Active_Directory

Erläuterung

Das Active Directory, kurz AD, ist der Verzeichnisdienst von Microsoft unter den Serverbetriebssystemen Windows 2000/Windows Server 2003/Windows Server 2008. Bei einem Verzeichnis handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen (Besitzern) zuordnet. Das Active Directory ordnet verschiedenen Netzwerkobjekten wie Benutzern, Computern u.a. Eigenschaften zu und verwaltet diese.

Aufbau

Das AD lässt sich grob in 5 Untergruppen einteilen:

Active Directory Domain Services
(Active Directory Domänen Verzeichnisdienst, AD DS)
Die aktuelle Version des ursprünglichen Verzeichnisdienstes und der zentrale Punkt der Domänen- und Ressourcenverwaltung.
Active Directory Lightweight Directory Services
(Active Directory Lightweight Verzeichnisdienst, ADLDS)
Hierbei handelt es sich um eine funktional eingeschränkte Version des AD DS, die der Anbindung von Anwendungen oder Diensten, die LDAP-konforme Informationen aus dem Verzeichnis benötigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode, ADAM, bezeichnet.
Active Directory Federation Services
(Active Directory Verbunddienste, ADFS)
Dient der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der AD DS-Infrastruktur befinden.
Active Directory Rights Management Services
(Active Directory Rechteverwaltungsdienste, ADRMS)
Schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.
Active Directory Certificate Services
(Active Directory-Zertifikatsdienste, ADCS)
Stellen eine PublicKey-Infrastruktur bereit.

Das Active Directory baut auf einer Datenbank auf, in der die Informationen über das Netzwerk wie Benutzer, Gruppen und Computer gespeichert werden und ist relational, transaktionsorientiert.

Kernkonzept

Das gesamte Konzept basiert auf 4 Hauptkomponenten:

  • Lightweight Directory Access Protocol (LDAP)
    • Der LDAP-Server stellt Informationen über Benutzer und deren Gruppenzugehörigkeit bereit. Aber auch andere Objekte, wie z.B. die Zertifikate eines Computers, werden in dem Verzeichnis gespeichert.
  • Kerberos
    • Kerberos ist ein Protokoll, mit welchem der Benutzer einmal authentifiziert werden muss, so dass er ein sogenanntes Ticket Granting Ticket (TGT) erhält. Mit diesem ist es möglich, sich Service-Tickets für den Zugriff auf einen bestimmten Dienst innerhalb des Netzwerks zu besorgen. Der Benutzer muss dabei nur einmal sein Passwort eingeben, um das TGT zu erhalten. Die Besorgung der Servicetickets erfolgt dabei im Hintergrund.
  • Common Internet File System (CIFS)
    • Das CIFS-Protokoll ist zur Ablage von Dateien im Netzwerk gedacht.
  • Domain Name System (DNS)
    • DNS wird zum Auffinden der einzelnen Computersysteme und zum Auffinden von Dienstinformationen genutzt.
Als objektbasiertes System unterstützt Active Directory die Vererbung von Eigenschaften eines Objektcontainers an
untergeordnete Objekte, die auch wieder Container sein können.

Das Muster, nach dem man dabei vorzugehen hat, ist das Schema:
Es definiert die Objekte und ihre Attribute.

Aus Gründen der Kompatibilität sind Windows 2000/XP-Clients auch bei Einsatz eines Active Directories weiterhin in der Lage, mit Hilfe von NetBIOS oder WINS Ressourcen im Netzwerk ausfindig zu machen.

Active Directory erlaubt es, Netzwerke logisch und hierarchisch mit Hilfe von Objekten aufzubauen.
Diese Objekte speichern:

  • Informationen über Computer
  • Benutzer
  • Dateifreigaben
  • Andere Geräte wie Drucker und Scanner.

Jedes Objekt hat Attribute und wird in einer zentralen Datenbank gespeichert.

Durch die ständige Replekation ist es möglich, z.B. einen Administratoraccount anzulegen, der nach einer gewissen Zeit überall in der Domäne verfügbar ist. Dieses Prinzip gilt für alle Veränderungen, die man im AD trifft.

Struktur

Die Active-Directory-Struktur ist ein hierarchisches System, welches aus Objekten besteht. Die Objekte lassen sich in drei Kategorien einteilen:

  • Ressourcen: (z.B. Drucker, Scanner, Kameras)
  • Dienste: (z.B. E-Mail)
  • Konten: (z.B. Benutzerkonten, Gruppenkonten und Computerkonten)
Mit Hilfe des AD kann der Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen.

Hierarchische Struktur

Die gesamte hierarchische Struktur heißt „Wald“ (forest) oder auch Gesamtstruktur, deren Attribute, Regeln und Container in dem Verzeichnis abgelegt werden.
Der Wald verwaltet:

  • Einen oder mehrere transitiv verknüpfte Bäume
    • Ein Baum verwaltet eine oder mehrere Domänen
      • Welche wiederum transitiv in der Hierarchie miteinander verknüpft sind.

Domains werden nach den Regeln des DNS-Systems benannt, dem „Namespace“ (Namensraum).

Organisatorische Einheiten

Die Objekte in einer Domain können lokal in sogenannte organisatorische Einheiten (OUs) gruppiert werden. Durch organisatorische Einheiten wird eine Domain hierarchisch gegliedert, was die Administration von Active Directory vereinfacht. Hiermit ist es möglich, ein Netzwerk ähnlich der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Organisatorische Einheiten können wiederum organisatorische Einheiten als Unterobjekte enthalten. Die Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinien-Objekten gespeichert. Diese sind ebenfalls Domains und Standorten zugeordnet. Die organisatorischen Einheiten sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden können. Eine weitere Möglichkeit der Unterteilung ist ein Standort. Dieser stellt eine physikalische Gruppierung eines oder mehrerer logischer IP-Unternetze dar.

Aufteilung

Active Directory ist in drei Teile aufgegliedert:

  • Schema
    • Ein Schema ist eine Schablone für alle Active-Directory-Einträge. Es definiert Objekttypen, ihre Klassen und Attribute als auch ihre Attributsyntax.
  • Konfiguration
    • Die Konfiguration stellt die Struktur des Active-Directory-Waldes und seiner Bäume dar.
  • Domain
    • Die Domain schließlich speichert alle Informationen über die erstellten Objekte und seiner Domain.
Die ersten beiden Teile der Active Directory werden mit jedem domain controller repliziert. Es gibt nur einen globalen
Katalog, in dem alle Informationen der Domains gespeichert werden. Die Grenze der vollen Domainreplikation stellt die Domain
selbst dar.

Replikation

Alle Domänencontroller (DC) besitzen eine beschreibbare Kopie der Active-Directory-Datenbank. Bei NT4-Domänen sind Ãnderungen nur auf dem primary domain controller (PDC) möglich.

Die Veränderung eines Attributes auf einem der DCs wird in regelmäßigen Intervallen an alle anderen DCs weitergegeben
(repliziert).

Dadurch sind alle DCs auf demselben Stand. Der Ausfall eines DCs ist für die Active Directory Datenbank unerheblich, da keine Informationen verloren gehen. Das Replikationsintervall kann je nach Ãnderungshäufigkeit auf 15 oder mehr Minuten eingestellt werden. Windows 2000 Server repliziert das AD standardmäßig nach spätestens 5 Minuten, Windows Server 2003 repliziert es standardmäßig nach spätestens 15 Sekunden. Da eine Replikation über höchstens 3 Hops geht, erhält man je nach verwendeter Serverversion 15 Minuten bzw. 45 Sekunden als Replikationsintervall für eine Domäne.