Active Directory planen 2

Autor:	Lars Schlageter
Zuletzt gespeichert:	15.12.2006
Zustand :	Zu korrigieren

Nach http://www.datenschutzzentrum.de

Mit Windows 2000 wurde das das "Active Directory" eingeführt. Das "Active Directory" ist ein Verzeichnisdienst von MS (wie die NDS von Novell). Hierdurch wurden die einzelnen Verzeichnisdienste von Windows NT abgelöst und erheblich durch weitere Funktionen erweitert.

Zentrale Funktionen von Active Directory sind:

- Ersetzt die SAM als Userdatenbank
- Wird zentraler Verzeichnisdienst für alle Objekte (Drucker, Rechner, User usw.) in einer Domäne
- Ist hierarchisch gegliedert

Active Directory ist ein zentraler Verzeichnisdienst!

Was ist ein Verzeichnisdienst?

Ein Verzeichnisdienst ist eine einfache Informationsquelle, in der Informationen über Objekte abgelegt werden (vergleichbar mit einem Telefonbuch, indem die Telefonnummern und Adressen zu bestimmten Namen abgelegt werden). In diesen Verzeichnisdienst werden alle Objekte die es in einem Netzwerk gibt (Faxgeräte, Drucker, Dateien, Benutzerangaben usw.) in einer großen Datenbank abgelegt.

Gegenbeispiel ist ein reines Peer-to-peer-Netz: In ihm müssen z.B. sämtliche Benutzer auf allen PCs bekannt sein, auf die diese zugreifen möchten.

Das Active-Directory-Verzeichnis ist eine hierarchische Struktur, in der Informationen zu den im Netzwerk enthaltenen Objekten gespeichert werden. Es stellt darüber hinaus die erforderlichen Methoden bereit, mit denen Verzeichnisdaten gespeichert und Netzwerkbenutzern und -administratoren zur Verfügung gestellt werden können.

Durch den Verzeichnisdienst ist ein Netzwerk leichter zu administrieren. Wenn z. B. ein gesucht wird, dessen Name nicht bekannt ist, kann dieser über sein Attribute (Standort, Typ usw...) gesucht werden.

Der Active Directory-Verzeichnisdienst bietet folgende Merkmale:

Einen Datenspeicher oder ein Verzeichnis, in dem Informationen zu Active Directory-Objekten gespeichert werden. Diese Objekte beinhalten in der Regel freigegebene Ressourcen wie Server, Dateien, Drucker sowie Konten für Netzwerkbenutzer und Computer.
Einen Regelsatz, das so genannte Schema, das Folgendes definiert: Die im Verzeichnis enthaltenen Objekt- und Attributklassen, die Einschränkungen und Begrenzungen für Instanzen dieser Objekte sowie ihr Namensformat.
Einen globalen Katalog mit Informationen zu allen im Verzeichnis enthaltenen Objekten. Der Katalog ermöglicht Benutzern und Administratoren die Suche nach Verzeichnisinformationen unabhängig von der Domäne des Verzeichnisses, in dem die Daten enthalten sind.
Einen Abfrage- und Indizierungsmechanismus, mit dessen Hilfe Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern oder Anwendungen gesucht werden können.
Einen Replikationsdienst, der Verzeichnisdaten im Netzwerk verteilt. Alle Domänencontroller in einer Domäne sind an der Replikation beteiligt und verfügen über eine vollständige Kopie sämtlicher Verzeichnisinformationen für ihre Domäne. Jede Änderung der Verzeichnisdaten wird auf alle Domänencontroller in der Domäne repliziert.
Die Integration mit dem Sicherheitssubsystem von Windows 2000 für sichere Netzwerkanmeldungen sowie eine Zugriffssteuerung für Verzeichnisdatenabfragen und Datenänderungen. I

Um die Vorteile von Active Directory in vollem Umfang nutzen zu können, muss auf dem Computer, der über das Netzwerk auf Active Directory zugreift, die erforderliche Clientsoftware ausgeführt werden. Für Computer ohne Active Directory-Clientsoftware fungiert das Verzeichnis wie ein Windows NT-Verzeichnis (also wie eine Domäne).

Jeder Computer innerhalb einer DNS-Domäne wird durch seinen vollqualifizierten DNS-Domänennamen eindeutig identifiziert. Der vollqualifizierte Domänenname eines Computers mit Namen computer in der Domäne untergeordnet.ubergeordnet.microsoft.com würde folgendermaßen lauten: computer.untergeordnet.ubergeordnet.microsoft.com.

Active Directory arbeitet eng mit DNS integriert zusammen. Active Directory und DNS verfügen über identische hierarchische Strukturen, was aber nicht heisst, dass die Active Directory Struktur der einer registrierten Internet-Struktur entsprechen muss. Obwohl Active Directory und DNS eigentlich getrennte Einheiten darstellen und für unterschiedliche Anwendungsbereiche implementiert wurden, haben die DNS- und Active Directory-Namespaces einer Organisation dieselbe Struktur. Zum Beispiel kann lars-web.com.de sowohl eine DNS- als auch eine Active Directory-Domäne.

