G 2.68 Fehlende oder unzureichende Planung des Active Directory
Die globale Struktur des Active Directory, also die Gliederung in Domänen, hat weitreichende Auswirkungen auf die Sicherheit einer Windows 2000 Installation. Problematische Aspekte ergeben sich hier besonders dann, wenn für die verschiedenen Domänen unterschiedliche Sicherheitsanforderungen bestehen oder Domänen zu verschiedenen Organisationsbereichen gehören.
Bei fehlender oder unzureichender Planung ergeben sich beispielsweise folgende domänenübergreifende Gefährdungen:
- Alle Domänen in einem Active Directory müssen das gleiche Schema verwenden. Soll auch nur in einer Domäne eine Software installiert werden, die eine Schemaänderung benötigt, müssen alle anderen Domänen diese Änderung mit tragen. Inkompatible Schemaänderungen durch verschiedene Softwareprodukte können dann dazu führen, dass Software nicht installiert werden kann oder fehlerhaft abläuft.
- Bestimmte Benutzerdaten aus dem Active Directory (Global Catalog) stehen in jeder Domäne zur Verfügung. Dies kann unter Aspekten des Datenschutzes problematisch sein.
- Administratoren der Forest Root Domain haben weitreichende Befugnisse auch in anderen Domänen.
- Ist eine Domäne auf mehrere Standorte verteilt, die nur unzureichend miteinander vernetzt sind, kann es zu lange dauern, bis eine Kontosperrung in allen Standorten wirksam wird. Daher kann sich ein Benutzer, dessen Konto gesperrt worden ist, u. U. noch an anderen Standorten am System unberechtigt anmelden.
Auch innerhalb einer Domäne muss der Aufbau des Active Directory sorgfältig geplant werden, da sich sonst beispielsweise folgende Gefährdungen ergeben:
- Werden Rechner und Benutzerkonten in den voreingestellten Containern Computer und Benutzer unterhalb der Domäne angeordnet, ist keine Gruppenrichtlinien-Konfiguration entsprechend verschiedener Typen von Benutzerkonten oder verschiedener Computertypen möglich.
- Werden Organisations-Einheiten (OUs) tief geschachtelt, so kann die Struktur der Domäne unüberschaubar werden, so dass das Active Directory anfälliger für Fehlkonfigurationen wird. Zudem sinkt die Performance des Active Directory Dienstes mit der Schachtelungstiefe, wenn OUs zu tief, d. h. über mehr als 4 Ebenen, geschachtelt werden.