1 Das Active Directory-Domänenkonzept von Windows

1 Das Active Directory-Domänenkonzept von Windows

Das Active Directory-Domänenkonzept von Windows Server 2012
1 Das Active Directory-Domänenkonzept von Windows
Server 2012
Microsoft hat mit Windows NT das Konzept der Domäne (engl. Domain) eingeführt. Das Wort Domäne
bedeutet eigentlich nur "Bereich", in diesem Zusammenhang sind zentral verwaltete PCs, Benutzer,
Ressourcen (freigegebene Ordner und Drucker) gemeint. Eine Domäne gestattet also die zentrale
Verwaltung von Benutzern, PCs und Ressourcen in einem Unternehmen.
Seit Windows 2000 wird der Verzeichnisdienst Active Directory als zentraler Dienst für die
Verwaltung von Domänen verwendet. Ein Server-PC, auf dem die Active Directory Domain
Services (ADDS) installiert sind, wird als "Domänencontroller" (DC) bezeichnet.
1.1 Bestandteile der Active Directory Domain Services
Die Active Directory Domain Services bestehen – grob gesprochen – aus folgenden Bestandteilen:
•
AD-Datenbank mit dem Dateinamen NTDS.DIT: In dieser Datenbank sind sämtliche
verwalteten Objekte enthalten, zum Beispiel Benutzer-, Computer- und Gruppenkonten,
Gruppenrichtliniencontainer, veröffentlichte Freigaben usw.
•
ESE (Extensible Storage Engine; esentutil.dll): Dieser Dienst führt Zugriffe auf die ADDatenbank durch
•
DSA (Directory System Agent; ntdsa.dll): Die DSA stellt die Schnittstellen zur Verfügung,
über die Directory Service-Clients und andere DCs Zugriff auf die ADDS-Datenbank erhalten.
Außerdem verwaltet die DSA das ADDS-Schema, garantiert die Identität von Objekten und
erzwingt für jedes Attribut den vorgegebenen Datentyp.
•
Kerberos v5: Ein Protokoll, mit dem Benutzer und Computer eine sichere Anmeldung an ADDomänen durchführen können
•
LDAP (Lightweight Directory Access Protocol): Mit diesem Protokoll können Objekte in der
hierarchisch strukturierten AD-Datenbank schnell gefunden werden.
•
DFSR (Distributed File System Replication): In einer Active Directory-Domäne kann es
mehrere gleichberechtigte DCs geben. Jeder DC repliziert alle Objekte, die zur Domäne
gehören, auf alle anderen DCs dieser Domäne. Auch Dateien müssen mitrepliziert werden,
etwa der SYSVOL-Ordner. Seit Windows Server 2008 wird die SYSVOL-Replikation zwischen
Windows Server-DCs durch den DFSR-Dienst durchgeführt. Für die Replikation zu Windows
2000/2003-DCs wird der bisher eingesetzte FRS-Dienst weiterverwendet.
Restartable Active Directory: Neu seit Windows Server 2008 ist die Tatsache, dass die Active
Directory-Dienste (Dienstname: NTDS) gestoppt werden können. Tut man das, so verhält sich der
Server wie ein Mitgliedsserver, das bedeutet, eine Domänenanmeldung ist weiterhin möglich, falls es
weitere DCs gibt.
13
Windows Server 2012 - Active Directory
Beim Beenden der ADDS-Dienste wird die
Abhängigkeit anderer zentraler Dienste sichtbar:
•
Der Dateireplikationsdienst (FRS, File
Replications Service) steuert die Replikation
des Ordners SYSVOL, der u.a.
Gruppenrichtlinienobjekte und Anmeldescripts
enthält.
•
Das Kerberos-Schlüsselverteilungscenter
(KDC, Key Distribution Center) spielt bei der
Computer- und Benutzeranmeldung eine
zentrale Rolle.
•
Ohne DNS-Server mit AD-integrierten DNSZonen ist ein ADDS-Domänenbetrieb ohnehin
nicht möglich.
•
Der Standortübergreifende Messagingdienst (Inter-Site Messaging Service, ismserv)
ermöglicht den Nachrichtenaustausch für Computer, die Windows-Standorte betreiben.
