Domänenstruktur

---

Das Active Directory ist ein Verzeichnis von Informationen interessanter Objekte in einem Netzwerk.

Beispiele solcher Objekte sind Benutzer, Laufwerke, Drucker, Anwendungen und Richtlinien. Das Active Directory ist aus dem X.500 Modell abgeleitet und verwendet Domain Name System (DNS) und Lightweight Directory Access Protocol (LDAP).

 

Darüber hinaus bietet das Active Directory weitere Funktionalitäten wie Adressverzeichnis für Mail-Clients, Routing für Mail-Server, Verwaltung von Sicherheitszertifikaten und Integration und Konfiguration von Netzwerkkomponenten.

 

Heute gibt es Netzwerk- und Applikationsdirectories. Active Directory hat das Ziel, ein Enterprise Directory zu werden. Die Gartner Group definiert ein Enterprise Directory über folgende Eigenschaften:

• Einziges, unternehmensweites Directory (Stichwort: „Single sign on“)
• Zugriffssicherheit:
• Der Zugriff auf Einträge muss über definierte Rechte abgesichert sein.
• Flexible Verwaltung von Einträgen:
• Administratoren, Entwicklungsabteilungen und dritte Softwarehersteller haben die Möglichkeit nach Bedarf neue Objekte zu generieren.
• Interoperabilität:
• Dokumentierte Standards ermöglichen den Zugriff auf Einträge im Verzeichnis.
• Skalierbarkeit
• Ausfallsicherheit.

 

 

 

 

Die logische Struktur des Active Directory stützt sich auf eine DNS-Baumstruktur, eine X.500-Baumstruktur, Objekte und Attribute.

 

Ein Objekt ist eine eindeutig definierte Ansammlung von Attributen, die eine Netzwerkressource repräsentieren. Objektattribute sind charakteristische Merkmale von Objekten, z.B. beinhalten Attribute eines Benutzer Konto-Objekts den Namen des Benutzers, den Vornamen des Benutzers und den Logon Namen. Die Werte (Values) der Attribute definieren spezifische Objekte.

 

Das Schema definiert die Klassen der Objekte und deren Attribute im Active Directory. Durch Modifikation des Schemas können neue Objektklassen erstellt oder bestehende verändert werden.

 

Der Global Catalog ist ein Repository an Informationen, in der einige wenige Attribute aller Objekte des Active Directory vorhanden sind, die für Abfragen im Active Directory benötigt werden. Diese können bei Bedarf ergänzt oder erweitert werden. Durch den Global Catalog Server ist es möglich alle Objekte im Active Directory zu lokalisieren.

 

Das Active Directory setzt sich aus Domänen zusammen. Eine Domäne ist eine logische Gruppe von Servern und anderen Netzwerkressourcen unter einem gemeinsamen Domänennamen und einer gemeinsamen Sicherheitsstruktur.

 

Zur logischen Strukturierung innerhalb einer Domäne werden Organisational Units (OUs) verwendet. Eine OU ist ein Container-Objekt, dass andere Container Objekte, Benutzer, Gruppen, Printer ...etc. enthalten kann. Durch Aufbau einer OU Hierarchie, lässt sich die organisatorische Struktur eines Unternehmens abbilden. Auf jedes OU Objekt lassen sich dezidierte, administrative Rechte vergeben, die auf darunter liegende Objekte vererbt werden können. Detailliertere Informationen über den Aufbau von OU Hierarchien befinden sich in Abschnitt 2.1.2.

 

Mehrere Domänen lassen sich zu einem Baum (Tree) verbinden. Dadurch ist der Aufbau einer hierarchischen Domänenstruktur möglich. Wenn eine Domäne zu einem bestehenden Baum hinzugefügt wird, so entsteht eine Tochter Domäne mit einer entsprechenden DNS Namensbezeichnung.

 

 

Mehrere Domänenbäume lassen sich zu einem sog. 'Wald' (Forest) zusammenfassen. Damit ist ein Active Directory ein hierarchisch gegliederter Domänennamensraum, der aus einem oder mehreren Domänenbäumen besteht.

 

Jedes Active Directory benötigt Domain Controller, die folgende fünf Aufgaben erfüllen.

• Schema Master
• Domain Naming Master
• Relativ Identifier (RID) Master
• Primary Domain Controller (PDC) Emulator
• Infrastructure Master

Der Schema Master kontrolliert alle Updates und Modifikationen am Schema. Es kann im gesamten Wald nur einen Schema Master geben.

 

ANMERKUNG: Ein DC, dessen Schema Masterfunktion übernommen wurde, darf nie wieder online geschaltet werden.

 

Der Domain Naming Master überprüft das Hinzufügen und Entfernen von Domänen innerhalb des Waldes. Auch den Domain Naming Master gibt es nur einmal innerhalb des gesamten Waldes.

 

Wenn Benutzer, Gruppen oder Computer Objekte erstellt werden, erhält jedes dieser Objekte einen eigenen Security Identifier (SID). Diese SID besteht aus einer Domain SID, die bei allen Objekten innerhalb einer Domäne gleich istund einer RID, die einzigartig für jede SID ist. Der RID Master ist zuständig für die Vergabe und Verwaltung der RIDs pro Domäne.

 

Innerhalb einer Domäne mit Downlevel Clients oder Windows NT BDCs ermöglicht der PDC Emulator die Synchronisation und Replikation von Updates zu den BDCs.

 

Im „einheitlichen Modus“ ist der PDC Emulator der bevorzugte Replikationspartner aller anderen Windows 2000 Domain Controller.

 

Fehler bei der Authentifizierung, die auf einem bestimmten Domänencontroller in einer Domäne auf Grund eines fehlerhaften Kennwortes auftreten, werden zum PDC Emulator weitergeleitet, bevor dem Benutzer eine Meldung zu einem Kennwortfehler angezeigt wird. Erst wenn auch der PDC Emulator der Benutzer nicht authentifizieren kann wird der Anmeldeversuch zurückgewiesen.

 

Die Kennwortsperrung wird auf dem PDC - Emulator verarbeitet.

 

Der Infrastructure Master ist für das Update der User – Gruppenbeziehung verantwortlich.

 

Das Active Directory verwendet DNS und LDAP als Zugriffsprotokolle. So wohl DNS als auch LDAP sind Internet-Standards und basieren auf IP.

 

Ein DNS-Namensraum dient der Namenauflösung in IP - Adressen. Im Internet wird DNS zur Namensauflösung verwendet. Daher ist das Internet ein weltweiter DNS - KBone. Eine Erweiterung des DNS ist „Dynamic DNS“. Active Directory ist auf die Nutzung von „Dynamic DNS“ ausgelegt.

 

LDAP ist ein verbreitetes Verzeichnis-Zugriffsprotokoll, das alle wichtigen Directory-Hersteller unterstützen. LDAP legt eine Namenskonvention für Directory-Objekte fest. Der Internet-Standard LDAP v. 3 umfasst keine Definition für die Verzeichnisreplikation. Active Directory unterstützt die Internet-Standards LDAP v. 2 und v. 3.

---