1 Das Active Directory-Domänenkonzept von Windows
Transcription
1 Das Active Directory-Domänenkonzept von Windows
Das Active Directory-Domänenkonzept von Windows Server 2012 1 Das Active Directory-Domänenkonzept von Windows Server 2012 Microsoft hat mit Windows NT das Konzept der Domäne (engl. Domain) eingeführt. Das Wort Domäne bedeutet eigentlich nur "Bereich", in diesem Zusammenhang sind zentral verwaltete PCs, Benutzer, Ressourcen (freigegebene Ordner und Drucker) gemeint. Eine Domäne gestattet also die zentrale Verwaltung von Benutzern, PCs und Ressourcen in einem Unternehmen. Seit Windows 2000 wird der Verzeichnisdienst Active Directory als zentraler Dienst für die Verwaltung von Domänen verwendet. Ein Server-PC, auf dem die Active Directory Domain Services (ADDS) installiert sind, wird als "Domänencontroller" (DC) bezeichnet. 1.1 Bestandteile der Active Directory Domain Services Die Active Directory Domain Services bestehen – grob gesprochen – aus folgenden Bestandteilen: • AD-Datenbank mit dem Dateinamen NTDS.DIT: In dieser Datenbank sind sämtliche verwalteten Objekte enthalten, zum Beispiel Benutzer-, Computer- und Gruppenkonten, Gruppenrichtliniencontainer, veröffentlichte Freigaben usw. • ESE (Extensible Storage Engine; esentutil.dll): Dieser Dienst führt Zugriffe auf die ADDatenbank durch • DSA (Directory System Agent; ntdsa.dll): Die DSA stellt die Schnittstellen zur Verfügung, über die Directory Service-Clients und andere DCs Zugriff auf die ADDS-Datenbank erhalten. Außerdem verwaltet die DSA das ADDS-Schema, garantiert die Identität von Objekten und erzwingt für jedes Attribut den vorgegebenen Datentyp. • Kerberos v5: Ein Protokoll, mit dem Benutzer und Computer eine sichere Anmeldung an ADDomänen durchführen können • LDAP (Lightweight Directory Access Protocol): Mit diesem Protokoll können Objekte in der hierarchisch strukturierten AD-Datenbank schnell gefunden werden. • DFSR (Distributed File System Replication): In einer Active Directory-Domäne kann es mehrere gleichberechtigte DCs geben. Jeder DC repliziert alle Objekte, die zur Domäne gehören, auf alle anderen DCs dieser Domäne. Auch Dateien müssen mitrepliziert werden, etwa der SYSVOL-Ordner. Seit Windows Server 2008 wird die SYSVOL-Replikation zwischen Windows Server-DCs durch den DFSR-Dienst durchgeführt. Für die Replikation zu Windows 2000/2003-DCs wird der bisher eingesetzte FRS-Dienst weiterverwendet. Restartable Active Directory: Neu seit Windows Server 2008 ist die Tatsache, dass die Active Directory-Dienste (Dienstname: NTDS) gestoppt werden können. Tut man das, so verhält sich der Server wie ein Mitgliedsserver, das bedeutet, eine Domänenanmeldung ist weiterhin möglich, falls es weitere DCs gibt. 13 Windows Server 2012 - Active Directory Beim Beenden der ADDS-Dienste wird die Abhängigkeit anderer zentraler Dienste sichtbar: • Der Dateireplikationsdienst (FRS, File Replications Service) steuert die Replikation des Ordners SYSVOL, der u.a. Gruppenrichtlinienobjekte und Anmeldescripts enthält. • Das Kerberos-Schlüsselverteilungscenter (KDC, Key Distribution Center) spielt bei der Computer- und Benutzeranmeldung eine zentrale Rolle. • Ohne DNS-Server mit AD-integrierten DNSZonen ist ein ADDS-Domänenbetrieb ohnehin nicht möglich. • Der Standortübergreifende Messagingdienst (Inter-Site Messaging Service, ismserv) ermöglicht den Nachrichtenaustausch für Computer, die Windows-Standorte betreiben. Weitere Dienste, die auf einem DC laufen müssen: • TrkWrks, TrkSrv (Distributed Link Tracking Workstation/Server, deutscher Anzeigename: Überwachung verteilter Verknüpfungen): Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einem Netzwerk aufrecht. Der Tracking Server-Dienst läuft auf jedem DC und verwaltet Informationen über Verknüpfungen zu Dateien oder Ordnern auf NTFS-Partitionen. Werden diese verschoben, so kann trotzdem die Quelle wiedergefunden werden. • DFS (Distributed File System) 1.2 Forest – Tree – Domain Active Directory-Domänen stellen eine administrative Grenze dar, das bedeutet: • Die Verwaltung jeder Domäne erfolgt durch eigene Domänenadministratoren. • Die Domäne verfügt über gemeinsame Sicherheitsrichtlinien (Kennwortlänge, Kennwortkomplexität usw.). Eine Active Directory-Domäne stellt allerdings nur einen Teil einer vollständigen Active DirectoryImplementierung dar: 14 Das Active Directory-Domänenkonzept von Windows Server 2012 Zeichenerklärung: Stammdomäne (root domain) der Gesamtstruktur mit dem DNS-Domänennamen contoso.intern; die Stammdomäne gibt auch der Gesamtstruktur ihren Namen. Die Domäne, die als erstes erstellt wird, ist automatisch die Stammdomäne der Gesamtstruktur. Active Directory-Domäne mit dem DNS-Domänennamen fabrikam.intern Automatisch erstellte, bidirektionale, transitive Vertrauensstellung Eine vollständige Instanz von Active Directory wird als Gesamtstruktur (engl. Forest) bezeichnet. "Instanz" bedeutet einen Implementierungsumfang, in dem jeder "Teil" von Active Directory mindestens einmal vorkommt. Eine Gesamtstruktur bildet eine Sicherheitsgrenze, das bedeutet, dass sicherheitskritische Informationen nicht über diese Grenze weitergegeben werden. So ist es beispielsweise innerhalb der Gesamtstruktur immer möglich, dass jeder Benutzer sich an jeder Domäne dieser Gesamtstruktur anmeldet, ganz egal, zu welcher AD-Domäne sein Benutzerkonto gehört. Genauso ist der Zugriff auf freigegebene Ordner in allen Domänen der Gesamtstruktur ohne zusätzliche Anmeldung möglich (falls der Benutzer die entsprechenden Freigabe- und NTFSBerechtigungen auf die freigegebenen Ordner besitzt). Domänen haben immer DNS-Namen (Domain Name System). DNS-Namen müssen aus mindestens zwei Teilen bestehen. Domänen, die einen gemeinsamen Namensraum besitzen (in der Zeichnung etwa contoso.intern, hr.contoso.intern und rd.contoso.intern), bilden eine Struktur (engl. Tree). Während die Begriffe "Domäne" und "Gesamtstruktur" ganz wesentlichen Einfluss auf die technische Umsetzung haben, ist der Begriff "Struktur" vergleichsweise unwichtig. 15 Windows Server 2012 - Active Directory Man unterscheidet zwei Typen von Gesamtstrukturen: • Single-Domain-Forest: Darunter versteht man eine Gesamtstruktur mit nur einer einzigen Domäne. Die Domäne und die Gesamtstruktur haben in diesem Fall denselben Namen und werden gleichzeitig erzeugt. Der Single-Domain-Forest ist für praktisch alle Klein- und Mittelbetriebe die empfohlene Installationsvariante; Microsoft empfiehlt allerdings auch für große Umgebungen – wenn möglich – die Einrichtung einer einzigen Domäne. • Multiple-Domain-Forest: Darunter versteht man eine Gesamtstruktur mit mehr als einer Domäne. Für die meisten in Österreich ansässigen Unternehmen besteht keine Notwendigkeit, solche Konfigurationen einzurichten. Die erste Domäne in einer ADDS-Gesamtstruktur wird als Stammdomäne bezeichnet. Sie hat allein deswegen eine Sonderstellung, weil sie die einzige Domäne ist, deren Namen mit dem Gesamtstruktur-Namen übereinstimmt. Microsoft empfiehlt – wenn möglich – einen SingleDomain-Forest, also eine Gesamtstruktur mit nur einer einzigen Domäne einzurichten. Dies reduziert den Verwaltungsaufwand und auch die Komplexität. Trotzdem darf nicht vergessen werden, dass auch diese eine Domäne Teil einer Gesamtstruktur mit demselben Namen ist. Gründe für mehrere Domänen gibt es nur zwei: • Es sind verschiedene Sicherheitsrichtlinien innerhalb der Firma notwendig (etwa unterschiedliche Kennwortlängen). • Die Verwaltung von mehreren Bereichen muss unabhängig voneinander erfolgen können. Die jeweiligen Administratoren müssen sich nicht absprechen. Domänen sind Verwaltungsgrenzen in Microsoft-Netzwerken. Die Gesamtstruktur stellt die Sicherheitsgrenze dar. Ein Forest darf (theoretisch) maximal 800 Domains enthalten; ab Gesamtstruktur-Funktionsebene Windows Server 2003 sind 1200 Domains möglich. Domänen werden gesteuert von Domänencontrollern (DC), das sind Server-PCs, auf denen die Active Directory-Dienste installiert sind. Diese Dienste verwenden eine Datenbank namens NTDS.DIT, die standardmäßig auf %system%\NTDS zu finden ist. Die Anzahl der Domänencontroller pro Domäne soll 1200 nicht überschreiten. Die Active Directory-Verzeichnisdienste verwenden DNS sowohl für die Auflösung von Netzwerkressourcen (zB PC-Namen) als auch für Internet-Namensauflösung. Ohne funktionierende DNS-Infrastruktur funktionieren AD-Domänen nicht ordnungsgemäß! Active Directory arbeitet mit allen Anwendungen und Verzeichnissen zusammen, die das LDAP = Lightweight Directory Access Protocol unterstützen. Folgende Standards für das Ansprechen von Benutzern und Ressourcen sind zulässig: • UNC (NT-4-Standard): \\server.noe.wifi.at\Projekte • RFC 822-kompatible Namen, User Principal Name: e-mail-artige Namen, zB CZahler@noe.wifi.at • HTTP: http://contoso.intern/trainer/CZahler • LDAP: LDAP://CN=Christian Zahler,OU=trainer,DC=contoso,DC=intern Derzeitige Anwendung von LDAP im Internet: Abfragen von e-Mail-Adressen von Benutzern (etwa bei www.yahoo.com o.ä.) 16 Das Active Directory-Domänenkonzept von Windows Server 2012 1.3 Entstehung des Active Directory-Konzepts Das Active Directory-Konzept hat zwei Ursprünge: • X.500-Verzeichnisdienst, eine ISO-Norm, an die sich viele kommerzielle Anbieter anzulehnen versuchen (Microsoft: Active Directory, Novell: eDirectory etc.) • Directory Access Protocol (DAP), wird auch grundlegend verwendet für den X.400-MailTransport (Exchange Server) Active Directory verwendet eine vereinfachte Implementierung dieser beiden Standards. 1.4 Active Directory-Namenskonventionen Für die Strukturierung der Objekte im Active Directory ist es nötig, einen bestimmten Namensaufbau zu verwenden. Oft verwendet man distinguished names (DN) mit folgendem Aufbau: • CN (common name): Name des Objekts; bei einem Benutzer etwa der angezeigte Name • DC (domain component): Teil eines Domänennamens • OU (organizational unit): Organisationseinheit Wie aus der Abbildung ersichtlich, hat das User-Objekt "Christian Zahler" folgenden DN: CN=Christian Zahler,CN=Users,DC=zahler,DC=at Befindet sich ein Benutzerobjekt jedoch in einer Organisationseinheit, so muss diese mit angegeben werden: 17 Windows Server 2012 - Active Directory Der DN von "Gerhard Gruber" lautet: CN=Gerhard Gruber,OU=Marketing,DC=zahler,DC=at Aus dieser Angabe ist es aber nicht möglich, den Anmeldenamen oder die e-mail-Adresse von "Gerhard Gruber" festzustellen. Ein RDN (relative distinguished name) kann verwendet werden, wenn klar ist, von