Weitere Dienste, die auf einem DC laufen müssen:
•
TrkWrks, TrkSrv (Distributed Link Tracking Workstation/Server, deutscher Anzeigename:
Überwachung verteilter Verknüpfungen): Hält Verknüpfungen für NTFS-Dateien auf einem
Computer oder zwischen Computern in einem Netzwerk aufrecht. Der Tracking Server-Dienst
läuft auf jedem DC und verwaltet Informationen über Verknüpfungen zu Dateien oder Ordnern
auf NTFS-Partitionen. Werden diese verschoben, so kann trotzdem die Quelle
wiedergefunden werden.
•
DFS (Distributed File System)
1.2 Forest – Tree – Domain
Active Directory-Domänen stellen eine administrative Grenze dar, das bedeutet:
•
Die Verwaltung jeder Domäne erfolgt durch eigene Domänenadministratoren.
•
Die Domäne verfügt über gemeinsame Sicherheitsrichtlinien (Kennwortlänge,
Kennwortkomplexität usw.).
Eine Active Directory-Domäne stellt allerdings nur einen Teil einer vollständigen Active DirectoryImplementierung dar:
14
Das Active Directory-Domänenkonzept von Windows Server 2012
Zeichenerklärung:
Stammdomäne (root domain) der Gesamtstruktur mit dem DNS-Domänennamen
contoso.intern; die Stammdomäne gibt auch der Gesamtstruktur ihren Namen. Die
Domäne, die als erstes erstellt wird, ist automatisch die Stammdomäne der
Gesamtstruktur.
Active Directory-Domäne mit dem DNS-Domänennamen fabrikam.intern
Automatisch erstellte, bidirektionale, transitive Vertrauensstellung
Eine vollständige Instanz von Active Directory wird als Gesamtstruktur (engl. Forest) bezeichnet.
"Instanz" bedeutet einen Implementierungsumfang, in dem jeder "Teil" von Active Directory
mindestens einmal vorkommt. Eine Gesamtstruktur bildet eine Sicherheitsgrenze, das bedeutet,
dass sicherheitskritische Informationen nicht über diese Grenze weitergegeben werden. So ist es
beispielsweise innerhalb der Gesamtstruktur immer möglich, dass jeder Benutzer sich an jeder
Domäne dieser Gesamtstruktur anmeldet, ganz egal, zu welcher AD-Domäne sein Benutzerkonto
gehört. Genauso ist der Zugriff auf freigegebene Ordner in allen Domänen der Gesamtstruktur ohne
zusätzliche Anmeldung möglich (falls der Benutzer die entsprechenden Freigabe- und NTFSBerechtigungen auf die freigegebenen Ordner besitzt).
Domänen haben immer DNS-Namen (Domain Name System). DNS-Namen müssen aus mindestens
zwei Teilen bestehen. Domänen, die einen gemeinsamen Namensraum besitzen (in der Zeichnung
etwa contoso.intern, hr.contoso.intern und rd.contoso.intern), bilden eine Struktur (engl. Tree).
Während die Begriffe "Domäne" und "Gesamtstruktur" ganz wesentlichen Einfluss auf die technische
Umsetzung haben, ist der Begriff "Struktur" vergleichsweise unwichtig.
15
Windows Server 2012 - Active Directory
Man unterscheidet zwei Typen von Gesamtstrukturen:
•
Single-Domain-Forest: Darunter versteht man eine Gesamtstruktur mit nur einer einzigen
Domäne. Die Domäne und die Gesamtstruktur haben in diesem Fall denselben Namen und
werden gleichzeitig erzeugt. Der Single-Domain-Forest ist für praktisch alle Klein- und
Mittelbetriebe die empfohlene Installationsvariante; Microsoft empfiehlt allerdings auch für
große Umgebungen – wenn möglich – die Einrichtung einer einzigen Domäne.
•
Multiple-Domain-Forest: Darunter versteht man eine Gesamtstruktur mit mehr als einer
Domäne. Für die meisten in Österreich ansässigen Unternehmen besteht keine
Notwendigkeit, solche Konfigurationen einzurichten.
Die erste Domäne in einer ADDS-Gesamtstruktur wird als Stammdomäne bezeichnet. Sie hat
allein deswegen eine Sonderstellung, weil sie die einzige Domäne ist, deren Namen mit dem
Gesamtstruktur-Namen übereinstimmt.
Microsoft empfiehlt – wenn möglich – einen SingleDomain-Forest, also eine Gesamtstruktur mit nur
einer einzigen Domäne einzurichten. Dies reduziert
den Verwaltungsaufwand und auch die
Komplexität. Trotzdem darf nicht vergessen
werden, dass auch diese eine Domäne Teil einer
Gesamtstruktur mit demselben Namen ist.
Gründe für mehrere Domänen gibt es nur zwei:
•
Es sind verschiedene Sicherheitsrichtlinien innerhalb der Firma notwendig (etwa
unterschiedliche Kennwortlängen).
•
Die Verwaltung von mehreren Bereichen muss unabhängig voneinander erfolgen können. Die
jeweiligen Administratoren müssen sich nicht absprechen.
Domänen sind Verwaltungsgrenzen in Microsoft-Netzwerken. Die Gesamtstruktur stellt die
Sicherheitsgrenze dar.
Ein Forest darf (theoretisch) maximal 800 Domains enthalten; ab Gesamtstruktur-Funktionsebene
Windows Server 2003 sind 1200 Domains möglich.
Domänen werden gesteuert von Domänencontrollern (DC), das sind Server-PCs, auf denen die
Active Directory-Dienste installiert sind. Diese Dienste verwenden eine Datenbank namens
NTDS.DIT, die standardmäßig auf %system%\NTDS zu finden ist.
Die Anzahl der Domänencontroller pro Domäne soll 1200 nicht überschreiten.
Die Active Directory-Verzeichnisdienste verwenden DNS sowohl für die Auflösung von
Netzwerkressourcen (zB PC-Namen) als auch für Internet-Namensauflösung. Ohne
funktionierende DNS-Infrastruktur funktionieren AD-Domänen nicht ordnungsgemäß!
Active Directory arbeitet mit allen Anwendungen und Verzeichnissen zusammen, die das LDAP =
Lightweight Directory Access Protocol unterstützen.
Folgende Standards für das Ansprechen von Benutzern und Ressourcen sind zulässig:
•
UNC (NT-4-Standard): \\server.noe.wifi.at\Projekte
•
RFC 822-kompatible Namen, User Principal Name: e-mail-artige Namen, zB
[email protected]
•
HTTP: http://contoso.intern/trainer/CZahler
•
LDAP: LDAP://CN=Christian Zahler,OU=trainer,DC=contoso,DC=intern
Derzeitige Anwendung von LDAP im Internet: Abfragen von e-Mail-Adressen von Benutzern (etwa bei
www.yahoo.com o.ä.)
16
Das Active Directory-Domänenkonzept von Windows Server 2012
1.3 Entstehung des Active Directory-Konzepts
Das Active Directory-Konzept hat zwei Ursprünge:
•
X.500-Verzeichnisdienst, eine ISO-Norm, an die sich viele kommerzielle Anbieter
anzulehnen versuchen (Microsoft: Active Directory, Novell: eDirectory etc.)
•
Directory Access Protocol (DAP), wird auch grundlegend verwendet für den X.400-MailTransport (Exchange Server)
Active Directory verwendet eine vereinfachte Implementierung dieser beiden Standards.
1.4 Active Directory-Namenskonventionen
Für die Strukturierung der Objekte im Active Directory ist es nötig, einen bestimmten Namensaufbau
zu verwenden.
Oft verwendet man distinguished names (DN) mit folgendem Aufbau:
•
CN (common name): Name des Objekts; bei einem Benutzer etwa der angezeigte Name
•
DC (domain component): Teil eines Domänennamens
•
OU (organizational unit): Organisationseinheit
Wie aus der Abbildung ersichtlich, hat das User-Objekt "Christian Zahler" folgenden DN:
CN=Christian Zahler,CN=Users,DC=zahler,DC=at
Befindet sich ein Benutzerobjekt jedoch in einer Organisationseinheit, so muss diese mit angegeben
werden:
17
Windows Server 2012 - Active Directory
Der DN von "Gerhard Gruber" lautet:
CN=Gerhard Gruber,OU=Marketing,DC=zahler,DC=at
Aus dieser Angabe ist es aber nicht möglich, den Anmeldenamen oder die e-mail-Adresse von
"Gerhard Gruber" festzustellen.
