Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.229 Planung des Active Directory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.229 Planung des Active Directory

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Das Active Directory (AD) ist der zentrale Datenspeicher für sämtliche Verwaltungsdaten einer Windows 2000 Domäne. Abstrakt gesehen, bildet das AD eine hierarchisch und baumartig organisierte, Objekt-basierte Datenbank. Es ist an den Verzeichnisdienst-Standard X.500 angelehnt, von dem es die interne Struktur und den internen Aufbau entliehen hat. Es ist jedoch kein X.500 kompatibler Verzeichnisdienst.

Das Windows 2000 Domänenkonzept gleicht auf Domänenebene prinzipiell dem Windows NT Domänenkonzept: in einer Domäne werden Rechner und Benutzer zusammengefasst und können durch den Domänenadministrator verwaltet werden. Eine Domänengrenze bildet grundsätzlich eine administrative Grenze und begrenzt auch den Wirkungsbereich von Berechtigungen. Zusätzlich zu diesem Konzept bietet Windows 2000 an, Domänen baumartig miteinander in Beziehung zu setzen, so dass Vater-Kind-Beziehungen zwischen Domänen bestehen können. Eine Kind-Domäne wird dabei auch als Sub-Domäne bezeichnet, da sich der Name der Kind-Domäne aus dem Namen der übergeordneten Domäne ableitet, indem diesem Namen der Name der Domäne durch einen Punkt getrennt angehängt wird.

Der so aufgespannte Namensraum ist mit dem zugehörigen DNS Namensraum identisch und kann auch nicht verschieden von diesem gebildet werden. Domänen, die einen gemeinsamen Namensstamm besitzen, bilden einen Baum (englisch Tree).

Forrest

Domänen, die in mehreren Bäumen angesiedelt sind - also unterschiedliche Namensräume aufspannen - können dennoch gemeinsam verwaltet werden. Derart zusammengeschlossene Domänenbäume bilden einen Wald (englisch Forest). Insbesondere bildet eine einzige alleinstehende Domäne auch einen Baum und gleichzeitig auch einen Wald.

In einem Wald gibt es immer eine ausgezeichnete Domäne, die eine gewisse Sonderstellung besitzt. Es ist die als erstes erzeugte Domäne, die auch als Forest-Root-Domäne (FRD, Wurzel-Domäne des Waldes) bezeichnet wird. Die Sonderstellung besteht darin, dass Administratoren der FRD im gesamten Forest weitreichende Berechtigungen besitzen. Für die Mitglieder der Gruppe Organisations-Admins stellen die Domänengrenzen keine administrativen Grenzen dar, da sie in allen Domänen Zugriffsrechte besitzen. Beim Aufbau eines Windows Domänenverbundes ist zu bedenken, dass die zuerst erzeugte Domäne immer die FRD ist. Insbesondere kann die "Rolle" der FRD nachträglich nicht auf eine andere Domäne "übertragen" werden, so dass die Domänenstruktur ggf. vollständig in der gewünschten Form neu erzeugt werden muss.

Das AD besteht aus verschiedenen Objekten, den Active Directory Objekten (ADOs). Jedes Objekt besitzt einen ausgezeichneten Typ, wie z. B. Benutzerobjekt oder Rechnerobjekt, und ist gemäß dieses Typs aus verschiedenen Attributen zusammengesetzt. Die verschiedenen Objektattribute können verschiedene Werte aufnehmen, wie z. B. Telefonnummer oder IP-Adresse. Das AD kennt verschiedene vordefinierte Objekttypen:

Der generelle AD-Aufbau lässt sich wie folgt darstellen:

Nach einer Standardinstallation existiert eine einfache und flache AD-Struktur, die von Windows 2000 angelegt wird und dann entsprechend der AD-Planung verändert werden muss. Da das AD primär der Verwaltung eines Windows 2000/XP Systems dient, sollte beim Aufbau der AD-Struktur darauf geachtet werden, dass die Struktur vornehmlich auf administrative Gegebenheiten abgestimmt wird. Wenn stattdessen zwanghaft die organisatorische Behörden- bzw. Unternehmensstruktur bis ins Kleinste nachgebildet wird, kann dies zu Problemen in der Administration führen.

