Active Directory (AD)

 Ist der Verzeichnisdienst der Windows Server Produktfamilie.

Verzeichnisdienst
- Dient zum Bestimmen von Ressourcen

- Netzwerkdienst, der alle Ressourcen in einem Netzwerk identifiziert und diese

Informationen für Benutzer und Anwendungen verfügbar macht.

- Verzeichnisdienste sind notwendig, das sie eine konsistente Möglichkeit

bieten, Informationen zu diesen Ressourcen zu benennen, beschreiben,
suchen, abrufen und zu sichern.

 AD erweitert die Basisfunktionen eines Verzeichnisdienstes durch:

 DNS-Integration
o AD verwendet die DNS-Benennungskonventionen zum Erstellen der
hierarchischen Struktur
 Skalierbarkeit
o AD ist in Abschnitte gegliedert, die die Speicherung einer großen Anzahl von
Objekten ermöglicht.
o AD kann erweitert werden, wenn die Organisation wächst
 Zentrale Verwaltung
o Administratoren können Dienste und Anwendungen zentral verwalten.
 Delegierte Verwaltung
o z.B. administrative Kontrolle für bestimmte Segmente der Hierarchie

 Active Directory – Begriffe:

 Domäne
• Kerneinheit der logischen Struktur
• Eine von einem Administrator definierte Gruppe von Computern, die eine
gemeinsame Verzeichnisdatenbank verwenden
• Besitzt einen eindeutigen Namen
• Ermöglicht einem Domänadministrator auf zentrale Benutzer- und
Gruppenkonten zuzugreifen

 Organisationseinheit (OU)
• Containerobjekt mit dem Objekte zu einer Domäne strukturiert werden,
z.B. Benutzerkonten, Gruppen, Computer oder weitere OU´s

1
  Gesamtstruktur
• Eine oder mehrere Domänen, die
o dieselbe Konfiguration
o dasselbe Schema
o denselben globalen Katalog verwenden

 Struktur
• Domänen, in einer Gesamtstruktur, die einen zusammenhängenden DNS-
Namespace verwenden

 Installation eines Domänencontrollers (DC)

 Auf dem Domänen-Controller ist die Datenbank des Verzeichnisdienstes, hier

Active Directory, gespeichert.

 Ein DNS-Server muß die Zone mit dem AD-Domänennamen hosten. Falls noch
kein DNS-Server existiert wird mittels Assistenten zum Installieren von Active
Directory-Domänendiensten automatisch ein DNS-Server auf dem
Domänencontroller installiert.
 Im Server-Manager die Rolle Active Directory-Domänendienste hinzufügen.
 Im Server-Manager unter Rollen/Active Directory-Domänendienste in der Mitte
der Konsole auf den Link Führen Sie den Assistenten zum Installieren von Active
Directory-Domänendiensten (dcpromo.exe) klicken. Dieser Link startet den
gleichen Assistenten, der auch mittels Kommando dcpromo gestartet werden
kann.
 Ist der Domänen-Controller eingerichtet, dann gibt es nur noch einen
Administrator, den Domänenadministrator! Die lokale Benutzerverwaltung ist auf
einem DC deaktiviert

 Lokale Anmeldung von Benutzer ist in den Standardeinstellungen nicht

zugelassen. In den lokalen Sicherheitsrichtlinien kann eine lokale
Benutzeranmeldung erlaubt werden, dies sollte aus Sicherheitsgründen
unterbleiben.

2
 Hinzufügen eines Clients zur Domäne

 Für den Beitritt zur Domäne muss der Client den DNS-Namen der Domäne
auflösen können. Er muss also mit einem entsprechenden DNS-Server
konfiguriert werden.
 In den Computereigenschaften die Einstellungen für Computer, Domäne und
Arbeitsgruppe ändern und den Computer zum Mitglied der Domäne machen.
 In diesem Fall sind die Anmeldeinformationen des Domänen-Administrators
erforderlich.
 Nach obligatorischem Neustart kann man sich mit einem Domänenkonto
anmelden.

 Acitve Directory - Verwaltungstools

Zur Verwaltung dienen u.a. die folgenden Konsolen und Snap Ins:

 Active Directory-Benutzer und Computer

o Zur Verwaltung der häufig genutzten Ressourcen, wie Computer, Benutzer
und Gruppen.
o Erzeugung der Verwaltungsstruktur, in Form von OU‘s
 Active Directory Standorte und Dienste
o Verwalten der Netzwerktopologie, Replikation und verbundene Dienste
o Erstellung und Konfiguration von Standorten
 Active Directory Domänen und Vertrauensstellungen
o Konfigurieren und Warten von Vertrauensstellungen und von Domänen- und
Gesamtstrukturfunktionsebenen

 Verwalten von Gruppen

Was sind Gruppen?

 Mit Gruppen kann der Administrator Berechtigungen für Ressourcen zuweisen, was
die Verwaltung vereinfacht.
 Sie können auf AD basieren oder lokal für einen Computer gelten.
 Sie werden durch Bereich und Typ gekennzeichnet.
 Sie können verschachtelt sein.

3
Was sind Gruppenbereiche?

 Ein Gruppenbereich bestimmt:

o Ob die Gruppe mehrerer Domänen umfasst, oder auf eine begrenzt ist.
o Die Domänen, aus denen Sie Mitglieder zur Gruppe hinzufügen können.
o Die Domänen, in denen Sie die Gruppe zum Gewähren von Berechtigungen
verwenden können.
o Die Domänen, in denen Sie die Gruppe in andere Gruppen schachteln können.

 Es gibt die folgenden Gruppenbereiche:

o Global
o Lokal in der Domäne
o Lokal
o Universal

Was sind Gruppentypen?

 Sicherheitsgruppen

o Damit werden Benutzerrechte- und Berechtigungen zugewiesen

o Können auch als E-Mail-Verteiler eingesetzt werden
 Verteilergruppen

o Werden in E-Mail Anwendungen verwendet

Globale Gruppe

Sicherheits- oder Verteilergruppe, die Benutzer, Gruppen und Computer aus der
Domäne der globalen Gruppe enthalten kann.

Sie kann auf Ressourcen in jeder Domäne der Gesamtstruktur zugreifen

Bereich: Sichtbar in allen Domänen der Gesamtstruktur und vertrauenden Domänen.

Berechtigungen: Kann zur Zugriffskontrolle in allen Domänen der Gesamtstruktur

und vertrauenden Domänen eingesetzt werden

4
 Universelle Gruppe

Sicherheits- oder Verteilergruppe, die Benutzer Gruppen und Computer in beliebigen

Domänen der Gesamtstruktur enthalten kann. Sie kann auf alle Ressourcen innerhalb
der Gesamtstruktur zugreifen.

Bereich: Sichtbar in allen Domänen der Gesamtstruktur

Berechtigungen Kann zur Zugriffskontrolle in allen Domänen der Gesamtstruktur

eingesetzt werden.

Lokale Gruppe in Domäne

Sicherheits- oder Verteilergruppe, die universelle Gruppen, globale Gruppen, andere

Gruppen der lokalen Domäne, Konten aus allen Domänen der Gesamtstruktur
enthalten kann. Sie kann ausschließlich auf Ressourcen der eigenen Domäne
zugreifen!

Bereich: Sichtbar nur in der Domäne im der sie sich befindet

Berechtigungen: Kann zur Zugriffskontrolle in der eigenen Domäne eingesetzt

werden.

 In AD bilden sowohl Benutzer als auch Computer Sicherheitsprinzipale, die über Konten
und Kennwörter verfügen müssen.

Zweck von Computerkonten:

 Sicherheit

o Authentifizierung
o IP Sec
 Verwaltung

o Active Directory
 Software Bereitstellung
 Desktopverwaltung
 Hard- und Softwarebestandsliste
 Kann mit SMS (System Management Server) überwacht werden.

5
Erstellen von Benutzern mit Vorlagen

 Benutzer in einer Domäne weisen oftmals gemeinsame Eigenschaften auf.

 Beim Erstellen eines neuen Benutzers empfiehlt es sich, einfach ein vorhandenes
Benutzerkonto zu kopieren, anstatt ein leeres Konto zu erstellen und jede Eigenschaft zu
konfigurieren.

 Bei einer Benutzerkontovorlage handelt es sich um ein allgemeines Benutzerkonto, das

bereits mit allgemeinen Eigenschaften aufgefüllt wurde.

 Bei Verwendung von Benutzervorlagen ist zu beachten:

 Diese enthalten eine begrenzte Anzahl von Eigenschaften
 Kennzeichnen der Vorlage
 Deaktivieren der Vorlage
 Zur Erstellung wird die Vorlage kopiert

 Eine Benutzerkontovorlage wird erstellt, indem einfach ein Benutzerkonto anlegt und die
gewünschten Attribute eingetragen werden. Zu empfehlen ist, sich an einen
Namensstandard halten, mit dem Vorlagen einfach zu finden sind. So kann etwa den
vollständigen Namen des Benutzers einen Unterstrich (_) voranstellt sein, zum Beispiel
_Vertriebsmitarbeiter.

 Nicht alle Attribute werden aus der Vorlage kopiert. Die folgende Liste fasst zusammen,
welche Attribute aus der Vorlage kopiert werden; die Attribute sind dabei nach den
Registerkarten zusammengefasst, auf denen sie erscheinen:

Allgemein Von der Registerkarte Allgemein werden keine Eigenschaften kopiert.

Adresse Postfach, Stadt, Bundesland oder Provinz, Postleitzahl und Land oder
Region werden kopiert. Beachten Sie, dass die Anschrift selbst nicht
kopiert wird.
Konto Anmeldezeiten, Anmeldearbeitsstationen, Kontooptionen und
Kontoablauf werden kopiert.
Profil Profilpfad, Anmeldeskript, Basislaufwerk und Basisordnerpfad werden
kopiert.
Organisation Abteilung, Unternehmen und Vorgesetzter werden kopiert.
Mitglied von Gruppenmitgliedschaft und primäre Gruppe werden kopiert.

 Benutzerkonten verfügen über zusätzliche Eigenschaften, die auf den Standardregisterkarten

im Snap-In Active Directory-Benutzer und -Computer nicht angezeigt werden. Um diese
Eigenschaften anzuzeigen, klicken Sie im Menü Ansicht auf das Snap-In Active Directory-
Benutzer und -Computer und wählen die Option Erweiterte Features.

 !!! Um beim Duplizieren eines Benutzers zusätzliche Attribute einzuschließen, sind

Änderungen am Active Directory-Schema vornehmen.

6
Active Directory Datenbank

 In der Datenbank der Active Directory-Domänendienste (Ad DS) werden alle Objekte einer
Domäne bzw. Gesamtstruktur gespeichert.

 Die eigentliche Datenbankdatei trägt den Namen NTDS.DIT.

 Die Datenbank ist in einzelne Partitionen aufgeteilt, die auch als Namenskontext (engl. Naming
Context) bezeichnet werden.

 Folgende Partitionen sind definiert:

 Schema
o beinhaltet das Schema
o wird auf alle DCs der Gesamtstruktur repliziert.

 Configuration
o beinhaltet die Konfigurationsinformationen (z.B. der Aufbau der Replikationstopologie)
des AD
o wird auf alle DCs der Gesamtstruktur repliziert.

 Domain
o beinhaltet die Objekte der betreffenden AD-Domäne
o wird nur auf alle DCs der betreffenden Domäne repliziert.

 Anwendungsverzeichnispartition (optional)
o kann zur Speicherung von Anwendungsdaten (z.B: DNS) verwendet werden.
o ermöglicht gezielte Replikation der Partitionsinhalte.

Anwendungsverzeichnispartition

 Eine Anwendungsverzeichnispartition ist ein Teil des Datenspeichers, der Objekte

enthält, die von einer Anwendung oder einem Dienst außerhalb des Haupt-AD DS-
Dienstes benötigt werden. Im Gegensatz zu anderen Partitionen können
Anwendungspartitionen gezielt auf bestimmte Domänencontroller repliziert werden; sie
werden nicht standardmäßig auf alle Domänencontroller repliziert.

 Anwendungsverzeichnispartitionen sind auf die Unterstützung verzeichnisfähiger

Anwendungen und Dienste ausgerichtet. Sie können fast jeden Objekttyp enthalten, aber
keine Sicherheitsprinzipale wie Benutzer, Computer oder Sicherheitsgruppen. Da diese
Partitionen nur nach Bedarf repliziert werden, bieten Anwendungsverzeichnispartitionen
Vorteile wie Fehlertoleranz, Verfügbarkeit und Leistung, während sie gleichzeitig den
Replikationsdatenverkehr optimieren.

7
 Im Allgemeinen verwenden Sie spezielle Anwendungstools, um die
Anwendungsverzeichnispartition, die zugehörigen Daten und die Replikation zu
verwalten. Beispielsweise wird der Domänencontroller schon durch einfaches
Hinzufügen einer Active Directory-integrierten Zone zu einem DNS-Server automatisch so
konfiguriert, dass er ein Replikat der Domain-DnsZones-Partition erhält. Mit Tools wie
Ntdsutil.exe und Ldp.exe können Sie Anwendungsverzeichnispartitionen direkt
verwalten.

 Vor dem Herabstufen eines Domänencontrollers sollten Sie unbedingt die

Anwendungspartitionen überprüfen, ob der Domänencontroller die letzten
verbleibenden Replikate der Partition hostet. In diesem Fall führt das Herabstufen des
Domänencontrollers zu einem endgültigen Verlust sämtlicher Informationen in der
Partition. Auch wenn der Assistent zum Installieren von Active Directory-
Domänendiensten Sie vor dem Entfernen von Anwendungsverzeichnispartitionen zu
einer Bestätigung auffordert, empfiehlt es sich, vor dem Herabstufen eines
Domänencontrollers Anwendungsverzeichnispartitionen manuell zu entfernen.

Ansicht der Anwendungsverzeichnispartitionen für DNS im ADSI-Editor