permalink

7

Windows 2003 Server HowTo Teil4: Grundlagen Active Directory

Nun ist unser Windows 2003 Server mit allen Service Packs und Patches aktualisiert worden. Jetzt geht es ans eingemachte. In diesem HowTo Teil 4 geht’s als erstes darum die Grundlagen von Active Directory (AD) zu erarbeiten. So erhält man ein besseres Verständnis für die Funktionsweise von Active Directory. Man könnte ganze Bücher über die Funktionsweise von Active Directory füllen und man wäre noch nicht am Ende. Ich beschränke mich auf die wirklich wichtigen Grundlagen, die meiner Meinung nach wichtig sind.

Was ist ein Verzeichnisdienst?

Ein Verzeichnisdienst ist das Herzstück einer IT Umgebung. Dort werden Ressourcen wie Benutzer, Gruppen, Computer, Freigaben und Kontakte zentral verwaltet. Im Grunde genommen ist es eine riesige Datenbank, welche Richtlinien und Objekte für andere Subsysteme wie Mailserver (Exchange) zur Verfügung stellt. Anhand der hinterlegten Objekte und Sicherheitsrichtlinen weis das Subsystem, welche Berechtigungen und/oder Sicherheitsrichtlinen für jeden Benutzer oder ein anderes Objekt hinterlegt ist.

Der Verzeichnisdienst ist keine Erfindung von Microsoft, sondern vorreiter ist Novell wo der Verzeichnisdienst als Novell Directory Service (NDS) bekannt geworden ist, heute heisst der Dienst bei Novell eDirectory.

Jeder Verzeichnisdienst hat als Grundlage den X.500 Standard um auch Kompatibilität zu Unix Systemen zu gewährleisten. Gerade in einem heterogenen (Netzwerk von verschiedenen Betriebssystemen) Netzwerk ist dies sehr wichtig.

Vorteile von Verzeichnisdiensten

Hier 6 Vorteile von Verzeichnisdiensten innerhalb einer Firma:

  • Skallierbarkeit: Jede Firma kann in seiner Grösse und somit auch in der Anzahl Mitarbeiter wachsen. Daher ist es wichtig, das auch die Verwaltung von Ressourcen fähig ist, solche Änderungen mitzumachen. Eingeschlossen sind auch Standortwechsel oder weitere Standorte in die IT Infrastruktur eingeflochten werden müssen. Mit einem Verzeichnisdienst ist dies einfach zu bewerkstelligen.
  • Erweiterbarkeit: Mit Erweiterbearkeit ist gemeint, das es auch ohne Probleme möglich ist, weitere IT Infrastruktur in Form eines Mailservers als Beispiel zu erweitern. Oder auch andere Messaging Systeme zu integrieren.
  • Sicherheit: Durch einen Verzeichnisdienst kann klar definiert werden, welche Rechte ein Benutzer auf andere Objekte in einem Verzeichnisdienst hat. Es werden sogenannte Access Control Lists ACL (Zugriffskontrolllisten) geführt.
  • Verfügbarkeit: Es ist ohne Probleme möglich, mehrere Domänencontroller zu betreiben und bei einem Ausfall eines Domänenkontrollers diesen durch einen funktionsfähigen zu ersetzen.
  • Performance: Ein Verzeichnisdienst ist dazu ausgelegt, schnell Informationen zu finden und an die entsprechende Stelle oder Applikation zu liefern.

Aus was bestehen Informationen, welche in einem Verzeichnisdienst gespeichert werden?

Informationen werden in einem Verzeichnisdienst als Objekte erfasst, welche hierarchisch angeordnet sind. Jedes Objekt kann mehrere Attribute und dazugehörige Werte haben.

Ein Beispiel:

image

Jedes Objekt hat einen einzigartigen Namen, den sogenannten Distinguished Name (Definierter Name) (DN). Alle Informationen, also Objekte, werden als Directory Information Base (DIB) bezeichnet.