Die möglichen Anordnungen von AD-Objekten, d. h. die Festlegung welches Objekt welche anderen Objekte enthalten darf, welche Attribute existieren und aus welchen Attributen Objekte zusammengesetzt werden, wird durch das so genannte AD-Schema definiert. Das von Microsoft vorgegebene AD-Schema kann auch verändert werden. Dies stellt jedoch einen gravierenden Eingriff in das AD dar, der nur nach sorgfältiger Planung durchgeführt werden darf. Eine Schema-Änderung wirkt sich in allen gemeinsam verwalteten Domänen, d. h. im Wald bzw. Forest, aus. Da die Schemaänderung eine kritische Operation ist, kann diese nur an genau einem Rechner, dem so genannten Schema-Master, durch Mitglieder der Gruppe Schema-Admins durchgeführt werden. Schemaänderungen können zudem u. U. nicht mehr rückgängig gemacht werden. Die Mitgliedschaft in dieser Gruppe ist daher unbedingt restriktiv zu vergeben und streng zu kontrollieren.

Das AD wird auf Domänen Controllern gehalten und innerhalb einer Domäne zwischen diesen durch Replikation synchronisiert. Das AD einer Domäne enthält nur domänenbezogene Informationen. Um in einem Forest schnell auf Informationen aus dem gesamten Forest zugreifen zu können, wird der so genannte Global Catalog (GC) aufgebaut. Er besteht aus Teilinformationen von AD-Objekten und wird im gesamten Forest repliziert, so dass über den GC in einer Domäne auch direkt auf Informationen aus anderen Domänen zugegriffen werden kann.

Neben der beschriebenen baumartigen und hierarchischen Struktur baut Windows 2000 automatisch eine zusätzliche und orthogonale Struktur auf. Räumlich nahe Rechner - dies bestimmt Windows 2000 über Netzlaufzeiten - werden zu so genannten Standorten (englisch Sites) zusammengefasst. Über Sites wird u. a. auch die Replikationsstruktur von Domänen Controllern gesteuert. Pro Site muss mindestens ein Rechner existieren, der eine Kopie des Global Catalogs hält. Der Global Catalog muss im Rahmen des Anmeldeprozesses eines Benutzers angefragt werden, so dass bei der Anmeldung immer ein Global Catalog-Server zugreifbar sein muss. Die von Windows 2000 automatisch aufgebaute Standortstruktur sollte an die behörden- oder unternehmensinternen Gegebenheiten, wie z. B. Standorte in verschiedenen Städten oder Ländern, individuell angepasst werden. Da dies Einfluss auf die AD-Replikationsbeziehungen hat, ist dazu jedoch ein Konzept zu erstellen.

Im Rahmen der AD Planung sind folgende Aspekte zu berücksichtigen:

Für jede Domäne muss entschieden werden,

Generell muss die geplante AD-Struktur dokumentiert werden, dies trägt maßgeblich zur Stabilität, konsistenten Administration und damit zur Systemsicherheit bei. Es empfiehlt sich insbesondere festzuhalten, welche Schemaänderungen durchgeführt werden. Dabei sollten auch die Gründe für die Änderung dokumentiert sein.

Für jedes AD-Objekt sollte dokumentiert sein:

Der Planung der AD-Administration und des benutzten administrativen Modells kommt eine wichtige Aufgabe zu. Empfehlungen dazu finden sich zusammengefasst in Maßnahme M 2.230 Planung der Active Directory-Administration.

Die sicherheitsrelevanten Kernaspekte der AD-Planung sind zusammengefasst:

Abschließend sei darauf hingewiesen, dass Fehler in der AD-Planung und den zugrunde liegenden Konzepten nach erfolgter Installation nur mit beträchtlichem Aufwand zu berichtigen sind. Nachträgliche Veränderungen in der AD-Struktur, wie z. B. die Anordnung von Domänen in Bäume und Forests, ziehen u. U. das komplette Neuaufsetzen von Domänen nach sich.

Ergänzende Kontrollfragen: