Active Directory unter Windows 2003

Transkript

1 Active Directory unter Windows 2003 Seminararbeit Lehrgang ITSM, FHNW März 2006 Stefan Scheurer

2 Inhaltsverzeichnis 1 Einleitung Verzeichnisdienst DAP LDAP Implementierung Verzeichnisdienste OpenLDAP NIS Novell edirectory Active Directory MS-spezifische Netzwerkdienste und -implementationen WINS NetBIOS Active Directory unter Windows Unterschiede zur NT-Domain Unterschiede zu Windows Objekte und Pfade Objekte GUID und Pfade Struktur, Domänen und Organisationseinheiten Domäne Domänenstruktur (Tree) Gesamtstruktur (Forest) Organisationseinheiten Globaler Katalog FSMO Funktionsebenen Gruppen DNS Grundlagen AD Grundlagen DNS DDNS Installation eines DC Konten Computerkonten Benutzerkonten Profile Domänen-Benutzer MMC (Microsoft Managment Console) Quellen Abbildungen...20 Seite 2 von

3 1 Einleitung Active Directory ist ein Verzeichnisdienst, welcher im Jahre 1996 erstmals mit Windows 2000 vorgestellt und dann mit dieser Windows Version auch eingeführt wurde. Änderungen gegenüber der bekannten NT-Domänen-Struktur sind signifikant, wobei gewisse Ideen und Grundlagen übernommen wurden. Diese Seminararbeit hat gewisse Anhaltspunkt, welche für Umsteiger von NT 4.0 zu Windows 2003 interessant sein könnten. Ich selbst habe die Serverversionen 2000 und aufwärts, und damit auch AD, ausgelassen und mich vorwiegend mit Linux beschäftigt. Da ich aber während meiner Lehre in der UBS AG mit NT 4.0 konfrontiert wurde und auch einige Administrationskurse besuchen durfte, gehöre ich wohl zu denjenigen, welche AD mit dem Basiswissen von NT aufarbeiten müssen. 2 Verzeichnisdienst Ein Verzeichnisdienst (engl.: directory service) ist eine oder ein zusammenhängende Menge von Software Applikationen, welche Informationen über Netzwerke speichern, verwalten und organisieren. Diese Informationen beinhaltet Details über Benutzer des Netzwerks, Netzwerkfreigaben, Computer-Hardware, etc. und erlaubt Administratoren entsprechende Berechtigungen für diese Benutzer und Netzwerkfreigaben zu setzen. Zusätzlich fungiert dieser Service als Abstraktionsschicht 1 zwischen Benutzer und den freigegebenen Ressourcen. Das Verzeichnis (directory) ist die Datenbank selbst, welche die Informationen über Objekte beinhaltet, welche über den Verzeichnisdienst verwaltet werden. Der Dienst ist ein Interface zu dieser Datenbank und stellt den Zugang zu den darin enthaltenen Daten bereit. Er arbeitet also als eine zentrale Autorität, welche auf eine sicherer Art und Weise die Ressourcen authentifizieren, die Benutzer und die Verbindungen dazwischen verwalten kann. Ein Verzeichnisdienst ist stark für das Lesen von Informationen optimiert und bietet erweiterte und ausgeklügelte Suchmethoden für die verschiedenen Attributen, welche den Objekten im Verzeichnis, sprich der eigentlich Datenbank mit Informationen, zugeteilt werden können. Jede Ressource wird als Objekt in dieser Datenbank betrachtet und enthält vergebene Attribute, welche es dem Verzeichnisdienst erlauben, gewisse Objekte für gewisse Benutzer freizugeben oder zu sperren. Diese Daten sind einem erweiterbaren und flexiblen Schema abgelegt. Verzeichnisdienste nutzen eine dezentralisiertes Modell um ihre Daten zu speichern und diese werden im Normfall zwischen verschiedenen Servern repliziert. Ein Verzeichnisdienst sorgt auch für die Auflösung der Namen der jeweiligen Netzwerkkomponenten in deren Netzwerkadresse. Der Benutzer muss sich also keine Nummern oder Adressen (IP-Nummer oder dergleichen) merken. Jede Ressource bzw. Objekt kann mit einem eindeutigen Namen angesprochen werden. Der Verzeichnisdienst definiert den Namensraum des Netzwerk und definiert somit, wie die einzelnen Ressourcen bzw. Objekte identifiziert und benannt werden können. Unter LDAP nennt sich dieser Name DN (distinguished name) und bezeichnet ein Kollektion von Attributen, welche einen Verzeichniseintrag ausmachen. 2.1 DAP Das Directory Access Protocol (DAP) ist ein Standardprotkoll für Netzwerke, welcher im Jahre 1988 durch ITU-T 2 und ISO bekannt wurde, um auf Verzeichnisdienste zuzugreifen. Diese Verzeichnisdienste entsprechen dem X.500 Standard, welche die Funktionsweise der elektronischen 1 Versteckt die effektive Implementation der Dienste eines Verzeichnisdienstes gegenüber dem Benutzer 2 International Telecommunication Union (Abteilung Telecommunications), Hauptsitz Genf, vorher CCITT Seite 3 von

4 Directory Services definiert. Dieser Standard beschreibt eine Reihe von weiteren Standards, welche zum Beispiel die Authentifikation (X.509), die Objektklassen (X.521) oder die verfügbaren Attribute für die Objekte (X.520) umfassen und wurde ebenfalls von ITU-T formuliert. Sie bauen auf den OSI Netzwerk Stack auf. Aus diesem Grund entstanden einige Clientimplementationen, welche auf den TCP/IP Netzwerkstack aufbauen DAP hätte von Clients benutzt werden sollen, war aber nicht sonderlich populär, da es zu dieser Zeit kaum Implementationen des vollen OSI Protokoll Stacks für Clients (Desktop Computer) verfügbar waren. Die grundlegendstens Operationen von DAP (Bind, Read, List, Search, Compare, Modify, Add, Delete und ModifyRDN) wurden von Novell in der NDS und von LDAP integriert und angepasst. 2.2 LDAP Das Lightweight Directory Access Protocol (LDAP) ist ein Netzwerkprotokoll um Verzeichnisdienste über TCP/IP abzufragen und zu manipulieren. Ein LDAP-Verzeichnis bzw. -Datenbank folgt in den meisten Fällen dem X.500-Modell: Es ist ein Baum von Einträgen, welche eine Reihe von Atrributen mit entsprechenden Werten beinhaltet. LDAP-Implmentationen brauchen heutzutage meist DNS-Namen um eine simple hierarchische Struktur zu generieren. Der momentane Stand von LDAP ist LDAPv3 und wird in RFC 3377 definiert. 3 Implementierung Verzeichnisdienste 3.1 OpenLDAP OpenLDAP ist eine freie, quelloffene Implementation von LDAP und wurde vom OpenLDAP- Projekt entwickelt. Die Applikationen bzw. der Quelltext wird unter einer eigenen Lizenz namens OpenLDAP Public License veröffentlicht. Da es sich bei LDAP um ein Plattformunabhängiges Protokoll handelt existieren auch entsprechende viele Portierungen der Software von OpenLDAP (Linux, alle BSD-Variationen, AIX, HP-UX, Mac OS X, Solaris, selbst Windows). Die OpenLDAP-Software beinhaltet vier Hauptkomponenten: slapd - stand-alone LDAP daemon slurpd - stand-alone LDAP update replication daemon Bibliotheken, welche das LDAP-Protokoll implementieren Werkzeuge, Utilites und Beispiel Clients 3.2 NIS NIS steht für Network Information Service und wurde von Sun Microsystems entwickelt. Es handelt sich dabei um Client-Server Verzeichnisdienstprotkoll (auch bekannt unter Yellow Pages), welche Daten wie Benutzer und Hostnamen zwischen Hosts und Computernetzwerken verteilt. NIS bzw. YP werden dazu benutzt eine zentrales Verzeichnis von Benutzern, Hosts und anderen Objekten in einem Netzwerk bereitzustellen. Als Beispiel werden in einem normalen UNIX-Umfeld die Benutzer in der Datei /etc/passwd aufgelistet, welche sich am Host anmelden können. Wird NIS benutzt, so wird dort ein globaler Benutzer eingeführt, damit die Authentifikation über NIS statt der lokalen Datei erfolgt. Da der Name Yellow Pages ein eingetragenes Warenzeichen der Britischen Telekom ist, hat Sun den Verzeichnisdienst in NIS unbenannt. Dennoch beginnen die meisten Befehle immer noch mit yp. Seite 4 von

5 In modernen Umgebungen wird NIS durch andere Verzeichnisdienste wie LDAP und Kerberos ausgetauscht, welche als sicherer und moderner gelten. 3.3 Novell edirectory Novell edirectory (vorher als Novell Directory Services, NDS, bekannt) ist eine X.500-kompatible Verzeichnisdienstsoftware, welche im Jahre 1993 von Novell eingeführt wurde. Die Software diente der zentralen Verwaltung von Ressourcen auf Server und Computer in einem vorhandenen Netzwerk. Es handelt sich hierbei um eine hierarchisch und objektorientierte Datenbank, welche alle Objekte in einer Organisation in einem logischen Baum darstellt. Objekte können Personen, Positionen, Server, Computer, Applikationen, Drucker, Gruppen, Services, etc. beinhalten. Da sich die Rechte dynamisch vererben kann man sowohl globale wie auch spezifische Zugangskontrollen effizient implementieren. Die Server, welche den Verzeichnisdienst bereitstellen, replizieren ihre Daten periodisch, wobei nur die Änderungen übermittelt werden, damit unnötiger Netzwerkverkehr verhindert wird. Jeder dieser Server kann als Master agieren, sofern die Daten, welcher er als Kopie besitzt auch beschreibbar sind. Die Daten bzw. der Verzeichnisdienst erlaubt Zugang per LDAP, XML, DSML, SOAP, OBDC, JDBC, JNDI, EJB, Active X und ADSI. Zudem ist edirectory in der Lage bis zu einer Milliarde Objekte verwalten zu können. Der Dienst läuft unter Netware und vielen anderen Betriebsystemen (Linux, Windows, Solaris, AIX, etc.), was diesen somit auch in einem heterogenen Netzwerk einsetzbar macht. Novell wird aus vielen Gründen gerne als Entwickler von Netzwerkbetriebsystemen vergessen, obwohl es schon vor Jahren Services anbot, welche von Linux oder Microsoft noch nicht mal vorgestellt wurden. Novell findet man durchaus noch in manchen Organisationen und Firmen. 3.4 Active Directory Active Directory (AD, Codename Cascade) ist eine Implementation des LDAP- Verzeichnisdienstes, welche von Microsoft für die Windows Umgebung gemacht wurde. AD erlaubt die globale Administration von Benutzer, Policies, Updates und Applikationszugängen. Ein AD speichert Informationen und Einstellungen einer Organisation in einer zentralen und organisierten Datenbank. Die Datenbank kann von einigen wenigen bis Millionen von Objekten beinhalten. Im Jahre 1996 wurde AD das erste mal vorgestellt und in Windows 2000 erstmal ausgeliefert. In Windows Server 2003 ist Active Directory nun in einem etwas überarbeiteter Form mit mehr Funktionalitäten und verbesserter Administration enthalten. 4 MS-spezifische Netzwerkdienste und -implementationen 4.1 WINS Windows Internet Naming Service (WINS) ist Microsofts Implementation des NetBIOS Name Server (NBNS) in Windows. Dieser Service ist direkt vergleichbar mit dem Domain Name Service (DNS). WINS speichert zentralisiert Informationen über die Erreichbarkeit (Hostnamen) von Clients innerhalb des Netwerkes und ist in der Lage IP-Adressen bzw. Hostnamen aufzulösen. Diese Informationen auf dem WINS werden beim Boot eines Clients entsprechend angepasst und erweitert. Normalerweise sind mehrere WINS Server in einem Netzwerk verfügbar, welche sich gegenseitig abgleichen. Damit gibt es keinen eigentlichen Master-Server, die Daten sind auf allen Servern gleichermassen vorhanden. Es gibt aus diesem Grund auch keine Hierarchie wie es bei DNS der Fall ist. Seite 5 von

6 Clients können also WINS-Server für Adressabfragen nutzen, statt einen Broadcast zu generieren. Dadurch wird unnötiger Netzverkehr verhindert, wobei der Abgleich der WINS selbst auch ein Verkehr verursacht. Seit Windows 2000 wurde WINS von DNS und Active Directory abgelöst und wird nur noch sehr selten eingesetzt. Es ist aber als Dienst noch verfüg- und einsetzbar. 4.2 NetBIOS NetBIOS ist das Akronym für Network Basic Input/Output System. Die API von NetBIOS erlaubt es Applikationen auf seperaten Computer in einem lokalen Netzwerk (LAN) miteinander zu kommunizieren. Es bietet einen Service nach dem Session Layer des OSI Modells an. Mehr Informationen sind im Internet verfügbar. 5 Active Directory unter Windows Unterschiede zur NT-Domain Wer Windows NT 4.0 noch kennt weiss, dass NT mit dem Domänenkonzept ein Verzeichnisdienst im allgemeinen Sinne angeboten hat. Es gibt einige Unterschiede zum Domänenmodell und Active Directory, wovon ich einige hier erläutern möchte. Primary Domain Controller (PDC) und Backup Domain Controller (BDC) sind bei AD nicht mehr vorhanden, da dort diese Hierarchie der Server nicht mehr so signifikant ist. Unter AD kann jeder Mitgliedsserver zu einem Domänenkontroller werden oder wieder hinabgestuft werden, ohne grosse Probleme zu erwarten. Dies war unter NT nicht möglich, sondern erforderte im schlimmsten Falle die Neuinstallation. Die Replikation der Daten erfolgt nun auf Attributebene, nicht mehr auf Objektebene. Es werden also nicht die ganzen Objekte repliziert, wenn sich nur ein Attribut darin geändert hat. Dies verursacht deutlich weniger Netzwerkverkehr. Zudem werden alle DC (Domain Controller) unter AD gleichberechtigt betrachtet (sofern deren Verzeichnis beschreibbar ist). Die empfohlene Höchstgrosse der Datenbank unter NT (die SAM) betrug 40 MByte, was etwa 40'000 Objekten entspricht. Unter Windows 2000 bzw wird die ESE-Datenbank (Extensible Storage Engine) genutzt, welche auch unter Exchange zum Einsatz kommt. Diese erlaubt eine Grösse bis 70 TByte und somit mehrere Millionen Objekten. Unter NT wurde WINS bzw. NetBIOS eingesetzt. Active Directory benutzt ausschliesslich DNS. Ersteres kann dennoch für eine allenfalls notwendige Abwärtskompatibilität eingesetzt werden, was aber die Administration von zwei solcher Dienste bedeutet. Unter NT sind die Daten in der Domain bzw. die Daten in der SAM durch die Windows- API zugänglich. Active Directory beruht auf LDAP und ermöglicht somit plattformübergreifenden Zugang und Verwaltung. Unter NT war die Domain die kleinstmögliche Einheit und sämtliche Administration ist auf diese ausgelegt. Unter AD kommt die Organisationsheit (Organizational Unit, OU) hinzu, welche eine feinere Strukturierung erlaubt. Dies bedeutet eine deutlich geringere Anzahl notwendiger Domänen. In AD ist das Complete-Trust-Modell implementiert, was kein Domänenmodell wie unter NT notwendig macht. Alle Domänen vertrauen einer anderen Domäne. Andere Modelle können jedoch manuell implementiert werden, sollte dies notwendig sein. 5.2 Unterschiede zu Windows 2000 Die unter Windows 2000 verfügbare Version von Active Directory gilt bereits als recht stabil und umfangreich. Die Änderungen von Win2000 zu Win2003 sind daher nicht sonderlich spektakulär. Seite 6 von

7 Wichtig anzumerken ist, dass gewisse Neuerungen, Verbesserungen oder Fehlerbereinigungen bereits nach dem Aufnehmen des ersten Windows 2003-Servers verfügbar sind, andere hingegen erst, wenn alle Domain Controller auf Windows 2003 umgestellt sind. Änderungen, welche nach der ersten Win2003 Implementation greifen sind z.b.: Die Kontaktaufnahme zu einem Globalen Katalog (GC) um die Gruppenzugehörigkeit eines Benutzers zu bestimmen, fällt weg. Die DC können diese Informationen nun speichern. Ein DVD oder CD-Backup eines vorhandenen DC erlaubt die Implementation eines neuen DC in derselben Domäne Einige Änderungen sind nur dann verfügbar, wenn die sogenannte Funktionsebene Windows 2003 erreicht ist. Dies bedeutet schlicht und ergreifend, dass alle Domänenkontroller mit Windows 2003 Server arbeiten. Einige dieser Änderungen sind zum Beispiel: Ein Domänenkontroller kann ohne weitere Schritte unbenannt werden Eine Domain kann unbenannt werden (wobei aber alle Mitgliedscomputer neu gestartet werden müssen). Das Attribut Anmeldezeit (unter Win2000: lastlogon) eines User wurde unbenannt (unter Win2003: lastlogontimestamp) und wird nun repliziert. Vorher musste man alle DCs befragen um die letzte Einlogzeit eines Users herauszufinden. Sollten sämtliche Domänen in einer Struktur mit Windows 2003 Server-Funktionalitäten ausgerüstet werden, so sind abermals mehr Funktionen und Verbesserungen gegenüber Windows 2000 Active Directory verfügbar: verbesserte Replikation (schneller, weniger Traffic) Es können Dynamische Objekte im Verzeichnis angelegt werden, welche nach einem TLL (Time to Live) aus dem Verzeichnis wieder gelöscht wird. Es ist möglich für Benutzerkonten die Objektklasse InetOrgPerson (RFC 2798) oder die von Microsoft definierten Benutzerklassen zu nutzen. 5.1 Objekte und Pfade Objekte Die hierarchische Form der Datenspeicherung ähnelt einem Filesystem, wie wir es kennen. Jeder Eintrag in das Verzeichnis, oder eben dieses Filesystems, wird als Objekt betrachtet. Deren gibt es zwei verschiedene Arten, Container (Behälter) und alle anderen, die keine Container sind. Letztere werden auch leaf nodes (Endknoten) genannt. Die Hierarchie beginnt mit einem Stammcontainer, von welchem ein oder mehrere Container ausgehen. Jeder Container kann entsprechend entweder weitere Container enthalten, den Baum als weiterführen, oder Endknoten enthalten. Wie der Name es vermuten lässt, können Endknoten aber keine weiteren Objekte enthalten. Abbildung 1 zeigt eine Domäne an, wie sie unter Active Directory bezeichnet wird. Das Stammobjekt hat zwei Kindobjekte ( private und camp ), während camp selbst abermals Kindobjekte hat. Von moot werden zudem noch die Benutzer-, Gruppen- und Computerobjekte angezeigt. Diese sind im Prinzip ebenfalls Container (da sie selbst auch noch Objekte wie z.b. Drucker enthalten können), werden aber in einem Modell meist nicht als solche aufgezeigt. Eines der gebräuchlichsten Cotainerarten ist die Seite 7 von Abbildung 1: Beispiel Struktur

8 Organisationseinheit (OU, Organizational Unit), wobei es noch weitere Arten gibt, welche aber deutlich weniger zum Einsatz kommen GUID und Pfade Um die Objekte eindeutig zu identifizieren wird ihnen eine globale Kennung, die Globally Unique Identifier (GUID), zugeteilt. Diese besteht aus einer 128-Bit Zahl und sollte laut Microsoft eindeutig sein. Diese GUID bleibt beim Objekt, egal ob es unbenannt oder im Directory Information Tree (DIT) verschoben wird. Erst beim Löschen des Objektes wird die Zahl freigegeben bzw. gelöscht. Da man sich aber selten eine solche Zahl merken kann, ist der Zugriff auf Objekte per ADsPfad (hierarchische Pfade in AD) deutlich gebräuchlicher. Diese Pfade werden normalerweise in der Regel und Syntax von LDAP geschrieben. Wenn man Abbildung 1 als Beispiel nimmt, so sieht die Adresse zum Stammobjekt wie folgt aus: LDAP://dc=toomai,dc=ch Die progid (LDAP) wird gefolgt von einem Doppelpunkt und zwei Schrägstrichen. Beachtenswert ist die Tatsache, dass die Namensteile von toomai.ch aufgeteilt werden. Die Adresse zum Objekt moot, in der Annahme, es handelt sich überall um Container des Typs OU (Organisationseinheit), wäre demnach: LDAP://ou=moot,ou=camp,dc=toomai,dc=ch Ein Benutzer in dieser OU wäre mit folgendem Pfad eindeutig identifiziert: LDAP://cn=Stefan Scheurer,ou=moot,ou=camp,dc=toomai,dc=ch Das Kürzel dc steht für domain component, während das Kürzel cn für common name steht. Diese Kürzel sind im RFC 2253 beschrieben, wobei cn, ou, dc am häufigsten vorkommen. Sie beschreiben die Objekte in LDAP und machen sie dadurch adressierbar. 5.2 Struktur, Domänen und Organisationseinheiten Domäne Die logische Struktur ähnelt der Domänenstruktur von Windows NT durchaus, hat sich aber weiterentwickelt und wurde flexibler. Abgesehen von den standartisierten Objekten und Container nach X.500, gehört auch ein eindeutiger DNS-Domainname zu den Komponenten eines Active Directory. Zudem gibt es einen Sicherheitsdienst, welcher jeden Zugriff auf die Ressourcen kontrolliert (inkl. Vertrauensstellungen) und die bereits bekannten, aber erweiterten Richtlinien. Ein Domain-Controller kann nur eine einzige Domain verwalten. Offensichtlich soll es noch nicht möglich sein, mehrere Domänen von einem DC verwalten zu lassen. Sobald eine Domäne angelegt wird, so werden auch automatisch einige Standard-Container erstellt, welche den Namen Benutzer ( User ), Computer ( Computer ) besitzen Domänenstruktur (Tree) Die Abbildung 1 meines Beispiels zeigt eine ganze Domänenstruktur dar. Die Stammdomäne, welche als erstes ins Leben gerufen wurde, heisst toomai.ch. Die weiteren Domänen wurden der Stammdomäne in gewisser Hinsicht untergeordnet bzw. hinzugefügt und ergeben zusammen die Domänenstruktur. So entsteht, beim hinzufügen neuer Domänen bzw. neuer DCs eine Baumstruktur. Der DC von moot wäre dann der Controller der Domäne moot.camp.toomai.ch. Innerhalb dieser Struktur herrscht das Complete-Trust Modell. Dies bedeutet, dass sich alle Seite 8 von