Hierarchische Anordnung der DIB

Die DIB selbst ist ebenfalls hierarchisch angeordnet und wird als DIT (Directory Information Tree) bezeichnet. An erster Stelle und somit zuoberst ist immer Root. An Root werden beispielsweise Objekte wie Benutzer und Computer angehänkt, aber auch Organisationseinheiten, Domänen, Standorte usw. einer Firma.

Als Beispiel einer DIT:

image

In einer DIT wird unterschieden zwischen Non-Leaf-Objekten, also Objekte, welche weitere Unterobjekte besitzen, in unserem Beispiel die Domäne (DC) und Leaf-Objekten, welche keine weiteren Unterobjekte besitzen, also die Mitarbeiter in unserem Beispiel.

Eindeutige Namen der Objekte

Um Objekte in einem Verzeichnisdienst eindeutig identifizieren zu können, hat jedes Objekt mindestens einen eindeutigen Namen. Ein Objekt kann aber auch unterschiedliche Namen besitzen, da auch verschiedene Anwendungen auf das Objekt zugreifen.

Dies sind folgende Namen:

  • Distinguished Name (DN)
  • Relative Distinguished Name (RDN)
  • User Principal Name (UPN)
  • Canonical Name (CNAME)

Machen wir ein Beispiel:
Die Firma tiger.com hat Standorte in San Francisco und Las Vegas. Im Standort Las Vegas gibt es Abteilungen wie IT, Sales und HR. In der Abteilung IT arbeitet Jack Tiger.

image

Das Objekt (Mitarbeiter) Jack Tiger hätte nun folgende Namen:

  • DN: cn=Jack Tiger, ou=IT, ou=Las Vegas, dc=tiger, dc=com
  • RDN: cn=Jack Tiger
  • UPN: jack.tiger@tiger.com
  • CNAME: tiger.com/Las Vegas/IT/Jack Tiger

Der DN Name ist der wichtigste und wird oft verwendet.

Was ist nun Active Directory?

Active Directory ist ein Microsoft Produkt, das erstmals in Windows 2000 Server Verwendung fand und basiert auf dem Verzeichnisdienst. In AD werden Objekte verwaltet, welche über eine Domäne (Domain Controller) an die verschiedensten Dienste, welche diese Informationen benötigen, zur Verfügung gestellt werden. Also ohne Domäne, kein Active Directory. Das werdet Ihr dann bei der Installation sehen.

Planung eines Active Directory

Eine Planung von Active Directory kann folgendermassen aussehen:

  • Installation von Windows 2003 Server
  • Installation DNS
  • Installation von Active Directory
  • Erstellen von Organisationseinheiten (OU)
  • Erstellen und Verwalten von Netzwerkressourcen
  • Erstellen von Standorten und Replikationen
  • Backup / Restore von Active Directory
  • Implementieren in den operativen Betrieb

Die Struktur eines Active Directory

Es wird unterschieden zwischen einer logischen Struktur und einer physikalische Struktur.

Eine logische Struktur besteht aus:

Objekte (Benutzer, Computer, Gruppen, Freigaben usw.):
Die häufigsten Objekte sind Benutzer, Computer, Freigaben, Gruppen, Drucker usw. welche als Objekte im AD gespeichert werden. Wir haben ja gelernt, das ein solches Objekt viele unterschiedliche Attribute haben kann.

Organisationseinheiten (OU):
Organisationseinheiten dienen dazu, Objekte innerhalb einer Domäne zu Strukturieren. OU’s sind auch zur Delegation von Verwaltungsaufgaben und zur Implementierung von Gruppenrichtlinen zu benutzen.

Domäne:
Wie bereits erwähnt, gibt es ohne Domäne kein AD. Ein AD besteht aus mindenstens einer Domäne und Forest (dazu später mehr). In einer Domäne können Millionen von Objekten gespeichert werden. Jede Domäne verfügt über eigene Sicherheitseinstellungen, die unabhängig von anderen Domänen funktionieren. Eine Domäne besteht aus einen Namen, beispielsweise tiger.com die über einen DNS Server vergeben wird.

Struktur (Tree):
Ein Tree beschreibt die erste Domäne (Root Domain) an welcher weitere Domänen angehängt werden können. Das ganze Gebilde ist dann ein Tree.

Gesamtstruktur (Forest):
In der Gesamtstruktur ist das ganze Verzeichnis gemeint, das aus mehreren Domänen und AD’s bestehen kann. (Tree = Bäume und Forest = Wald)

Vertrauensstellungen (Trusts):
Vertrauensstellungen sind Verknüpfungen zwischen verschiedenen Domänen. So ist es z.B. möglich, sich auf einer anderen Domäne als User anzumelden, aber die gleichen Zugriff zu haben, die man bei einer anderen Domäne ebenfalls hat. Es gibt verschiedene Vertrauensstellungen, aber auf die werde ich hier nicht eingehen, da es den Rahmen eindeutig sprängen würde.

So, nun das sollte es gewesen sein. Auf die physikalische Struktur einer Domäne und AD gehe ich nicht ein. Bald werden wir dann dieses Theoretische Wissen über Domäne und AD auch in unserem HowTo anwenden können.

Update 18.04.2008: Wie die beiden Stefan’s richtig erkannt haben, sollte man für den Domänennamen keine Endung einer Toplevel Domain wählen, sondern am besten wären in diesem Beispiel tiger.local. Sonst kann es zu Problemen führen mit dem DNS Server.

Verwandte Beiträge:

Autor: Martin

Hallo :-) Ich heisse Martin und der Inhaber von tippsblog.ch. Beruflich arbeite ich als Systemadministrator und interessiere mich auch in meiner Freizeit für Informatik und Fotografie.

7 Kommentare

  1. Pingback: Martin Felder

  2. Stephan 17. April 2008 um 21:29 Antworten

    Eine Domäne, die auf eine Top-Level-Domain endet kann bei der Nutzung durch andere Programme auch mal zu Problemen führen. Vor allem wenn die Domäne auch noch im Internet registriert ist kann das durchaus mal zu DNS-Problemen führen.

  3. Stephan 18. April 2008 um 00:07 Antworten

    Kurz und knackig – hätte ich mir bei vielen Schulungsunterlagen so gewünscht ;-)

    Mein Namensvetter hat recht: ein “echter” FQDN als Domänenname ist kritisch. In Deinem Beispiel würde sich statt “tiger.com” eher “tiger.local” anbieten, das würde auch nicht geroutet so weit ich weiss…

  4. m@rtin 18. April 2008 um 07:09 Antworten

    @Stephan’s :-)
    ihr habt vollkommen recht, es wäre besser gewesen, ich hätte einen anderen domänen namen nehmen sollen wie tiger.local. ich werde das im artikel noch ergänzen. danke euch für den hinweis, man sieht vor lauter bäume manchmal den wald nicht :-)

  5. Pingback: Windows 2003 Server HowTo: Teil5: Installation von Active Directory | m@rtin's tipsblog

  6. phil 31. Mai 2008 um 18:49 Antworten

    @Stephan’s

    .local ist aber auch nicht glücklich… mach das in einer heterogenen umgebung und du hast haufenweise probleme… besser ist meiner meinung z.b. “intern.tiger.com”

  7. Stephan 31. Mai 2008 um 23:04 Antworten

    Stimmt, gemischte Umgebungen sind mit .local kritisch. Die offiziellen MS-Trainings gehen natürlich von einer reinen Windows-Umgebung aus, und da geht .local natürlich schon.
    “Meine” Umgebung mit W2k3-Domäne, 2x Linux, 1x AS/400 ist da glücklicherweise unkritisch.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.

*