M 3.64 Einführung in Active Directory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Active Directory ist der zentrale Datenspeicher für sämtliche Verwaltungsdaten einer Domäne auf Basis der Serverbetriebssysteme Windows Server 2000 und Windows 2003 Server. Die Serverbetriebssysteme werden im Folgenden unter dem Begriff "Windows-Server" zusammengefasst. Abstrakt gesehen, bildet das Active Directory eine hierarchisch und baumartig organisierte, Objekt-basierte Datenbank. Es ist an den Verzeichnisdienst-Standard X.500 angelehnt, von dem es die interne Struktur und den internen Aufbau entliehen hat. Es ist jedoch kein X.500 kompatibler Verzeichnisdienst.

Das Windows-Server Domänenkonzept gleicht auf Domänenebene prinzipiell dem Windows NT Domänenkonzept: in einer Domäne werden Rechner und Benutzer zusammengefasst und können durch den Domänenadministrator verwaltet werden. Eine Domänengrenze bildet grundsätzlich eine administrative Grenze und begrenzt auch den Wirkungsbereich von Berechtigungen. Zusätzlich zu diesem Konzept bieten Windows-Server an, Domänen baumartig miteinander in Beziehung zu setzen, so dass Vater-Kind-Beziehungen zwischen Domänen bestehen können. Eine Kind-Domäne wird dabei auch als Sub-Domäne bezeichnet, da sich der Name der Kind-Domäne aus dem Namen der übergeordneten Domäne ableitet, indem diesem Namen der Name der Domäne durch einen Punkt getrennt angehängt wird.

Beispiel:
Name der Vater-Domäne: unternehmen.de
Name der Sub-Domäne: verwaltung.unternehmen.de

Der so aufgespannte Namensraum ist mit dem zugehörigen DNS Namensraum identisch und kann auch nicht verschieden von diesem gebildet werden. Domänen, die einen gemeinsamen Namensstamm besitzen, bilden einen Baum (englisch Tree).

Darstellung eines Forrest samt Trees

Domänen, die in mehreren Bäumen angesiedelt sind - also unterschiedliche Namensräume aufspannen - können dennoch gemeinsam verwaltet werden.

Derart zusammengeschlossene Domänenbäume bilden einen Wald (englisch Forest). Insbesondere bildet eine einzige alleinstehende Domäne auch einen Baum und gleichzeitig auch einen Wald.

In einem Wald gibt es immer eine ausgezeichnete Domäne, die eine gewisse Sonderstellung besitzt. Es ist die als erstes erzeugte Domäne, die auch als Forest-Root-Domäne (FRD, Wurzel-Domäne des Waldes) bezeichnet wird. Die Sonderstellung besteht darin, dass Administratoren der Forest-Root-Domäne im gesamten Forest weitreichende Berechtigungen besitzen. Für die Mitglieder der Gruppe Organisations-Admins stellen die Domänengrenzen keine administrativen Grenzen dar, da sie in allen Domänen Zugriffsrechte besitzen. Beim Aufbau eines Windows Domänenverbundes ist zu bedenken, dass die zuerst erzeugte Domäne immer die Forest-Root-Domäne ist. Insbesondere kann die "Rolle" der Forest-Root-Domäne nachträglich nicht auf eine andere Domäne "übertragen" werden, so dass die Domänenstruktur ggf. vollständig in der gewünschten Form neu erzeugt werden muss.

Das Active Directory besteht aus verschiedenen Objekten, den Active Directory Objekten (ADOs). Jedes Objekt besitzt einen ausgezeichneten Typ, wie z. B. Benutzerobjekt oder Rechnerobjekt, und ist gemäß dieses Typs aus verschiedenen Attributen zusammengesetzt. Die verschiedenen Objektattribute können verschiedene Werte aufnehmen, wie z. B. Telefonnummer oder IP-Adresse. Das Active Directory kennt verschiedene vordefinierte Objekttypen:

Der generelle Active Directory-Aufbau lässt sich wie folgt darstellen:

Nach einer Standardinstallation existiert eine einfache und flache Active Directory-Struktur, die von einem Windows-Server angelegt wird und dann entsprechend der Active Directory-Planung verändert werden muss. Da das Active Directory primär der Verwaltung eines Windows Systems dient, sollte beim Aufbau der Active Directory-Struktur darauf geachtet werden, dass die Struktur vornehmlich auf administrative Gegebenheiten abgestimmt wird. Wenn stattdessen zwanghaft die organisatorische Struktur einer Institution bis ins Kleinste nachgebildet wird, kann dies zu Problemen in der Administration führen.

Die möglichen Anordnungen von Active Directory-Objekten, d. h. die Festlegung welches Objekt welche anderen Objekte enthalten darf, welche Attribute existieren und aus welchen Attributen Objekte zusammengesetzt werden, wird durch das so genannte Active Directory-Schema definiert. Das von Microsoft vorgegebene Active Directory-Schema kann auch verändert werden. Dies stellt jedoch einen gravierenden Eingriff in das Active Directory dar, der nur nach sorgfältiger Planung durchgeführt werden darf. Eine Schema-Änderung wirkt sich in allen gemeinsam verwalteten Domänen, d. h. im Wald bzw. Forest, aus. Da die Schemaänderung eine kritische Operation ist, kann diese nur an genau einem Rechner, dem so genannten Schema-Master, durch Mitglieder der Gruppe Schema-Admins durchgeführt werden. Schemaänderungen können zudem u. U. nicht mehr rückgängig gemacht werden. Die Mitgliedschaft in dieser Gruppe ist daher unbedingt restriktiv zu vergeben und streng zu kontrollieren.