Ein RDN (relative distinguished name) kann verwendet werden, wenn klar ist, von welcher
Hierarchieebene ausgegangen wird. Ist klar, dass man von der OU-Ebene "Marketing" ausgeht, so
lautet der RDN von "Gerhard Gruber" einfach
CN=Gerhard Gruber
Hinweis: LDAP- und X.500-Namen ist genauso aufgebaut wie Active Directory-Namen, allerdings
verwendet LDAP Schrägstriche statt den Kommas, X.500 verwendet Strichpunkte statt /.
LDAP://CN=Gerhard Gruber,OU=Marketing,DC=fabrikam,DC=intern
Man unterscheidet – grob gesprochen – zwei Typen von ADDS-Objekten:
18
•
Container-Objekte: Diese können weitere Container-Objekte und Blatt-Objekte „beinhalten“.
Beispiele: Domänen-Objekt, Organisationseinheit, Standort.
•
Blatt-Objekte (engl. leaves): Diese beinhalten keine weiteren Objekte; sie sind durch ihre
Attribute gekennzeichnet. Beispiele: Benutzerkonten, Computerkonten, Gruppen.
Gesamtstruktur- und Domänenfunktionsebenen
2 Gesamtstruktur- und Domänenfunktionsebenen
2.1 Domänenfunktionsebenen
Funktionsebenen bestimmen die Features von Active Directory-Domänendiensten (Active Directory
Domain Services, AD DS), die in einer Domäne oder Gesamtstruktur aktiviert sind. Außerdem
beschränken sie, welche Windows Server-Betriebssysteme auf den Domänencontrollern in der
Domäne oder der Gesamtstruktur ausgeführt werden können. Die Funktionsebenen haben jedoch
keine Auswirkung darauf, welche Betriebssysteme auf den Arbeitsstationen und Mitgliedsservern in
der Domäne oder der Gesamtstruktur ausgeführt werden können.
Windows 2000 mixed
Windows 2000 native („pur“)
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
●
●
●
●
●
●
●
●
●
Windows Server 2012-DCs
Windows Server 2008 R2-DCs
Windows Server 2008-DCs
Windows Server 2003 [R2]-DCs
Windows 2000 Server-DCs
Domänenfunktionsebene
Windows NT 4.0-BDCs
Grundsätzlich sollte eine möglichst hohe Domänenfunktionsebene angestrebt werden.
●
●
●
Als Standardeinstellung wird immer die niedrigstmögliche Domänenfunktionsebene ausgewählt;
installiert man einen DC unter Windows Server 2008, so wird als Domänenfunktionsebene Windows
2000 einheitlich (native) festgelegt, für Windows Server 2008 R2-Domänen lautet die
Standardeinstellung Windows Server 2003.
Hinweise:
•
Beachten Sie, dass die Domänenfunktionsebene Windows 2000 mixed unter Windows Server
2008 nicht mehr zur Verfügung steht. Ein gemeinsamer Betrieb von Windows Server 2008DCs mit Windows NT 4.0 Server-BDCs wird also nicht mehr unterstützt.
•
Die Domänenfunktionsebene betrifft ausschließlich Domänencontroller. Natürlich ist es
weiterhin möglich, in einer Domäne mit Domänenfunktionsebene Windows Server 2008 einen
Mitgliedsserver mit dem Betriebssystem Windows 2000 Server zu betreiben.
Ändern der Domänenfunktionsebene:
Das Ändern der Domänenfunktionsebene erfolgt im Snap-In "Active Directory-Benutzer
und -Computer".
19
Windows Server 2012 - Active Directory
Durchführen der Umstufung:
20
Gesamtstruktur- und Domänenfunktionsebenen
Nachdem Sie die Domänenfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie
die Domänenfunktionsebene nicht zurücksetzen oder herabstufen. Dabei gibt es eine Ausnahme:
Wenn Sie die Domänenfunktionsebene auf Windows Server 2008 R2 oder Windows Server 2012
heraufstufen und die Domänenfunktionsebene Windows Server 2008 oder niedriger ist, können Sie
die Domänenfunktionsebene auf Windows Server 2008 oder Windows Server 2008 R2 zurücksetzen.
Sie können die Domänenfunktionsebene nur von Windows Server 2012 auf Windows Server 2008 R2
oder Windows Server 2008 oder von Windows Server 2008 R2 auf Windows Server 2008
herabstufen. Wenn die Domänenfunktionsebene auf Windows Server 2008 R2 festgelegt ist, kann sie
beispielsweise nicht auf Windows Server 2003 zurückgesetzt werden.
Die Änderungen lassen sich am besten in den Eigenschaften des Domänencontrollers verfolgen:
Domänenfunktionsebene „Windows 2000
einheitlich“:
Domänenfunktionsebene „Windows Server 2003“:
Verfügbare Funktionalität ab Domänenfunktionsebene „Windows 2000 einheitlich“ (engl.
„Windows 2000 native“):
•
universelle Gruppen
•
Gruppenverschachtelung
•
Gruppentypkonvertierung
•
SID-Verlauf
Für Domänencontroller, auf denen höhere Versionen von Windows Server ausgeführt werden, sind
einige erweiterte Funktionen nicht verfügbar, solange die Domäne sich auf der Funktionsebene von
Windows 2000 einheitlich befindet.
21
Windows Server 2012 - Active Directory
Verfügbare Funktionalität ab Domänenfunktionsebene „Windows Server 2003“:
Zusätzlich zu den in der Domänenfunktionsebene "Windows 2000 einheitlich" verfügbaren Features
kommen folgende Features hinzu:
•
Eingeschränkte Delegierung zur Nutzung der sicheren Delegierung von
Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls.
•
Updates für "lastLogonTimestamp": Das Attribut "lastLogonTimestamp" wird mit der letzten
Anmeldezeit des Benutzers oder des Computers aktualisiert und innerhalb der gesamten
Domäne repliziert.
•
Möglichkeit, das Attribut "userPassword" als effektives Kennwort für "inetOrgPerson" und
Benutzerobjekte zu verwenden.
•
Möglichkeit, die Benutzer- und Computercontainer zum Festlegen eines neuen bekannten
Speicherorts für Benutzer- und Computerkonten umzuleiten.
•
Minimale Voraussetzung für Installation eines Read Only Domain Controllers (RODC)
Verfügbare Funktionalität ab Domänenfunktionsebene „Windows Server 2008“:
Zusätzlich zu den in der Domänenfunktionsebene "Windows Server 2003" verfügbaren Features
kommen folgende Features hinzu:
•
Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem (DFS), das eine
stabilere und genauer abgestimmte Replikation von SYSVOL-Inhalt ermöglicht.
•
Unterstützung des Kerberos-Protokolls durch die erweiterten Verschlüsselungsdienste (AES
128 und 256).
•
Letzte interaktive Anmeldeinformationen, mit denen der Zeitpunkt der letzten erfolgreichen
interaktiven Anmeldung eines Benutzers, die Anzahl der fehlgeschlagenen Anmeldeversuche
seit der letzten Anmeldung und der Zeitpunkt der letzten fehlgeschlagenen Anmeldung
angezeigt werden.
•
Abgestimmte Kennwortrichtlinien, die ermöglichen, dass Kennwort- und
Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne
angegeben werden können
Verfügbare Funktionalität ab Domänenfunktionsebene „Windows Server 2008 R2“:
Die auf der Domänenfunktionsebene von Windows Server 2008 R2 verfügbaren Features umfassen
neben den auf der Domänenfunktionsebene von Windows Server 2008 verfügbaren Features
zusätzlich folgendes Feature:
•
Authentifizierungszusicherung, mit der anhand des Kerberos-Tokens eines Benutzers
bestimmt werden kann, welche Anmeldemethode von diesem Benutzer verwendet wurde.
2.2 Gesamtstrukturfunktionsebenen von Windows Server 2012Gesamtstrukturen
Auch die Gesamtstruktur-Funktionsebene legt den Umfang von verwendbaren Features fest.
Gesamtstrukturfunktionsebene
Windows 2000
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Unterstützte
Domänenfunktionsebenen
alle
alle ab Windows Server 2003
alle ab Windows Server 2008
alle ab Windows Server 2008 R2
alle ab Windows Server 2012
So wie Domänenfunktionsebenen, können auch Gesamtstrukturfunktionsebenen nur erhöht
(hinaufgestuft), aber nicht mehr erniedrigt (herabgestuft) werden.
22