welcher Hierarchieebene ausgegangen wird. Ist klar, dass man von der OU-Ebene "Marketing" ausgeht, so lautet der RDN von "Gerhard Gruber" einfach CN=Gerhard Gruber Hinweis: LDAP- und X.500-Namen ist genauso aufgebaut wie Active Directory-Namen, allerdings verwendet LDAP Schrägstriche statt den Kommas, X.500 verwendet Strichpunkte statt /. LDAP://CN=Gerhard Gruber,OU=Marketing,DC=fabrikam,DC=intern Man unterscheidet – grob gesprochen – zwei Typen von ADDS-Objekten: 18 • Container-Objekte: Diese können weitere Container-Objekte und Blatt-Objekte „beinhalten“. Beispiele: Domänen-Objekt, Organisationseinheit, Standort. • Blatt-Objekte (engl. leaves): Diese beinhalten keine weiteren Objekte; sie sind durch ihre Attribute gekennzeichnet. Beispiele: Benutzerkonten, Computerkonten, Gruppen. Gesamtstruktur- und Domänenfunktionsebenen 2 Gesamtstruktur- und Domänenfunktionsebenen 2.1 Domänenfunktionsebenen Funktionsebenen bestimmen die Features von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), die in einer Domäne oder Gesamtstruktur aktiviert sind. Außerdem beschränken sie, welche Windows Server-Betriebssysteme auf den Domänencontrollern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Die Funktionsebenen haben jedoch keine Auswirkung darauf, welche Betriebssysteme auf den Arbeitsstationen und Mitgliedsservern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Windows 2000 mixed Windows 2000 native („pur“) Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 ● ● ● ● ● ● ● ● ● Windows Server 2012-DCs Windows Server 2008 R2-DCs Windows Server 2008-DCs Windows Server 2003 [R2]-DCs Windows 2000 Server-DCs Domänenfunktionsebene Windows NT 4.0-BDCs Grundsätzlich sollte eine möglichst hohe Domänenfunktionsebene angestrebt werden. ● ● ● Als Standardeinstellung wird immer die niedrigstmögliche Domänenfunktionsebene ausgewählt; installiert man einen DC unter Windows Server 2008, so wird als Domänenfunktionsebene Windows 2000 einheitlich (native) festgelegt, für Windows Server 2008 R2-Domänen lautet die Standardeinstellung Windows Server 2003. Hinweise: • Beachten Sie, dass die Domänenfunktionsebene Windows 2000 mixed unter Windows Server 2008 nicht mehr zur Verfügung steht. Ein gemeinsamer Betrieb von Windows Server 2008DCs mit Windows NT 4.0 Server-BDCs wird also nicht mehr unterstützt. • Die Domänenfunktionsebene betrifft ausschließlich Domänencontroller. Natürlich ist es weiterhin möglich, in einer Domäne mit Domänenfunktionsebene Windows Server 2008 einen Mitgliedsserver mit dem Betriebssystem Windows 2000 Server zu betreiben. Ändern der Domänenfunktionsebene: Das Ändern der Domänenfunktionsebene erfolgt im Snap-In "Active Directory-Benutzer und -Computer". 19 Windows Server 2012 - Active Directory Durchführen der Umstufung: 20 Gesamtstruktur- und Domänenfunktionsebenen Nachdem Sie die Domänenfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie die Domänenfunktionsebene nicht zurücksetzen oder herabstufen. Dabei gibt es eine Ausnahme: Wenn Sie die Domänenfunktionsebene auf Windows Server 2008 R2 oder Windows Server 2012 heraufstufen und die Domänenfunktionsebene Windows Server 2008 oder niedriger ist, können Sie die Domänenfunktionsebene auf Windows Server 2008 oder Windows Server 2008 R2 zurücksetzen. Sie können die Domänenfunktionsebene nur von Windows Server 2012 auf Windows Server 2008 R2 oder Windows Server 2008 oder von Windows Server 2008 R2 auf Windows Server 2008 herabstufen. Wenn die Domänenfunktionsebene auf Windows