9 Domains gegenseitig vertrauen. Somit kann ein Administrator einer Domäne Benutzern aus anderen Domänen derselben Struktur Zugriff auf Ressourcen zuteilen Gesamtstruktur (Forest) Es existiert eine übergeordnete Struktur zur Domänenstruktur. Es können zwei Stammdomänen zusammengeführt werden, welche sich (wie nach dem Complete-Trust Modell) komplett vertrauen oder nur einseitige Vetrauensstellungen erlauben. Wie es die englischen Bezeichnungen, Tree und Forest, bereits andeuten, kann man die Analogie eines Waldes durchaus anwenden. Eine Stammdomäne mit ihrer Struktur ist ein einzelner Baum (mit seiner Struktur oder Ästen), welcher mit anderen Bäumen zu einem Wald zusammengeführt werden kann. Der erste Baum (in unserem Falle toomai.ch) definiert bei seiner Erstellung auch automatisch ein Forest. Es existiert also immer ein Forest, sobald ein Tree erstellt wird, welcher auch nach der ersten Stammdomain benannt wird und alleine stehen darf Organisationseinheiten Die Containerart Organisationseinheit (Organizational Unit, OU) ist eine der häufigst genutzten Containerarten und stellt auch eine Sicherheitsgrenze innerhalb einer Domäne dar. In gewissen Situationen reicht eine oder ein paar wenige Domänen vollkommen aus. So wird eine Firma mit einer Abteilung von 15 Mitarbeiter diesen kaum einen eigenen DC mit eigener Domain erstellen. Damit aber diese Abteilung bezüglich ihrer Verwaltung eine gewisse Autonomie erhält, kann man diese in eine eigene OU legen. Diese OU kann dann einem Administrator zur Objektverwaltung zugewiesen werden. Darin darf er sich dann bewegen und neue Objekte erstellen, alte löschen, verändern, etc. ohne die übergeordnete Domäne zu beinflussen. Als Beispiel dient wieder die Abbildung 1, bei welcher die einzelnen Struktueren unterhalb camp auch OUs sein könnten, welche jeweils von einer anderen Person verwaltet werden, aber in der Domain camp selbst nichts verändern dürfen. 5.3 Globaler Katalog Der Globale Katalog (GC, Global Catalog) dient der Objektsuche im Active Directory und ist ein wichtiger Bestandteil. Der Katalog beinhaltet alle Objekte, welche in der Gesamtstruktur existieren und zeigt einen Teil deren Attribute an. Für die vollständigen Informationen muss dann der entsprechende DC mit dem Objekt direkt angefragt werden. Vor allem bei vielen Objekten und mehreren Domänen ist dieser Katalog von wichtiger Bedeutung bei der Suche. Die Attribute, welche im GC angezeigt werden, gehören zum Teilattributsatz (PAS, Partial Attribute Set) und kann mit Hilfstools verändert werden. Die Manipulation beschränkt sich aber auf die Ansicht, welche Attribute an welcher Stelle stehen und nicht auf die darin enthaltenen Werte, da es sich beim GC um einen schreibgeschützten Katalog handelt. 5.4 FSMO Obwohl in AD durchaus mehrere Master-Server vorhanden sein dürfen, welche sich nicht gegenseitig (wie bei NT) in Quere kommen, so gibt es doch einige Situationen, in welchen sich ein Server als alleiniger Master hervorheben muss. Diese Server übernehmen eine sogenannte FSMO- Rolle (Flexible Single Master Operations). Diese Rolle verfolgt einen bestimmten Zweck, was bedeuten kann, dass in der Domänenstruktur (Tree) oder sogar in der Gesamtstruktur (Forest) nur dieser eine Master existieren bzw. nur ein einziger DC die entsprechende Rolle übernehmen darf. Es gibt deren Situationen bzw. Rollen fünf: Seite 9 von

10 Schemamaster (Gesamtstruktur) Dieser Server darf das Schema von AD ändern, kein anderer Server ist dafür berechtigt. Domänennamensmaster (Gesamtstruktur) Dieser Server kontrolliert die Änderungen in den Namensgebungen. Domänen werden in und aus der Struktur genommen bzw. in der Gesamtstruktur verschoben. RID-Master (Domäne) Erstellt Werte, welche an die DC verteilt werden, aus welchen die SID erstellt werden. SIDs sind Nummern, welche zur Sicherung an alle sicherheitsrelevanten Objekte vergeben wird. Infrastrukturmaster (Domäne) Dieser Server verwaltet die Verweise auf andere Objekte aus anderen Domänen, welche unter Windows Phantome genannt werden (unter Unix/Linux symbolische Links). 5.5 Funktionsebenen Wie bereits schon in den vorhergehenden Kapitel erwähnt, gibt es innerhalb des Active Directory verschiedene Funktionsebenen. Diese Ebene wird aufgrund der vorhandenen Strukturen und den damit eingesetzten Domain-Controller bzw. deren Version der Serversysteme definiert. So stellt ein AD mit Windows 2003-Server die volle Breite der Funktionen und Verbesserungen gegenüber Win 2000 bereit. Sobald Win2000 oder gar NT 4.0 zusätzlich in die Struktur integriert werden müssen, so sind verständlicherweise Kompromisse einzugehen. Dies vor allem auch, damit eine Abwärtskompatibilität gewährleistet wird. Dies ist vor allem bei Migrationen oder grösseren Firmen zu berücksichtigen. 5.6 Gruppen Unter AD gibt es zwei Typen von Gruppen. Der eine Typ sind Verteiler (distribution), welche einer Maillingliste gleichkommen und die bekannten Sicherheitsgruppen (security). Erstere folgen demselben Konzept der Verteilerlisten in Exchange und man kann den den darin enthaltenen Benutzern in einem Arbeitsgang Nachrichten schicken. Die Sicherheitsgruppen können ebenfalls als Verteilerlisten dienen, haben aber den signifikaten Vorteil, dass sie in den ACLs (Access Control Lists) der Objekten wie Dateien und Verzeichnissen aufgenommen werden können. Bei der Anmeldung eines Benutzers werden also nur die Sicherheitsgruppenzugehörigkeit berücksichtigt. Gruppen können zudem lokal, global oder universell gelten. Die Verhaltensweise der Gruppen (Typ wie Geltungsbereiche) hängt auch von der Funktionseben an. 6 DNS 5.1 Grundlagen AD Active Directory, wie bereits erwähnt, hat sich von WINS bzw. NetBIOS für die Namensauflösung und Kommunikation getrennt und setzt auf DNS. Die hierarchische Struktur von AD ähnelt nicht von ungefähr der DNS-üblichen Struktur. Der Nachteil ist jedoch, dass AD sehr stark von der DNS- Struktur, Integrität und Verfügbarkeit abhängig ist. Aufgrund der starken Integration von DNS in den Verzeichnisdienst muss beim Strukturieren bzw. Design eines AD darauf geachtet werden, wie der eigentlich DNS-Dienst gelöst wird. Soll der DNS in die Domänen Controller integriert werden oder wird dieser seperat geführt, was bei grösseren Firmen durchaus üblich sein kann? Seite 10 von

