Einführung in Active Directory
Transcription
Einführung in Active Directory
3 K A P I T E L 1 Einführung in Active Directory Der Active Directory-Verzeichnisdienst stellt eine zentrale Struktur für die Verwaltung von Netzwerkressourcen bereit, in der Sie Benutzer und Ressourcen auf einfache Weise hinzufügen, entfernen und umstrukturieren können. Das vorliegende Kapitel liefert eine Einführung in die Konzepte von Active Directory sowie die im Verzeichnisdienst durchgeführten Verwaltungsaufgaben und begleitet Sie durch die nötigen Schritte zur Planung einer Active Directory-Infrastruktur. Hinweis In diesem Buch bezeichnen die Begriffe „Windows Server 2003“ und „Windows Server 2003-Familie“ vier Produkte: Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition und Microsoft Windows Server 2003, Web Edition. Die Web Edition von Windows Server 2003 unterstützt den Einsatz von Active Directory jedoch nur teilweise. Ein Computer mit Windows Server 2003, Web Edition, kann als Mitgliedsserver in einem Active Directory-basierten Netzwerk fungieren, jedoch nicht als Active Directory-Domänencontroller eingesetzt werden. Bedeutung dieses Kapitels Dieses Kapitel führt Sie in die Grundlagen von Active Directory ein. Bei der Bearbeitung der Lektionen dieses Kapitels sollten Sie berücksichtigen, dass auf die hier vorgestellten Konzepte in den folgenden Kapiteln, die der Implementierung und Verwaltung von Windows Server 2003 gewidmet sind, im Detail eingegangen wird. Lektionen in diesem Kapitel: ■ Lektion 1: Active Directory im Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 ■ Lektion 2: Grundlegendes zu den Active Directory-Konzepten sowie administrativen Aufgaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 ■ Lektion 3: Planen des Active Directory-Infrastrukturdesigns . . . . . . . . . . . . . . . . . . . . 40 Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 4 Teil I Selbststudium Bevor Sie beginnen Für die Bearbeitung des vorliegenden Kapitels müssen Sie die grundlegenden Verwaltungskonzepte von Microsoft Windows NT oder Microsoft Windows 2000 kennen. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 5 Lektion 1: Active Directory im Überblick Mit Active Directory können Sie eine Verzeichnisstruktur entwerfen, die genau auf die Anforderungen Ihrer Organisation zugeschnitten ist. Diese Lektion bietet eine Einführung in die Konzepte eines Verzeichnisdienstes, den Einsatz von Objekten in Active Directory sowie die Funktion der einzelnen Active Directory-Komponenten. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: ■ ■ ■ ■ ■ ■ Beschreiben der Funktionen eines Verzeichnisdienstes Erläutern des Zwecks von Active Directory Erläutern des Zwecks des Active Directory-Schemas Benennen der Komponenten von Active Directory Beschreiben der Funktion der Active Directory-Komponenten Erläutern des Zwecks des globalen Katalogs in Active Directory Veranschlagte Zeit für diese Lektion: 30 Minuten Grundlegendes zu Verzeichnisdiensten Ein Verzeichnis (Directory) ist eine gespeicherte Zusammenstellung von Informationen über Objekte, die zueinander in Beziehung stehen. In einem E-Mail-Adressbuch werden beispielsweise Namen von Benutzern oder Einrichtungen und die jeweils zugehörige E-Mail-Adresse gespeichert. Darüber hinaus können in einem solchen Adressbuch zusätzliche Informationen wie zum Beispiel die Postanschrift des Benutzers bzw. der Einrichtung gespeichert sein. In einem verteilten Computersystem oder einem öffentlichen Computernetzwerk wie z.B. dem Internet gibt es zahlreiche Objekte. Hierzu gehören Dateiserver, Drucker, Faxserver, Anwendungen, Datenbanken und Benutzer. Die Benutzer müssen in der Lage sein, diese Objekte aufzufinden und zu verwenden. Administratoren müssen in der Lage sein, die Verwendung dieser Objekte zu verwalten. Ein Verzeichnisdienst speichert alle Informationen, die zur Verwendung und Verwaltung dieser Objekte an einem zentralen Punkt erforderlich sind. Auf diese Weise wird das Auffinden und Verwalten der Ressourcen vereinfacht. Ein Verzeichnisdienst unterscheidet sich von einem Verzeichnis dahingehend, dass der Dienst sowohl die Quelle der Informationen ist als auch die Mittel bereitstellt, mit denen dem Benutzer die Informationen zugänglich gemacht werden. Ein Verzeichnisdienst fungiert als Schaltzentrale des Netzwerkbetriebssystems. Er ist die zentrale Stelle, mit der die Netzwerkeinheiten verwaltet und Beziehungen zwischen den verteilten Ressourcen gehandhabt werden, damit eine Zusammenarbeit möglich wird. Da ein Verzeichnisdienst diese fundamentalen Betriebssystemfunktionen erfüllt, muss er eng mit den Verwaltungs- und Sicherheitsmechanismen des Betriebssystems gekoppelt werden, sodass Integrität und Datenschutz des Netzwerks gewährleistet sind. Ferner spielt der Verzeichnisdienst bei der Definition und Erhaltung der Netzwerkinfrastruktur einer Organisation, bei der Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 6 Teil I Selbststudium Durchführung von Aufgaben zur Systemverwaltung sowie bei der Steuerung des Benutzerzugriffs auf das Informationssystem eines Unternehmens eine wichtige Rolle. Wozu dient ein Verzeichnisdienst? Ein Verzeichnisdienst stellt das Mittel zur Strukturierung und Vereinfachung des Zugriffs auf die Ressourcen in einem vernetzten Computersystem dar. Benutzer und Administratoren kennen möglicherweise nicht den exakten Namen eines benötigten Objekts. Sie können jedoch eventuell eines oder mehrere Attribute der fraglichen Objekte benennen. Wie in Abbildung 1.1 gezeigt, kann mithilfe eines Verzeichnisdienstes und einer Abfrage eine Liste von Objekten im Verzeichnis angezeigt werden, die diese Attribute aufweisen. Mit der Abfrage „Alle Farbdrucker auf der dritten Etage suchen“ wird das Verzeichnis beispielsweise nach allen Druckerobjekten durchsucht, die das Attribut „Farbe“ und „dritte Etage“ besitzen (etwa ein Standortattribut namens „dritte Etage“). Ein Verzeichnisdienst ermöglicht das Auffinden eines Objekts basierend auf einem oder mehreren seiner Attribute. Benutzer Server 1 ? Drucker 1 Server 2 Abbildung 1.1 Verzeichnisserver Name: Server 1 OS: Windows 2000 Typ: Dateiserver Standort: erste Etage Name: Server 2 OS: Novell NetWare 4.0 Typ: Dateiserver Standort: zweite Etage Drucker k Name: Drucker 1 Typ HP-4Si Farbe: Nein Duplex: Ja Standort: dritte Etage Einsatz eines Verzeichnisdienstes Ein Verzeichnisdienst ist sowohl ein Verwaltungs- als auch ein Endbenutzertool. Je größer ein Netzwerk wird, desto mehr Objekte müssen verwaltet werden. Dies macht einen Verzeichnisdienst unverzichtbar. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 7 Der Windows Server 2003-Verzeichnisdienst Active Directory ist der in die Windows 2003 Server-Produktfamilie integrierte Verzeichnisdienst. Die Active Directory-Dienste umfassen das Verzeichnis, in dem Informationen zu den Netzwerkressourcen sowie sämtliche Dienste gespeichert werden, mit denen die Informationen verfügbar und einsetzbar gemacht werden. Active Directory ist auch der in Windows 2000 integrierte Verzeichnisdienst. Features des Active Directory-Dienstes Die Active Directory-Version der Windows Server 2003-Familie stellt eine bedeutende Erweiterung gegenüber dem flachen Domänenmodell von Windows NT dar. Active Directory ist in die Windows Server 2003-Familie integriert und bietet folgende Features: ■ Zentraler Datenspeicher Sämtliche Active Directory-Daten werden in nur einem verteilten Datenspeicher abgelegt, wodurch der Benutzer auf einfache Weise von einem beliebigen Standort aus auf die Informationen zugreifen kann. Ein einzelner, verteilter Datenspeicher erfordert weniger Verwaltung und muss nicht dupliziert werden. Darüber hinaus werden Verfügbarkeit und Strukturierung der Daten verbessert. ■ Skalierbarkeit Active Directory ermöglicht aufgrund der Konfiguration von Domänen und Strukturen sowie der Platzierung von Domänencontrollern eine Skalierung des Verzeichnisses in Abstimmung mit den Geschäfts- und Netzwerkanforderungen. Active Directory kann pro Domäne mehrere Millionen Objekte verwalten und nutzt eine Indizierungstechnologie sowie hoch entwickelte Replikationstechniken zur Verbesserung der Leistung. ■ Erweiterungsfähigkeit Die Struktur der Active Directory-Datenbank (das Schema) kann erweitert werden, um angepasste Informationstypen zuzulassen. ■ Verwaltungsfähigkeit Im Gegensatz zum flachen Domänenmodell von Windows NT basiert Active Directory auf hierarchischen Organisationsstrukturen. Diese Organisationsstruktur vereinfacht die Steuerung der administrativen Privilegien sowie weiterer Sicherheitseinstellungen und erleichtert den Benutzern das Auffinden von Netzwerkressourcen wie Dateien und Druckern. ■ Integration in DNS (Domain Name System) Active Directory verwendet DNS, einen Internetstandarddienst, der leicht lesbare Hostnamen in numerische IP-Adressen (Internet Protocol) übersetzt. Wenngleich getrennt und zu unterschiedlichen Zwecken implementiert, weisen Active Directory und DNS die gleiche hierarchische Struktur auf. Active Directory-Clients verwenden DNS zum Auffinden von Domänencontrollern. Bei Einsatz des DNS-Dienstes von Windows Server 2003 können primäre DNS-Zonen in Active Directory gespeichert werden, wodurch eine Replikation auf andere Active DirectoryDomänencontroller möglich wird. ■ Verwaltung der Clientkonfiguration Active Directory bietet neue Technologien für das Verwalten von Aspekten der Clientkonfiguration, z.B. hinsichtlich Benutzermobilität und Festplattenausfällen, und dies mit geringstmöglichem Verwaltungsaufwand und minimaler Ausfallzeit. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 8 Teil I Selbststudium ■ Richtlinienbasierte Verwaltung In Active Directory werden Richtlinien zur Definition der erlaubten Aktionen und Einstellungen für Benutzer und Computer innerhalb eines Standorts, einer Domäne oder Organisationseinheit eingesetzt. Die richtlinienbasierte Verwaltung erleichtert Aufgaben wie die Aktualisierung von Betriebssystemen, die Anwendungsinstallation sowie das Sperren von Benutzerprofilen oder Desktopsystemen. ■ Replikation von Informationen Active Directory stellt die Multimaster-Replikationstechnologie bereit, die Informationsverfügbarkeit, Fehlertoleranz und Lastenausgleich sicherstellt und darüber hinaus weitere Leistungsvorteile bietet. Die Multimasterreplikation ermöglicht das Aktualisieren des Verzeichnisses von einem beliebigen Domänencontroller aus und repliziert Verzeichnisänderungen auf alle weiteren Domänencontroller. Da mehrere Domänencontroller eingesetzt werden, wird die Replikation selbst dann fortgesetzt, wenn einer der Domänencontroller ausfällt. ■ Flexible, sichere Authentifizierung und Autorisierung Die Authentifizierungs- und Autorisierungsdienste von Active Directory bieten Schutz für Ihre Daten und stellen eine geringstmögliche Einschränkung für über das Internet durchgeführte Geschäftsaufgaben sicher. Active Directory unterstützt verschiedene Authentifizierungsprotokolle, z.B. das Kerberos 5-Protokoll, SSL 3 (Secure Sockets Layer) sowie TLS (Transport Layer Security) unter Verwendung von X.509-Zertifikaten der Version 3. Zusätzlich stellt Active Directory domänenübergreifende Sicherheitsgruppen bereit. ■ Sicherheitsintegration Active Directory ist in die Windows Server 2003-Sicherheit integriert. Die Zugriffssteuerung kann für jedes Objekt im Verzeichnis und für jede Eigenschaft eines Objekts definiert werden. Sicherheitsrichtlinien können lokal, auf einen Standort, eine Domäne oder eine Organisationseinheit angewendet werden. ■ Verzeichnisfähige Anwendungen und Infrastruktur Die Features von Active Directory erleichtern die Konfiguration und Verwaltung von Anwendungen und anderen verzeichnisfähigen Netzwerkkomponenten. Zusätzlich bietet Active Directory mit ADSI (Active Directory Service Interfaces) eine leistungsstarke Entwicklungsumgebung. ■ Interoperabilität mit anderen Verzeichnisdiensten Active Directory basiert auf Standardprotokollen für den Verzeichniszugriff. Hierzu zählen Lightweight Directory Access Protocol (LDAP), Version 3, und Name Service Provider Interface (NSPI), wodurch eine Interoperabilität mit anderen Verzeichnisdiensten möglich ist, die diese Protokolle nutzen. Da das LDAP-Protokoll für den Verzeichnisdienstzugriff ein Protokoll nach Industriestandard ist, können mit ihm Programme entwickelt werden, welche die gemeinsame Nutzung von Active Directory-Informationen mit anderen LDAP-fähigen Verzeichnisdiensten ermöglichen. Active Directory unterstützt ferner das von Microsoft Exchange Server 4und 5.x-Clients verwendete NSPI-Protokoll, um Kompatibilität mit dem Exchange-Verzeichnis bereitzustellen. ■ Signierter und verschlüsselter LDAP-Datenverkehr Per Voreinstellung signieren und verschlüsseln die zum Lieferumfang von Windows Server 2003 gehörenden Active Directory-Tools sämtlichen LDAP-Datenverkehr. Durch das Signieren des LDAP-Datenverkehrs wird sichergestellt, dass die Datenpakete von einer bekannten Quelle stammen und nicht manipuliert wurden. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 9 Weitere Informationen Wenn Sie sich bereits mit den Features von Active Directory für Windows 2000 auskennen, finden Sie eine detaillierte Aufstellung der neuen Active Directory-Funktionen der Windows Server 2003-Familie in Anhang A, „Neue Active DirectoryFeatures in der Windows Server 2003-Familie“. Active Directory-Objekte Die in Active Directory gespeicherten Daten, z.B. Informationen über Benutzer, Drucker, Server, Datenbanken, Gruppen, Computer und Sicherheitsrichtlinien, werden in Form von Objekten organisiert. Ein Objekt ist ein individueller, benannter Attributsatz, der eine bestimmte Netzwerkressource repräsentiert. Als Objektattribute werden die Eigenschaften der Objekte im Active Directory-Verzeichnis bezeichnet. Die Attribute eines Benutzerkontos umfassen beispielsweise den Vor-, Nach- und Anmeldenamen des Benutzers, während die Attribute eines Computerobjekts den Computernamen und eine Beschreibung enthalten können (siehe Abbildung 1.2). Objekte Active Directory Attribute Comp1 Computername Beschreibung Comp2 Computer Comp3 Attribute Attributwert Users Jane Doe Vorname Nachname Anmeldename John Doe Benutzer Abbildung 1.2 Active Directory-Objekte und -Attribute Einige Objekte, die so genannten Container, können andere Objekte enthalten. Eine Domäne ist beispielsweise ein Containerobjekt, das Informationen zu Benutzer- und Computerkonten enthalten kann. In Abbildung 1.2 wird der Ordner User dargestellt, der als Container für Benutzerkontenobjekte dient. Active Directory-Schema Das Active Directory-Schema definiert Objekte, die in Active Directory gespeichert werden können. Das Schema ist eine Definitionsliste, die festlegt, welche Art von Objekten und welche Art von Informationen zu einem Active Directory-Objekt gespeichert werden können. Da die Schemadefinitionen selbst als Objekte gespeichert werden, können sie genau wie alle übrigen Active Directory-Objekte verwaltet werden. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 10 Teil I Selbststudium Das Schema wird durch zwei Objekttypen definiert: Schemaklassenobjekte (auch als Schemaklassen bezeichnet) und Schemaattributobjekte (auch Schemaattribute genannt). Wie in Abbildung 1.3 dargestellt, werden Klassen- und Attributobjekte in getrennten Listen innerhalb des Schemas definiert. Schemaklassenobjekte und Attributobjekte werden unter dem Begriff Schemaobjekte oder Metadaten zusammengefasst. Teilliste von Schemaklassenobjekten Teilliste von Schemaattributobjekten ComputerKlassenobjektdefinition Computer Gruppe Benutzer Abbildung 1.3 Beschreibung Allgemeiner Name (CN) X.500 OID Klassentyp Kategorie categoryIDAttributobjektdefinition Beschreibung Allgemeiner Name (CN) X.500 OID Syntaxbereichsgrenzen accountExpires accountNameHistory aCSAggregateTokenRatePerUser catalogs categories categoryID Schemaklassenobjekte und -attributobjekte Schemaklassenobjekte beschreiben die Objekte, die in Active Directory erstellt werden können. Eine Schemaklasse fungiert als Vorlage für die Erstellung neuer Active Directory-Objekte. Jede Schemaklasse ist eine Auflistung von Schemaattributobjekten. Wenn Sie eine Schemaklasse erstellen, speichern die Schemaattribute Informationen, die das Objekt beschreiben. Die Benutzerklasse z.B. setzt sich aus vielen Schemaattributen zusammen. Hierzu zählen etwa Netzwerkadresse, Basisverzeichnis usw. Jedes Objekt in Active Directory stellt eine Instanz einer Schemaobjektklasse dar. Schemaattributobjekte definieren die Klassenobjekte, mit denen sie verknüpft sind. Jedes Schemaattribut wird nur einmal definiert, kann jedoch in mehreren Klassen verwendet werden. Das Beschreibungsattribut beispielsweise kann in vielen Klassen eingesetzt werden, wird jedoch im Schema nur einmal definiert, um die Einheitlichkeit zu gewährleisten. Das Active Directory-Schema enthält einen Satz Basisklassen und -attribute. Erfahrene Entwickler und Netzwerkadministratoren können das Schema durch die Definition neuer Klassen und Attribute für vorhandene Klassen dynamisch erweitern. Wenn Sie z.B. Informationen zu Benutzern angeben müssen, die gegenwärtig nicht im Schema definiert sind, müssen Sie das Schema der Benutzerklasse erweitern. Das Erweitern des Schemas ist jedoch eine erweiterte Operation, die schwer wiegende Folgen haben kann. Ein Schema kann nur deaktiviert, jedoch nicht gelöscht werden, und wird automatisch repliziert. Aus diesem Grund sollten Sie eine Schemaerweiterung sorgfältig planen und vorbereiten. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 11 Active Directory-Komponenten Verschiedene Active Directory-Komponenten ermöglichen den Aufbau einer Verzeichnisstruktur, die genau auf Ihre Anforderungen zugeschnitten ist. Die folgenden Active Directory-Komponenten repräsentieren den logischen Aufbau einer Organisation: Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. Die folgenden Active Directory-Komponenten repräsentieren physische Strukturen in einer Organisation: Standorte (physische Subnetze) und Domänencontroller. Active Directory trennt hierbei die logische und die physische Struktur vollständig voneinander. Logischer Aufbau In Active Directory werden Ressourcen in einer Struktur, die das Organisationsmodell reflektiert, logisch angeordnet. Hierzu verwenden Sie Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. Durch das logische Gruppieren von Ressourcen können Sie eine Ressource problemlos anhand ihres Namens auffinden und müssen ihren physischen Standort nicht kennen. Aufgrund der logischen Strukturierung der Ressourcen macht Active Directory den physischen Aufbau des Netzwerks für die Benutzer transparent. Abbildung 1.4 veranschaulicht die Beziehung der Domänen, OUs, Strukturen und Gesamtstrukturen in Active Directory. Gesamtstruktur OU Domäne Domäne Domäne Domäne Domäne OU OU OU OU OU Struktur Abbildung 1.4 Die Beziehung der Domänen, OUs, Strukturen und Gesamtstrukturen in Active Directory Domänen In Active Directory stellt die Domäne den Kernpunkt der logischen Strukturierung dar. In einer Domäne können Millionen von Objekten gespeichert werden. Die in einer Domäne gespeicherten Objekte werden als für das Netzwerk relevant eingestuft. Es handelt sich um die Objekte, die von den Netzwerkbenutzern zur Ausführung ihrer täglichen Aufgaben benötigt werden: Drucker, Dokumente, E-Mail-Adressen, Datenbanken, Benutzer, verteilte Komponenten und weitere Ressourcen. Alle Netzwerkobjekte liegen in einer Domäne Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 12 Teil I Selbststudium vor, und jede Domäne speichert ausschließlich Informationen zu den in ihr enthaltenen Objekten. Active Directory umfasst mindestens eine Domäne. Eine Domäne kann mehrere physische Standorte umspannen. Domänen weisen die folgenden Merkmale auf: ■ Alle Netzwerkobjekte sind in einer Domäne enthalten, und jede Domäne speichert ausschließlich Informationen zu den in ihr enthaltenen Objekten. ■ Eine Domäne stellt eine Sicherheitsbarriere dar. Der Zugriff auf die Domänenobjekte wird über Zugriffssteuerungslisten (Access Control Lists, ACLs) gesteuert, welche die mit den Objekten verknüpften Berechtigungen enthalten. Diese Berechtigungen steuern, welche Benutzer Zugriff auf ein Objekt erhalten und in welchem Umfang dieser Zugriff erfolgen kann. In der Windows Server 2003-Familie gehören zu den Objekten u.a. Dateien, Ordner, Freigaben, Drucker und weitere Active Directory-Objekte. Sämtliche Sicherheitsrichtlinien und -einstellungen, beispielsweise Verwaltungsrechte und ACLs, gelten nicht domänenübergreifend. Sie besitzen als Domänenadministrator sämtliche Rechte zur Festlegung von Richtlinien, dies jedoch nur innerhalb der Ihnen unterstellten Domäne. Die Domänenfunktionsebene (in Windows 2000 als Domänenmodus bezeichnet) stellt ein Mittel zur Aktivierung domänenweiter Active Directory-Features innerhalb der Netzwerkumgebung dar. Es stehen vier Domänenfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standardeinstellung), Windows 2000 pur, Windows Server 2003 interim und Windows Server 2003. Die Domänenfunktionsebene Windows 2000 gemischt ermöglicht innerhalb einer Domäne die Interaktion zwischen einem Windows Server 2003-Domänencontroller und Domänencontrollern, auf denen Windows NT 4.0, Windows 2000 oder ein Produkt der Windows Server 2003-Familie ausgeführt wird. Die Domänenfunktionsebene Windows 2000 pur ermöglicht einem Windows Server 2003-Domänencontroller die Interaktion mit Domänencontrollern in der Domäne, auf denen Windows 2000 oder Windows Server 2003 ausgeführt wird. Bei Verwendung der Domänenfunktionsebene Windows Server 2003 interim ist ein Windows Server 2003-Domänencontroller in der Lage, mit Domänencontrollern der Domäne zu interagieren, auf denen Windows NT 4.0 oder Windows Server 2003 ausgeführt wird. Die Domänenfunktionsebene Windows Server 2003 schließlich ermöglicht einem Windows Server 2003-Domänencontroller ausschließlich die Interaktion mit Windows Server 2003-Domänencontrollern in der Domäne. Informationen zum Heraufstufen der Domänenfunktionsebene finden Sie in Kapitel 3, „Verwalten von Active Directory“. Als Administrator müssen Sie eine Domänenstruktur entwerfen, welche die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des Domänenentwurfs behandelt. Ausführliche Informationen zur Erstellung von Domänen finden Sie in Lektion 4, „Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen“. OUs Eine Organisationseinheit (OU) ist ein Container, mit dessen Hilfe Objekte innerhalb einer Domäne in logische administrative Gruppen gegliedert werden. Organisationseinheiten können zum Ausführen administrativer Aufgaben, beispielsweise zur Verwaltung von Benutzern und Ressourcen, verwendet werden, da sie die kleinste Einheit darstellen, an die administrative Aufgaben delegiert werden können. Eine Organisationseinheit kann Objekte wie Benutzerkonten, Gruppen, Computer, Drucker, Anwendungen, Dateifreigaben sowie weitere Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 13 Organisationseinheiten derselben Domäne enthalten. Die Hierarchie einer Organisationseinheit innerhalb einer Domäne ist unabhängig von der Hierarchiestruktur der Organisationseinheiten anderer Domänen, d.h. jede Domäne kann eine eigene OU-Hierarchie implementieren. Durch das Hinzufügen von OUs zu anderen OUs, die so genannte Verschachtelung, können Sie die administrative Steuerung hierarchisch gestalten. Als Administrator müssen Sie eine OU-Struktur entwerfen, welche die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des OU-Entwurfs behandelt. In Kapitel 6, „Implementieren einer OU-Struktur“ werden Informationen zur Implementierung einer OU-Struktur bereitgestellt. In Abbildung 1.5 spiegelt die Domäne microsoft.com die Organisation eines Transportunternehmens wider. Die Domäne umfasst drei OUs: US, Aufträge und Versand, wobei die Ordner Aufträge und Versand in der OU US geschachtelt sind. In den Sommermonaten erhöht sich die Zahl der auszuliefernden Bestellungen, weshalb die Geschäftsleitung einen Unteradministrator für die Auftragsabteilung angefordert hat. Der Unteradministrator benötigt nur Berechtigungen zum Erstellen von Benutzerkonten und zum Versorgen der Benutzer mit Zugriff auf die Dateien und freigegebenen Drucker der Auftragsabteilung. Statt eine neue Domäne zu erstellen, können Sie diesen Anforderungen gerecht werden, indem Sie dem Unteradministrator innerhalb der OU Aufträge geeignete Berechtigungen zuweisen. OU „Aufträge“ microsoft.com Admin Benutzer US Dateien AUFF US US TRÄGE G VERSAND Drucker uc Abbildung 1.5 Verwenden einer OU zur Handhabung administrativer Aufgaben Wenn der Unteradministrator später Benutzerkonten in den Organisationseinheiten US, Aufträge und Versand erstellen soll, können Sie ihm die Berechtigungen innerhalb der einzelnen Organisationseinheiten getrennt erteilen. Da die OUs Aufträge und Versand jedoch in der OU US verschachtelt sind, ist es effizienter, die Berechtigungen nur einmalig der OU US zu erteilen und die Berechtigungen per Vererbung an die OUs Aufträge und Versand weiterzugeben. Standardmäßig erben in Active Directory alle untergeordneten Objekte (Aufträge und Versand) die Berechtigungen der ihnen übergeordneten Objekte (US). Das Erteilen von Berechtigungen auf einer höheren Ebene bei Einsatz der Vererbung kann die Verwaltungsaufgaben reduzieren. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 14 Teil I Selbststudium Strukturen Eine Struktur ist eine Gruppierung oder hierarchische Anordnung einer oder mehrerer Windows Server 2003-Domänen, die durch Hinzufügen einer oder mehrerer untergeordneter Domänen zu einer vorhandenen übergeordneten Domäne erstellt werden. Domänen in einer Struktur nutzen gemeinsam einen zusammenhängenden Namespace und eine hierarchische Namensstruktur. Namespaces werden in der nächsten Lektion ausführlich behandelt. Gemäß den DNS-Standards handelt es sich bei dem Domänennamen einer untergeordneten Domäne um den relativen Namen dieser untergeordneten Domäne, an den der Name der übergeordneten Domäne angehängt wird. In Abbildung 1.6 stellt microsoft.com die übergeordnete Domäne dar, die Domänen us.microsoft.com und uk.microsoft.com sind ihr untergeordnete Domänen. Die untergeordnete Domäne von uk.microsoft.com lautet sls.uk.microsoft.com. Durch das Erstellen einer Domänenhierarchie in einer Struktur können Sie die Sicherheit erhalten und die Verwaltung innerhalb einer Organisationseinheit oder einer einzelnen Domäne einer Struktur ermöglichen. In dieser Struktur können Organisationsänderungen mühelos umgesetzt werden. microsoft.com uk.microsoft.com us.microsoft.com sls.uk.microsoft.com Abbildung 1.6 Eine Domänenstruktur Als Administrator müssen Sie die Strukturen so entwerfen, dass sie die Unternehmensstruktur widerspiegeln. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des Strukturentwurfs behandelt. Ausführliche Informationen zur Erstellung von Strukturen finden Sie in Lektion 4, „Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen“. Gesamtstrukturen Eine Gesamtstruktur ist eine Gruppierung oder hierarchische Anordnung einer oder mehrerer Strukturen, die in einer Domänenstruktur separat und vollständig unabhängig voneinander vorliegen. Gesamtstrukturen besitzen folgende Merkmale: ■ Alle Domänen einer Gesamtstruktur basieren auf einem gemeinsamen Schema. ■ Alle Domänen einer Gesamtstruktur nutzen einen gemeinsamen globalen Katalog. ■ Alle Domänen einer Gesamtstruktur sind durch bidirektionale, transitive Vertrauensstellungen miteinander verknüpft. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 15 ■ Die Strukturen einer Gesamtstruktur haben entsprechend ihren Domänen unterschiedliche Namensstrukturen. ■ Domänen in einer Gesamtstruktur agieren unabhängig, die Gesamtstruktur ermöglicht jedoch die Kommunikation innerhalb der gesamten Organisation. In Abbildung 1.7 bilden microsoft.com und msn.com eine Gesamtstruktur. Der Namespace ist hierbei nur innerhalb der jeweiligen Struktur zusammenhängend. microsoft.com uk.microsoft.com msn.com us.microsoft.com us.msn.com uk.msn.com sls.uk.microsoft.com Abbildung 1.7 sls.uk.msn.com Eine aus einzelnen Strukturen bestehende Gesamtstruktur Die Gesamtstrukturfunktionsebene bietet ein Mittel zur Aktivierung gesamtstrukturweiter Active Directory-Features innerhalb Ihrer Netzwerkumgebung. Es stehen drei Gesamtstrukturfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standardeinstellung), Windows 2000 pur, Windows Server 2003 interim und Windows Server 2003. Die Funktionsebene Windows 2000 gemischt ermöglicht innerhalb einer Domäne einem Windows Server 2003-Domänencontroller die Interaktion mit Domänencontrollern, auf denen Windows NT 4.0, Windows 2000 oder Windows Server 2003 ausgeführt wird. Die Funktionsebene Windows Server 2003 interim ermöglicht einem Windows Server 2003-Domänencontrollerdie Interaktion mit Domänencontroller der Domäne, die Windows NT 4.0 oder Windows Server 2003 ausführen. Die Domänenfunktionsebene Windows Server 2003 schließlich ermöglicht einem Windows Server 2003-Domänencontroller ausschließlich die Interaktion mit Windows Server 2003-Domänencontrollern in der Domäne. Sie können die Funktionsebene einer Gesamtstruktur nur dann heraufstufen, wenn Sie die geeignete Windows-Version ausführen. Informationen zum Heraufstufen der Gesamtstrukturfunktionsebene finden Sie in Kapitel 3, „Verwalten von Active Directory“. Als Administrator müssen Sie die Gesamtstruktur so entwerfen, dass sie die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des Gesamtstrukturentwurfs behandelt. Ausführliche Informationen zur Erstellung von Gesamtstrukturen finden Sie in Lektion 4, „Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen“. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 16 Teil I Selbststudium Physische Strukturen Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. Als Administrator entwickeln Sie anhand dieser Komponenten eine Verzeichnisstruktur, die genau auf die physische Struktur Ihrer Organisation zugeschnitten ist. Standorte Ein Standort ist ein Subnetz oder eine Kombination mehrerer IP-Subnetze (Internet Protocol), die über zuverlässige Hochgeschwindigkeitsverbindungen miteinander verbunden sind. Ein Standort weist üblicherweise die gleichen Grenzen wie ein lokales Netzwerk auf (Local Area Network, LAN). Wenn Sie in Ihrem Netzwerk Subnetze gruppieren, sollten Sie nur die Subnetze miteinander kombinieren, die schnelle, kostengünstige und zuverlässige Netzwerkverbindungen besitzen. Eine Netzwerkverbindung wird als schnell eingestuft, wenn sie mindestens 512 Kilobits pro Sekunde (KBit/s) übertragen kann. Eine verfügbare Bandbreite (die durchschnittliche Bandbreite, die bei normal hohem Datenaufkommen in einem Netzwerk zur Verfügung steht) von 128 KBit/s und höher ist ausreichend für einen Standort. Standort A Eine einzige Domäne mit einem einzigen Standort Standort A Eine einzige Domäne mit mehreren Standorten Standort B Mehrere Domänen mit einem einzigen Standort Standort A Abbildung 1.8 Die Beziehung zwischen Standorten und Domänenstrukturen Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 17 In Active Directory sind Standorte nicht Teil des Namespace. Wenn Sie den logischen Namespace durchsuchen, werden Computer und Benutzer in einer Struktur von Domänen und OUs angezeigt, nicht jedoch in einer Gliederung nach Standorten. Die Standorte enthalten lediglich Computer- und Verbindungsobjekte, die zur Konfiguration der Replikation zwischen den Standorten verwendet werden. Wie in Abbildung 1.8 dargestellt, kann eine einzelne Domäne mehrere geografische Standorte umspannen, und ein einzelner Standort kann Benutzerkonten und Computer enthalten, die mehreren Domänen angehören. Als Administrator müssen Sie die Standortstruktur so entwerfen, dass sie die Unternehmensstruktur widerspiegelt. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen des Standortentwurfs behandelt. Informationen zur Konfiguration von Standorten finden Sie in Kapitel 5, „Konfigurieren von Standorten und Verwalten der Replikation“. Domänencontroller Ein Domänencontroller ist ein Computer, auf dem Windows Server 2003 ausgeführt wird und auf dem ein Replikat des Domänenverzeichnisses (der lokalen Domänendatenbank) gespeichert ist. Da eine Domäne einen oder mehrere Domänencontroller aufweisen kann, besitzen alle Domänencontroller innerhalb einer Domäne ein vollständiges Replikat des Domänenabschnitts des Verzeichnisses. Ein Domänencontroller kann nur eine Domäne bedienen. Ein Domänencontroller authentifiziert außerdem Anmeldeversuche und verwaltet die Sicherheitsrichtlinie für eine Domäne. In der nachstehenden Liste werden #die Funktionen eines Domänencontrollers aufgeführt: ■ Auf jedem Domänencontroller wird eine vollständige Kopie der Active Directory-Informationen für die jeweilige Domäne gespeichert. Außerdem werden hier die Änderungen an diesen Informationen verwaltet und auf die weiteren Domänencontroller in der Domäne repliziert. ■ Die Domänencontroller innerhalb einer Domäne replizieren gegenseitig und füreinander Verzeichnisinformationen für alle Objekte in der Domäne. Wenn Sie eine Operation ausführen, durch die eine Aktualisierung von Active Directory nötig wird, werden die Änderungen tatsächlich auf einem der Domänencontroller vorgenommen. Dieser Domänencontroller repliziert diese Änderungen auf alle weiteren Domänencontroller innerhalb der Domäne. Sie können den bei der Replikation verursachten Datenverkehr zwischen den Domänencontrollern steuern, indem Sie die Häufigkeit der Replikation sowie die Datenmenge festlegen, die in einem Arbeitsschritt repliziert wird. ■ Domänencontroller nehmen eine sofortige Replikation bestimmter wichtiger Aktualisierungen vor, beispielsweise die Deaktivierung eines Benutzerkontos. ■ Active Directory verwendet die so genannte Multimasterreplikation, bei der keiner der Domänencontroller als Masterdomänencontroller fungiert. Stattdessen sind alle Domänencontroller innerhalb einer Domäne gleichberechtigt, und jeder Domänencontroller besitzt eine Kopie der Verzeichnisdatenbank, in die Daten geschrieben werden können. Die Domänencontroller speichern unter Umständen für kurze Zeiträume unterschiedliche Informationen, jedoch nur solange, bis alle Domänencontroller die Active DirectoryÄnderungen synchronisiert haben. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 18 Teil I Selbststudium ■ Wenngleich Active Directory die Multimasterreplikation unterstützt, können einige Änderungen nicht im Multimastermodus durchgeführt werden. Mindestens ein Domänencontroller kann zur Durchführung von Replikationsoperationen im Einzelmastermodus eingesetzt werden (Operationen, die nicht gleichzeitig an unterschiedlichen Stellen im Netzwerk durchgeführt werden dürfen). Betriebsmasterfunktionen sind spezielle Rollen, die einem (oder mehreren) Domänencontroller in einer Domäne zugewiesen werden, damit dieser Replikationsoperationen im Einzelmastermodus ausführt. ■ Domänencontroller erkennen Konflikte, die auftreten können, wenn ein Attribut auf einem Domänencontroller geändert wird, bevor eine Änderung desselben Attributs auf einem anderen Domänencontroller vollständig übertragen wurde. Konflikte werden durch einen Vergleich der Versionsnummer aller Eigenschaftenattribute ermittelt, einer attributspezifischen Nummer, die bei Erstellung des Attributs zugewiesen wird. Active Directory löst derartige Konflikte auf, indem das geänderte Attribut mit der höheren Versionsnummer repliziert wird. ■ Durch das Bereitstellen von mehr als einem Domänencontroller in einer Domäne sorgen Sie für Fehlertoleranz. Befindet sich ein Domänencontroller im Offlinemodus, können sämtliche Funktionen in dieser Zeit durch einen anderen Domänencontroller erfüllt werden, beispielsweise das Aufzeichnen von Active Directory-Änderungen. ■ Domänencontroller verwalten alle Aspekte der Interaktion zwischen Benutzern und Domäne, z.B. das Suchen nach Active Directory-Objekten und das Validieren von Benutzeranmeldungen. Als Administrator müssen Sie Domänencontroller in Standorten platzieren, um die physische Struktur Ihrer Organisation abzubilden und Replikation und Authentifizierung zu optimieren. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen der Platzierung von Domänencontrollern behandelt. Informationen zur Erstellung von Domänencontrollern finden Sie in Kapitel 2, „Installieren und Konfigurieren von Active Directory“. Katalogdienste – der globale Katalog Active Directory erlaubt Benutzern und Administratoren das Auffinden von Objekten, wie z.B. Dateien, Druckern oder Benutzern innerhalb einer Domäne. Das Ermitteln von Objekten, die sich innerhalb des Unternehmens, aber außerhalb der Domäne befinden, erfordert allerdings einen Mechanismus, der es der Domäne erlaubt, als eine Entität zu fungieren. Ein Katalogdienst enthält ausgewählte Informationen zu jedem Objekt in allen Domänen innerhalb des Verzeichnisses, was für die Durchführung von Suchläufen innerhalb eines Unternehmens von Nutzen ist. Der globale Katalog ist der von Active Directory bereitgestellte Katalogdienst. Der globale Katalog ist der zentrale Speicher für Informationen zu Objekten in einer Struktur oder Gesamtstruktur. Standardmäßig wird ein globaler Katalog automatisch auf dem ersten Domänencontroller in der ersten Domäne der Gesamtstruktur erstellt. Ein Domänencontroller, der eine Kopie des globalen Katalogs speichert, wird als globaler Katalogserver bezeichnet. Sie können einen beliebigen Domänencontroller in der Gesamtstruktur als globalen Katalogserver einsetzen. Active Directory verwendet die Multimasterreplikation zur Replikation der globalen Kataloginformationen zwischen globalen Katalogservern in anderen Domä- Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 19 nen. Der globale Katalogserver speichert für seine Hostdomäne ein vollständiges Replikat aller Objektattribute im Verzeichnis und ein Teilreplikat aller Objektattribute, die im Verzeichnis jeder Domäne der Gesamtstruktur enthalten sind. Das Teilreplikat speichert Attribute, die in Suchoperationen häufig eingesetzt werden (beispielsweise Vor- und Nachname eines Benutzers, Anmeldename usw.). Attribute werden im globalen Katalog für die Replikation gekennzeichnet (oder die Kennzeichnung wird entfernt), wenn sie im Active DirectorySchema definiert werden. In den globalen Katalog replizierte Objektattribute erben dieselben Berechtigungen wie in Quelldomänen, wodurch die Sicherheit der Daten im globalen Katalog gewährleistet wird. Globale Katalogfunktionen Der globale Katalog erfüllt die folgenden zwei Hauptfunktionen: ■ Er ermöglicht einem Benutzer die Anmeldung an einem Netzwerk, indem er bei Einleitung des Anmeldeprozesses Informationen über universelle Gruppenmitgliedschaften an einen Domänencontroller weitergibt. ■ Er ermöglicht das Auffinden von Informationen im Verzeichnis, unabhängig davon, welche Domäne in der Gesamtstruktur die Daten tatsächlich enthält. Wenn sich ein Benutzer am Netzwerk anmeldet, stellt der globale Katalog dem Domänencontroller, der die Anmeldeinformationen verarbeitet, Informationen zu Mitgliedschaften in universellen Gruppen zum jeweiligen Konto zur Verfügung. Befindet sich nur ein Domänencontroller in der Domäne, fungiert der Domänencontroller auch als globaler Katalogserver. Befinden sich mehrere Domänencontroller im Netzwerk, wird einer der Domänencontroller als globaler Katalogserver konfiguriert. Ist kein globaler Katalog verfügbar, wenn ein Benutzer den Netzwerkanmeldeprozess einleitet, kann sich der Benutzer nur lokal am Computer anmelden. Dies gilt nicht, wenn der Standort so konfiguriert wurde, dass Lookups zu universellen Gruppenmitgliedschaften bei Anmeldeversuchen zwischengespeichert werden. Tipp Wenn ein Benutzer Mitglied der Gruppe Domänen-Admins ist, kann er sich auch dann am Netzwerk anmelden, wenn der globale Katalog nicht verfügbar ist. Der globale Katalog ist so konzipiert, dass auf Benutzer- und Programmanforderungen zu Objekten an beliebigen Standorten in der Domänenstruktur oder Gesamtstruktur mit maximaler Geschwindigkeit und minimalem Netzwerkverkehr reagiert werden kann. Da ein globaler Katalog Informationen zu allen Objekten aller Domänen der Gesamtstruktur enthält, kann eine Abfrage eines nicht in der lokalen Domäne vorliegenden Objekts durch einen globalen Katalog in der Domäne verarbeitet werden, in der die Abfrage ausgelöst wurde. Daher führt die Suche nach Informationen im Verzeichnis nicht zu unnötigem Datenverkehr über Domänengrenzen hinaus. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 20 Teil I Selbststudium Der Abfrageprozess Eine Abfrage ist eine spezifische Anforderung eines Benutzers im globalen Katalog, mit deren Hilfe Active Directory-Daten abgerufen, geändert oder gelöscht werden. Die nachfolgend aufgelisteten und in Abbildung 1.9 veranschaulichten Schritte beschreiben den Abfrageprozess: 1. Der Client fragt den DNS-Server ab, um den globalen Katalogserver zu ermitteln. 2. Der DNS-Server sucht nach dem Standort des globalen Katalogservers und gibt die IPAdresse des Domänencontrollers zurück, der als globaler Katalogserver fungiert. 3. Der Client fordert die IP-Adresse des Domänencontrollers an, der als globaler Katalogserver fungiert. Die Anforderung wird an Port 3268 auf dem Domänencontroller gesendet; Active Directory-Standardabfragen werden an Port 389 gesendet. 4. Der globale Katalogserver verarbeitet die Abfrage. Wenn der globale Katalog das Attribut des gesuchten Objekts enthält, sendet der globale Katalogserver eine Antwort an den Client. Ist das Attribut des gesuchten Objekts nicht im globalen Katalog enthalten, wird die Abfrage an Active Directory weitergeleitet. Sie können beliebige Domänencontroller oder dedizierte zusätzliche Domänencontroller als globale Katalogserver konfigurieren. Berücksichtigen Sie bei der Auswahl der Domänencontroller, die als globale Katalogserver fungieren sollen, die Kapazität Ihres Netzwerks im Hinblick auf die Verarbeitung des Replikations- und Abfrageverkehrs. Domäne A Domäne B Client DC3 DC1 1 4 2 DC2 3 DC3 Globaler Katalogserver Globaler Katalogserver DC2 Multimasterreplikation Globaler Katalog DC1 Globaler Katalog Abbildung 1.9 Der Abfrageprozess Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 21 Als Administrator müssen Sie globale Katalogserver in Standorten platzieren, um schnelle Antwort auf Benutzeranforderungen zu gewährleisten und Redundanz bereitzustellen. In Lektion 3, „Planen des Active Directory-Infrastrukturdesigns“, werden die Grundlagen der Platzierung von globalen Katalogservern behandelt. Informationen zur Konfiguration von globalen Katalogservern finden Sie in Kapitel 5, „Konfigurieren von Standorten und Verwalten der Replikation“. Lernzielkontrolle Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Können Sie eine Frage nicht beantworten, bearbeiten Sie das entsprechende Lektionsmaterial noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten zu den Lernzielkontrollfragen finden Sie im Abschnitt „Fragen und Antworten“ am Ende dieses Kapitels. 1. Inwiefern unterscheiden sich Verzeichnisdienst und Verzeichnis? 2. Inwieweit ist Active Directory skalierbar? 3. Was ist die Multimasterreplikation? 4. Benennen Sie die Active Directory-Komponenten, die zur Darstellung des logischen Aufbaus einer Organisation herangezogen werden. 5. Benennen Sie die physischen Komponenten von Active Directory. 6. Welche Funktion erfüllt der globale Katalog? Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 22 Teil I Selbststudium Zusammenfassung der Lektion ■ Ein Verzeichnisdienst speichert alle Informationen, die zur Verwendung und Verwaltung der Systemobjekte an einem zentralen Punkt erforderlich sind. Auf diese Weise wird das Auffinden und Verwalten der Ressourcen vereinfacht. ■ Die in Active Directory gespeicherten Daten werden in Form von Objekten organisiert, die wiederum Attribute aufweisen. Das Active Directory-Schema definiert Objekte, die in Active Directory gespeichert werden können. Schemaklassen und -attribute definieren das Active Directory-Schema. ■ Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. ■ Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. ■ Der globale Katalog ist der zentrale Speicherort für Informationen zu Objekten in einer Struktur oder Gesamtstruktur. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 23 Lektion 2: Grundlegendes zu den Active Directory-Konzepten sowie administrativen Aufgaben Die Windows Server 2003-Familie und Active Directory haben nicht nur verschiedene neue Konzepte zu bieten, sondern weisen gegenüber Windows NT auch einige Änderungen an bisher verwendeten Konzepten auf. Diese Konzepte betreffen Replikation, Vertrauensstellungen, Änderungs- und Konfigurationsverwaltung, Gruppenrichtlinien, DNS sowie die Objektbenennung. Es ist wichtig, die Bedeutung dieser Konzepte und deren Anwendung auf Active Directory zu verstehen. Zusätzlich sollten Sie sich mit den Active Directory-Verwaltungsaufgaben vertraut machen, die in den verschiedenen Kapiteln dieses Trainings behandelt werden. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: ■ ■ ■ ■ ■ ■ ■ Erklären der Active Directory-Replikation Erläutern der sicherheitstechnischen Beziehungen zwischen Domänen in einer Struktur (Vertrauensstellungen) Benennen der Komponenten für die Änderungs- und Konfigurationsverwaltung Erläutern des Zwecks und der Funktion von Gruppenrichtlinien Beschreiben des von Active Directory verwendeten DNS-Namespace Beschreiben der Objektbenennung in Active Directory Beschreiben der Active Directory-Verwaltungsaufgaben Veranschlagte Zeit für diese Lektion: 20 Minuten Replikation Benutzer und Dienste sollten in der Lage sein, jederzeit und von einem beliebigen Computer in der Domänenstruktur oder Gesamtstruktur aus auf die Informationen im Verzeichnis zuzugreifen. Durch die Replikation wird sichergestellt, dass Änderungen an einem Domänencontroller auch auf allen weiteren Domänencontrollern in der Domäne vorgenommen werden. Die Verzeichnisinformationen werden sowohl auf den Domänencontroller innerhalb eines Standortes als auch auf den Domänencontrollern anderer Standorte repliziert. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 24 Teil I Selbststudium Welche Informationen werden repliziert? Die im Verzeichnis (der Datei Ntds.dit) gespeicherten Informationen werden in vier Kategorien unterteilt. Jede dieser Informationskategorien wird Verzeichnispartition genannt. Eine Verzeichnispartition wird auch als Namenskontext bezeichnet. Die Verzeichnispartitionen stellen die Einheiten der Replikation dar. Das Verzeichnis enthält die folgenden Partitionen: ■ Schemapartition Diese Partition definiert die im Verzeichnis erstellbaren Objekte sowie die Attribute, die diese Objekte aufweisen können. Diese Daten sind allen Domänen in einer Gesamtstruktur gemein und werden auf alle Domänencontroller in einer Gesamtstruktur repliziert. ■ Konfigurationspartition Diese Partition beschreibt den logischen Aufbau der Bereitstellung, einschließlich Domänenstruktur oder Replikationstopologie. Diese Daten sind allen Domänen in einer Gesamtstruktur gemein und werden auf alle Domänencontroller in einer Gesamtstruktur repliziert. ■ Domänenpartition Diese Verzeichnispartition beschreibt alle Objekte in einer Domäne. Diese Daten sind domänenspezifisch und werden nicht auf andere Domänen repliziert. Die Daten werden jedoch auf alle Domänencontroller in dieser Domäne repliziert. ■ Anwendungsverzeichnispartition Diese Partition speichert dynamische, anwendungsspezifische Daten in Active Directory, ohne sich nennenswert auf die Netzwerkleistung auszuwirken, da Umfang der Replikation und Platzierung der Replikate durch Sie gesteuert werden können. Die Anwendungsverzeichnispartition kann beliebige Arten von Objekten enthalten. Ausgenommen hiervon sind Sicherheitsprinzipale (Benutzer, Gruppen und Computer). Daten können explizit an durch den Administrator spezifizierte Domänencontroller in einer Gesamtstruktur umgeleitet werden, um unnötigen Replikationsdatenverkehr zu vermeiden. Alternativ können alle Daten auf alle Domänencontroller repliziert werden, ähnlich wie bei der Replikation von Schema, Konfiguration und Domänenpartitionen. Ein Domänencontroller speichert und repliziert die folgenden Daten: ■ Die Schemapartitionsdaten einer Gesamtstruktur. ■ Die Konfigurationspartitionsdaten aller Domänen in einer Gesamtstruktur. ■ Die Domänenpartitionsdaten (alle Verzeichnisobjekte und -eigenschaften) für die zugehörige Domäne. Diese Daten werden auf alle zusätzlichen Domänencontrollern der Domäne repliziert. Zum Auffinden von Informationen wird ein Teilreplikat mit häufig verwendeten Attributen aller Objekte in der Domäne in den globalen Katalog repliziert. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 25 Ein globaler Katalog speichert und repliziert die folgenden Daten: ■ Die Schemapartitionsdaten einer Gesamtstruktur. ■ Die Konfigurationspartitionsdaten aller Domänen in einer Gesamtstruktur. ■ Ein Teilreplikat mit häufig verwendeten Attributen für alle Verzeichnisobjekte in der Gesamtstruktur (wird nur zwischen den globalen Katalogservern repliziert). ■ Ein vollständiges Replikat mit allen Attributen für alle Verzeichnisobjekte in der Domäne, in der sich der globale Katalog befindet. Vorsicht Erweiterungen des Schemas in einem globalen Katalog sollten mit besonderer Umsicht vorgenommen werden. Schemaerweiterungen können fatale Folgen auf große Netzwerke haben, da die Erweiterungen nicht gelöscht (nur deaktiviert) werden können und die Synchronisierung der Erweiterungen innerhalb der Gesamtstruktur zu einem erheblichen Anstieg des Netzwerkdatenverkehrs führt. Wie werden Informationen repliziert? Active Directory repliziert Informationen auf zwei Arten: standortintern und standortübergreifend. Die Notwendigkeit aktuellster Verzeichnisinformationen muss gegen die Beschränkungen durch verfügbare Netzwerkbandbreite abgewogen werden. Standortinterne Replikation Innerhalb eines Standorts sorgt ein Windows Server 2003Dienst mit dem Namen Konsistenzprüfung (KCC) für die automatische Erzeugung einer Replikationstopologie zwischen den Domänencontrollern einer Domäne. Die erzeugte Topologie entspricht einer Ringstruktur. Der Konsistenzprüfungsdienst ist ein integrierter Prozess, der auf allen Domänencontrollern ausgeführt wird. Die Topologie definiert den Pfad der Verzeichnisaktualisierungen so, dass diese von einem Domänencontroller zum nächsten geleitet werden, bis alle Domänencontroller innerhalb des Standorts die Verzeichnisaktualisierungen empfangen haben. Der Konsistenzprüfungsdienst bestimmt, welche Server am besten für die Replikation untereinander geeignet sind und legt bestimmte Domänencontroller als Replikationspartner fest. Bei dieser Festlegung werden Konnektivität, Verlauf der erfolgreichen Replikationen sowie Übereinstimmungen hinsichtlich vollständiger und teilweiser Replikate zugrunde gelegt. Domänencontroller können mehr als einen Replikationspartner besitzen. Der Konsistenzprüfungsdienst erstellt in diesem Fall Verbindungsobjekte, welche die Replikationsverbindungen zwischen den Replikationspartnern repräsentieren. Durch die Ringstruktur wird sichergestellt, dass mindestens zwei Replikationspfade von einem Domänencontroller zu einem anderen verfügbar sind. Wenn einer der Domänencontroller vorübergehend nicht verfügbar ist, kann die Replikation dennoch für alle verbleibenden Domänencontroller vorgenommen werden, was in Abbildung 1.10 veranschaulicht wird. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 26 Teil I Selbststudium Verknüpfungen der Replikationstopologie DC1 DC4 DC2 Fehler auf Domänencontroller 3 Replikationsring ist unterbrochen Replikationsring ist unterbrochen DC3 Abbildung 1.10 Standortinterne Replikationstopologie Der Konsistenzprüfungsdienst analysiert die standortinterne Replikationstopologie alle 15 Minuten, um ihre Funktionstüchtigkeit sicherzustellen. Wenn Sie einem Netzwerk oder Standort einen Domänencontroller hinzufügen bzw. einen Domänencontroller entfernen, wird die Replikationstopologie über den Konsistenzprüfungsdienst (KCC) entsprechend rekonfiguriert. DC2 DC1 DC3 DC4 DC8 DC7 DC5 DC6 Abbildung 1.11 Aufgrund der durch den Konsistenzprüfungsdienst (KCC) zusätzlich hinzugefügten Verbindungsobjekte müssen zwischen den Domänencontrollern maximal drei Replikations-Hops zurückgelegt werden Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 27 Werden einem Standort mehr als sieben Domänencontroller hinzugefügt, erstellt der Konsistenzprüfungsdienst zusätzliche Verbindungsobjekte innerhalb der Ringstruktur. So ist sichergestellt, dass bei einer Änderung auf einem beliebigen Domänencontroller Replikationspartner verfügbar sind, die nicht weiter als drei Hops von einem anderen Domänencontroller entfernt sind (siehe Abbildung 1.11). Diese der Optimierung dienenden Verbindungen werden willkürlich erstellt und liegen nicht notwendigerweise auf jedem Domänencontroller vor. Standortübergreifende Replikation Zur Sicherstellung der standortübergreifenden Replikation müssen Sie die Standorte durch Erstellung von Standortverknüpfungen manuell verbinden. Standortverknüpfungen repräsentieren Netzwerkverbindungen und ermöglichen die Replikation. Ein einziger Konsistenzprüfungsdienst pro Standort erstellt alle Verbindungen zwischen Standorten. Active Directory verwendet die Netzwerkverbindungsinformationen zur Erzeugung von Verbindungsobjekten, die eine effiziente Replikation und Fehlertoleranz ermöglichen (siehe Abbildung 1.12). Sie geben hierbei Informationen zum verwendeten Replikationstransport, zu den Kosten einer Standortverbindung, zu den Zeiten sowie der Häufigkeit der Verbindungsnutzung an. Active Directory greift auf diese Informationen zurück, um zu bestimmen, welche Standortverknüpfung zum Replizieren von Informationen verwendet werden soll. Sie können die Replikation effektiver gestalten, indem Sie die Replikationspläne so anpassen, dass die Replikation zu Zeiten mit niedrigem Datenverkehr erfolgt. Als Administrator müssen Sie Standorte und Replikation konfigurieren, um sicherzustellen, dass den Benutzern die neusten Informationen zur Verfügung stehen. Die Konfiguration von Replikation und Standortverknüpfungen wird in Kapitel 5, „Konfigurieren von Standorten und Verwalten der Replikation“, ausführlich behandelt. Standort A Standortverknüpfung AB Standortverknüpfung CA Standort B Standort C Standortverknüpfung BC DC1 Abbildung 1.12 DC2 Standortübergreifende Replikationstopologie Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 28 Teil I Selbststudium Vertrauensstellungen Eine Vertrauensstellung ist eine Verknüpfung zwischen zwei Domänen, bei der die vertrauende Domäne bei Anmeldungen die Echtheitsbestätigung der vertrauten Domäne übernimmt (siehe Abbildung 1.13). Benutzer und Anwendungen werden in Windows Server 2003 unter Verwendung von einem von zwei Protokollen authentifiziert: Kerberos, Version 5 oder NTLM (NT LAN Manager). Kerberos 5 ist das Standardprotokoll für Computer, auf denen Windows Server 2003 ausgeführt wird. Bietet einer der an der Transaktion beteiligten Computer keine Unterstützung für Kerberos 5, kommt das NTLM-Protokoll zum Einsatz. Eine Vertrauensstellung ist auch mit einem beliebigen MIT Kerberos 5-Bereich möglich. An einer Vertrauensstellung sind zwei Domänen beteiligt, die vertrauende und die vertrauenswürdige Domäne. Zugriffsrichtung Richtung der Vertrauensstellung Vertrauende (Ressourcen-) Domäne A Vertraute (Konten-) Domäne B Abbildung 1.13 Über eine unidirektionale Vertrauensstellung verbundene vertrauende und vertrauenswürdige Domänen Vertrauensstellungen besitzen folgende Eigenschaften: ■ Methode der Erstellung Vertrauensstellungen können manuell (explizit) oder automatisch (implizit) erstellt werden. Nicht alle Vertrauensstellungen können auf beide Arten erstellt werden. ■ Transitivität Vertrauensstellungen können entweder nicht an die Domänen innerhalb der Vertrauensstellung gebunden sein (transitiv) oder an die Domänen in der Vertrauensstellung gebunden sein (nicht transitiv). Bei einer transitiven Vertrauensstellung gilt: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, dann vertraut Domäne A auch Domäne C. Bei einer nicht transitiven Vertrauensstellung gilt: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, besteht keine Vertrauensstellung zwischen Domäne A und Domäne C. ■ Richtung Vertrauensstellungen können uni- oder bidirektional sein. Eine unidirektionale Vertrauensstellung ist eine einzelne Vertrauensstellung, bei der Domäne A Domäne B vertraut, wie dargestellt in Abbildung 1.13. Eine unidirektionale Vertrauensstellung kann je nach Typ der erstellten Vertrauensstellung nicht transitiv oder transitiv sein. In einer bidirektionalen Vertrauensstellung vertraut Domäne A Domäne B und Domäne B vertraut Domäne A. Dies bedeutet, dass zwischen den zwei Domänen Authentifizierungsanforderungen in beide Richtungen gesendet werden können. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 29 In der Windows Server 2003-Familie unterstützt Active Directory die folgenden Formen von Vertrauensstellungen: ■ Strukturstamm-Vertrauensstellung Eine Strukturstamm-Vertrauensstellung wird implizit erstellt, wenn Sie einer Gesamtstruktur eine neue Strukturstammdomäne hinzufügen. In Abbildung 1.14 beispielsweise wird eine Strukturstamm-Vertrauensstellung zwischen Domäne A und Domäne 1 erstellt, wenn mit Domäne 1 eine neue Strukturstammdomäne der Gesamtstruktur hinzugefügt wird. Die Vertrauensstellung wird zwischen der erstellten Domäne (dem neuen Strukturstamm) und der vorhandenen Stammdomäne der Gesamtstruktur erstellt. Eine Strukturstamm-Vertrauensstellung kann nur zwischen den Stämmen zweier Strukturen derselben Gesamtstruktur erstellt werden. Die Vertrauensstellung ist transitiv und bidirektional. ■ Überordnungs-Unterordnungs-Vertrauensstellung Eine Überordnungs-Unterordnungs-Vertrauensstellung wird implizit eingerichtet, wenn Sie in einer Struktur eine neue untergeordnete Domäne erstellen. In Abbildung 1.14 beispielsweise wird eine Überordnungs-Unterordnungs-Vertrauensstellung zwischen Domäne 1 und Domäne 2 erstellt, wenn mit Domäne 2 eine neue untergeordnete Domäne der Struktur hinzugefügt wird. Während des Active Directory-Installationsprozesses wird automatisch eine Vertrauensstellung zwischen der neuen Domäne und der Domäne erstellt, die der ersten Domäne in der Namespacehierarchie direkt vorangeht (beispielsweise wird uk.microsoft.com als untergeordnetes Element von microsoft.com erstellt). Als Ergebnis verfügt eine Domäne, die in eine Struktur aufgenommen wird, sofort über Vertrauensstellungen mit jeder Domäne in der Struktur. Durch diese Vertrauensbeziehungen stehen alle Objekte in sämtlichen Domänen der Struktur auch allen Domänen in der Struktur zur Verfügung. Die Vertrauensstellung ist transitiv und bidirektional. Gesamtstruktur mit zwei Strukturen Domäne A Domäne 1 Domäne B Domäne D Domäne C Domäne 2 Domäne E Abbildung 1.14 Domänenstruktur mit Strukturstamm- und Überordnungs-UnterordnungsVertrauensstellungen Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 30 Teil I Selbststudium ■ Shortcutvertrauensstellung Eine Shortcutvertrauensstellung muss von einem Systemadministrator explizit zwischen zwei Domänen in einer Gesamtstruktur erstellt werden. Diese Vertrauensstellung wird zur Verkürzung der Anmeldezeiten eingesetzt, die sich verlängern können, wenn zwei Domänen in einer Gesamtstruktur oder Strukturhierarchie logisch voneinander entfernt liegen. Diese Art von Vertrauensstellung ist transitiv und kann uni- oder bidirektional sein. ■ Externe Vertrauensstellung Eine externe Vertrauensstellung muss von einem Systemadministrator explizit zwischen Windows Server 2003-Domänen unterschiedlicher Gesamtstrukturen oder zwischen einer Windows Server 2003-Domäne und einer Domäne erstellt werden, auf deren Domänencontroller Windows NT 4.0 oder früher ausgeführt wird. Diese Vertrauensstellung wird eingesetzt, wenn Benutzer Zugriff auf Ressourcen einer Windows NT 4.0-Domäne oder einer Domäne in einer separaten Gesamtstruktur benötigen, die nicht über eine Gesamtstrukturvertrauensstellung aufgenommen werden kann. Diese Art von Vertrauensstellung ist nicht transitiv und kann uni- oder bidirektional sein. ■ Gesamtstrukturvertrauensstellung Eine Gesamtstrukturvertrauensstellung muss von einem Systemadministrator explizit zwischen den Stammdomänen zweier Gesamtstrukturen erstellt werden. Diese Art von Vertrauensstellung ermöglicht allen Domänen in einer Gesamtstruktur die Einrichtung einer transitiven Vertrauensstellung mit allen Domänen in einer anderen Gesamtstruktur. Eine Gesamtstrukturvertrauensstellung ist über drei oder mehr Gesamtstrukturen nicht transitiv. Beispiel: Gesamtstruktur A vertraut Gesamtstruktur B, und Gesamtstruktur B vertraut Gesamtstruktur C. Es besteht keine Vertrauensstellung zwischen Gesamtstruktur A und Gesamtstruktur C. Die Vertrauensstellung ist nur zwischen zwei Gesamtstrukturen transitiv und kann uni- oder bidirektional sein. Gesamtstrukturvertrauensstellungen sind nur verfügbar, wenn die Gesamtstruktur die Funktionsebene Windows Server 2003 aufweist. ■ Bereichsvertrauensstellung Eine Bereichsvertrauensstellung muss von einem Systemadministrator explizit zwischen einem Nicht-Windows Kerberos-Bereich und einer Windows Server 2003-Domäne erstellt werden. Diese Art von Vertrauensstellung bietet Interoperabilität zwischen der Windows Server 2003-Domäne und einem beliebigen Bereich, der in Kerberos v5-Implementierungen verwendet wird. Die Vertrauensstellung kann transitiv oder nicht transitiv, uni- oder bidirektional sein. Als Administrator müssen Sie Vertrauensstellungen planen, um Benutzern Zugriff auf benötigte Ressourcen zu gewähren. Nähere Informationen zur Planung von Vertrauensstellungen finden Sie in Kapitel 4, „Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen“. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 31 Änderungs- und Konfigurationsverwaltung Die Änderungs- und Konfigurationsverwaltung umfasst Windows Server 2003-Features, die der Vereinfachung von Aufgaben bei der Computerverwaltung dienen. Hierzu zählen u.a.: ■ Verwalten der Konfiguration von Benutzerdesktops. ■ Verwalten der Art und Weise, mit der Software auf Benutzercomputern bereitgestellt und installiert wird. So können Sie sicherstellen, dass die Benutzer über genau die Software verfügen, die sie zur Ausführung ihrer Aufgaben benötigen. ■ Installieren eines anfänglichen Betriebssystems auf einem neuen Computer. ■ Ersetzen von Computern. Die Änderungs- und Konfigurationsverwaltung umfasst folgende Aufgaben: Verwalten der Benutzerdaten, Softwareinstallation und -wartung, Verwalten der Benutzereinstellungen sowie Verwalten von Computereinstellung. Sämtliche dieser Features werden unter dem Begriff IntelliMirror-Verwaltungstechnologien zusammengefasst. Die Änderungs- und Konfigurationsverwaltung umfasst außerdem Technologien für die Remoteinstallation von Betriebssystemen. Features der Änderungs- und Konfigurationsverwaltung Die IntelliMirror-Verwaltungstechnologien können folgendermaßen beschrieben werden: ■ Verwaltung von Benutzerdaten Daten und Dokumente „folgen“ den Benutzern, sodass ein Zugriff auf die benötigten Daten möglich ist. Die verwendeten Technologien sind u.a. Active Directory, Gruppenrichtlinien, Offlinedateien, Synchronisationsverwaltung, Datenträgerkontingente und servergespeicherte Benutzerprofile. ■ Softwareinstallation und -wartung Die Software „folgt“ den Benutzern, damit die benötigte Software stets verfügbar ist. Die verwendeten Technologien sind u.a. Active Directory, Gruppenrichtlinien, Windows Installer sowie das Tool Software in der Systemsteuerung. ■ Verwaltung von Benutzereinstellungen Die Benutzereinstellungen „folgen“ den Benutzern, sodass stets die bevorzugten Desktopeinstellungen angezeigt werden. Zu den verwendeten Technologien gehören Active Directory und servergespeicherte Benutzerprofile. ■ Verwaltung von Computereinstellungen Administratoren können definieren, wie Computer angepasst und im Netzwerk beschränkt werden. Zu den verwendeten Technologien zählen die Konsole Active Directory-Benutzer und -Computer und das Tool Gruppenrichtlinie. ■ Remoteinstallationsdienste (RIS) Administratoren können die Remoteinstallation von Microsoft Windows XP; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Microsoft Windows 2000 Professional; Microsoft Windows 2000 Server und Windows 2000 Advanced Server auf neuen oder Ersatzcomputern ohne Vorinstallation oder vor Ort ausgeführten technischen Support aktivieren. Zu den verwendeten Technologien zählen Active Directory, Gruppenrichtlinien und die Remoteinstallationsdienste. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 32 Teil I Selbststudium IntelliMirror umfasst verschiedene Windows 2000-Features, die Sie bei der Verwaltung von Benutzer- und Computerinformationen, Einstellungen und Anwendungen unterstützen. Wenn IntelliMirror sowohl auf dem Server als auch auf dem Client eingesetzt wird, „folgen“ die Benutzerdaten, -anwendungen und -einstellungen dem Benutzer, wenn dieser an einen anderen Computer wechselt. IntelliMirror greift auf Active Directory und die Konsole Gruppenrichtlinie zurück, um den Benutzerdesktop basierend auf Geschäftsfunktionen, Gruppenmitgliedschaften und Standorten zu verwalten. Sie können Desktops so konfigurieren, dass sie den Anforderungen eines neuen Benutzers bei jeder Netzwerkanmeldung gerecht werden. Gruppenrichtlinien Gruppenrichtlinien sind Zusammenstellungen von Benutzer- und Computerkonfigurationseinstellungen, die mit Computern, Standorten, Domänen und OUs verknüpft werden können, um das Verhalten des Benutzerdesktops zu definieren. Mithilfe von Gruppenrichtlinien können Sie beispielsweise die für einen Benutzer verfügbaren Programme sowie die Programme festlegen, die auf dem Benutzerdesktop und in den Startmenüoptionen angezeigt werden. Zum Erstellen einer spezifischen Desktopkonfiguration für eine bestimmte Benutzergruppe erstellten Sie Gruppenrichtlinienobjekte (Group Policy Objects, GPOs). Gruppenrichtlinienobjekte sind eine Zusammenstellung von Gruppenrichtlinieneinstellungen. Jeder Windows Server 2003-Computer verfügt über ein lokales Gruppenrichtlinienobjekt und kann darüber hinaus einer beliebigen Anzahl von nicht lokalen (Active Directory-basierten) GPOs unterliegen. Lokale Gruppenrichtlinienobjekte werden durch nicht lokale Gruppenrichtlinienobjekte außer Kraft gesetzt. Nicht lokale GPOs werden mit Active Directory-Objekten (Standorten, Domänen oder OUs) verknüpft. Nicht lokale Gruppenrichtlinienobjekte können entweder auf Benutzer (unabhängig davon, an welchem Computer diese angemeldet sind) oder auf Computer angewendet werden (unabhängig davon, wer sich an ihnen anmeldet). Gemäß der Vererbungseigenschaften von Active Directory werden nicht lokale GPOs der Hierarchie folgend von der Gruppe mit den meisten Berechtigungen (Standort) bis hin zur Gruppe mit den wenigsten Berechtigungen (OU) angewendet und sind kumulativ. Anwendung von Gruppenrichtlinienobjekten Da nicht lokale Gruppenrichtlinienobjekte der Hierarchie folgend angewendet werden, ist die Benutzer- oder Computerkonfiguration ein Ergebnis der Gruppenrichtlinienobjekte, die mit dem Standort, der Domäne und OU verknüpft sind. Gruppenrichtlinienobjekte werden in der folgenden Reihenfolge angewendet: 1. Lokales GPO Jeder Windows Server 2003-Server verfügt über genau ein lokal gespeichertes Gruppenrichtlinienobjekt. 2. Mit Standorten verknüpfte GPOs Als Nächstes werden alle Gruppenrichtlinienobjekte angewendet, die mit dem Standort verknüpft wurden. Die Anwendung der Gruppenrichtlinienobjekte erfolgt synchron. Der Administrator legt die Reihenfolge der mit einem Standort verknüpften GPOs fest. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 33 3. Mit Domänen verknüpfte GPOs Mit einer Domäne verknüpfte Gruppenrichtlinienobjekte werden synchron angewendet. Der Administrator legt die Reihenfolge der mit einer Domäne verknüpften GPOs fest. 4. Mit Organisationseinheiten verknüpfte GPOs Die Gruppenrichtlinienobjekte werden gemäß der Position der zugehörigen OU in der Active Directory-Hierarchie angewendet, d.h. zuerst werden die GPOs angewendet, die mit der höchsten OU verknüpft sind, dann folgen GPOs, die mit untergeordneten OUs verknüpft sind usw. Ganz zum Schluss wird das Gruppenrichtlinienobjekt angewendet, das mit der OU verknüpft ist, die das Benutzeroder Computerobjekt enthält. Auf der Ebene jeder OU in der Active Directory-Hierarchie können entweder ein GPO, mehrere GPOs oder kein GPO verknüpft werden. Sind verschiedene Gruppenrichtlinien mit einer OU verknüpft, werden diese synchron in der vom Administrator festgelegten Reihenfolge angewendet. Abbildung 1.15 zeigt die Anwendung von Gruppenrichtlinien am Beispiel der OUs Marketing und Server. Domäne Gruppenrichtlinienobjekte A1 A2 microsoft.com A3 Standort OUs Konten Hauptau sitz Ressourcen Marketing k Desktops A4 A5 A6 Server Auf OU „Server“ angewendete GPOs = A3, A1, A2, A4, A6 Auf OU „Marketing“ angewendete GPOs = A3, A1, A2, A5 Abbildung 1.15 Anwendung von Gruppenrichtlinien Die Standardreihenfolge bei der Verarbeitung von Gruppenrichtlinieneinstellungen kann Ausnahmen unterliegen, wenn der betreffende Computer Mitglied einer Arbeitsgruppe ist, eine der Einstellungen Kein Vorrang, Richtlinienvererbung deaktivieren oder Loopback für das Gruppenrichtlinienobjekt aktiviert wurden. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 34 Teil I Selbststudium Der Assistent Richtlinienergebnissatz vereinfacht die Implementierung und Problembehandlung von Richtlinien. Bei diesem Assistenten handelt es sich um ein Abfragemodul, das in zwei Modi arbeitet: im Protokollmodus und im Planungsmodus. Im Protokollmodus fragt der Assistent vorhandene Richtlinien und jedwede Anwendungen ab, die mit einem bestimmten Benutzer oder Computer verknüpft sind, und stellt die Abfrageergebnisse bereit. Im Planungsmodus stellt der Assistent Fragen zu einer geplanten Richtlinienimplementierung und liefert anschließend entsprechende Abfrageergebnisse. Als Administrator müssen Sie in der Lage sein, Gruppenrichtlinien zu verwalten, um Benutzern Zugriff auf benötigte Ressourcen zu gewähren. Nähere Informationen zur Verwaltung von Gruppenrichtlinien finden Sie in Kapitel 10, „Implementieren von Gruppenrichtlinien“, Kapitel 11, „Verwalten von Gruppenrichtlinien“, und in Kapitel 12, „Bereitstellen von Software mit dem Tool Gruppenrichtlinie“. DNS DNS ist ein Dienst, der in TCP/IP-Netzwerken (Transmission Control Protocol/Internet Protocol), wie z.B. dem Internet, dazu dient, lokale Computer und Dienste über benutzerfreundliche Namen aufzufinden. DNS bietet eine Methode der Benennung von Computern und Netzwerkdiensten mithilfe einer Hierarchie aus Domänen. Wenn ein Benutzer einen benutzerfreundlichen DNS-Namen in einer Anwendung eingibt, kann DNS den Namen in andere Informationen auflösen, die mit dem Namen verknüpft sind, z.B. eine IP-Adresse. Beispielsweise ist es einfach, sich zum Auffinden eines Computers in einem Netzwerk einen benutzerfreundlichen Namen wie example.microsoft.com zu merken. Computer kommunizieren in einem Netzwerk jedoch über numerische Adressen. DNS bietet eine Möglichkeit zum Zuordnen des benutzerfreundlichen Namens eines Computers oder Dienstes zu der entsprechenden numerischen Adresse. Wenn Sie gelegentlich einen Webbrowser benutzen, haben Sie auch schon DNS verwendet. Active Directory verwendet DNS als Namens- und Suchdienst für Domänen. DNS bietet die folgenden Vorteile: ■ DNS-Namen sind benutzerfreundlich, da sie leichter zu merken sind als IP-Adressen (Internet Protocol). ■ DNS-Namen sind dauerhafter als IP-Adressen. Die IP-Adresse eines Servers kann sich ändern, sein Name jedoch bleibt gleich. ■ Anhand von DNS können Benutzer unter Verwendung derselben Namenskonvention wie für das Internet eine Verbindung zu lokalen Servern herstellen. Weitere Informationen Weitere Informationen zu DNS finden Sie in RFC 1034 und RFC 1035. Suchen Sie mithilfe einer Suchmaschine im Internet nach den Schlüsselwörtern „RFC 1034“ und „RFC 1035“. RFCs (Request for Comments) sind offizielle Dokumente der IETF (Internet Engineering Task Force), in welchen die Details neuer Internetspezifikationen oder -protokolle ausgeführt werden. RFC 1034 trägt den Titel „Domain Names – Concepts and Facilities“, RFC 1035 trägt den Titel „Domain Names – Implementation and Specification“. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 35 Objektbenennung Da es sich bei Active Directory um einen LDAP-fähigen Verzeichnisdienst handelt, verwenden Netzwerkclients LDAP zur Abfrage der Active Directory-Datenbank. Jedes Objekt in Active Directory wird durch einen Namen identifiziert. LDAP-Standards bestimmen, wie die Objekte benannt werden. Active Directory verwendet verschiedene Namenskonventionen für Objekte: definierte Namen (DNs), relativ definierte Namen (RDNs), global eindeutige Kennungen (Global Unique Identifier, GUID) und Benutzerprinzipalnamen (UPNs). Weitere Informationen Weitere Informationen zu LDAP finden Sie in RFC 1779, RFC 2247 und RFC 2251. Suchen Sie mithilfe einer Suchmaschine im Internet nach den verschiedenen RFCs. RFC 1779 trägt den Titel „A String Representation of Distinguished Names“, der Titel von RFC 2247 lautet „Using Domains in LDAP/X.500 Distinguished Names“, RFC 2251 trägt den Titel „Lightweight Directory Access Protocol (v3)“. Definierte Namen Jedes Objekt in Active Directory verfügt über einen definierten Namen (Distinguished Name, DN), mit dem das Objekt eindeutig identifiziert wird. Dieser Name enthält ausreichende Informationen, um das Objekt aus dem Verzeichnis abzurufen. Der DN umfasst den Namen der Domäne, in der das Objekt gespeichert wird, sowie den vollständigen Pfad in der Containerhierarchie, der zu diesem Objekt führt. Der folgende DN beispielsweise identifiziert das Benutzerobjekt Scott Cooper in der Domäne microsoft.com: CN=Scott Cooper,OU=Promotions,OU=Marketing,DC=Microsoft,DC=Com Im definierten Namen werden die drei LDAP-Abkürzungen CN, OU und DC für die Namensattribute eingesetzt. CN (Common Name) steht für den allgemeinen Namen, OU (Organizational Unit) bezeichnet den Namen der Organisationseinheit, DC (Domain Component) verweist auf den Namen der Domänenkomponente. Definierte Namen müssen innerhalb von Active Directory eindeutig sein, die mehrfache Verwendung eines DNs ist unzulässig. Relativ definierte Namen Active Directory unterstützt die Abfrage nach Attribut, daher kann ein Objekt sogar dann aufgefunden werden, wenn der exakte DN nicht bekannt ist oder sich geändert hat. Der relativ definierte Name (Relative Distinguished Name, RDN) eines Objekts ist der Namensbestandteil, der selbst ein Objektattribut darstellt. Im obigen Beispiel lautet der relativ definierte Name des Benutzerobjekts Scott Cooper. Der relativ definierte Name des übergeordneten Objekts lautet Promotions. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 36 Teil I Selbststudium Hinweis Active Directory zeigt die LDAP-Abkürzungen für die Namensattribute CN, OU und DC nicht an. Diese Abkürzungen werden hier gezeigt, um zu verdeutlichen, wie LDAP die Teile eines definierten Namens erkennt. Die meisten Active Directory-Tools zeigen Objektnamen in kanonischer Form an, d.h. die RDNs werden von Stamm oder DNS-Domänenname ausgehend abwärts aufgelistet. Global eindeutige Kennung Eine global eindeutige Kennung (Global Unique Identifier, GUID) ist ein 128-Bit-Zahlenwert, der immer eindeutig ist. Jedem Objekt wird bei dessen Erstellung eine GUID zugewiesen. Die GUID ändert sich niemals, auch wenn Sie das Objekt verschieben oder umbenennen. Anwendungen können die GUID eines Objekts speichern und diese zum Abrufen des Objekts ohne Berücksichtigung des aktuellen definierten Namen des Objekts verwenden. Unter Windows NT wurde jede Domänenressource mit einer Sicherheitskennung (Security Identifier, SID) verknüpft, die innerhalb der Domäne erzeugt wurde. Dies bedeutete, dass die SID nur in der Domäne auf jeden Fall eindeutig war. Eine GUID ist in allen Domänen eindeutig. Sie können Objekte also zwischen verschiedenen Domänen verschieben, ohne dass der eindeutige Bezeichner verloren geht. Benutzerprinzipalname Jedes Benutzerkonto verfügt über einen „benutzerfreundlichen“ Namen, den sogenannten Benutzerprinzipalnamen (User Principal Name, UPN). Der Benutzerprinzipalname besteht aus einem Benutzerkontonamen (gelegentlich auch Benutzeranmeldename genannt) und einem Domänennamen, der die Domäne angibt, in der das Benutzerkonto gespeichert ist. Das Benutzerobjekt Scott Cooper in der Struktur microsoft.com könnte beispielsweise den Benutzerprinzipalnamen ScottC@microsoft.com aufweisen (bei Verwendung des vollständigen Vornamens plus dem ersten Buchstaben des Nachnamens). Active Directory-Verwaltungsaufgaben Das Verwalten von Windows Server 2003 Active Directory umfasst sowohl Konfigurationsaufgaben als auch täglich anfallende Aufgaben. Die administrativen Aufgaben können in verschiedene Kategorien gegliedert werden, die in Tabelle 1.1 beschrieben sind. Diese Verwaltungskategorien entsprechen grob gesehen den weiteren Kapiteln des vorliegenden Trainings. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Tabelle 1.1 Einführung in Active Directory 37 Active Directory-Verwaltungsaufgaben Verwaltungskategorie Spezifische Aufgabe Planen des Active Directory-Infrastrukturdesigns Zusammenstellen eines Designteams. Analysieren der geschäftlichen und technischen Umgebung. Erarbeiten eines Gesamtstrukturplans. Erarbeiten eines Domänenplans. Erarbeiten eines OU-Plans. Erarbeiten eines Plans für die Standorttopologie. Installieren und Konfigurieren von Active Directory Zusammentragen von Informationen für die Installation. Installieren von Active Directory. Überprüfen der Active Directory-Installation. Entfernen von Active Directory. Einsetzen von Tools zur Problembehandlung der Active Directory-Installation. Verwalten von Active Directory Einsetzen der Active Directory-Verwaltungstools. Einsetzen und Anpassen von MMC-Konsolen (Microsoft Management Console). Sichern und Wiederherstellen von Active Directory. Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen Planen und Erstellen zusätzlicher Domänen, Strukturen und Gesamtstrukturen. Übertragen von Betriebsmasterfunktionen. Übernehmen von Betriebsmasterfunktionen. Planen und Implementieren von Vertrauensstellungen. Konfigurieren von Standorten und Verwalten der Replikation Planen, Erstellen und Konfigurieren von Standorten. Konfigurieren der standortübergreifenden Replikation. Konfigurieren von globalen Katalogservern. Einsetzen von Tools zur Verwaltung, Überwachung und Problembehandlung der Replikation. Implementieren einer OU-Struktur Planen, Erstellen und Verwalten einer OU-Struktur. Verwalten von Benutzerkonten Erstellen von Benutzerkonten, Benutzerprofilen und Basisverzeichnissen. Verwalten von Benutzerkonten. Verwalten von Gruppenkonten Planen, Erstellen und Verwalten von Gruppenkonten. Verwalten von Active DirectoryObjekten Auffinden von Active Directory-Objekten. Veröffentlichen von Ressourcen in Active Directory. Steuern des Zugriffs auf Active Directory-Objekte. Delegieren der Verwaltung von Active Directory-Objekten. Verschieben von Active Directory-Objekten. Einsetzen von Skripts zur Verwaltung von Active Directory-Objekten. Implementieren von Gruppenrichtlinien Planen und Erstellen von Gruppenrichtlinienobjekten (GPOs). Verknüpfen von GPOs mit Standorten, Domänen und OUs. Verwalten von Gruppenrichtlinien Einsetzen des Richtlinienergebnissatzes zur Prüfung der Ergebnisse von Gruppenrichtlinienobjekten. Umleiten spezieller Ordner mithilfe des Tools Gruppenrichtlinie. Einsetzen von Tools zur Verwaltung und Problembehandlung von Gruppenrichtlinien. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 38 Teil I Selbststudium (Fortsetzung) Verwaltungskategorie Spezifische Aufgabe Bereitstellen von Software mit dem Tool Gruppenrichtlinie Bereitstellen von Software mit dem Tool Gruppenrichtlinie. Bereitstellen eines Softwareupgrades oder Sicherheitspatches mit dem Tool Gruppenrichtlinie. Einsetzen von Tools zur Verwaltung und Problembehandlung der Softwarebereitstellung. Verwalten der Active DirectorySicherheit Implementieren von Richtlinien zur Softwareeinschränkung. Implementieren einer Überwachungsrichtlinie zur Protokollierung von Sicherheitsereignissen. Verwalten des Sicherheitsprotokolls und Anzeigen von Sicherheitsereignissen. Verwalten von Sicherheitsvorlagen. Einsetzen der Konsole Sicherheitskonfiguration und -analyse zur Analyse der Systemsicherheit. Verwalten der Active DirectoryLeistung Einsetzen von Active Directory-Tools zur Überwachung der Active Directory-Leistung. Optimieren und Problembehandlung der Active Directory-Leistung. Lernzielkontrolle Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Können Sie eine Frage nicht beantworten, bearbeiten Sie die entsprechende Lektion noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten auf die Lernzielkontrollfragen finden Sie im Abschnitt „Fragen und Antworten“ am Ende dieses Kapitels. 1. Nennen Sie die vier Verzeichnispartitionen der Active Directory-Datenbank. 2. Welche Funktion erfüllt der Konsistenzprüfungsdienst (KCC)? 3. Nennen Sie die sechs Arten von Vertrauensstellungen, die in Active Directory verwendet werden. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 39 4. Was versteht man unter Änderungs- und Konfigurationsverwaltung? Was ist IntelliMirror? 5. Erläutern Sie die Funktion von Gruppenrichtlinien. 6. Definieren Sie jeden der folgenden Namen: DN, RDN, GUID, UPN. Zusammenfassung der Lektion ■ Die in Active Directory gespeicherten Informationen werden in vier logische Replikationseinheiten unterteilt: Schemapartition, Konfigurationspartition, Domänenpartition und Anwendungspartition. ■ Active Directory repliziert Informationen auf zwei Arten: standortintern (innerhalb eines Standorts) und standortübergreifend (zwischen Standorten). ■ Eine Vertrauensstellung ist eine Verknüpfung zwischen zwei Domänen, bei der die vertrauende Domäne bei Anmeldungen die Echtheitsbestätigung der vertrauten Domäne übernimmt. Windows Server 2003 unterstützt die folgenden Vertrauensstellungen: Strukturstamm-Vertrauensstellung, Überordnungs-Unterordnungs-Vertrauensstellung, Shortcutvertrauensstellung, externe Vertrauensstellung, Gesamtstrukturvertrauensstellung und Bereichsvertrauensstellung. ■ Gruppenrichtlinien sind eine Zusammenstellung von Konfigurationseinstellungen für Benutzer und Computer, die mit Computern, Standorten, Domänen und OUs verknüpft werden können, um das Verhalten von Benutzerdesktops festzulegen. Gruppenrichtlinienobjekte sind eine Zusammenstellung von Gruppenrichtlinieneinstellungen. ■ DNS ist ein Dienst, der in TCP/IP-Netzwerken, wie z.B. dem Internet, dazu dient, lokale Computer und Dienste über benutzerfreundliche Namen aufzufinden. Active Directory verwendet DNS als Namens- und Suchdienst für Domänen. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 40 Teil I Selbststudium Lektion 3: Planen des Active Directory-Infrastrukturdesigns Diese Lektion bietet eine Einführung in das Design der Active Directory-Infrastruktur. Darüber hinaus werden die Tools vorgestellt, die Sie zur Erarbeitung des Infrastrukturdesigns benötigen. Ferner erhalten Sie einen Überblick über den Designprozess. In jeder Phase des Designprozesses werden die Beweggründe für die Definition jeder Active Directory-Komponente im Design erläutert. Es ist von grundlegender Bedeutung, dass Sie die Wichtigkeit der Planung einer Active Directory-Infrastruktur erkennen, bevor Sie mit der Implementierung beginnen. Sie sollten außerdem die Gründe kennen, aus denen Active Directory-Komponenten in einem Design definiert werden. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: ■ ■ ■ ■ ■ ■ ■ ■ Erläutern der Funktion eines Active Directory-Infrastrukturdesigns Benennen der Ressourcen, die zur Erarbeitung eines Active Directory-Infrastrukturdesigns erforderlich sind Benennen der Schritte im Designprozess für eine Active Directory-Infrastruktur Benennen der Gründe für den Einsatz mehrerer Gesamtstrukturen Benennen der Gründe für den Einsatz mehrerer Domänen Benennen der Gründe für die Definition von OUs Benennen der Gründe für die Definition von Standorten Benennen der Gründe für die Platzierung von Domänencontrollern in Standorten Veranschlagte Zeit für diese Lektion: 30 Minuten Was ist ein Active Directory-Infrastrukturdesign? Bevor Sie Active Directory in Ihrer Organisation implementieren, müssen Sie einen Plan erarbeiten. Als Active Directory-Infrastrukturdesign wird ein von Ihnen erarbeiteter Plan bezeichnet, der die Netzwerkinfrastruktur Ihrer Organisation abbildet. Mithilfe dieses Plans wird festgelegt, wie in Active Directory Informationen zu den Objekten des Netzwerks gespeichert und den Benutzern und Netzwerkadministratoren zugänglich gemacht werden. Da Ihr Active Directory-Infrastrukturdesign der Schlüssel zum Erfolg Ihrer Windows Server 2003-Bereitstellung ist, müssen Sie zunächst umfassende Informationen sammeln und Ihr Design sorgfältig entwickeln und testen, bevor Sie es bereitstellen. An verschiedenen Punkten im Designprozess kann ein Überdenken, eine Neuentwicklung und erneutes Testen erforderlich sein, um sicherzustellen, dass das Design den Anforderungen Ihrer Organisation gerecht wird. Ein effektives Infrastrukturdesign unterstützt Sie bei der Bereitstellung einer kosteneffektiven Implementierung und erspart Ihnen die Zeit und Kosten, die bei einer weniger sorgfältigen Vorbereitung für die Umarbeitung Ihrer Infrastruktur erforderlich würden. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 41 Designtools Zur Entwicklung eines effektiven Infrastrukturdesigns benötigen Sie Folgendes: ■ Designteam ■ Geschäftliche und technische Analysen ■ Testumgebung Zusammenstellen eines Designteams Bevor Sie mit dem Entwurf Ihres Active Directory-Infrastrukturdesigns beginnen, müssen Sie Mitarbeiter in Ihrer Organisation in das Designteam aufnehmen, die am Designprozess beteiligt werden sollten. Um sicherzustellen, dass in Ihrer Active Directory-Implementierung sämtliche organisationsrelevanten Aspekte berücksichtigt sind, können Sie ein aus drei Gruppen bestehendes Designteam zusammenzustellen: ■ Infrastrukturdesigner Die Schlüsselpersonen beim Design einer Active DirectoryInfrastruktur. ■ Belegschaftsrepräsentanten Das Organisationspersonal, das für die Ausführung täglicher Operationen verantwortlich ist. ■ Managementrepräsentanten Führungskräfte, die für die Genehmigung von geschäftlichen Entscheidungen innerhalb der Organisation verantwortlich sind. Die für jede dieser Gruppen ausgewählten Designteammitglieder müssen die nötige Motivation und Zeit besitzen, ihre Ideen in den Designprozess einfließen zu lassen, sodass ein effektives Infrastrukturdesign erarbeitet werden kann, das den Anforderungen der jeweiligen Organisation voll und ganz gerecht wird. Analyse der geschäftlichen und technischen Umgebung Nach der Zusammenstellung eines Designteams benötigen Sie eine Analyse der geschäftlichen und technischen Umgebung Ihrer Organisation. Eine Analyse der geschäftlichen Umgebung einer Organisation definiert, wie nicht technische Ressourcen strukturiert und verwaltet werden, z.B. Produkte und Kunden, Geschäftsstruktur, Geschäftsprozesse, Unternehmensstrategien und das IT-Management. Die Analyse der technischen Umgebung einer Organisation liefert Aufschluss darüber, wie die technischen Ressourcen strukturiert und verwaltet werden, z.B. Netzwerkarchitektur, Hardware, Software, technische Standards, DNS-Umgebung (falls zutreffend) und Windows NT-Umgebung (falls zutreffend). In den meisten Fällen ist innerhalb einer Organisation bereits eine Geschäftsinfrastruktur oder ein Netzwerk vorhanden. Es liegt an Ihnen als Infrastrukturdesigner, die weiteren Mitglieder des Designteams aufzufordern, Informationen zu diesen Umgebungen zusammenzutragen. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 42 Teil I Selbststudium Testumgebung Nach der Fertigstellung Ihres Infrastrukturdesigns sollten Sie dieses in einer Testumgebung testen. Eine Testumgebung ist eine Simulation Ihrer Produktionsumgebung, in der Sie Teile der Windows Server 2003-Bereitstellung, wie z.B. das Active Directory-Infrastrukturdesign, ohne Risiko für Ihr Unternehmensnetzwerk testen können. Zur Sicherstellung des Erfolges Ihrer Windows Server 2003-Bereitstellung sollte Ihre Organisation eine Testumgebung einrichten. Durch das Einrichten des Infrastrukturdesigns in einer Testumgebung können Sie feststellen, ob sich das Design in der Praxis bewährt und können gleichzeitig prüfen, ob zur Verbesserung gegebenenfalls Änderungen erforderlich sind. Das Überprüfen des Designs in einer Testumgebung ist bei der Entwicklung eines effektiven Designs von unschätzbarem Wert. Der Designprozess Nachdem Sie ein Designteam zusammengestellt, die geschäftliche und technische Analyse durchgeführt und eine Testumgebung eingerichtet haben, können Sie mit der Planung Ihres Infrastrukturdesigns beginnen. Der Designprozess für die Active Directory-Infrastruktur umfasst die folgenden vier Phasen: 1. Erarbeiten eines Gesamtstrukturplans 2. Erarbeiten eines Domänenplans 3. Erarbeiten eines OU-Plans 4. Erarbeiten eines Plans für die Standorttopologie Während jeder Phase ziehen Sie die Dokumente der geschäftlichen und technischen Analyse zu Rate und schätzen die Organisationsanforderungen ein. Darüber hinaus müssen Sie auch geplante Änderungen hinsichtlich Wachstum und Skalierbarkeit berücksichtigen. Phase 1 – Erarbeiten eines Gesamtstrukturplans Nach Analyse der Organisationsanforderungen besteht der erste Schritt zur Erarbeitung eines Gesamtstrukturplans darin, die Anzahl der erforderlichen Active Directory-Gesamtstrukturen zu ermitteln. Da der Einsatz mehrerer Gesamtstrukturen die Verwaltung mehrerer Schemas, Konfigurationscontainer, globaler Kataloge und Vertrauensstellungen erfordert sowie dem Benutzer komplexe Schritte bei Verwendung des Verzeichnisses abverlangt, sollten Sie die Verwendung von nur einer Gesamtstruktur für Ihre Organisation anstreben. In den folgenden Situationen sollten Sie jedoch die Verwendung mehrerer Gesamtstrukturen erwägen: ■ Die Netzwerkverwaltung ist in autonome Gruppen unterteilt, die keine Vertrauensstellung zueinander aufweisen. ■ Unternehmensabteilungen sind in autonome Gruppen unterteilt. ■ Unternehmensabteilungen müssen getrennt verwaltet werden. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory ■ Es ist erforderlich, das Schema, Konfigurationscontainer oder den globalen Katalog zu isolieren. ■ Der Umfang von Vertrauensbeziehungen zwischen Domänen oder Domänenstrukturen muss begrenzt werden. 43 In dieser Phase erstellen Sie außerdem eine Richtlinie zur Schemaänderung. Hierbei handelt es sich um einen Plan, der umreißt, welche Personen Steuerung über das Schema erhalten und wie Modifikationen verwaltet werden, welche die ganze Gesamtstruktur betreffen. In Einhaltung der Richtlinie zur Schemaänderung bewerten Sie die Schemaanforderungen einer Organisation und legen fest, ob das Schema bearbeitet werden muss. Falls eine Schemabearbeitung erforderlich ist, entwerfen Sie einen Plan für die Schemabearbeitung. Phase 2 – Erarbeiten eines Domänenplans Nach Analyse der Organisationsanforderungen besteht der erste Schritt zur Erarbeitung eines Domänenplans darin, die Anzahl der erforderlichen Domänen zu ermitteln. Da das Hinzufügen von Domänen zur Gesamtstruktur die Kosten für Verwaltung und Hardware ansteigen lässt, sollten Sie die Anzahl der Domänen so gering wie möglich halten. Nach Erstellung einer Domäne kann diese nicht mehr ohne Weiteres verschoben oder umbenannt werden. In den folgenden Situationen sollten Sie jedoch die Verwendung mehrerer Domänen erwägen: ■ Zur Erfüllung von Sicherheitsrichtlinieneinstellungen in Bezug auf Domänen ■ Zur Erfüllung spezieller Verwaltungsanforderungen, z.B. rechtliche oder datenschutztechnische Aspekte ■ Zur Optimierung des Replikationsdatenverkehrs ■ Zur Erhaltung von Windows NT-Domänen ■ Zur Einrichtung eines getrennten Namespace Der zweite Schritt bei der Erstellung eines Domänenplans besteht in der Definition der Stammdomäne der Gesamtstruktur. Sie können eine vorhandene Domäne als Stammdomäne der Gesamtstruktur festlegen oder eine neue Domäne als dedizierte Gesamtstruktur-Stammdomäne festlegen. Der Einsatz einer dedizierten Gesamtstruktur-Stammdomäne bietet hierbei Vorteile hinsichtlich Sicherheitsverwaltung, Replikationsdatenverkehr und Skalierbarkeit. Definieren Sie Ihre Gesamtstruktur-Stammdomäne mit Bedacht. Sobald Sie die Stammdomäne der Gesamtstruktur benannt haben, ist eine Änderung der Stammdomäne ohne Umbenennung und Umarbeitung der gesamten Active Directory-Struktur nicht mehr möglich. Der dritte Schritt bei der Erarbeitung eines Domänenplans ist die Definition von Domänenhierarchie und Namensdomänen. Zur Definition der Domänenhierarchie müssen folgende Aufgaben ausgeführt werden: ■ Festlegen der Anzahl an Domänenstrukturen ■ Festlegen der Strukturstammdomänen für jede Struktur ■ Anordnen der verbleibenden untergeordneten Domänen in einer Hierarchie unterhalb der Stammdomänen Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 44 Teil I Selbststudium Zur Domänenbenennung sind folgende Schritte erforderlich: ■ Für jede Gesamtstruktur innerhalb der Organisation Zuweisen eines DNS-Namens für die Stammdomäne der Gesamtstruktur ■ Zuweisen eines DNS-Namens für jede Strukturstammdomäne ■ Zuweisen eines DNS-Namens für jede verbleibende Subdomäne, entsprechend ihrer Position in der Hierarchie Abschließend legen Sie die Platzierung von DNS-Servern fest. Sie planen ferner zusätzliche Zonen, ermitteln vorhandene DNS-Dienste auf DNS-Servern und legen die zu verwendende Methode für die Zonenreplikation fest. Das Endergebnis eines Domänenplans ist ein Diagramm der Domänenhierarchie, in dem Domänennamen und geplante Zonen aufgeführt sind. Phase 3 – Erarbeiten eines OU-Plans Nach Analyse der Organisationsanforderungen ist zur Erstellung eines OU-Plans die Definition einer OU-Struktur erforderlich. Es gibt drei Gründe, die für das Definieren einer OU sprechen: ■ Sie möchten Verwaltungsaufgaben delegieren ■ Sie möchten Objekte verbergen ■ Sie möchten Gruppenrichtlinien verwalten Der Hauptgrund für die Definition einer OU ist die Delegierung von Verwaltungsaufgaben. Das Delegieren von Verwaltungsaufgaben ist die Zuweisung von IT-Verwaltungszuständigkeit für einen Teil des Namespace, z.B. einer OU, an einen Administrator, Benutzer oder eine Gruppe von Administratoren oder Benutzern. Nachdem Sie die OU-Struktur festgelegt haben, müssen Sie Benutzerkonten in den geeigneten OUs platzieren. Das Endergebnis eines OU-Plans ist ein Diagramm der OU-Strukturen für jede Domäne sowie eine Liste der Benutzer in jeder OU. Phase 4 – Erarbeiten eines Plans für die Standorttopologie Nach Analyse der Organisationsanforderungen besteht der erste Schritt der Erarbeitung eines Plans für die Standorttopologie in der Definition von Standorten. Der Hauptzweck eines Standortes ist die physische Gruppierung von Computern zur Optimierung des Netzwerkverkehrs. In Active Directory spiegelt die Standortstruktur die Standorte der Benutzergruppen wider. Sie müssen für jedes der folgenden Elemente einen Standort definieren: ■ Für jedes LAN oder jede Gruppe von LANs, die durch einen HochgeschwindigkeitsBackbone miteinander verbunden sind ■ Für jeden Standort, der nicht direkt an das übrige Netzwerk angeschlossen und nur per SMTP-Mail erreichbar ist Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 45 Der zweite Schritt bei Erstellung eines Plans für die Standorttopologie ist die Platzierung der Domänencontroller. Da die Verfügbarkeit von Active Directory mit dem Vorhandensein von Domänencontrollern steht und fällt, muss immer ein Domänencontroller für die Benutzerauthentifizierung verfügbar sein. Zum Erzielen optimaler Netzwerkantwortzeiten und Anwendungsverfügbarkeit gilt Folgendes: ■ Mindestens ein Domänencontroller pro Standort ■ Mindestens zwei Domänencontroller in jeder Domäne Zusätzlich müssen Sie gegebenenfalls zusätzliche Domänencontroller in einem Standort einsetzen, wenn Folgendes gilt: ■ In einem Standort sind sehr viele Benutzer vorhanden, und die Verbindung zum Standort ist langsam oder nahe an der Kapazitätsgrenze ■ Die Verbindung zum Standort ist bekanntermaßen unzuverlässig oder steht nur periodisch zur Verfügung Der dritte Schritt bei der Erarbeitung eines Plans für die Standorttopologie ist die Definition einer Replikationsstrategie. Eine effektive Replikationsstrategie stellt eine effiziente Replikation und Fehlertoleranz sicher. In diesem Schritt konfigurieren Sie Standortverknüpfungen, was die Zuweisung einer Methode für den Replikationstransport, die Festlegung von Kostenwerten für Standortverknüpfungen sowie das Angeben von Replikationshäufigkeit und Replikationsverfügbarkeit umfasst. Sie haben ferner die Option, bevorzugte Bridgheadserver anzugeben. Der abschließende Schritt bei der Erarbeitung eines Plans für die Standorttopologie besteht darin, globale Katalogserver und Betriebsmaster innerhalb einer Gesamtstruktur zu platzieren. Das Endergebnis eines Plans für die Standorttopologie ist ein Standortdiagramm mit Standortverknüpfungen und einer Standortverknüpfungstabelle, die Details zur Konfiguration der Standortverknüpfungen liefert und die Verteilung der Domänencontroller und Betriebsmasterfunktionen angibt. In Abhängigkeit von den Anforderungen einer Organisation kann der Plan für die Standorttopologie auch eine Tabelle umfassen, in der Details zu Standortverknüpfungsbrücken und bevorzugten Bridgeheadservern aufgeführt sind. Lernzielkontrolle Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Können Sie eine Frage nicht beantworten, bearbeiten Sie die entsprechende Lektion noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten auf die Lernzielkontrollfragen finden Sie im Abschnitt „Fragen und Antworten“ am Ende dieses Kapitels. 1. Welche drei Dinge sind zur Erarbeitung eines effektiven Active Directory-Infrastrukturdesigns erforderlich? Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 46 Teil I Selbststudium 2. Listen Sie die vier Phasen im Active Directory-Designprozess auf. 3. Aus welchem Grund sollten Sie die Erstellung von nur einer Gesamtstruktur für Ihre Organisation anstreben? 4. Warum sollten Sie die Anzahl der Domänen innerhalb der Organisation so gering wie möglich halten? 5. Aus welchem Grund sollten Sie bei der Definition der Stammdomäne für die Gesamtstruktur besonders umsichtig vorgehen? 6. Wie lautet der Hauptgrund für die Definition einer OU? Zusammenfassung der Lektion ■ Der Designprozess für die Active Directory-Infrastruktur umfasst die folgenden vier Phasen: (1) Erarbeiten eines Gesamtstrukturplans, (2) Erarbeiten eines Domänenplans, (3) Erarbeiten eines OU-Plans und (4) Erarbeiten eines Plans für die Standorttopologie. ■ Sie sollten nach Möglichkeit nur eine Gesamtstruktur für eine Organisation erstellen, um die Verwaltung mehrerer Schemas, Konfigurationscontainer, globaler Kataloge und Vertrauensstellungen zu vermeiden und um zu verhindern, dass die Verwendung des Verzeichnisses dem Benutzer komplexe Schritte abverlangt. ■ Minimieren Sie die Anzahl der Domänen, um Verwaltungs- und Hardwarekosten möglichst niedrig zu halten. Sobald Sie die Stammdomäne der Gesamtstruktur benannt haben, ist eine Änderung ohne Umarbeitung der gesamten Active Directory-Struktur nicht mehr möglich. ■ Es gibt drei Gründe, die für das Definieren einer OU sprechen: (1) das Delegieren von Verwaltungsaufgaben, (2) das Verbergen von Objekten und (3) das Verwalten von Gruppenrichtlinien. Der Hauptgrund für die Definition einer OU ist die Delegierung von Verwaltungsaufgaben. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 ■ Einführung in Active Directory 47 Der Hauptzweck eines Standortes ist die physische Gruppierung von Computern zur Optimierung des Netzwerkdatenverkehrs. In Active Directory spiegelt die Standortstruktur die Standorte der Benutzergruppen wider. Zusammenfassung des Kapitels ■ Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, OUs, Strukturen und Gesamtstrukturen. ■ Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. ■ Der globale Katalog ist die zentrale Speicherdatenbank für Informationen zu den Objekten in einer Struktur oder Gesamtstruktur. ■ Die in Active Directory gespeicherten Informationen werden in vier logische Replikationseinheiten unterteilt: Schemapartition, Konfigurationspartition, Domänenpartition und Anwendungspartition. ■ Active Directory repliziert Informationen auf zwei Arten: standortintern (innerhalb eines Standorts) und standortübergreifend (zwischen Standorten). ■ Windows Server 2003 unterstützt die folgenden Vertrauensstellungen: StrukturstammVertrauensstellung, Überordnungs-Unterordnungs-Vertrauensstellung, Shortcutvertrauensstellung, externe Vertrauensstellung, Gesamtstrukturvertrauensstellung und Bereichsvertrauensstellung. ■ Gruppenrichtlinien sind eine Zusammenstellung von Konfigurationseinstellungen für Benutzer und Computer, die mit Computern, Standorten, Domänen und OUs verknüpft werden können, um das Verhalten von Benutzerdesktops festzulegen. ■ Der Designprozess für die Active Directory-Infrastruktur umfasst die folgenden vier Phasen: (1) Erarbeiten eines Gesamtstrukturplans, (2) Erarbeiten eines Domänenplans, (3) Erarbeiten eines OU-Plans und (4) Erarbeiten eines Plans für die Standorttopologie. Prüfungsrelevante Themen Vor Prüfungsteilnahme sollten Sie die in diesem Kapitel behandelten Schlüsselinformationen und -begriffe noch einmal durchgehen. Sie müssen diesen Prüfungsstoff beherrschen. Schlüsselinformationen ■ Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, OUs, Strukturen und Gesamtstrukturen. ■ Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 48 Teil I Selbststudium ■ Active Directory repliziert Informationen auf zwei Arten: standortintern (innerhalb eines Standorts) und standortübergreifend (zwischen Standorten). ■ Gruppenrichtlinien sind eine Zusammenstellung von Konfigurationseinstellungen für Benutzer und Computer, die mit Computern, Standorten, Domänen und OUs verknüpft werden können, um das Verhalten von Benutzerdesktops festzulegen. ■ Der Hauptgrund für die Definition einer OU ist die Delegierung von Verwaltungsaufgaben. ■ Der Hauptzweck eines Standortes ist die physische Gruppierung von Computern zur Optimierung des Netzwerkdatenverkehrs. Schlüsselbegriffe Active Directory Ein Windows-basierter Verzeichnisdienst. Active Directory speichert Informationen zu Objekten in einem Netzwerk und stellt den Benutzern und Administratoren diese Informationen zur Verfügung. Über Active Directory wird den Netzwerkbenutzern anhand eines einzigen Anmeldeprozesses Zugriff auf Ressourcen an beliebigen Standorten im Netzwerk erteilt. Netzwerkadministratoren wird eine intuitive hierarchische Sicht auf das Netzwerk und ein zentraler Punkt für die Verwaltung aller Netzwerkobjekte zur Verfügung gestellt. Domäne Eine Zusammenstellung von Computer-, Benutzer- und Gruppenobjekten, die vom Administrator definiert werden. Diese Objekte nutzen eine gemeinsame Verzeichnisdatenbank, Sicherheitsrichtlinien und Sicherheitsbeziehungen zu anderen Domänen. Gesamtstruktur Eine oder mehrere Active Directory-Domänen, die gleiche Klassen- und Attributdefinitionen (Schema), Standort- und Replikationsinformationen (Konfiguration) nutzen und auf die gleichen gesamtstrukturweiten Suchfunktionen (globaler Katalog) zurückgreifen. Domänen in derselben Gesamtstruktur sind über bidirektionale, transitive Vertrauensstellungen miteinander verknüpft. Organisationseinheit (Organizational Unit, OU) Ein Containerobjekt in Active Directory, das innerhalb von Domänen verwendet wird. Eine OU ist ein logischer Container, in dem Benutzer, Gruppen, Computer und weitere OUs platziert werden. Eine OU kann nur Objekte der übergeordneten Domäne enthalten. Eine OU ist der kleinste Bereich, der mit einem Gruppenrichtlinienobjekt verknüpft werden kann oder für den Berechtigungen vergeben werden können. Standort Ein oder mehrere gut (sehr zuverlässig und schnell) verbundene TCP/IP-Subnetze. An einem Standort können Administratoren Active Directory-Zugriff und Replikationstopologie schnell und mühelos konfigurieren, um den Vorteil des physischen Netzwerks zu nutzen. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Einführung in Active Directory 49 Fragen und Antworten Seite 21 Lernzielkontrolle Lektion 1 1. Inwiefern unterscheiden sich Verzeichnisdienst und Verzeichnis? Ein Verzeichnisdienst unterscheidet sich von einem Verzeichnis dahingehend, dass der Dienst sowohl die Quelle der Informationen ist als auch die Mittel bereitstellt, mit denen dem Benutzer die Informationen zugänglich gemacht werden. 2. Inwieweit ist Active Directory skalierbar? Active Directory ermöglicht aufgrund der Konfiguration von Domänen und Strukturen sowie der Platzierung von Domänencontrollern eine Skalierung des Verzeichnisses in Abstimmung auf die Geschäfts- und Netzwerkanforderungen. Active Directory kann pro Domäne mehrere Millionen Objekte verwalten und nutzt eine Indizierungstechnologie sowie hoch entwickelte Replikationstechniken zur Verbesserung der Leistung. 3. Was ist die Multimasterreplikation? Die Multimasterreplikation ist ein Replikationsmodell, bei dem jeder Domänencontroller die Verzeichnisänderungen akzeptiert und sie auf jeden beliebigen Domänencontroller repliziert. Da mehrere Domänencontroller eingesetzt werden, wird die Replikation selbst dann fortgesetzt, wenn einer der Domänencontroller ausfällt. 4. Benennen Sie die Active Directory-Komponenten, die zur Darstellung des logischen Aufbaus einer Organisation herangezogen werden. Zur Darstellung des logischen Aufbaus einer Organisation werden Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen eingesetzt. 5. Benennen Sie die physischen Komponenten von Active Directory. Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. 6. Welche Funktion erfüllt der globale Katalog? Der globale Katalog hat zwei Hauptfunktionen: (1) er ermöglicht einem Benutzer die Anmeldung an einem Netzwerk, indem Informationen zu universellen Gruppenmitgliedschaften an einen Domänencontroller gesendet werden, wenn der Anmeldeprozess eingeleitet wird, (2) er ermöglicht das Auffinden von Verzeichnisinformationen unabhängig von der Domäne in der Gesamtstruktur, welche die Daten tatsächlich enthält. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) 50 Teil I Seite 38 Selbststudium Lernzielkontrolle Lektion 2 1. Nennen Sie die vier Verzeichnispartitionen der Active Directory-Datenbank. Die vier Verzeichnispartitionen der Active Directory-Datenbank lauten Schemapartition, Konfigurationspartition, Domänenpartition und Anwendungspartition. 2. Welche Funktion erfüllt der Konsistenzprüfungsdienst (KCC)? Der Konsistenzprüfungsdienst (KCC) ist ein integrierter Prozess, der auf allen Domänencontrollern ausgeführt wird. Der Konsistenzprüfungsdienst konfiguriert Verbindungsobjekte zwischen Domänencontrollern. Innerhalb eines Standortes erzeugt der Konsistenzprüfungsdienst eigene Verbindungen. Für die Replikation zwischen Standorten erzeugt ein einziger Konsistenzprüfungsdienst alle Verbindungen zwischen den Standorten. 3. Nennen Sie die sechs Arten von Vertrauensstellungen, die in Active Directory verwendet werden. Die sechs von Active Directory unterstützten Vertrauensstellungen heißen: Strukturstamm-Vertrauensstellung, Überordnungs-Unterordnungs-Vertrauensstellung, Shortcutvertrauensstellung, externe Vertrauensstellung, Gesamtstrukturvertrauensstellung und Bereichsvertrauensstellung. 4. Was versteht man unter Änderungs- und Konfigurationsverwaltung? Was ist IntelliMirror? Die Änderungs- und Konfigurationsverwaltung umfasst Windows Server 2003-Features, die der Vereinfachung von Aufgaben bei der Computerverwaltung dienen. IntelliMirror umfasst verschiedene Windows Server 2003-Features, die Sie bei der Verwaltung von Benutzer- und Computerinformationen, Einstellungen und Anwendungen unterstützen. Wenn IntelliMirror sowohl auf dem Server als auch auf dem Client eingesetzt wird, „folgen“ die Benutzerdaten, -anwendungen und -einstellungen dem Benutzer, wenn dieser an einen anderen Computer wechselt. 5. Erläutern Sie die Funktion von Gruppenrichtlinien. Gruppenrichtlinien sind eine Zusammenstellung von Konfigurationseinstellungen für Benutzer und Computer, die mit Computern, Standorten, Domänen und OUs verknüpft werden können, um das Verhalten von Benutzerdesktops festzulegen. 6. Definieren Sie jeden der folgenden Namen: DN, RDN, GUID, UPN. Der definierter Name (DN) ist ein Name, der ein Objekt eindeutig identifiziert. Der DN enthält den Namen der Domäne, in der das Objekt vorliegt, sowie den vollständigen Pfad in der Containerhierarchie, die zu diesem Objekt führt. Der relativ definierte Name (Relative Distinguished Name, RDN) eines Objekts ist der Namensbestandteil, der selbst ein Objektattribut darstellt. Eine global eindeutige Kennung (Global Unique Identifier, GUID) ist ein 128-Bit-Zahlenwert, der immer eindeutig ist. Ein UPN (User Principal Name) besteht aus einem Benutzerkontonamen (manchmal auch Benutzeranmeldename genannt) und einem Domänennamen, der die Domäne angibt, in der das Benutzerkonto gespeichert ist. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Kapitel 1 Seite 45 Einführung in Active Directory 51 Lernzielkontrolle Lektion 3 1. Welche drei Dinge sind zur Erarbeitung eines effektiven Active Directory-Infrastrukturdesigns erforderlich? Zur Erarbeitung eines effektiven Active Directory-Infrastrukturdesigns sind die folgenden drei Dinge erforderlich: ein Designteam, geschäftliche und technische Analysen und eine Testumgebung. 2. Listen Sie die vier Phasen im Active Directory-Designprozess auf. Die vier Phasen im Designprozess sind die Erarbeitung eines Gesamtstrukturplans, die Erarbeitung eines Domänenplans, die Erarbeitung eines OU-Plans sowie die Erarbeitung eines Plans für die Standorttopologie. 3. Aus welchem Grund sollten Sie die Erstellung von nur einer Gesamtstruktur für Ihre Organisation anstreben? Der Einsatz von mehr als einer Gesamtstruktur erfordert die Verwaltung mehrerer Schemas, Konfigurationscontainer, globaler Kataloge und Vertrauensstellungen und verlangt dem Benutzer bei Verwendung des Verzeichnisses komplexe Schritte ab. 4. Warum sollten Sie die Anzahl der Domänen innerhalb der Organisation so gering wie möglich halten? Das Hinzufügen von Domänen zur Gesamtstruktur erhöht die Verwaltungs- und Hardwarekosten. 5. Aus welchem Grund sollten Sie bei der Definition der Stammdomäne für die Gesamtstruktur besonders umsichtig vorgehen? Definieren Sie Ihre Gesamtstruktur-Stammdomäne mit Bedacht. Sobald Sie die Stammdomäne der Gesamtstruktur benannt haben, ist eine Änderung der Stammdomäne ohne Umbenennung und Umarbeitung der gesamten Active DirectoryStruktur nicht mehr möglich. 6. Wie lautet der Hauptgrund für die Definition einer OU? Der Hauptgrund für die Definition einer OU ist die Delegierung von Verwaltungsaufgaben. Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5) Jill Spealman, Kurt Hudson, Melissa Craft: Microsoft Windows Server 2003 Active Directory-Infrastruktur - Original Microsoft Training: Examen 70-294, 2. Auflage. Microsoft Press 2006 (ISBN 978-3-86645-904-5)