Beruflich Dokumente
Kultur Dokumente
Vertrauensstellungen
Active Directory-Objekte
M
Management
und
d Ad
Administrationswerkzeuge
i i
i
k
07.06.2011
4 Hauptmerkmale:
Lightweight
h
h Directory Access Protocoll (LDAP)
(
)
Kerberos-Protokoll
Common Internet File System (CIFS)
Domain Name System (DNS)
07.06.2011
Verzeichnisdatenspeicher
p
Datenbank ntds.dit
Standardpfad: %Systemroot%\NTDS
Kopiervorlage:
p
g %Systemroot%\System32,
y
y
wird beim dcpromo
p
in Standardpfad
p
kopiert
p
und
ggf. durch Replikation aktualisiert
Transaktionsprotokolle
Aufteilung sinnvoll um Performance zu erhhen
Globaler
l b l Katalog
l
Pro Gesamtstruktur genau 1 Globaler Katalog, aber mehrere Globale Katalog Server
mglich (Ausfallsicherheit!!!)
Dient zum Abfragen von AD-Objekten und zur Authentifizierung von Benutzern aus
anderen Domnen der gleichen Gesamtstruktur
Eigene AD-Partition (Port 3268 TCP)
Schreibgeschtzt: Kann nur vom System verndert werden
GC und Infrastructure Master nicht auf der gleichen Maschine, auer alle
Domnencontroller der Domne sind GCs
07.06.2011
Betriebsmaster
Domnennamenmaster
Hinzufgen und Entfernen smtlicher Verzeichnispartitionen in der Gesamtstruktur
Hinzufgen/Entfernen von Domnen
Hinzufgen/Entfernen von Anwendungsverzeichnispartitionen
07.06.2011
Betriebsmaster
Domnenrollen:
RID-Master
RID M
Verwaltung des RID-Pools (Relative Identifier) und Vergabe von RIDs an
Domnencontroller
RID = SID + D
Domnenkennung
PDC-Emulator
Infrastrukturmaster
07.06.2011
Schema
Definiert Klassen und Attribute, die in der AD DS
gespeichert werden knnen
Jedes AD-Objekt ist eine Instanz einer Klasse
Das Schema gewhrleistet,
gewhrleistet dass alle Objekte in der
Gesamtstruktur einheitlich erstellt und damit von
allen
a
e Domnencontrollern
o e co t o e verwaltet
e a tet werden
e de
knnen.
07.06.2011
AD DS-Partitionen
07.06.2011
Gesamtstruktur
Eine Gesamtstruktur ist eine integrierte Einheit mit
folgenden Eigenschaften:
Gemeinsames Schema
Gemeinsame
G
i
Konfigurationsverzeichnispartition
K fi
ti
i h i
titi
Gemeinsamer Globaler Katalog
Gemeinsamer Satz von gesamtstrukturweiten
Betriebsmastern und Administratoren
G
Gemeinsame
i
Konfiguration
K fi
ti
von
Vertrauensstellungen
07.06.2011
Domnenstruktur
07.06.2011
10
Domnenfunktionsebene:
o Untersttzung
g der DFS-Replikation
p
((Distributed File System)
y
) fr SYSVOL
o Untersttzung fr AES 128 und 256 (Advanced Encryption Services) fr das
Kerberos Protokoll
o Informationen zur letzten interaktiven Anmeldung (Uhrzeit,
(Uhrzeit
Computername, Anzahl fehlgeschlagener Anmeldeversuche)
o Detaillierte Kennwortrichtlinien
07.06.2011
11
Gesamtstrukturebene:
o Vertrauensstellung
g mit einer anderen Gesamtstruktur
o Domnenumbenennung
o Replikation verknpfter Werte (Es werden nur noch die nderungen
repliziert)
o Mglichkeit der Bereitstellung von RODCs (Read-Only Domnencontroller)
o Deaktivieren und Umdefinieren von Attributen und Klassen im Schema
07.06.2011
12
Externe Vertrauensstellung:
g
Uni- oder bidirektional; NICHT transitiv!
Wird gewhlt bei Zugriff auf Ressourcen einer bestimmten Domne
innerhalt einer Gesamtstruktur
Gesamtstrukturvertrauensstellung
Bidirektional und transitiv
Kerberos-Authentifizierung
Zugriff auf Ressourcen von jeder Domne in jede Domne
Domnenweite und selektive Authentifizierung mglich
07.06.2011
13
07.06.2011
14
07.06.2011
15
Sysvol Replikation
Replikation der Domne
Domne, des Namensraums und der Berechtigungen ber
den Dateireplikationsdienst bzw. DFS-R. Hier wird der im Filesystem
angesiedelte Teil des AD repliziert.
07.06.2011
16
DNS Replikation
Replikation der AD
AD-Partitionen
Partitionen ForestDnsZones und DomainDnsZones.
DomainDnsZones
07.06.2011
17
Organisationseinheiten (OUs)
Hierarchische Struktur
Erleichtert
E l i h
die
di Ad
Administration
i i
i
Delegation mglich auf OU-Ebene
Keine Standard-Container verwenden
Organisationsstruktur immer neu abbilden
Standard-OUs nicht verndern
07.06.2011
18
07.06.2011
19
Benutzerobjekte
Drei unterschiedliche Objekttypen:
Benutzerobjekte
B
bj k (Si
(Sicherheitsprincipal)
h h i
i i l)
inetOrgPerson (Sicherheitsprincipal)
Kontaktobjekt (Kommunikation)
Attribut
Beispiel Wert
Beispiel-Wert
CN
Administrator
instanceType
0x4 = (WRITE)
objectCategory
CN=Person,CN=Schema,CN=Configuration,DC=
objectClass
objectSid
S-1-5-21-678375784-9234653470-
sAMAccountName
Administrator
07.06.2011
20
Gruppenobjekte
2 Gruppentypen:
Sicherheitsgruppe
Si h h i
Dient zur Zuweisung von Berechtigungen auf Netzwerkressourcen (Sicherheitsprinzipal).
Verteilergruppe
Kein Sicherheitsprinzipal
Sicherheitsprinzipal, dient zum Versand von Emails z
z.B.
B
mit Microsoft Exchange
07.06.2011
21
Gruppenobjekte
Gruppenbereiche:
Lokal
L k l (i
(in D
Domne)
)
Global
Universal
07.06.2011
22
07.06.2011
23
Global: Mitgliedschaft
Benutzerkonten von der Domne, in der die Gruppe
erstellt wurde
Verschachtelte globale Gruppen von der gleichen
Domne
07.06.2011
24
Universal: Mitgliedschaft
Benutzerkonten von jeder beliebigen Domne in der
Gesamtstruktur
Globale Gruppen von jeder beliebigen Domne in
der Gesamtstruktur
Verschachtelte universelle Gruppen von jeder
beliebigen
be
eb ge Domne
o e in der
de Gesa
Gesamtstruktur
tst u tu
07.06.2011
25
07.06.2011
26
Computerobjekte
Computerkonto wird beim erstmaligen Eintritt in
die Domne erzeugt und beinhaltet Informationen
ber Name, Betriebssystem, Sicherheitsrichtlinien,
GUID
Computer muss sich genauso authentifizieren, wie
Benutzer (Authentifizierung erfolgt beim
Rechnerstart)
GUID wird bei jedem Neustart an DC bertragen
und
db
beide
id M
Maschinen
hi
erzeugen einen
i
K
Kerberos
b
verschlsselten Kanal (Secure Channel) mit
automatisch generiertem Passwort
07.06.2011
27
Powershell
Systemtools
ADSIEdit.msc
ADSIEdi
Ldp.exe
Ntdsutil.exe
Nd
il
07.06.2011
28
Stefan Berge
Hochschulrechenzentrum
+49 521 106106-12610
stefan.berge@unistefan.berge@uni
-bielefeld.de
07.06.2011
29