DNS-Zonen können in Active Directory gespeichert werden. Bei Verwendung des DNS-Dienstes von Windows 2000 können Dateien für primäre Zonen zur Replikation auf andere Active Directory-Domänencontroller in Active Directory gespeichert werden.

Active Directory-Clients verwenden DNS für die Suche nach Domänencontrollern. Um einen Domänencontroller einer bestimmten Domäne zu lokalisieren, fordert ein Active Directory-Client spezifische Ressourceneinträge von seinem konfigurierten DNS-Server an.

Wie oben erwähnt, ist die logische Struktur des Active Directory eine Baumstruktur, die eine wirklichkeitsgetreue Abbildung einer gesamten Organisation ermöglicht.

Sie besteht aus:

Domänenwald = Domänengesamtstruktur = Forest
Domänenbaum = Domain Tree
Domäne = Domain
Organisationseinheiten = OE = Urganisation Units = OU

Die erste Windows 2000 Domäne ist eine so genannte Root-Domäne. Sie enthält alle Betiebsmasterfunktionen sowie den Globalen Katalog. Weitere untergeordnete Domänen bilden den ersten Domänenbaum (Domain Tree). Die Einrichtung eines zweiten Domänenbaums erzwingt die Erweiterung des Namensraums Mehrere Domänenbäume bilden den so genannten Domänenbaum (Forest).

Ein fiktives Beispiel - aber direkt aus einem Praxisbeispiel übertragen- die internationale Firma workhard: Die Firma ist in mehreren Ländern vertreten und hat in diesen auch mehrere Niederlassungen:

Für jede Niederlassung wird eine OU eingerichtet. Die Administratoren der Niederlassungen haben in Ihrer OU Vollzugriffsrechte.

Es gilt: Mehrere Domänen im gleichen DNS-Namespace (also Domänen, die die über dieselbe Stammdomäne verfügen) bilden einen Domänenbaum.

Ein Domänenwald ist eine Gruppe von Domänenbäumen mit unterschiedlichen DNS-Namensäumen (de.workhard.net, es.workhard.net, ik.workhard.net, fr.workhard.net).

Alle Domänenbäume nutzen jedoch das Schema, die Konfiguration sowie den globalen Katalog der Root-Domäne.

Es gibt keine Trennung mehr zwischen primären Domänencontrollern und Sicherungsdomänencontrollern. Änderungen in einem Domänencontroller werden automatisch auf allen weiteren Domänencontrollern repliziert. Innerhalb von Windows 2000/2003 werden zwar proprietäre Verzeichnis-Calls verwendet, der Dienst selber basiert aber aus einer komplexen Kombination aus LDAP, DDNS , DHCP und Kerberos V5.

Übersicht über Domänen

Durch eine Domäne wird ein Sicherheitsbereich definiert. Das Verzeichnis beinhaltet eine oder mehrere Domänen, von denen jede über eigene Sicherheitsrichtlinien und Vertrauensstellungen mit anderen Domänen verfügt. Domänen bieten mehrere Vorteile:

Sicherheitsrichtlinien und -einstellungen (z. B. Administratorrechte und Zugriffssteuerungslisten) können nicht von einer Domäne auf eine andere übertragen werden.
Die Delegierung von Administratorrechten an Domänen oder Organisationseinheiten macht die Ernennung zahlreicher Administratoren mit weitreichenden Administratorrechten überflüssig.
Domänen unterstützen die Strukturierung des Netzwerkes, damit die jeweilige Organisation besser nachgebildet werden kann.
In jeder Domäne werden ausschließlich Informationen zu den in der Domäne enthaltenen Objekten gespeichert. Durch diese Art der Verzeichnispartitionierung kann Active Directory an eine große Anzahl von Objekten angepasst werden.
Domänen bilden Replikationseinheiten. Alle Domänencontroller in einer bestimmten Domäne sind in der Lage, Änderungen zu empfangen und diese Änderungen auf alle anderen Domänencontroller innerhalb der Domäne zu replizieren.

Eine einzelne Domäne kann sich über mehrere physische Standorte erstrecken. Durch die Verwendung einer Einzeldomäne lässt sich der Verwaltungsaufwand in erheblichem Maße verringern.

Einführung in Domänenstrukturen und Gesamtstrukturen

Eine Gesamtstruktur setzt sich aus mehreren Domänen zusammen. Domänen können auch hierarchisch, d. h. in so genannten Domänenstrukturen, angeordnet werden.

