Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 3.27 Schulung zur Active Directory-Verwaltung - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 3.27 Schulung zur Active Directory-Verwaltung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Das Active Directory ist die zentrale Datenbank von Windows 2000, in der Benutzerdaten, Gruppenzugehörigkeiten und andere Verwaltungsdaten abgelegt werden. Als Clients können im Active Directory nicht nur Windows 2000, sondern auch Windows XP Systeme verwaltet werden.

Für die Administration eines Windows 2000/XP Netzes werden detaillierte Kenntnisse des Active Directory und seiner grundlegenden Konzepte benötigt. Ansonsten kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitstechnische Auswirkungen haben können. Eine Schulung der Administratoren auf diesem Gebiet und insbesondere zu Active Directory Sicherheitsthemen ist daher unerlässlich.

Im Folgenden wird in kurzen Stichpunkten zusammengefasst, welche Fachkenntnisse mindestens zur sicheren Administration des Active Directory notwendig sind. Um diese Stichpunkte auch begrifflich besser einordnen zu können, wird zunächst ein kurzer Abriss des Active Directory, seiner Strukturen und Komponenten dargestellt.

Active Directory - Abriss

Das Active Directory Konzept von Windows 2000 greift weiter als das Domänen-Konzept von Windows NT, da das Active Directory eine Integration verschiedener Domänen in ein Gesamtverzeichnis erlaubt. Das folgende Bild zeigt die mögliche Gesamtstruktur eines Windows 2000/XP Netzes:

Gesamtstruktur eines Windows 2000/XP Netzes

Abbildung: Gesamtstruktur eines Windows 2000/XP Netzes

Zwischen all diesen Domänen bestehen direkte (einzelne Pfeile) bzw. indirekte (über mehrere Pfeile hinweg) Kerberos-Vertrauensbeziehungen, so dass die Authentisierung eines Benutzers oder Computers über jeden Domain Controller des Forests vorgenommen werden kann. Windows 2000/XP nutzt zur Namensauflösung von Rechnern das DNS (Domain Name Service) Verfahren des Internets, so dass jede Domäne über einen eindeutigen Namen im DNS-Format verfügen muss. Die Domänen sind dabei entsprechend ihrer Namen in einer Baumstruktur angeordnet. Eventuell sind in einem Windows 2000 Netz (Forest) mehrere solcher Bäume zusammengefasst. Die Gliederung eines Windows 2000 Netzes in Bäume hat Auswirkungen auf die technische Realisierung der Netzfunktionalität, jedoch keine unmittelbaren Auswirkungen für die Rechtevergabe und Delegation von administrativen Tätigkeiten. Hinweise zur Strukturierung eines Windows 2000 Netzes finden sich in M 2.229 Planung des Active Directory.

Die Administration von Windows 2000 erfolgt im Wesentlichen innerhalb der einzelnen Domänen. Übergreifende Bedeutung für das Active Directory hat dabei nur die so genannte Forest Root Domäne. Das ist die erste Domäne, die in einem Windows 2000 Netz installiert wird. Der Administrator dieser Forest Root Domäne ist in der Windows 2000 Voreinstellung das einzige Mitglied der beiden Gruppen Schema-Admins und Organisations-Admins.

Mitglieder der Gruppe Schema-Admins können die Struktur der Active Directory Datenbank, das so genannte Schema ändern. Durch das Schema wird bestimmt, aus welchen Objekten das Active Directory aufgebaut werden kann (Definition von Objekttypen), wie die Objekte selbst aufgebaut sind (Definition von Objektattributen) und wie die Objekte im Active Directory angeordnet werden können (Definition der Struktur). Schemaänderungen sind immer ein weitreichender Eingriff in ein Windows 2000 Netz, da sie immer alle Domänen des Forests betreffen. Außerdem können bestimmte Änderungen im Active Directory nicht mehr rückgängig gemacht werden.

Die Mitglieder der Gruppe Organisations-Admins, zu der in der Voreinstellung der Administrator der Forest Root Domäne gehört, haben besondere Befugnisse in allen Domänen des Netzes. Sie können z. B. neue Domänen in den Forest aufnehmen und haben Administratorrechte auf allen Domänen Controllern des Netzes.

Innerhalb einer einzelnen Domäne erfolgt die Administration durch Mitglieder der jeweiligen (domänen-spezifischen) Gruppe Domänen-Admins. Diese Gruppe verfügt innerhalb einer Domäne über unbeschränkte administrative Berechtigungen. Es ist jedoch möglich, einzelne administrative Aufgaben auch für andere Benutzerkonten zu ermöglichen und so administrative Aufgaben zu delegieren (siehe auch M 2.230 Planung der Active Directory-Administration).

Eine Delegation administrativer Aufgaben innerhalb einer Domäne kann auch so erfolgen, dass lediglich die Administration eines Teils der Benutzerkonten und Computer einer Domäne delegiert wird. Dies ist innerhalb der Grenzen der so genannten OUs (Organizational Units) möglich, die zur Gruppierung von Benutzer- bzw. Computerkonten innerhalb der Domäne dienen.

Eine Vielzahl von Windows 2000/XP Konfigurationsparametern ist in den Gruppenrichtlinien zusammengefasst. Neben den lokalen Gruppenrichtlinien auf jedem einzelnen Windows 2000/XP Rechner gibt es auch Gruppenrichtlinien, die im Active Directory gespeichert sind. Dies gestattet es, Rechner oder Benutzerkonten zentral zu konfigurieren. Wirkungsbereich einer solchen, im AD gespeicherten Gruppenrichtlinie, können u. a. ganze Domänen oder OUs sein. Hier dienen OUs zur Gruppierung gleichartig konfigurierter Rechner oder Benutzerkonten. Da sich OUs schachteln lassen und mit einer einzelnen OU mehrere Gruppenrichtlinien verbunden sein können, wirken auf einen einzelnen Rechner u. U. viele verschiedene Gruppenrichtlinien ein (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 und M 2.326 Planung der Windows XP Gruppenrichtlinien).

Technisch gesehen ist das Active Directory als eine verteilte Datenbank realisiert, die auf den Domänen-Controllern des Windows 2000 Netzes angesiedelt ist. Mit einigen Ausnahmen enthält jeder Domänen-Controller dabei nur die Daten seiner eigenen Domäne. Diese Ausnahmen sind:

Der Global Catalog enthält die komplette Baumstruktur des Active Directory des gesamten Forests, für jedes der Objekte in diesem Baum enthält der Global Catalog allerdings nur bestimmte Attribute.

Im Unterschied zu Windows NT lassen sich die meisten Änderungen an jedem Domänen-Controller einer Domäne durchführen. Um die Eindeutigkeit bestimmter kritischer Datensätze zu bewahren, gibt es allerdings

Diese Rollen werden in der Windows 2000 Terminologie auch als FSMO-Rollen (FSMO = Flexible Single Master Operations) bezeichnet. Bestimmte Änderungen können daher nur an dem Rechner vorgenommen werden, dem die jeweilige Rolle zugeordnet ist.

Der Abgleich der Daten zwischen den einzelnen Domänen-Controllern kann über zwei verschiedene Replikationsmechanismen erfolgen. Welcher Mechanismus verwendet wird, lässt sich ebenso konfigurieren wie die Zeitabstände, in denen die Replikation erfolgt.

Durch das Konzept der verteilten Datenbank kann eine gewisse Ausfallsicherheit des Active Directory erreicht werden, problematisch sind dabei jedoch die Inhaber der FSMO-Rollen.

Schulungsinhalte

Die Administration eines Windows 2000/XP Netzes wird im Allgemeinen, je nach Größe und Komplexität des Netzes, nicht von einem einzelnen Administrator, sondern von einer ganzen Reihe von Administratoren mit speziellen Aufgaben und Tätigkeitsbereichen durchgeführt. Insoweit besteht auch nicht für alle Administratoren eines Windows 2000/XP Netzes der gleiche Schulungsbedarf. Zur Gewährleistung eines sicheren Betriebes muss jedoch jeder Administrator über ein hinreichendes Grundwissen verfügen, um seine eigenen Tätigkeiten in einen Gesamtkontext einordnen zu können.

Schulungsinhalte sollten in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern. Wie tief ein Administrator sich mit den einzelnen Punkten beschäftigen muss, hängt von seinem späteren Tätigkeitsfeld ab.

Grundlagen

Active Directory

PKI (Public Key Infrastruktur)

EFS (Encrypting File System)

IPSec

WFP (Windows File Protection)

DFS (Distributed File Service)

Die einzelnen Active Directory Themen sollten dabei wie folgt detaillierter dargestellt werden:

Schema-Verwaltung

Im Normalfall ist eine installationsspezifische Veränderung des AD-Schemas durch einen Administrator nicht notwendig. Die Schulung kann sich insofern auf die Problematik und Auswirkungen von Schema-Veränderungen beschränken.

Sollen individuelle Anpassungen des Schemas vorgenommen werden, sind weitergehende Schulungen zu Interna des Active Directory notwendig.

Replikation des Active Directory

Backup

Rechtevergabe im Active Directory

Authentisierung

Gruppenrichtlinien

Ergänzende Kontrollfragen: