Active Directory. Aufbau Funktion - Objekte

Transkript

1 Active Directory Aufbau Funktion - Objekte

2 Active Directory Was ist das? Hierarchischer Verzeichnisdienst Datenbank (gleiche DB wie Exchange) Schema (1 Schema pro Forest) Replikationsmechanismus (Multiple Master DB) Abfragemechanismus (LDAP auf ADS) Integrierte Sicherheitsmechanismen (Kerberos)

3 Active Directory Was ist das? Hierarchischer Windows- Verzeichnisdienst Dient zur zentralen Verwaltung von Objekten in Domänen Here comes your footer Page 3

4 Active Directory - Bezeichnungen Server 2000, 2003, 2008: Active Directory (AD) Server 2008R2, 2012R2 : Active Directory Domain Services (ADDS) Here comes your footer Page 4

5 Active Directory - Hierarchische Struktur Forest (Gesamtstruktur): einheitliches Schema, mindestens einen Tree Tree (Baum): einheitlicher Namensraum, mindestens eine Domäne und evtl. Subdomänen Domain (Domäne): mindestens einen Domaincontroller und folgende Objekte: - Organizational Unit (Organisationseinheit): OU Container für Objekte - Domänencontroller DC - Memberserver: kein DC, sonstige Dienste - PCs - Benutzer - Gruppen Here comes your footer Page 5

6 Logischer Aufbau einer Gesamtstruktur (Forest) Domäne net2.com Struktur (Tree) Gesamtstruktur (Forest) Organisatorische Einheit (OU) Stamm Domäne net1.ch Struktur (Tree) Domäne edu.net1.ch Domäne us.net2.com Domäne eu.net2.com

7 Physischer Aufbau einer Gesamtstruktur (Forest) Replikation Policy Bern Policy Basel Standort Bern Replikation Replikation Standort Basel Policy Lugano Standort Lugano

8 Active Directory - Replikation + Schema Replikation Synchronisation der Daten zwischen mehreren Domänencontrollern Schema Datenbankstruktur des AD Definiert Klassen von Objekten (z.b. Benutzer) und die Attribute der Objekte (z.b. -Adresse). Alle Domänen innerhalb einer Gesamtstruktur (Forest) verwenden das selbe Schema. Here comes your footer Page 8

9 Betriebsmasterrollen- FSMO (Flexible single master operations) Forest Stamm Pro Forest Schema Master Domain Naming Master Domäne net2.com Struktur (Tree) Domäne net1.ch Tree Domäne edu.net1.ch Pro Domäne RID Master PDC Emulator Infrastructure Master (Global Catalog nicht IM) Domäne us.net2.com Domäne eu.net2.com

10 Betriebsmasterrollen- FSMO (Flexible single master operations) Das Active Directory kennt 5 versch. Betriebsmasterrollen Einmalig auf einem Domänen-Controller der Gesamtstruktur Schema-Master...zuständig für die Verwaltung der Schemattribute Domänennamen-Master / Domain-Naming-Master...zuständig für Domänennamen, Einordnung in Gesamtstruktur

11 Betriebsmasterrollen- FSMO (Flexible single master operations) Einmalig auf einem Domänen-Controller in jeder Domäne PDC-Emulator...zuständig für Zeitsynchronisation, Gruppenrichtlinien, Kennwortänderungen, Anmeldeversuche und Kennwortsperrungen Infrastruktur-Master / Infrastructure-Master...Verwaltung der Gruppenzugehörigkeiten RID-Master...zuständig für Verwaltung des SID-Pool

12 Aufbau einer Gesamtstruktur (Forest) Here comes your footer Page 12

13 Active Directory Standort (Site) wird durch ein oder mehrere IP-Netze definiert Verwaltung: Active Directory -Standorte und -Dienste Verknüpfung: Name IP-Subnet Here comes your footer Page 13

14 Active Directory - Protokolle Verwendete Protokolle TCP/IP Netz DNS Namensauflösung ADDS Kerberos Authentifizierung Here comes your footer Page 14 LDAP Abfrage + Modifikation Verzeichnisdaten

15 Active Directory - Struktur einer Domäne LDAP-Datenstruktur Anzeige im mmc-snap-in Active Directory-Benutzer und -Computer kemper Here comes your footer Page 15

16 Active Directory LDAP (Lightweight Directory Access Protocol) Eingesetzte Objektklassen zur Abfrage und Modifikation der Verzeichnisdaten einer Baumstruktur Domain Component (DC) Organizational Unit (OU) Common Name (CN) Here comes your footer Page 16

17 Active Directory Namen von Objekten LDAP-Name: Distinguished Name (DN) kanonischer Name Anmeldename: User Principal Name (UPN) cn=kemper,ou=dozent,dc=kemper,dc=local kemper.local/dozent/kemper cn=anna,ou=fisi14,ou=schüler,dc=kemper,dc=local kemper.local/schüler/fisi14/anna Da im UPN keine OUs vorkommen, müssen Benutzernamen innerhalb einer Domäne einmalig sein! Here comes your footer Page 17

18 Active Directory Namen von Objekten LDAP (Lightweight Directory Access Protocol) Protokoll zur Abfrage und Modifikation der Verzeichnisdaten einer Baumstruktur. Objektklassen: Domain Component (DC) Organizational Unit (OU) Common Name (CN) Dienen der Eindeutigen Identifizierung Jedes Objekts durch Distinguished Name (DN) Jedes Objekt besitzt kanonischen Namen. Jeder Benutzer besitzt User Principal Name (UPN) Here comes your footer Page 18

19 Active Directory Kerberos Authentifizierungsprotokoll 1.Client schickt Anmeldedaten und fordert TGT (Ticket Granting Ticket) an. 2. DC überprüft Anmeldedaten sendet TGT an Client => Client ist authentifiziert. 3. Client fordert mit seinem TGT ein ST (Service Ticket) speziell für den Zugriff auf sonstigen Server an. 4. Domaincontroller überprüft Anmeldedaten und sendet ST. 5. Client sendet das vom Domaincontroller zertifizierte ST an den sonstigen Server => sonstiger Server weiß nun,dass der DC bestätigt hat, dass der Client derjenige ist, der er behauptet zu sein. 6. Die eigentliche Kommunikation zwischen Client und sonstigem Server kann beginnen Here comes your footer Page 19

20 to be continued..