Einfhrung

Physische vs. logische Struktur

Standorte, Dienste und Replikation

Vertrauensstellungen

Active Directory-Objekte

M
Management
und
d Ad
Administrationswerkzeuge
i i
i
k

2011 Stefan Berge

07.06.2011

Active Directory = Active Directory Domain Services (AD DS)

Spezielle Rolle eines Windows Servers
Es kann mehrere (gleichberechtigte) Domnencontroller geben

Verzeichnisdienst: Organisation verschiedenster Objekte, wie

Benutzer, Gruppen, Computer,

Mglichkeit der Zugriffskontrolle und berwachung

4 Hauptmerkmale:
Lightweight
h
h Directory Access Protocoll (LDAP)
(
)
Kerberos-Protokoll
Common Internet File System (CIFS)
Domain Name System (DNS)

2011 Stefan Berge

07.06.2011

Verzeichnisdatenspeicher
p
Datenbank ntds.dit

Standardpfad: %Systemroot%\NTDS

Kopiervorlage:
p
g %Systemroot%\System32,
y
y
wird beim dcpromo
p
in Standardpfad
p
kopiert
p
und
ggf. durch Replikation aktualisiert

Transaktionsprotokolle
Aufteilung sinnvoll um Performance zu erhhen

Globaler
l b l Katalog
l
Pro Gesamtstruktur genau 1 Globaler Katalog, aber mehrere Globale Katalog Server
mglich (Ausfallsicherheit!!!)
Dient zum Abfragen von AD-Objekten und zur Authentifizierung von Benutzern aus
anderen Domnen der gleichen Gesamtstruktur
Eigene AD-Partition (Port 3268 TCP)
Schreibgeschtzt: Kann nur vom System verndert werden

GC und Infrastructure Master nicht auf der gleichen Maschine, auer alle
Domnencontroller der Domne sind GCs

2011 Stefan Berge

07.06.2011

Betriebsmaster

Betriebsmaster sind spezielle Domnencontroller fr bestimmte

Schreibvorgnge in die Verzeichnis-Datenbank. Die einzelnen Funktionen
werden als Rolle definiert (FSMO = Flexible Single-Master
Single Master Operation).
Gesamtstrukturrollen:
Schemamaster
Schreibrechte fr das AD-Schema
Administrator muss Mitglied der Sicherheitsgruppe Schema-Admins sein

Domnennamenmaster
Hinzufgen und Entfernen smtlicher Verzeichnispartitionen in der Gesamtstruktur
Hinzufgen/Entfernen von Domnen
Hinzufgen/Entfernen von Anwendungsverzeichnispartitionen

2011 Stefan Berge

07.06.2011

Betriebsmaster
Domnenrollen:
RID-Master
RID M
Verwaltung des RID-Pools (Relative Identifier) und Vergabe von RIDs an
Domnencontroller
RID = SID + D
Domnenkennung

PDC-Emulator

Primrer Domnencontroller fr Betriebssysteme vor Windows 2000

Entfllt, da Server 2008 nicht mit Windows 2000 Server kompatibel ist

Infrastrukturmaster

Aktualisiert domnenbergreifende Verweise zwischen Benutzern und

Gruppen
Objektnderungen werden in Gruppenmitgliedschaftslisten aktualisiert

2011 Stefan Berge

07.06.2011

Schema
Definiert Klassen und Attribute, die in der AD DS
gespeichert werden knnen
Jedes AD-Objekt ist eine Instanz einer Klasse
Das Schema gewhrleistet,
gewhrleistet dass alle Objekte in der
Gesamtstruktur einheitlich erstellt und damit von
allen
a
e Domnencontrollern
o e co t o e verwaltet
e a tet werden
e de
knnen.