Die Mitglieder der Gruppe "Organisations-Admins", zu der in der Voreinstellung der Administrator der Forest Root Domäne gehört, haben besondere Befugnisse in allen Domänen des Netzes.

Sie können z. B. neue Domänen in den Forest aufnehmen und haben Administratorrechte auf allen Domänen Controllern des Active Directory.

Innerhalb einer einzelnen Domäne erfolgt die Administration durch Mitglieder der jeweiligen (domänen-spezifischen) Gruppe "Domänen-Admins". Diese Gruppe verfügt innerhalb einer Domäne über unbeschränkte administrative Berechtigungen. Es ist jedoch möglich, einzelne administrative Aufgaben auch für andere Benutzerkonten zu ermöglichen und so administrative Aufgaben zu delegieren (siehe auch M 2.230 Planung der Active Directory-Administration).

Eine Delegation administrativer Aufgaben innerhalb einer Domäne kann auch so erfolgen, dass lediglich die Administration eines Teils der Benutzerkonten und Computer einer Domäne delegiert wird. Dies ist innerhalb der Grenzen der OUs möglich, die zur Gruppierung von Benutzer- bzw. Computerkonten innerhalb der Domäne dienen.

Eine Vielzahl von Windows-Client-Konfigurationsparametern ist in den "Gruppenrichtlinien" zusammengefasst. Neben den lokalen Gruppenricht-linien auf jedem einzelnen Windows-Client-Rechner gibt es auch Gruppen-richtlinien, die im Active Directory gespeichert sind. Dies gestattet es, Rechner oder Benutzerkonten zentral zu konfigurieren. Wirkungsbereich einer solchen, im ADgespeicherten Gruppenrichtlinie, können unter anderem ganze Domänen oder OUs sein. Hier dienen OUs zur Gruppierung gleichartig konfigurierter Rechner oder Benutzerkonten. Da sich OUs schachteln lassen und mit einer einzelnen OU mehrere Gruppenrichtlinien verbunden sein können, wirken auf einen einzelnen Rechner unter Umständen viele verschiedene Gruppenrichtlinien ein (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien).

Zur Speicherung der Daten wird eine relationale, transaktionsorientierte Datenbank verwendet. Diese Datenbank wird auf speziellen Servern, den "Domänen-Controllern", verteilt. Der Domänen-Controller nutzt dabei das Active Directory, um eine zentrale Authentisierung und Autorisierung von Benutzern und Computern in einer Domäne zur Verfügung zu stellen. Folgende Protokolle werden dazu verwendet:

Mit einigen Ausnahmen enthält jeder Domänen-Controller dabei nur die Daten seiner eigenen Domäne. Diese Ausnahmen sind:

Das Active Directory wird auf Domänen Controllern gehalten und innerhalb einer Domäne zwischen diesen durch Replikation synchronisiert. Das Active Directory einer Domäne enthält nur domänenbezogene Informationen. Um in einem Forest schnell auf Informationen aus dem gesamten Forest zugreifen zu können, wird der so genannte Global Catalog (GC) aufgebaut. Er besteht aus Teilinformationen von Active Directory-Objekten und wird im gesamten Forest repliziert, so dass über den Global Catalog in einer Domäne auch direkt auf Informationen aus anderen Domänen zugegriffen werden kann.

Neben der beschriebenen baumartigen und hierarchischen Struktur baut Windows-Server automatisch eine zusätzliche und orthogonale Struktur auf. Räumlich nahe Rechner - dies bestimmt Windows-Server über Netzlaufzeiten - werden zu so genannten Standorten (englisch Sites) zusammengefasst. Über Sites wird u. a. auch die Replikationsstruktur von Domänen Controllern gesteuert. Pro Site muss mindestens ein Rechner existieren, der eine Kopie des Global Catalogs hält. Der Global Catalog muss im Rahmen des Anmeldeprozesses eines Benutzers angefragt werden, so dass bei der Anmeldung immer ein Global Catalog-Server zugreifbar sein muss. Die von Windows-Server automatisch aufgebaute Standortstruktur sollte an die behörden- oder unternehmensinternen Gegebenheiten, wie z. B. Standorte in verschiedenen Städten oder Ländern, individuell angepasst werden. Da dies Einfluss auf die Active Directory-Replikationsbeziehungen hat, ist dazu jedoch ein Konzept zu erstellen.

Diese Rollen werden in der Windows-Server Terminologie auch als FSMO-Rollen (FSMO = Flexible Single Master Operations) bezeichnet. Bestimmte Änderungen können daher nur an dem Rechner vorgenommen werden, dem die jeweilige Rolle zugeordnet ist.

Der Abgleich der Daten zwischen den einzelnen Domänen-Controllern kann über zwei verschiedene Replikationsmechanismen erfolgen. Welcher Mechanismus verwendet wird, lässt sich ebenso konfigurieren wie die Zeitabstände, in denen die Replikation erfolgt.

Durch das Konzept der verteilten Datenbanken kann eine gewisse Ausfallsicherheit des Active Directory erreicht werden, problematisch sind dabei jedoch die Inhaber der FSMO-Rollen.

Ab Windows 2000 Server werden die Daten des Active Directory mittels Multi-Master-Replikation zwischen den Domänen-Controllern einer Organisation repliziert. Auf jedem Domänen-Controller existiert somit ein Replikat des Active Directory, das geändert und als Grundlage für zukünftige Replizierungen dienen kann. Bei der Verwendung mehrerer Domänen-Controller in einer Institution werden so redundante Kopien des Active Directory erzeugt und die Wahrscheinlichkeit eines Totalausfalls minimiert.