Active Directory

Ad-Installation, AD-Begriffe + Konzepte

Die Installation setzt W2k-Server mit einer NTFS-Partition vorraus. Der Grund ist weniger die Datensicherheit, sondern eher das Sysvol-Verzeichnis. Als Platz sollte man dieselbe Groesse der HDD plus 250 MB waehlen. Eine weitere Vorraussetzung ist DNS, damit die Clients ihre Ressourcen darueber finden. Aus Gruenden der Abwaertskompatibilitaet wuerde auch NetBIOS reichen, aber unter W2k ist das natuerlich nicht empfehlenswert. Das Netzwerkprotokoll ist natuerlich TCP/IP, welches im Gegensatz zu DNS schon vorher vorhanden sein muss.

Logischerweise muss derjenige, der ADS installiert und einrichtet, die Rechte dazu haben. Der Administrator wird dies meist sein, welcher lokal eine neue Gesamtstruktur anlegt und damit Domaenen-admin wird. Ein Domaenen-admin darf einen weiteren DC in einer Domaene konfigurieren und der Organisationsadmin darf in einer Gesamtstruktur weitere Domaenen einrichten und konfigurieren. Der Rechner, auf dem ADS installiert wird, wird automatisch DC, deswegen kann man auch den Befehl dcpromo benutzen. Alternativ kann man den Assistenten "Server konfigurieren" benutzen. Eine weitere Methode ist das Upgrade eines NT4-PDC's (Der Assistent startet automatisch). 

Man kann Domaenen anderen Domaenen unterordnen, demnach heissen sie parent- bzw. child-domains. Der globale Katalog wird von einem entsprechenden Server gefuehrt, welches der erste (der Ranghoechste) Server normalerweise ist. Dieser kennt alle Objekte der Gesamtstruktur, allerdings kennt er nicht alle Attribute der Objekte gespeichert. Diese sind dafuer aber im DC der jeweiligen Domaene verankert, weshalb der DC weniger Objekte kennt, dafuer diese aber genauer. Die Domaenen werden mit Strichen verbunden, welche die Vertrauensstellungen darstellen.

Waehrend der Installation wird der DNS-Name und der NetBIOS-Name fuer aeltere Clients mit angegeben. Die AD-Datenbank besteht aus der Datenbank (NTDS.DIT) und Protokolldateien. Der Pfad ist winnt\ntds. Das Sysvol erfordert NTFS 5.0 Das Sysvol wird an alle DC's uebermittelt.

Das Ausfuehren der adminpak.msi, die sich im Windows-Verzeichnis befindet, hilft, die DC-Konsolen zur Remoteverwaltung an den aktuellen Rechner zu binden. Mit der Eingabe des Befehls installiert oder deinstalliert man die MMC-Konsolen.

Mit dem Schema, welches von dem Schema-Admini manuell (Snap-In Schema) oder durch Anwendungen wie Exchange veraendert oder erweitert werden kann, kann man Objektklassen, Attribute derer und Attributwerte vergeben. In diesem Schema wird festgelegt, welche Objektklassen und Attribute AD kennt.

Objektklasse Attribut Attributwert
Benutzer Anmeldename Ralf
  Kennwort Bar
Computer Name Tisch3-3

Will man Objekte in Active Directory finden, nimmt man den LDAP-Pfad, welcher Objektkennzeichnungen eindeutig spezifiziert: cn bedeutet Common Name und ist der Name des Objektes, ou ist die Organisation Unit und dc ist der Domain Component:

Bsp.:

cn=Administrator;cn=users;dc=Tischb;dc=corp

cn=Ralf;ou=domain controllers;dc=Tischd;dc=corp