartition, Domänenpartition und Anwendungspartition.
2. Welche Funktion erfüllt der Konsistenzprüfungsdienst (KCC)?
Der Konsistenzprüfungsdienst (KCC) ist ein integrierter Prozess, der auf allen
Domänencontrollern ausgeführt wird. Der Konsistenzprüfungsdienst konfiguriert
Verbindungsobjekte zwischen Domänencontrollern. Innerhalb eines Standortes
erzeugt der Konsistenzprüfungsdienst eigene Verbindungen. Für die Replikation
zwischen Standorten erzeugt ein einziger Konsistenzprüfungsdienst alle Verbindungen zwischen den Standorten.
3. Nennen Sie die sechs Arten von Vertrauensstellungen, die in Active Directory verwendet
werden.
Die sechs von Active Directory unterstützten Vertrauensstellungen heißen: Strukturstamm-Vertrauensstellung, Überordnungs-Unterordnungs-Vertrauensstellung,
Shortcutvertrauensstellung, externe Vertrauensstellung, Gesamtstrukturvertrauensstellung und Bereichsvertrauensstellung.
4. Was versteht man unter Änderungs- und Konfigurationsverwaltung? Was ist IntelliMirror?
Die Änderungs- und Konfigurationsverwaltung umfasst Windows Server 2003-Features, die der Vereinfachung von Aufgaben bei der Computerverwaltung dienen.
IntelliMirror umfasst verschiedene Windows Server 2003-Features, die Sie bei der
Verwaltung von Benutzer- und Computerinformationen, Einstellungen und Anwendungen unterstützen. Wenn IntelliMirror sowohl auf dem Server als auch auf dem
Client eingesetzt wird, „folgen“ die Benutzerdaten, -anwendungen und -einstellungen dem Benutzer, wenn dieser an einen anderen Computer wechselt.
5. Erläutern Sie die Funktion von Gruppenrichtlinien.
Gruppenrichtlinien sind eine Zusammenstellung von Konfigurationseinstellungen
für Benutzer und Computer, die mit Computern, Standorten, Domänen und OUs
verknüpft werden können, um das Verhalten von Benutzerdesktops festzulegen.
6. Definieren Sie jeden der folgenden Namen: DN, RDN, GUID, UPN.
Der definierter Name (DN) ist ein Name, der ein Objekt eindeutig identifiziert. Der
DN enthält den Namen der Domäne, in der das Objekt vorliegt, sowie den vollständigen Pfad in der Containerhierarchie, die zu diesem Objekt führt. Der relativ
definierte Name (Relative Distinguished Name, RDN) eines Objekts ist der Namensbestandteil, der selbst ein Objektattribut darstellt. Eine global eindeutige Kennung
(Global Unique Identifier, GUID) ist ein 128-Bit-Zahlenwert, der immer eindeutig
ist. Ein UPN (User Principal Name) besteht aus einem Benutzerkontonamen (manchmal auch Benutzeranmeldename genannt) und einem Domänennamen, der die
Domäne angibt, in der das Benutzerkonto gespeichert ist.
Kapitel 1
Seite 45
51
1. Welche drei Dinge sind zur Erarbeitung eines effektiven Active Directory-Infrastrukturdesigns erforderlich?
Zur Erarbeitung eines effektiven Active Directory-Infrastrukturdesigns sind die folgenden drei Dinge erforderlich: ein Designteam, geschäftliche und technische Analysen und eine Testumgebung.
2. Listen Sie die vier Phasen im Active Directory-Designprozess auf.
Die vier Phasen im Designprozess sind die Erarbeitung eines Gesamtstrukturplans,
die Erarbeitung eines Domänenplans, die Erarbeitung eines OU-Plans sowie die
Erarbeitung eines Plans für die Standorttopologie.
3. Aus welchem Grund sollten Sie die Erstellung von nur einer Gesamtstruktur für Ihre Organisation anstreben?
Der Einsatz von mehr als einer Gesamtstruktur erfordert die Verwaltung mehrerer
Schemas, Konfigurationscontainer, globaler Kataloge und Vertrauensstellungen und
verlangt dem Benutzer bei Verwendung des Verzeichnisses komplexe Schritte ab.
4. Warum sollten Sie die Anzahl der Domänen innerhalb der Organisation so gering wie
möglich halten?
Das Hinzufügen von Domänen zur Gesamtstruktur erhöht die Verwaltungs- und
Hardwarekosten.
5. Aus welchem Grund sollten Sie bei der Definition der Stammdomäne für die Gesamtstruktur besonders umsichtig vorgehen?
Definieren Sie Ihre Gesamtstruktur-Stammdomäne mit Bedacht. Sobald Sie die
Stammdomäne der Gesamtstruktur benannt haben, ist eine Änderung der Stammdomäne ohne Umbenennung und Umarbeitung der gesamten Active DirectoryStruktur nicht mehr möglich.
6. Wie lautet der Hauptgrund für die Definition einer OU?

Einführung in Active Directory

Transcription

Similar documents

Der Völk für Windows Server 2003

Einrichten und Verwalten von Benutzerkonten

Dell™ vRanger™ 7.1.1 Releaseinformationen

Kopien-Fernleihe in und zwischen Verbünden am Beispiel HBZ / BVB

Zinsmeister-Bericht