Server 2008 R2 festgelegt ist, kann sie beispielsweise nicht auf Windows Server 2003 zurückgesetzt werden. Die Änderungen lassen sich am besten in den Eigenschaften des Domänencontrollers verfolgen: Domänenfunktionsebene „Windows 2000 einheitlich“: Domänenfunktionsebene „Windows Server 2003“: Verfügbare Funktionalität ab Domänenfunktionsebene „Windows 2000 einheitlich“ (engl. „Windows 2000 native“): • universelle Gruppen • Gruppenverschachtelung • Gruppentypkonvertierung • SID-Verlauf Für Domänencontroller, auf denen höhere Versionen von Windows Server ausgeführt werden, sind einige erweiterte Funktionen nicht verfügbar, solange die Domäne sich auf der Funktionsebene von Windows 2000 einheitlich befindet. 21 Windows Server 2012 - Active Directory Verfügbare Funktionalität ab Domänenfunktionsebene „Windows Server 2003“: Zusätzlich zu den in der Domänenfunktionsebene "Windows 2000 einheitlich" verfügbaren Features kommen folgende Features hinzu: • Eingeschränkte Delegierung zur Nutzung der sicheren Delegierung von Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls. • Updates für "lastLogonTimestamp": Das Attribut "lastLogonTimestamp" wird mit der letzten Anmeldezeit des Benutzers oder des Computers aktualisiert und innerhalb der gesamten Domäne repliziert. • Möglichkeit, das Attribut "userPassword" als effektives Kennwort für "inetOrgPerson" und Benutzerobjekte zu verwenden. • Möglichkeit, die Benutzer- und Computercontainer zum Festlegen eines neuen bekannten Speicherorts für Benutzer- und Computerkonten umzuleiten. • Minimale Voraussetzung für Installation eines Read Only Domain Controllers (RODC) Verfügbare Funktionalität ab Domänenfunktionsebene „Windows Server 2008“: Zusätzlich zu den in der Domänenfunktionsebene "Windows Server 2003" verfügbaren Features kommen folgende Features hinzu: • Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem (DFS), das eine stabilere und genauer abgestimmte Replikation von SYSVOL-Inhalt ermöglicht. • Unterstützung des Kerberos-Protokolls durch die erweiterten Verschlüsselungsdienste (AES 128 und 256). • Letzte interaktive Anmeldeinformationen, mit denen der Zeitpunkt der letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die Anzahl der fehlgeschlagenen Anmeldeversuche seit der letzten Anmeldung und der Zeitpunkt der letzten fehlgeschlagenen Anmeldung angezeigt werden. • Abgestimmte Kennwortrichtlinien, die ermöglichen, dass Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne angegeben werden können Verfügbare Funktionalität ab Domänenfunktionsebene „Windows Server 2008 R2“: Die auf der Domänenfunktionsebene von Windows Server 2008 R2 verfügbaren Features umfassen neben den auf der Domänenfunktionsebene von Windows Server 2008 verfügbaren Features zusätzlich folgendes Feature: • Authentifizierungszusicherung, mit der anhand des Kerberos-Tokens eines Benutzers bestimmt werden kann, welche Anmeldemethode von diesem Benutzer verwendet wurde. 2.2 Gesamtstrukturfunktionsebenen von Windows Server 2012Gesamtstrukturen Auch die Gesamtstruktur-Funktionsebene legt den Umfang von verwendbaren Features fest. Gesamtstrukturfunktionsebene Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Unterstützte Domänenfunktionsebenen alle alle ab Windows Server 2003 alle ab Windows Server 2008 alle ab Windows Server 2008 R2 alle ab Windows Server 2012 So wie Domänenfunktionsebenen, können auch Gesamtstrukturfunktionsebenen nur erhöht (hinaufgestuft), aber nicht mehr erniedrigt (herabgestuft) werden. 22