8.11.2001

ADS - Überblick

 

Arbeitsgruppe

Domäne

- muss nicht zwingend ein Server enthalten sein - muss mindestens 1 Domänencontroller enthalten sein
- sind durch den Gruppennamen verbunden - durch die Domäne hierarchisch verbunden
- muss für Freigaben ein lokales Konto auf dem Zielrechner besitzen (dezentrale Benutzerkontenverwaltung) - zentrale Ressourcenverwaltung (die AD-Datenbank wird vom DC verwaltet)
  - ermöglicht die logische u. physikalische Strukturierung von Ressourcen (im Gegensatz zur NT4-Domäne)

In einer Domäne werden eigentlich mindestens zwei Domänencontroller (DC) aufgestellt. Sie dienen zur Lastverteilung und zur Ausfallsicherheit.

NT4-Domäne W2k-Domäne
- PDC muss enthalten sein - DC muss enthalten sein
- der zweite DC ist ein BDC - der zweite Rechner kann auch ein DC sein
- nur auf dem PDC können Daten geändert werden, der BDC besitzt eine nur-lese-Kopie (Single-Master-Prinzip) - alle DC's gleichberechtigt (Multi-Master-Prinzip / komplexere Synchronisation)
  - Einige Aufgaben werden von nur einem DC ausgeführt (Betriebs-Master-Rolle / FSMO)
   

Das flexible Single-Master-Organisation-Prinzip (FSMO) beinhaltet folgende Dienste, die nur von einem DC ausgeführt werden können: Schemamaster, Domänennamenmaster, PDC-Emulator, RID-Master und Infrastrukturmaster. Die letzten drei Namen sind einmal pro Domäne vertreten, den Schema- und den Domänennamenmaster gibt es einmal pro Gesamtstruktur. Man kann einen Mitgliedsserver zum DC umwandeln und umgekehrt. Dazu ist das Programm DCPROMO zuständig. Bei NT4 konnte man zwischen einem BDC und einem PDC mit dem Servermanager hin- und herwechseln. Wollte man zwischen einem Mitgliedsserver und einem PDC oder BDC wechseln, musste man das System neu installieren.

Bei einem Update von WinNT auf W2k muss man als erstes den PDC updaten, danach kann man, muss man aber nicht, die BDC's updaten. Danach kommen die Mitglieder dran. Besitze ich nur noch NT4-BDC's, befinde ich mich im Mixed-Mode. Erst nach dem Update der BDC's kann ich in den einheitlichen Modus wechseln. Dieser ermöglicht mir die Features von W2k, aber ich kann definitiv nicht mehr in den Mixed-Mode zurückwechseln. In einer WinNT-Domäne wurde nur NetBIOS als Namensauflösung benutzt. Ab W2k kann man auch DNS benutzen.

Installation eines DC's einer Domäne:

Entweder ruft man unter Programme \ Verwaltung \ Konfiguration des Servers oder DCPROMO an der Kommandozeile. Die erste Frage, die auftaucht, will beantwortet haben, ob wir eine neue Domäne oder einen weiteren DC in einer Domäne erstellen wollen. Danach gilt es zu klären, ob man eine neue untergeordnete Domäne aufbauen, oder einfach ein weiterer DC zu einer bestehenden Domäne hinzufügen möchte. Als nächstes entscheidet man sich zwischen einer neuen Gesamtstruktur oder einer neuen Struktur in einer schon vorhandenen Gesamtstruktur. Wir wählen folgendes aus: 1. neue Domäne, 2. neue Struktur und 3. neue Gesamtstruktur. Wir müssen, wenn wir es noch nicht getan haben, jetzt DNS einrichten. Empfehlenswert ist es, wenn DNS vorher eingerichtet wurde. Zwecks Kompatibilität wird der DNS-Name bis zum ersten Punkt als NetBIOS-Name erkannt.

Der Name der AD-Datenbank lautet NTDS.DIT. Diese liegt zusammen mit den Transaktionsprotokolldateien normalerweise in winnt \ ntds, ist aber frei wählbar. Der Speicherort des SYSVOL-Verzeichnisses, welches NTFS5 erfordert und mit einer Freigabe eingerichtet ist, und alle öffentlichen Dateien der Domäne, die für die Anmeldung auf jedem DC notwendig sind, enthält, ist normalerweise im winnt-Verzeichnis. Das kann man aber auch frei wählen. In den öffentlichen Dateien sind auch Gruppenrichtlinien und Skripte gespeichert. Man kann auch noch eine Berechtigungskompatibilität einstellen für ältere Systeme: bei W2k ist das System sicherer, aber nicht abwärtskompatibel, bei NT 3.5 / 4 wird die Gruppe "Jeder" zur Gruppe "PreWin2000 kompatibler Zugriff" hinzugefügt; unsicherer, aber kompatibler für ältere Systeme in der Domäne.

Hier ein paar Gesetzmässigkeiten:

Eine Domäne ist ein Sicherheits- und Replikationsbereich. Ein Benutzer oder Domänenadministrator hat in einer anderen Domäne überhaupt keine Rechte. Weiterhin gleichen Domänencontroller ihre Daten aus. Zwischen Domänen hat man deswegen weniger Datenströme als innerhalb der Domäne.

Die Struktur verwendet einen kontinuierlichen Namensraum, welcher hierarchisch gegliedert ist.

Eine Gesamtstruktur verwendet nur ein gemeinsames Schema und einen globalen Katalog

Ein DC speichert alle AD-Objekte seiner Domäne mit allen Eigenschaften. Im Global Cataloge (GC) speichert alle AD-Objekte der Gesamtstruktur mit einigen Eigenschaften.

Vertrauensstellungen (VS): Das sind die Linien zwischen den Domänen. Sie sind die Vorraussetzungen für den Zugriff auf Ressourcen einer anderen Domäne. Zusätzlich sind natürlich noch Rechte erforderlich. Es gibt zwei Gruppen von Vertrauensstellungen:

gegenseitig gegenseitigen Ressourcenzugriff

transitiv

durchgreifend / durchreichend
implizit automatisch erstellt
einseitig Ressourcenzugriff nur in eine Richtung
nicht transitiv nicht durchreichend
explizit manuell erstellt
innerhalb einer W2k-Gesamtstruktur zwischen zwei W2k-Gesamtstrukturen
zwischen W2k- und NT4-Domänen

Standorte unter ADS

Die DC's in einem Standort verfügen normalerweise über permanente, zuverlässige und schnelle Verbindungen. Man definiert hauptsächlich Standorte, um die Replikation zu optimieren und den Verkehr über die langsame und teure Verbindung reduzieren. Normalerweise würden die DC's sich gegenseitig alle 5 Minuten abfragen, ob etwas an der Datenbank geändert wurde. Das Standortkonzept ist generell unabhängig vom Domänenkonzept. 

Verwaltungstools

AD-Domänen + Vertrauensstellungen
AD-Standorte + Dienste
AD-Benutzer + Computer

Wir betrachten hauptsächlich erstmal die logische Strukturierung innerhalb einer Domäne:

Unter Start \ Programme \ Verwaltung \ Active Directory Benutzer und Computer

Unter BuiltIn sind vordefinierte Gruppen, unter users ist der Standard für Benutzer und Gruppen eingetragen, unter Computers sind die Standard Domänenmitglieder und unter DC's sind ist der Standard für DC's.

Damit ist eine logische Strukturierung innerhalb einer Domäne möglich. Weiterhin ist die Konfiguration von Benutzer und Computerumgebung mit Hilfe von Computerrichtlinien möglich.

Wenn man unter Ansicht \ Erweiterte Funktionen ein Häkchen setzt, taucht ein Ordner namens LostandFound auf.

Jedes Object, welches in AD verwendet wird, besitzt eine ACL (Access Control List), d.h. es gibt also ein AD-Rechtesystem ähnlich wie bei NTFS. Der Zugriff erfolgt also genauso. Der Benutzer meldet sich mit seinem Token an, dieses wird mit der ACL verglichen und es werden ihm die jew. Rechte auf die Ressource genehmigt oder verweigert. Hier gibt es ebenfalls Vererbungsregeln und kumulative Rechtevergabe. Das Verweigern dominant ist, ist eine obligatorische Regel. Nun greifen auch die Empfehlungen vom NTFS, die wir mal behandelt haben. In AD ist auch eine Vergabe von Verwaltungsdelegationen mit dem dazugehörigen Assistent "Objektverwaltung zuweisen".

Wir bauen uns mal eine Struktur auf: Wir stellen eine Firma mit zwei Filialen (OrganisationUnits / OU's) in Hamburg und Berlin dar. In jeder Stadt existiert eine gültige Benutzerverwaltung. Über Standorte brauchen wir uns keine Gedanken zu machen. In jeder Stadt gibt es einen Administrator: AdminH und AdminB.

Richtet man die Personen ganz normal ein und meldet sich an, erscheint eine Fehlermeldung: Die lokale Richtlinie erlaubt es Ihnen nicht, sich lokal anzumelden. Der Grund: Nur "-oren" dürfen sich standardmässig an einem DC anmelden. Wir müssen sie also der jew. Gruppe hinzufügen, oder ihnen explizit erlauben, sich anzumelden. Aus den Verwaltungstools öffne wir die Sicherheitsrichtlinien für Domänencontroller. Dort dann die lokalen Richtlinien \ Zuweisen von Benutzerrechten \ lokal anmelden:

Und Benutzer hinzufügen:

Wahlweise muss man den Rechner neu starten oder secedit /refreshpolicy machine_policy eingeben. Dieser Benutzer hat, wie wir feststellen, keine AD-Rechte. Er kann nicht mal Benutzer erstellen.

Der AdminH und der AdminB sollen jetzt das Recht bekommen, Benutzer und Gruppen zu ändern, löschen und anzulegen. Aber nur in Ihrer eigenen Stadt. Dazu müssen wir uns als Admin anmelden und in den AD-Benutzer und Computer auf Berlin mit der rechten Maustaste eine Objektverwaltung zuweisen. Für Berlin wählen wir AdminB aus und dann die Aufgaben, die er zu erfüllen hat. So sieht es richtig ausgefüllt aus:

Bei speziellen Sachen hätten wir bis ins kleinste Detail gehen müssen... Fertigstellen und das wars. Jetzt können wir als AdminH bzw. AdminB auch diese Aufgaben übernehmen. Zum Testen melden wir uns als AdminH an und legen zwei Benutzer in Hamburg (HiWiH und UserH) und einen Benutzer namens HiWiB in Berlin an (das dürfte eigentlich nicht funktionieren)

Der Vorteil ist, dass die Verwaltung auf die Admins verteilt wird und gleichzeitig die Admins auf ihre Städte beschränkt sind. Das nennt man Delegation von Verwaltungsaufgaben.

Der HiWiH soll zusätzlich Benutzerkennwörter zurücksetzen können. Das kann der AdminH nicht einrichten. Wir müssen uns als Domänenadmin wieder einloggen und dem User HiWiH mit dem Assistent zum Zuweisen von Verwaltungsaufgaben die Rechte zuweisen.