M 4.414 Überblick über Neuerungen für Active Directory ab Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Grundsätzliches

Das mit Windows 2000 Server eingeführte Active Directory stellt unter Windows Server 2008 und Windows 7 die elementare Basis der Benutzer- und Objektverwaltung dar. Trotz der teilweise erheblichen Neuerungen, die ein Domänen-Controller unter Windows Server 2008 bietet, bleiben wesentliche Anforderungen an die Planung und Konfiguration des Active Directory erhalten (siehe M 2.230 Planung der Active Directory-Administration und M 2.231 Planung der Gruppenrichtlinien unter Windows ). Bedingt durch die grundsätzlichen Möglichkeiten, die verschiedenen Rollen des Active Directory zu trennen oder einen sogenannten Read-Only Domain Controllers (RDOC) einzusetzen, kommt der Planungsphase unter Windows Server 2008 und seinem Active Directory jedoch eine verstärkte Bedeutung zu.

Neuerungen ab Windows Server 2008

Neben dem zentralen Dienst des Active Directory, den sogenannten Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), sind vier weitere Active Directory-Dienste als Rolle installierbar:

Diese Dienste sind jeweils als einzelne Rolle auswählbar und können auf einem dedizierten System installiert werden.

Weitere grundsätzliche Neuerungen

Eine der wesentlichen Neuerungen des Windows Server 2008 ist die Einführung des sogenannten Read-Only Domain Controllers (RODC). Dieses Server-System stellt einen Domänen-Controller dar, der ausschließlich Lesezugriff auf den Verzeichnisdienst gewährt. Geeignet ist der RODC für Systeme, auf die der physische Zugriff durch große Benutzerkreise nicht verhindert werden kann, zum Beispiel weil die Aufstellung des Systems in einer gesicherten RZ-Umgebung nicht möglich ist. Unterschiede zum normalen Domain Controller sind:

Neu sind auch die sogenannten Verwalteten Dienstkonten, die mit Windows Server 2008 R2 eingeführt wurden. Damit ist eine zentrale Verwaltung von Dienstkonten über das Active Directory möglich (siehe M 4.284 Umgang mit Diensten ab Windows Server 2003 ).

Mit den granularen Kennwort- und Kontosperrungsrichtlinien besteht nun die Möglichkeit, abgestufte Passwort-Richtlinien innerhalb einer Domäne zu nutzen (siehe M 4.48 Passwortschutz unter Windows-Systemen ).

Weitere grundlegende Neuerungen des Active Directory ab Windows Server 2008 R2 sind: