Windows 2003 Server HowTo Teil4: Grundlagen Active Directory

Nun ist unser Windows 2003 Server mit allen Service Packs und Patches aktualisiert worden. Jetzt geht es ans eingemachte. In diesem HowTo Teil 4 geht’s als erstes darum die Grundlagen von Active Directory (AD) zu erarbeiten. So erhält man ein besseres Verständnis für die Funktionsweise von Active Directory. Man könnte ganze Bücher über die Funktionsweise von Active Directory füllen und man wäre noch nicht am Ende. Ich beschränke mich auf die wirklich wichtigen Grundlagen, die meiner Meinung nach wichtig sind.

Was ist ein Verzeichnisdienst?

Ein Verzeichnisdienst ist das Herzstück einer IT Umgebung. Dort werden Ressourcen wie Benutzer, Gruppen, Computer, Freigaben und Kontakte zentral verwaltet. Im Grunde genommen ist es eine riesige Datenbank, welche Richtlinien und Objekte für andere Subsysteme wie Mailserver (Exchange) zur Verfügung stellt. Anhand der hinterlegten Objekte und Sicherheitsrichtlinen weis das Subsystem, welche Berechtigungen und/oder Sicherheitsrichtlinen für jeden Benutzer oder ein anderes Objekt hinterlegt ist.

Der Verzeichnisdienst ist keine Erfindung von Microsoft, sondern vorreiter ist Novell wo der Verzeichnisdienst als Novell Directory Service (NDS) bekannt geworden ist, heute heisst der Dienst bei Novell eDirectory.

Jeder Verzeichnisdienst hat als Grundlage den X.500 Standard um auch Kompatibilität zu Unix Systemen zu gewährleisten. Gerade in einem heterogenen (Netzwerk von verschiedenen Betriebssystemen) Netzwerk ist dies sehr wichtig.

Vorteile von Verzeichnisdiensten

Hier 6 Vorteile von Verzeichnisdiensten innerhalb einer Firma:

• Skallierbarkeit: Jede Firma kann in seiner Grösse und somit auch in der Anzahl Mitarbeiter wachsen. Daher ist es wichtig, das auch die Verwaltung von Ressourcen fähig ist, solche Änderungen mitzumachen. Eingeschlossen sind auch Standortwechsel oder weitere Standorte in die IT Infrastruktur eingeflochten werden müssen. Mit einem Verzeichnisdienst ist dies einfach zu bewerkstelligen.
• Erweiterbarkeit: Mit Erweiterbearkeit ist gemeint, das es auch ohne Probleme möglich ist, weitere IT Infrastruktur in Form eines Mailservers als Beispiel zu erweitern. Oder auch andere Messaging Systeme zu integrieren.
• Sicherheit: Durch einen Verzeichnisdienst kann klar definiert werden, welche Rechte ein Benutzer auf andere Objekte in einem Verzeichnisdienst hat. Es werden sogenannte Access Control Lists ACL (Zugriffskontrolllisten) geführt.
• Verfügbarkeit: Es ist ohne Probleme möglich, mehrere Domänencontroller zu betreiben und bei einem Ausfall eines Domänenkontrollers diesen durch einen funktionsfähigen zu ersetzen.
• Performance: Ein Verzeichnisdienst ist dazu ausgelegt, schnell Informationen zu finden und an die entsprechende Stelle oder Applikation zu liefern.

Aus was bestehen Informationen, welche in einem Verzeichnisdienst gespeichert werden?

Informationen werden in einem Verzeichnisdienst als Objekte erfasst, welche hierarchisch angeordnet sind. Jedes Objekt kann mehrere Attribute und dazugehörige Werte haben.

Ein Beispiel:

Jedes Objekt hat einen einzigartigen Namen, den sogenannten Distinguished Name (Definierter Name) (DN). Alle Informationen, also Objekte, werden als Directory Information Base (DIB) bezeichnet.

Hierarchische Anordnung der DIB

Die DIB selbst ist ebenfalls hierarchisch angeordnet und wird als DIT (Directory Information Tree) bezeichnet. An erster Stelle und somit zuoberst ist immer Root. An Root werden beispielsweise Objekte wie Benutzer und Computer angehänkt, aber auch Organisationseinheiten, Domänen, Standorte usw. einer Firma.

Als Beispiel einer DIT:

In einer DIT wird unterschieden zwischen Non-Leaf-Objekten, also Objekte, welche weitere Unterobjekte besitzen, in unserem Beispiel die Domäne (DC) und Leaf-Objekten, welche keine weiteren Unterobjekte besitzen, also die Mitarbeiter in unserem Beispiel.

Eindeutige Namen der Objekte

Um Objekte in einem Verzeichnisdienst eindeutig identifizieren zu können, hat jedes Objekt mindestens einen eindeutigen Namen. Ein Objekt kann aber auch unterschiedliche Namen besitzen, da auch verschiedene Anwendungen auf das Objekt zugreifen.

Dies sind folgende Namen:

• Distinguished Name (DN)
• Relative Distinguished Name (RDN)
• User Principal Name (UPN)
• Canonical Name (CNAME)

Machen wir ein Beispiel:
Die Firma tiger.com hat Standorte in San Francisco und Las Vegas. Im Standort Las Vegas gibt es Abteilungen wie IT, Sales und HR. In der Abteilung IT arbeitet Jack Tiger.

Das Objekt (Mitarbeiter) Jack Tiger hätte nun folgende Namen:

• DN: cn=Jack Tiger, ou=IT, ou=Las Vegas, dc=tiger, dc=com
• RDN: cn=Jack Tiger
• UPN: jack.tiger@tiger.com
• CNAME: tiger.com/Las Vegas/IT/Jack Tiger

Der DN Name ist der wichtigste und wird oft verwendet.

Was ist nun Active Directory?

Active Directory ist ein Microsoft Produkt, das erstmals in Windows 2000 Server Verwendung fand und basiert auf dem Verzeichnisdienst. In AD werden Objekte verwaltet, welche über eine Domäne (Domain Controller) an die verschiedensten Dienste, welche diese Informationen benötigen, zur Verfügung gestellt werden. Also ohne Domäne, kein Active Directory. Das werdet Ihr dann bei der Installation sehen.

Planung eines Active Directory

Eine Planung von Active Directory kann folgendermassen aussehen:

• Installation von Windows 2003 Server
• Installation DNS
• Installation von Active Directory
• Erstellen von Organisationseinheiten (OU)
• Erstellen und Verwalten von Netzwerkressourcen
• Erstellen von Standorten und Replikationen
• Backup / Restore von Active Directory
• Implementieren in den operativen Betrieb

Die Struktur eines Active Directory

Es wird unterschieden zwischen einer logischen Struktur und einer physikalische Struktur.

Eine logische Struktur besteht aus:

Objekte (Benutzer, Computer, Gruppen, Freigaben usw.):
Die häufigsten Objekte sind Benutzer, Computer, Freigaben, Gruppen, Drucker usw. welche als Objekte im AD gespeichert werden. Wir haben ja gelernt, das ein solches Objekt viele unterschiedliche Attribute haben kann.

Organisationseinheiten (OU):
Organisationseinheiten dienen dazu, Objekte innerhalb einer Domäne zu Strukturieren. OU’s sind auch zur Delegation von Verwaltungsaufgaben und zur Implementierung von Gruppenrichtlinen zu benutzen.

Domäne:
Wie bereits erwähnt, gibt es ohne Domäne kein AD. Ein AD besteht aus mindenstens einer Domäne und Forest (dazu später mehr). In einer Domäne können Millionen von Objekten gespeichert werden. Jede Domäne verfügt über eigene Sicherheitseinstellungen, die unabhängig von anderen Domänen funktionieren. Eine Domäne besteht aus einen Namen, beispielsweise tiger.com die über einen DNS Server vergeben wird.

Struktur (Tree):
Ein Tree beschreibt die erste Domäne (Root Domain) an welcher weitere Domänen angehängt werden können. Das ganze Gebilde ist dann ein Tree.

Gesamtstruktur (Forest):
In der Gesamtstruktur ist das ganze Verzeichnis gemeint, das aus mehreren Domänen und AD’s bestehen kann. (Tree = Bäume und Forest = Wald)

Vertrauensstellungen (Trusts):
Vertrauensstellungen sind Verknüpfungen zwischen verschiedenen Domänen. So ist es z.B. möglich, sich auf einer anderen Domäne als User anzumelden, aber die gleichen Zugriff zu haben, die man bei einer anderen Domäne ebenfalls hat. Es gibt verschiedene Vertrauensstellungen, aber auf die werde ich hier nicht eingehen, da es den Rahmen eindeutig sprängen würde.

So, nun das sollte es gewesen sein. Auf die physikalische Struktur einer Domäne und AD gehe ich nicht ein. Bald werden wir dann dieses Theoretische Wissen über Domäne und AD auch in unserem HowTo anwenden können.

Update 18.04.2008: Wie die beiden Stefan’s richtig erkannt haben, sollte man für den Domänennamen keine Endung einer Toplevel Domain wählen, sondern am besten wären in diesem Beispiel tiger.local. Sonst kann es zu Problemen führen mit dem DNS Server.

1. Windows 2003 Server HowTo: Teil5: Installation von Active Directory Im letzten Teil haben wir uns um die Grundlagen von Active Directory gekümmert. Wir wissen nun, was ein Verzeichnisdienst ist und was die Voraussetzungen für ein Active Directory nötig sind....
2. Windows 2003 Server HowTo Teil3: Installation von Service Pack 2 und die restlichen Patches Vorwort Nachdem wir im zweiten Teil den Windows 2003 Server in VMware installiert haben, folgt nun die Installation aller bisherig erschienen Patches und Service Packs. Das dauert erfahrungsgemäss etwas länger,...
3. Windows 2003 Server HowTo Teil2: Installation von Microsoft Windows 2003 Server in VMware Vorwort Im ersten Teil haben wir alle Voraussetzungen geschaffen, so das die Installation von Windows 2003 Server beginnen kann. Sodann wollen wir auch zur Tat schreiten. Inhalt Installation von Microsoft...
4. Windows 2003 Server HowTo Teil1: Konfiguration von VMware für die Installation von Windows 2003 Server Information Im ersten Teil geht es darum, alle Voraussetzungen für eine Windows 2003 Server Standard (in diesen und folgenden Artikeln als W2K3 benannt) Umgebung zu schaffen. Dabei wird auf die...
5. Windows 2003 Server HowTo: Übersicht und Themen In den nächsten Wochen und Monaten startet eine ganze Reihe von Blog Beiträgen, die sich mit der Installation, Konfiguration und Administration von Microsoft Windows 2003 Server beschäftigt. Dabei wird das...

Tagged as: Active Directory, AD, Domäne, HowTo, Windows 2003 Server