2011 Stefan Berge

07.06.2011

AD DS-Partitionen

Die in der Verzeichnisdatenbank gespeicherten Informationen werden in mehrere

logische Partitionen unterteilt, die jeweils unterschiedliche Informationstypen
speichern. Die AD DS-Partitionen werden auch als Namenskontexte (Naming
Contexts, NC) bezeichnet.
Folgende Kontexte:
Domain
enthlt die Domnenobjekte, Gruppen, Users, Computers, usw.
Configuration
enthlt die Konfiguration der Domne / Forest und ihre OU Struktur
RootDSE
LDAP Standardeinstiegspunkt
Schema
hlt das Schema der AD Datenbank
NDNC
Non-Domain
Non
Domain Naming Content,
Content enthlt anwendungsspezifische Informationen

Tools: LDP.exe, ADSIedit.msc, repadmin.exe, nltest.exe

2011 Stefan Berge

07.06.2011

Gesamtstruktur
Eine Gesamtstruktur ist eine integrierte Einheit mit
folgenden Eigenschaften:
Gemeinsames Schema
Gemeinsame
G
i
Konfigurationsverzeichnispartition
K fi
ti
i h i
titi
Gemeinsamer Globaler Katalog
Gemeinsamer Satz von gesamtstrukturweiten
Betriebsmastern und Administratoren
G
Gemeinsame
i
Konfiguration
K fi
ti
von
Vertrauensstellungen

2011 Stefan Berge

07.06.2011

Domnenstruktur

Unterteilung einer Gesamtstruktur in kleinere Komponenten

Stamm-, untergeordnete und nebengeordnete Domne
Domnengrenzen sind Replikationsgrenzen fr
Domnenverzeichnispartition und Domneninformationen im Ordner
SYSVOL
Einfachere Verwaltbarkeit durch Delegation
Domnen bieten besseren Zugriffsschutz auf Ressourcen
(Vertrauensstellungen, Policies)

Grnde fr mehrere Domnen:

Eigener Namensraum
Anforderungen an Kennwortrichtlinien
Eingeschrnkter Zugriff auf bestimmte Ressourcen

2011 Stefan Berge

07.06.2011

10

Domnen- und Gesamtstrukturfunktionsebene

Domnen
o Abwrtskompatibilitt vs. neue Features

Wesentliche Verbesserungen bei Server 2008

o

Domnenfunktionsebene:
o Untersttzung
g der DFS-Replikation
p
((Distributed File System)
y
) fr SYSVOL
o Untersttzung fr AES 128 und 256 (Advanced Encryption Services) fr das
Kerberos Protokoll
o Informationen zur letzten interaktiven Anmeldung (Uhrzeit,
(Uhrzeit
Computername, Anzahl fehlgeschlagener Anmeldeversuche)
o Detaillierte Kennwortrichtlinien

2011 Stefan Berge

07.06.2011

11

Domnen- und Gesamtstrukturfunktionsebene

Domnen
o Abwrtskompatibilitt vs. neue Features

Wesentliche Verbesserungen bei Server 2008

o

Gesamtstrukturebene:
o Vertrauensstellung
g mit einer anderen Gesamtstruktur
o Domnenumbenennung
o Replikation verknpfter Werte (Es werden nur noch die nderungen
repliziert)
o Mglichkeit der Bereitstellung von RODCs (Read-Only Domnencontroller)
o Deaktivieren und Umdefinieren von Attributen und Klassen im Schema

2011 Stefan Berge

07.06.2011

12

Verbindungen zwischen mehreren Domnen oder Gesamtstrukturen

Unidirektional (eingehend, ausgehend), bidirektional, transitiv

Externe Vertrauensstellung:
g
Uni- oder bidirektional; NICHT transitiv!
Wird gewhlt bei Zugriff auf Ressourcen einer bestimmten Domne
innerhalt einer Gesamtstruktur

Gesamtstrukturvertrauensstellung
Bidirektional und transitiv
Kerberos-Authentifizierung
Zugriff auf Ressourcen von jeder Domne in jede Domne
Domnenweite und selektive Authentifizierung mglich

2011 Stefan Berge

07.06.2011

13

Kombination aus logischen und physischen

Komponenten
Logische Abbildung des physikalischen Netzwerks
eines Unternehmens
Standorte
Standorte als spezielle Organisationseinheiten zur
Verwaltung des Netzwerkverkehrs
Durch die Installation von AD DS ergibt sich eine
Topologie, in der jede Domne mit jeder anderen
Domne innerhalb einer Gesamtstruktur eine
Verbindung herstellt und regelmig berprft

2011 Stefan Berge

07.06.2011

14

Grnde fr eine Anpassung der Topologie:

Kleine Bandbreite: Die Replikation zwischen Standorten
wird komprimiert, um Bandbreite ber die WAN-Strecken
WAN Strecken
zu sparen. Auerdem kann die Replikation zeitlich
geplant werden.
Unzuverlssige Anbindung: Der Datenverkehr zur
Clientanmeldung verbleibt innerhalb eines Standorts,
wenn der lokale Domnencontroller erreichbar ist.
AD DS-fhige Anwendungen, wie Distributed File System
(DFS) oder Exchange, knnen mithilfe von Standorten den
Daten erkehr des Client
Datenverkehr
Clientzugriffs
griffs begrenzen
begren en oder das
Messagerouting basierend auf der Standortkonfiguration
verwalten.

2011 Stefan Berge

07.06.2011

15

In einer Gesamtstruktur werden unterschiedlichste Daten

zwischen Domnencontrollern repliziert.
AD Replikation
Replikation der Daten des Active Directory: Benutzer, Computer und
Gruppen. Diese Replikation wird als Multimasterreplikation bezeichnet.
Betreibt man die DNS-Zone Active Directory integriert, wird diese ebenfalls
repliziert.

Sysvol Replikation
Replikation der Domne
Domne, des Namensraums und der Berechtigungen ber
den Dateireplikationsdienst bzw. DFS-R. Hier wird der im Filesystem
angesiedelte Teil des AD repliziert.

Replikation der Standortinformationen

Diese Aufgabe bernimmt der KCC (Knowledge Consistency Checker).

2011 Stefan Berge

07.06.2011

16

Replikation des GCs

Replikation der wichtigsten Attribute in den Globalen Katalog. Wird nichts
konfiguriert repliziert das AD per Multimasterreplikation (RPC) innerhalb
der Domnen
Domnen. Per Definition kann ber IP oder SMTP repliziert werden
werden.
Diese Einstellungen gelten primr fr WAN Strecken. SMTP ist nur dann zu
empfehlen, wenn unsichere WAN Strecken eingesetzt werden. Unsicher
heit fr Microsoft in diesem Fall, dass die Strecken des fteren
unterbrochen
b
h sein knnten.
k
Beim Hinzufgen von neuen Attributen zum GC muss beachtet werden,
dass diese ebenfalls auf alle anderen GCs im Forest repliziert werden und
zustzliche
li h L
Last auff WAN-Strecken
WAN S
k erzeugen k
kann.

DNS Replikation
Replikation der AD
AD-Partitionen
Partitionen ForestDnsZones und DomainDnsZones.
DomainDnsZones

2011 Stefan Berge

07.06.2011

17

Organisationseinheiten (OUs)
Hierarchische Struktur
Erleichtert
E l i h
die
di Ad
Administration
i i
i
Delegation mglich auf OU-Ebene
Keine Standard-Container verwenden
Organisationsstruktur immer neu abbilden
Standard-OUs nicht verndern

2011 Stefan Berge

07.06.2011

18

Beanspruchen den Groteil der administrativen

Aufgaben:
Benutzerobjekte
Gruppenobjekte
Computerobjekte

2011 Stefan Berge

07.06.2011

19

Benutzerobjekte
Drei unterschiedliche Objekttypen:
Benutzerobjekte
B
bj k (Si
(Sicherheitsprincipal)
h h i
i i l)
inetOrgPerson (Sicherheitsprincipal)
Kontaktobjekt (Kommunikation)

2011 Stefan Berge

Attribut

Beispiel Wert
Beispiel-Wert

CN

Administrator

instanceType

0x4 = (WRITE)

objectCategory

CN=Person,CN=Schema,CN=Configuration,DC=

objectClass

Top; person; organizationalPerson; user

objectSid

S-1-5-21-678375784-9234653470-

sAMAccountName

Administrator

07.06.2011

20

Gruppenobjekte
2 Gruppentypen:
Sicherheitsgruppe
Si h h i
Dient zur Zuweisung von Berechtigungen auf Netzwerkressourcen (Sicherheitsprinzipal).

