| Autor: | Lars Schlageter |
| Zuletzt gespeichert: | 22.09.2004 |
| Zustand : | Zu korrigieren |
Alte Microsoft Betriebssysteme ( DOS, Windows for Workgroups, Windows 95) basierten auf einem losen Netzwerkmodell genannt Workgroup- oder Peer-to-peer Netzwerk. Workgroups vermittelten einen einfachen Weg, Netzwerkressourcen zu lokalisieren, aber Netzwerk-Sicherheit war nur ansatzweisevorhanden. Jeder Computer musste die User-Accounts, Passwörter und Zugriffs-Kontroll-Funktionen selbst erledigen. Wenn ein Benutzer Zugriff auf drei verschiedenen Workstations haben musste, dann musste sein User-Account auf allen drei Workstations angelegt sein. Die Administration größerer Netzwerke artete so schnell in harte Arbeit aus.
Mit Windows NT hat Microsoft das Domänen-Modell eingeführt.
Eine Windows-NT-Domäne ist ein Client-Server Modell, dass den Benutzern erlaubt, einen einzelnen Account für das gesamte Netzwerk zu haben. Der Benutzer loggt sich an der Domäne an und kann auf alle Ressourcen auf allen Computer in seiner Domäne zugreifen, falls ihm die erforderlichen Rechte gegeben sind.
Sicherheit und Administration wird bereits bei Windows NT zentral vom Server verwaltet.
Auf dem PDC befindet sich die Domänen-Sicherheitsdatenbank, die sogenannte SAM (Security Account Manger) sie beinhaltet alle User-Accounts und die zugehörigen Informationen, wie Username, Beschreibung, Passwort und die User-Restriktionen.
Nur ein Server pro Domäne kann als PDC fungieren.
Wenn sich ein Benutzer an der Windows NT-Domäne anmeldet, vergleicht der PDC Benutzername und Passwort mit den Sicherheitsinformationen der SAM. Wenn der Benutzername und das Passwort korrekt sind, erstellt der PDC ein Sicheheits-Tokenund gibt das an den Client zurück. Das Token repräsentiert den Benutzer und seine Gruppenzugehörigkeit. Windows NT nutzt dieses Token um mit einem Login Zugriff auf alle Ressourcen in der Domäne zu ermöglichen.
Der BDC beherbergt eine read-only Kopie der SAM und assistiert dem PDC bei der Authentifizierung, wenn dieser gerade überlastet oder ausgefallen ist . Er kann zu einem PDC heraufgestuft werden, um ein Disaster-Recovery im Falle eines ausgefallenen PDCs zu ermöglichen. Wenn bei einer Heraufstufung der alte PDC noch läuft, wird dieser automatisch zum BDC heruntergestuft. Kommt der alte PDC - z.B. nach einer reparatur - erst später wieder ins Netz, hat er nichts von der Heraufstufung mitbekommen und "denkt" er sei immer noch PDC. In diesem Fall, wird das NETLOGON-Service automatisch deaktiviert und es können sich keine User mehr anmelden. Der Administrator muss dann im Server Manger den PDC zum BDC heruntersutufen.
Member Server sind einfache Server in einer Domäne, die aber keinerlei Sicherheitsinformationen enthalten. sie werden auch allein stehende Server genannt.
Später ergänzen - was muss man bei der NT-Server-Installation beachten?
Was passiert, wenn in einem NT-Netzwerk mehrere Domänen verwendet werden? Microsoft hat für diesen Fall Vertrauensstellungen eingeführt. Eine Vertrauensstellungen ist ein Weg, wie zwei oder mehr Sicherherheitseinheiten Authentifikations-Aufgaben übernehmen können.
Die sogennannte Pass-Through Authentification tritt auf, wenn ein Benutzer nicht vom lokalen Computer authentifiziert werden kann. Der Netlogon Dienst gibt die Anforderung an den Domänencontroller weiter. Dieser findet den User-Account und gibt die richtige SID an den lokalen Computer. Dieser kann damit den Logon-Prozess vervollständigen.
Ein Beispiel: Anna ist Mitglied der Entwickler-Domäne. Der Entwickler-Domäne wird von der Marketing-Domäne vertraut. Anna kann sich also an der Marketing Domäne anmelden, ohne in Ihr einen separaten User-Account zu haben. Dies ist aufgrund der Vertrauensstellung möglich.
Bei der NT-Vertrauensstellungen gibt es immer zwei Seiten: Die vertraute Seite (trusted side) ist die Domäne, die die User-Accounts inne hat, denen der Zugriff erlaubt wird. Die vertrauende Seite (trusting site) ist die Domäne, die die die Ressourcen inne hat, auf die zugegriffen werden soll. Die vertrauende Domäne vertraut also den den User-Acccounts aus der vertrauten Domäne. Man kann sich das mit dem englischen Merksatz merken: "Please trust Edward the user". Die vertraute Seite beinhaltet die User-Accounts.
Vertrauensstellungen unter Windows NT sind immer unidirektional. Will man eine Zwei-Wege Vertrauensstellungen einführen, muss man auf zwei normale Vertrauensstellungen in beide Richtungen zurückgreifen.
Vertrauensstellungen sind nicht transitiv - was bedeutet das?
Domäne A hat eine Vertrauensstellung mit Domäne B, A vertraut B. Domäne B hat eine Vertrauensstellung mit Domäne C, B vertraut C. Aber vertraut C damit auch A? Nein. Eine Vertrauensstellung zwischen A und C muss eingeführt werden, wenn Benutzer aus Domäne A auch auf Ressourcen in Domäne C zugreifen wollen.
Übrigens: Active Directory verwendet per Standard automatisch transitive Zwei-Wege-Vertrauensstellungen.
Nach aktuellen Gesichtspunkten ist die kritische Komponente des Windows NT Verzeichnis-Dienst ist die Verzeichnisgröße.
Die von Microsoft vorgegebene Größe der SAM ist 60 MB. Bei einer durchschnittlichen Größe von 4 KB pro Objekt bedeutet das, dass in einer Domäne 40.000 Objekte abgelegt werden können.
Um über diese Beschränkung hinwegzukommen, empfiehlt Microsoft Domänen Modelle der folgenden Art anzulegen:
Dieses Modell ist der Normalfall für kleinere Netzwerke. Hierbei gilt natürlich die volle Datenbankbeschränkung.
Dieses Modell beinhaltet eine Domäne, die alle User-Accounts der Organisation beinhaltet. Diese Domäne wird auch Master-Account Domain genannt. Das Single Master Domain Modell erlaubt es alle Benutzer zentral in deren Domäne zu managen. Ressourcen sind dezentralisiert in anderen Domänen, die man als Ressource-Domains bezeichnet. Das erlaubt den Ressource Domain Administratoren deren Ressourcen selbst zu verwalten.
Auch dieses Modell kann nur max. 40.000 User-Accounts enthalten.
Diese Modell beinhaltet zwei oder mehr Master-Account Domains, die alle User der Domäne beinhalten. Die Adminsitration der Benutzer erfolgt zwischen den Master-Account Domänen.
Auch hier sind die Ressourcen dezentralisiert bei deren Administratoren
Die Vertrauensstellungen sind als Zwei-Wege-Vertrauensstellungen zwischen allen Master-Account Domänen und als Ein-Weg-Vertrauensstellung zwischen jeder Ressource-Domäne und allen Master-Account Domänen realisiert. Somit wird die Begrenzung der Verzeichnisdatenbank überschritten.
Bei dieses Modell sind User Accounts und Ressourcen in jeder Domäne gemischt. Es erlaubt somit dezentralisiertes Account- und Ressource-Management,. Alle Vertrauensstellungen sind als Zwei-Wege-Vertrauensstellungen ausgelegt.
Diese Model ist sehr schwer zu handhaben, unter anderem wegen der großen Menge an Vertrauenstellungen zwischen den einzelnen Domänen.