Domänenstrukturen

Die erste Domäne einer Domänenstruktur wird als Stammdomäne bezeichnet. Alle weiteren Domänen in derselben Domänenstruktur sind untergeordnete Domänen. Eine Domäne, die sich in derselben Domänenstruktur direkt oberhalb einer anderen Domäne befindet, ist die übergeordnete Domäne der untergeordneten Domäne.

Alle Domänen, die über dieselbe Stammdomäne verfügen, bilden sozusagen einen fortlaufenden Namespace. Dies bedeutet, dass sich der Domänenname einer untergeordneten Domäne aus dem Namen der übergeordneten Domäne plus dem angehängten Namen der untergeordneten Domäne zusammensetzt.

In der Abbildung ist subdomäne1.microsoft.com eine untergeordnete Domäne von microsoft.com und die übergeordnete Domäne von subdomäne1.microsoft.com. Die Domäne microsoft.com ist die übergeordnete Domäne von subdomäne1.microsoft.com und gleichzeitig die Stammdomäne dieser Struktur.

Zwischen Windows 2000-Domänen innerhalb einer Struktur bestehen bidirektionale, transitive Vertrauensstellungen. Da diese Vertrauensstellungen bidirektional und transitiv sind, verfügt eine neu eingerichtete Windows 2000-Domäne in einer Domänenstruktur oder Gesamtstruktur direkt über Vertrauensstellungen mit allen anderen Windows 2000-Domänen in der Domänen- oder Gesamtstruktur. Dank dieser Vertrauensstellungen kann ein Benutzer mit einem einzigen Anmeldevorgang gegenüber allen Domänen in der Domänen- oder Gesamtstruktur authentifiziert werden. Dies bedeutet jedoch nicht gleichzeitig, dass der authentifizierte Benutzer auch in allen Domänen der Gesamtstruktur über Rechte und Berechtigungen verfügt. Da eine Domäne einen eigenen Sicherheitsbereich darstellt, müssen Rechte und Berechtigungen pro Domäne zugewiesen werden.

Gesamtstrukturen

Eine Gesamtstruktur setzt sich aus mehreren Domänenstrukturen zusammen. Die Domänenstrukturen in einer Gesamtstruktur haben keinen fortlaufenden Namespace. Ein Beispiel: Obwohl die beiden Domänenstrukturen microsoft.com und microsoftasia.com beide über eine untergeordnete Domäne mit dem Namen "Support" verfügen können, würden die DNS-Namen dieser untergeordneten Domänen support.microsoft.com und support.microsoftasia.com lauten und aus diesem Grund keinen gemeinsamen Namespace aufweisen.

Eine Gesamtstruktur verfügt jedoch über eine Stammdomäne. Bei der Stammdomäne der Gesamtstruktur handelt sich um die erste in der Gesamtstruktur erstellte Domäne. Zwischen den Stammdomänen aller Domänenstrukturen der Gesamtstruktur und der Stammdomäne der Gesamtstruktur werden transitive Vertrauensstellungen eingerichtet. In der Abbildung ist microsoft.com die Stammdomäne der Gesamtstruktur. Die Stammdomänen der anderen Domänenstrukturen microsofteurope.com und microsoftasia.com verfügen über transitive Vertrauensstellungen mit microsoft.com. Dies ist erforderlich, damit die Vertrauensstellungen auf alle Domänenstrukturen der Gesamtstruktur ausgedehnt werden können.

Alle Windows 2000-Domänen in allen Domänenstrukturen einer Gesamtstruktur haben Folgendes gemein:

Transitive Vertrauensstellungen zwischen den Domänen
Transitive Vertrauensstellungen zwischen den Domänenstrukturen
Ein gemeinsames Schema
Identische Konfigurationsinformationen
Einen gemeinsamen globalen Katalog
Die Kombination von Domänenstrukturen und Gesamtstrukturen ermöglicht Ihnen die flexible Verwendung fortlaufender und nicht fortlaufender Namen. Diese Flexibilität ist z. B. für Unternehmen mit unabhängigen Abteilungen hilfreich, die ihre jeweiligen DNS-Namen beibehalten müssen.

Vertrauensstellungen zwischen Domänen

Eine Vertrauensstellung ist eine Beziehung zwischen zwei Domänen, durch die Benutzer einer Domäne von einem Domänencontroller authentifiziert werden können, der sich in einer anderen Domäne befindet. Eine Vertrauensstellung zwischen Domänen wird immer nur zwischen zwei Domänen aufgebaut: der vertrauenden und der vertrauenswürdigen Domäne.

In der ersten Abbildung sind die Vertrauensstellungen durch einen Pfeil gekennzeichnet (dieser zeigt auf die vertrauenswürdige Domäne).

Bei früheren Versionen von Windows waren Vertrauensstellungen auf die beiden Domänen innerhalb der Vertrauensstellung begrenzt und sie war unidirektional. Unter Windows 2000 sind alle Vertrauensstellungen transitiv und bidirektional. Beide Domänen in einer Vertrauensstellung vertrauen sich automatisch gegenseitig.

Aus der Abbildung ist Folgendes ersichtlich: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C (sofern sie über die entsprechenden Berechtigungen verfügen) auf Ressourcen in Domäne A zugreifen.

Anmerkung

Wenn ein Benutzer von einem Domänencontroller authentifiziert wird, bedeutet dies nicht unbedingt, dass er auf die Ressourcen in dieser Domäne zugreifen kann. Dies wird ausschließlich durch die Rechte und Berechtigungen bestimmt, die dem Benutzerkonto vom Domänenadministrator für die vertrauende Domäne erteilt wurden.

Active Directory Datenbank

Die Active Directory Datenbank ist die Datenbank einer Domäne, Sie enthält Informationen über Objekte wie Benutzer, Gruppen, Computer, Drucker, Freigaben...) Änderungen in Ihr werden zwischen allen Domänencontrollern innerhalb der Domäne und der Domänengesamtstruktur repliziert und stehen somit den Beutzern im LAN zur Verfügung.

Per Standard ist der Speicherort Stammverzeichnis:\NTDS. Die Partition, auf der gespeichert wird, muss eine NTFS-Partition sein. Der Speicherort kann angepasst werden, es empfiehlt sich, hierbei auf Partitionen mit Redundanz auszuweichen, da die Objektdatenbank elementar ist.

Die Datenbank wird in einer Datei mit dem NamenNTS.DIT gespeichert. Sie enthält:

Schema
Globalen Katalog
Objekte des Domänencontrollers

Während des Heraufstufens zum Domänenvontoller wir die Datei NTDS.DIT vom Ordner Stammverzeichnis\SYTEM32 in das angegebene Verzeichnis kopiert. Die Activer-Directory-Dienste werden gestartet. Falls andere Domänencontroller vorhanden sind, wir die Datei durch Replikation aktualisiert.

Wichtig für das AD ist außerdem der Ordner Stammverzeichnis\SYSVOL. In ihm werden Skripte, Gruppenrichtlinienobjekte gespeichert. Der Ordner muss sich auf einer NTFS-Partition befinden.

Organisationseinheiten

Mit Organisationseinheiten (OE, Origanisation Units, OU) können Strukturen geschaffen werden, die die Administration vereinfachen: Organisationseinheiten bilden innerhalb Domänen eine besonders nützliche Art von Verzeichnisobjekten. Organisationseinheiten sind Active Directory-Container, denen Sie Benutzer, Gruppen, Computer und andere Organisationseinheiten hinzufügen können. Auch Objekte aus anderen Domänen können in einer Organisationseinheit enthalten sein.

Eine Organisationseinheit stellt den kleinsten Bereich oder die kleinste Einheit dar, der Gruppenrichtlinieneinstellungen zugewiesen oder an die Administratorrechte delegiert werden können. Mit Hilfe von Organisationseinheiten können Sie innerhalb einer Domäne Container erstellen, die die hierarchischen, logischen Strukturen innerhalb Ihrer Organisation widerspiegeln. Auf diese Weise kann die Konfiguration und die Konten- und Ressourcenverwendung in Anpassung an das Organisationsmodell verwaltet werden.

Wie aus der Abbildung ersichtlich, können Organisationseinheiten weitere Organisationseinheiten enthalten. Eine Containerhierarchie kann ggf. erweitert werden, um die Organisationshierarchie innerhalb einer Domäne nachzubilden. Durch die Verwendung von Organisationseinheiten kann die Anzahl der für das Netzwerk benötigten Domänen u. U. minimiert werden.

Mit Organisationseinheiten können Sie beispielsweise ein Verwaltungsmodell erstellen, das auf jede beliebige Größe skaliert werden kann. Einem Benutzer können Administratorrechte für alle Organisationseinheiten in einer Domäne oder für eine einzelne Organisationseinheit erteilt werden. Es ist nicht erforderlich, dass der Administrator einer Organisationseinheit Administratorrechte für weitere Organisationseinheiten innerhalb der Domäne besitzt.

Im eingangs gezeigten Beispiel wurde für ein internationales Unternehmen für jedes Land eine Child-Domäne gebildet. Pro Niederlassung wurde eine OE gebildet.

Eine OE kann folgende Objekte enthalten:

Benutzer
Gruppen
Computer
Drucker
Sicherheitsrichtlinien
Dateifreigaben
Applikationen
untergeordnete OE.

Bei der Verwaltung von OE sind folgende Regeln zu beachten:

Erstellen Sie OE zum Delegieren von administrativen Verwaltungsaufgaben.
Entscheiden Sie, wer welche Benutzer, Gruppen und sonstigen Ressourcen administrieren soll.
Realisieren Sie eine logische und aussagekräftige OE-Struktur, sodass OE-Administratoren
ihre Aufgaben effizient durchführen können.
Vermeiden Sie das Zuweisen zu vieler untergeordneter Objekte innerhalb einer
OE.
Erstellen Sie OE zum Anwenden von Gruppen- bzw. Sicherheitsrichtlinien.

OEs erstellen Sie unter Active Directory-Benutzer und - Computer. Klicken Sie mit der rechten Maustaste auf das Domänenobjekt oder eine andere Organisationseinheit, in der Sie eine Organisationseinheit erstellen wollen und zeigen Sie auf NEU und klicken Sie anschließend auf ORGANISATIONSEINHEIT.

Übersicht über "Active Directory-Standorte und -Dienste"

Zunächst ist der DNS-Namespace des Active Directory festzulegen. Der DNS-Namespace ist ein Domänenenname der obersten Ebene im Active Directory. An den Namensraum sind die Domänenhierarchie, Vertrauensstellungen und die Replikationen geknüpft. Entweder wird der DNS-Namespace nach einem bereits registrierten externen Internet-DNS Namensraum oder als eigenständiger losgelöster DNS-Namensraum vergebenen.

Es gibt bei beiden Modellen Vor- und Nachteile. Im Ergebnis wird aber der Administrationsaufwand bei identischem internen und externen DNS-Namensraum erheblich höher sein. Microsoft empfiehlt daher für den AD-Namensraum eine Subdomäne des externen Namenraums zu vergeben. Z.B. www.lars-web.com -> ad.lars-web.com.

Das Active Directory bedient sich der Multimasterreplikation und ermöglicht es jedem Windows 2000-Domänencontroller innerhalb der Gesamtstruktur, Anforderungen, einschließlich Verzeichnisänderungen durch Benutzer, zu verarbeiten.

Beim Einsatz gut verbundener Computer in einer überschaubaren Installation verursacht die zufällige Auswahl eines Domänencontrollers möglicherweise keine Probleme. Umfangreiche Installationen, in denen ein WAN (Wide Area Network) zum Einsatz kommt, können jedoch extrem ineffizient arbeiten, wenn z. B. Benutzer in Frankfurt über eine DFÜ-Verbindung versuchen, sich bei einem Domänencontroller in Paris zu authentifizieren. Mit "Active Directory-Standorte und -Dienste" können Sie die Effizienz der Verzeichnisdienste in den meisten Installationen durch den Einsatz von Standorten optimieren.

Sie verwenden "Active Directory-Standorte und -Dienste", um Informationen zur physischen Struktur des Netzwerkes im Active Directory zu veröffentlichen. Mit Hilfe dieser Informationen bestimmt Active Directory, auf welche Weise Verzeichnisinformationen repliziert und Dienstanforderungen verarbeitet werden.

Die Zuordnung von Computern zu Standorten erfolgt auf der Grundlage ihrer Position in einem Subnetz oder in einer Gruppe gut verbundener Subnetze. Ähnlich wie Postleitzahlen, unter denen ein bestimmter Bereich von Postanschriften zusammengefasst wird, bieten Subnetze eine einfache Möglichkeit zur Darstellung von Netzwerkgruppierungen. Subnetze sind so ausgelegt, dass physische Informationen zu den Netzwerkverbindungen schnell und einfach an das Verzeichnis übertragen werden können. Durch die Gruppierung aller Computer in einem oder mehreren gut verbundenen Subnetzen wird auch der Standard erfüllt, gemäß dem alle Computer an einem Standort gut verbunden sein müssen, da Computer im selben Subnetz in der Regel über bessere Verbindungen verfügen als eine zufällige Auswahl von Computern im Netzwerk.

Standorte vereinfachen folgende Aufgaben:

Authentifizierung. Bei der Anmeldung eines Clients über ein Domänenkonto sucht die Anmelderoutine zuerst nach Domänencontrollern, die sich im selben Standort wie der Client befinden. Da zunächst versucht wird, auf Domänencontroller am Standort des Clients zuzugreifen, bleibt der Netzwerkverkehr auf den lokalen Standort beschränkt, und die Effizienz des Authentifizierungsprozesses nimmt zu.
Replikation. Verzeichnisinformationen werden sowohl innerhalb als auch zwischen Standorten repliziert. Das Active Directory repliziert Daten innerhalb eines Standortes häufiger als zwischen Standorten. Diese Vorgehensweise schafft einen Ausgleich zwischen der Nachfrage nach möglichst aktuellen Verzeichnisinformationen und den durch die verfügbare Netzwerkbandbreite vorgegebenen Beschränkungen.

Sie können die Datenreplikation im Active Directory anpassen, indem Sie mit Hilfe von Standortverknüpfungen festlegen, auf welche Weise die einzelnen Standorte verbunden sind. Die Informationen zur Verknüpfung der Standorte werden von Active Directory zur Erstellung von Verbindungsobjekten verwendet. Diese Objekte ermöglichen eine effiziente Replikation und gewährleisten Fehlertoleranz.

Der Benutzer gibt folgende Informationen ein: Kosten einer Standortverknüpfung, Zeiten, zu denen die Verknüpfung verfügbar ist, und die Häufigkeit, mit der eine Verknüpfung genutzt werden soll. Anhand dieser Informationen bestimmt Active Directory, welche Standortverknüpfung für die Datenreplikation verwendet wird. Um die Replikation noch effektiver zu gestalten, können Sie die Replikationszeitpläne anpassen. Die Replikationen finden dann zu bestimmten Zeiten statt, z. B. wenn geringer Netzwerkverkehr herrscht.

Normalerweise werden Informationen zwischen Standorten von allen Domänencontrollern ausgetauscht. Sie können jedoch stärkeren Einfluss auf das Replikationsverhalten nehmen, indem Sie einen Bridgeheadserver für die standortübergreifende Replikation von Informationen benennen. Richten Sie einen Bridgeheadserver ein, wenn anstelle eines beliebigen verfügbaren Servers ein dedizierter Server für die standortübergreifende Replikation bereitgestellt werden soll. Ein Bridgeheadserver kann auch eingerichtet werden, wenn die Netzwerkinstallation Proxyserver, z. B. für das Senden und Empfangen von Informationen durch einen Firewall, umfasst.

Dienste mit Active Directory-Unterstützung. Informationen, z. B. zu Dienstbindungen und Konfigurationen, können über das Verzeichnis bereitgestellt werden. Dadurch wird die Verwaltung und der Einsatz von Netzwerkressourcen einfacher und effizienter gestaltet. Mit Hilfe von Standorten kann die Verteilung von Dienstinformationen leichter strukturiert und optimiert werden. Die aktuellen Informationen sind folglich für Clients verfügbar und können effizient im gesamten Netzwerk bereitgestellt werden.

Gruppen
Gruppen sind Objekte in Active Directory oder auf dem lokalen Computer, die Benutzer, Kontakte, Computer und andere Gruppen enthalten können. Gruppen werden für folgende Zwecke verwendet:

Verwalten von Benutzer- und Computerzugriffen auf freigegebene Ressourcen wie Active Directory-Objekte und dazugehörige Eigenschaften, Netzwerkfreigaben, Dateien, Verzeichnisse, Druckerwarteschlangen usw.
Filtern von Gruppenrichtlinieneinstellungen
Erstellen von E-Mail-Verteilerlisten
Es gibt zwei Arten von Gruppen:

Sicherheitsgruppen
Verteilergruppen
Mit Hilfe von Sicherheitsgruppen werden Benutzer, Computer und andere Gruppen in Gruppen zusammengefasst, die bequem verwaltet werden können. Administratoren sollten Ressourcenberechtigungen (z. B. für Dateifreigaben, Drucker usw.) vorzugsweise den jeweiligen Sicherheitsgruppen und nicht einzelnen Benutzern zuweisen. So werden die Berechtigungen nur einmalig der Gruppe und nicht mehrere Male einzelnen Benutzern zugewiesen. Jedes der Gruppe hinzugefügte Konto erhält automatisch die für die Gruppe definierten Rechte und Berechtigungen. Durch die Verwendung von Gruppen anstelle von einzelnen Benutzern lässt sich die Netzwerkwartung und -verwaltung deutlich vereinfachen.

Verteilergruppen können lediglich als E-Mail-Verteilerlisten eingesetzt werden. Sie können nicht zum Filtern von Gruppenrichtlinieneinstellungen verwendet werden. Verteilergruppen haben keine Sicherheitsfunktionen.

Organisationseinheiten werden im Gegensatz zu Gruppen für die Zusammenfassung von Objekten innerhalb einer Einzeldomäne verwendet. Sie dienen jedoch nicht zur Übertragung von Mitgliedschaften. Die Verwaltung einer Organisationseinheit und der darin enthaltenen Objekte kann an einen einzelnen Administrator oder an eine Gruppe delegiert werden. Weitere Informationen finden Sie unter Organisationseinheiten und Planen der Struktur von Organisationseinheiten.

Gruppenrichtlinienobjekte können auf Standorte, Domänen oder Organisationseinheiten, jedoch niemals auf Gruppen angewendet werden. Ein Gruppenrichtlinienobjekt ist eine Gruppe von Einstellungen, die sich auf Benutzer oder Computer auswirkt. Mit Hilfe von Gruppenmitgliedschaften werden die Gruppenrichtlinienobjekte herausgefiltert, die Einfluss auf die Benutzer und Computer an einem Standort bzw. in einer Domäne oder Organisationseinheit haben. Weitere Informationen zu Gruppenrichtlinien finden Sie unter Grundlagen der Gruppenrichtlinien.

Weitere Informationen zu Gruppen und ihrer Verwendung finden Sie unter Verstehen von Gruppen.

Übersicht über das Active Directory-Schema
Das Active Directory-Schema entspricht einer Gruppe von Definitionen, die die verschiedenen Arten von Objekten und die Informationstypen für diese Objekte definieren, die in Active Directory gespeichert werden können. Die Definitionen selbst werden auch als Objekte gespeichert, so dass Active Directory die Schemaobjekte mit denselben Objektverwaltungsroutinen verwalten kann, die auch zur Verwaltung der übrigen Objekte im Verzeichnis eingesetzt werden.

Das Schema umfasst zwei Arten von Definitionen: Attribute und Klassen. Attribute und Klassen werden auch als Schemaobjekte oder Metadaten bezeichnet.

Attribute werden separat von Klassen definiert. Jedes Attribut wird nur einmal definiert und kann in mehreren Klassen verwendet werden. Beispielsweise wird das Attribut "Beschreibung" in vielen Klassen verwendet, jedoch nur einmal im Schema definiert. Dadurch wird Konsistenz gewährleistet.

Klassen, die auch als Objektklassen bezeichnet werden, dienen zur Beschreibung der erstellbaren Verzeichnisobjekte. Jede Klasse entspricht einer Gruppe von Attributen. Wenn Sie ein Objekt erstellen, werden in den Attributen Informationen zur Beschreibung des Objekts gespeichert. Die Benutzerklasse umfasst neben zahlreichen anderen beispielsweise die Attribute "Netzwerkadresse", "Basisverzeichnis" usw. Jedes Objekt in Active Directory ist eine Instanz einer Objektklasse.

Die grundlegenden Klassen und Attribute sind in Windows 2000 Server bereits enthalten. Erfahrene Entwickler und Netzwerkadministratoren können das Schema dynamisch erweitern, indem Sie neue Klassen definieren und für bestehende Klassen neue Attribute erstellen. Schemaobjekte können in Active Directory nicht gelöscht werden. Objekte können jedoch als deaktiviert gekennzeichnet werden, was einem Löschvorgang weitestgehend entspricht. Das Erweitern des Schemas ist eine schwierige Aufgabe, die im Ernstfall weitreichende Folgen haben kann. Informieren Sie sich vor dem Erweitern des Schemas unter Prüfliste: Vor dem Erweitern des Schemas.

Der Domänencontroller mit der Funktion des Schemamasters überwacht die Struktur und den Inhalt des Schemas. Eine Kopie des Schemas wird auf alle Domänencontroller in der Gesamtstruktur repliziert. Durch die Verwendung dieses gemeinsamen Schemas wird die Datenintegrität und Konsistenz in der Gesamtstruktur gewährleistet. Weitere Informationen über den Schemamaster finden Sie unter Einzelmasterbetrieb.

Es wird empfohlen, das Active Directory-Schema im Programm zu erweitern. Verwenden Sie dazu die Active Directory-Schnittstellen (Active Directory Service Interfaces, ADSI), die im Windows 2000 Software Developer's Kit beschrieben werden. Ausführliche Informationen zum Erweitern des Schemas im Programm finden Sie im Active Directory Programmer's Guide in der Microsoft-Website (http://www.microsoft.com/) und in der Website der Internet Engineering Task Force (http://www.ietf.org/) . Da Webadressen sich im Laufe der Zeit ändern können, sind die hier vorgestellten Websites u. U. nicht mehr unter der angegebenen Adresse zu finden.

Zu Entwicklungs- und Testzwecken können Sie das Active Directory-Schema auch mit dem Snap-In Active Directory-Schema anzeigen und ändern. Dieses Snap-In finden Sie auf der Window 2000 Server-CD unter den Windows 2000-Verwaltungsprogrammen. Weitere Informationen finden Sie unter Remoteverwalten von Servern.

Serverfunktionen
Windows 2000 Server kann mit verschiedenen Serverfunktionen ausgeführt werden. Mit Windows 2000 Server können Sie auf einfache Weise zwischen den verschiedenen Funktionen wechseln, um den Anforderungen in Ihrem Unternehmen gerecht zu werden.

Weitere Informationen zu den Windows 2000 Server-Funktionen und der Verfahrensweise zum Ändern dieser Funktionen finden Sie unter:

Domänencontroller
Mitgliedsserver
Eigenständige Server
Ändern der Funktionen eines Servers

Domänencontroller
Bei einem Domänencontroller handelt es sich um einen unter Windows 2000 Server ausgeführten Computer, der mit dem Assistent zur Installation von Active Directory konfiguriert wurde. Mit dem Assistent zum Installieren von Active Directory werden Komponenten installiert und konfiguriert, die Netzwerkbenutzern und Computern den Active Directory-Verzeichnisdienst zur Verfügung stellen. Domänencontroller dienen zur Speicherung von Verzeichnisdaten und zur Verwaltung von Interaktionen zwischen Benutzern und Domänen, darunter Benutzeranmeldungen, Authentifizierungen und Verzeichnissuchen.

Eine Domäne kann einen oder mehrere Domänencontroller enthalten. Eine kleine Organisation mit einem LAN (Local Area Network) benötigt möglicherweise nur eine Domäne mit zwei Domänencontrollern, um hohe Verfügbarkeit und Fehlertoleranz zu gewährleisten. Um hohe Verfügbarkeit und Fehlertoleranz in größeren Unternehmen mit zahlreichen Netzwerkstandorten sicherzustellen, sind einer oder mehrere Domänencontroller pro Standort erforderlich.

Active Directory unterstützt die Multimasterreplikation von Verzeichnisdaten zwischen allen Domänencontrollern der Domäne. Da einige Änderungen im Multimasterbetrieb jedoch wenig sinnvoll sind, werden solche Änderungsanforderungen nur von einem Domänencontroller, dem Betriebsmaster, akzeptiert. In jeder Active Directory-Gesamtstruktur gibt es mindestens fünf verschiedene Funktionen des Betriebsmasters, die einem oder mehreren Domänencontrollern zugewiesen werden. Weitere Informationen zu Betriebsmastern finden Sie unter Einzelmasterbetrieb.

Domänencontroller unter Windows 2000 Server erweitern die Fähigkeiten von Domänencontrollern unter Windows NT Server 4.0 um weitere Funktionen. Bei der Multimasterreplikation von Windows 2000 Server werden die Verzeichnisdaten auf jeden Domänencontroller synchronisiert, wodurch auch auf längere Sicht eine hohe Datenkonsistenz gewährleistet wird. Die Multimasterreplikation stellt eine Weiterentwicklung des in Windows NT Server 4.0 verwendeten Modells des primären und Reservedomänencontrollers dar, in dem nur ein Server, d. h. der primäre Domänencontroller, über eine lesbare und schreibbare Verzeichniskopie verfügte.

Mitgliedsserver
Computer, die in einer Domäne als Server eingesetzt werden, können eine von zwei Funktionen übernehmen: Die Funktion eines Domänencontrollers oder die eines Mitgliedsservers.

Ein Mitgliedsserver weist folgende Eigenschaften auf:

Er wird unter Windows 2000 Server ausgeführt und ist
Mitglied einer Domäne
und kein Domänencontroller
Da er kein Domänencontroller ist, verarbeitet ein Mitgliedsserver keine Kontoanmeldungen, ist nicht an Active Directory-Replikationen beteiligt und speichert keine Richtlinieninformationen zur Domänensicherheit.

Mitgliedsserver werden in der Regel als folgende Servertypen eingesetzt:

Dateiserver
Anwendungsserver
Datenbankserver
Webserver
Zertifikatsserver
Firewalls
RAS-Server
Diese Mitgliedsserver verfügen über eine gemeinsame Gruppe sicherheitsrelevanter Funktionen:

Mitgliedsserver unterliegen den für den Standort, die Domäne oder die Organisationseinheit aufgestellten Gruppenrichtlinieneinstellungen.
Auf einem Mitgliedsserver verfügbare Ressourcen werden für die Zugriffssteuerung konfiguriert.
Benutzer von Mitgliedsservern verfügen über zugewiesene Benutzerrechte.
Mitgliedsserver verfügen über eine Datenbank für lokale Sicherheitskonten, die so genannte Sicherheitskontenverwaltung (Security Account Manager, SAM).
Allgemeine Informationen zu Domänencontrollern finden Sie unter Domänencontroller.

Eigenständige Server
Ein eigenständiger Server ist ein unter Windows 2000 Server ausgeführter Computer, der keiner Windows 2000-Domäne angehört. Ist Windows 2000 Server als Mitglied einer Arbeitsgruppe installiert, handelt es sich bei dem betreffenden Server um einen eigenständigen Server.

Eigenständige Server können Ressourcen mit anderen Computern im Netzwerk gemeinsam nutzen, profitieren jedoch nicht von den Vorteilen von Active Directory.

Ändern der Funktionen eines Servers
Ein Server in einer Domäne kann eine von zwei Funktionen übernehmen: die Funktion des Domänencontrollers oder die des Mitgliedsservers.

Wenn sich die Anforderungen der Computerumgebung ändern, möchten Sie u. U. auch die Funktion eines Servers ändern. Mit dem Assistent zum Installieren von Active Directory können Sie einen Mitgliedsserver zu einem Domänencontroller herauf- oder einen Domänencontroller zu einem Mitgliedsserver herabstufen.

Link Vertrauensstellung

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/7b075a25-9f29-4856-883c-f230a8ccd681.mspx