Verteilergruppe
Kein Sicherheitsprinzipal
Sicherheitsprinzipal, dient zum Versand von Emails z
z.B.
B
mit Microsoft Exchange

2011 Stefan Berge

07.06.2011

21

Gruppenobjekte
Gruppenbereiche:
Lokal
L k l (i
(in D
Domne)
)

Zum Zuweisen von Rechten auf Ressourcen der lokalen Domne

(ab Windows 2000)

Global

Zum Zuweisen von Rechten auf Ressourcen in allen Domnen

der Gesamtstruktur und zwischen vertrauten Gesamtstrukturen
(ab NT4.0)

Universal

Zum Zuweisen von Rechten

h
auff Ressourcen in allen
ll
Domnen
der Gesamtstruktur und zwischen vertrauten Gesamtstrukturen
(ab Windows 2000)

2011 Stefan Berge

07.06.2011

22

Lokal (in Domne): Mitgliedschaft

Benutzerkonten von jeder beliebigen Domne in der
Gesamtstruktur
Globale oder universelle Gruppen von jeder
beliebigen Domne in der Gesamtstruktur
Benutzerkonten oder globale oder universelle
Gruppen
G
uppe von
o jede
jeder be
beliebigen
eb ge Domne
o e in de
der
Gesamtstruktur
pp von der
Verschachtelte domnenlokale Gruppen
lokalen Domne

2011 Stefan Berge

07.06.2011

23

Global: Mitgliedschaft
Benutzerkonten von der Domne, in der die Gruppe
erstellt wurde
Verschachtelte globale Gruppen von der gleichen
Domne

2011 Stefan Berge

07.06.2011

24

Universal: Mitgliedschaft
Benutzerkonten von jeder beliebigen Domne in der
Gesamtstruktur
Globale Gruppen von jeder beliebigen Domne in
der Gesamtstruktur
Verschachtelte universelle Gruppen von jeder
beliebigen
be
eb ge Domne
o e in der
de Gesa
Gesamtstruktur
tst u tu

2011 Stefan Berge

07.06.2011

25

Verschachtelung (A - G (U) - DL - P Prinzip)

A(ccounts) go in
G(lobal
G(l b l Groups)
G
) nested
d iin
(U(niveral Groups) nested in)
D(omain Local Groups) that are granted
P(ermissions).

2011 Stefan Berge

07.06.2011

26

Computerobjekte
Computerkonto wird beim erstmaligen Eintritt in
die Domne erzeugt und beinhaltet Informationen
ber Name, Betriebssystem, Sicherheitsrichtlinien,
GUID
Computer muss sich genauso authentifizieren, wie
Benutzer (Authentifizierung erfolgt beim
Rechnerstart)
GUID wird bei jedem Neustart an DC bertragen
und
db
beide
id M
Maschinen
hi
erzeugen einen
i
K
Kerberos
b
verschlsselten Kanal (Secure Channel) mit
automatisch generiertem Passwort

2011 Stefan Berge

07.06.2011

27

Microsoft Management Console (MMC)

Active Directory Benutzer und Computer
Active Directory Domnen und Vertrauensstellungen
Active Directory Standorte und Dienste

Powershell

Systemtools
ADSIEdit.msc
ADSIEdi
Ldp.exe
Ntdsutil.exe
Nd
il

2011 Stefan Berge

07.06.2011

28

Stefan Berge
Hochschulrechenzentrum
+49 521 106106-12610
stefan.berge@unistefan.berge@uni
-bielefeld.de

2011 Stefan Berge

07.06.2011

29