11 5.2 Grundlagen DNS Die Grundlagen von DNS ist den Studierenden der Informatik bekannt, dennoch sollte hier ein eher selten gesehener Record in den DNS-Zonen erwähnt werden. SRV (Service Record) dient dazu, Services (wie LDAP) mit einem oder mehreren Hostnamen zu verknüpfen und ist in AD natürlich entsprechend wichtig und oft anzutreffen. Diese Einträge werden oft von den AD-Server und -Clients genutzt um Services bzw. deren Provider zu suchen bzw. zu finden. 5.3 DDNS In RFC 2136 wird ein unsicheres Protokoll definiert, bei welchem Hosts selbstständig den DNS für das Ändern von Zoneneinträgen ansprechen kann. Die Clients von AD (also die integrierten Workstation) können Anforderungen für das Hinzufügen oder Löschen von Zoneneinträgen an den DNS-Server senden und erleichtern die Arbeit eines Administrators stark. Active Directory nutzt DDNS also recht exzessiv. Seite 11 von

12 7 Installation eines DC Ich gehe davon aus, dass es sich hierbei um die Installation eines neuen Active Directory bzw. einer neuen Stammdomain handelt und nicht um die Aufnahme eines neuen DC in eine existierende Domainstruktur. Ein Wizard, welcher mit Start -> Ausführen -> cmd -> dcpromo aufgerufen werden kann, hilft uns durch den Prozess. Die ersten beiden Schritte begrüssen uns und warnen uns vor einer heterogenen Umgebung und der damit verbundenen Risiken bzw. Inkompatibilitäten. Schritt 3 fragt uns, ob wir einen Domänenkontroller zu einer bestehenden Domain hinzufügen oder eine neue Domain erstellen möchten. Wir möchten in diesem Beispiel die Domäne toomai.ch neu erstellen und wählen daher den ersten Punkt. Seite 12 von

13 Hier stellt sich nun die Frage, ist es eine neue Stammdomain oder eine Domäne, welche in eine bestehenden Struktur integriert werden solle. Der letzte Punkt ist für eine neue Stammdomäne, welcher aber in einen existierenden Forest integriert werden soll. Soll der Dienst des DNS über Windows Server 2003 und AD erfolgen oder wird dies seperat verwaltet? Diese Frage muss hier beantwortet werden. In unserem Falle wird der DNS nicht delegiert. Seite 13 von

14 Hier wird der volle DNS- Name der Domäne angegeben. Als Neubau des AD wird hier die Stammdomain (in unserem Beispiel toomai.ch) angegeben. Der NetBIOS-Name wird automatisch vorgeschlagen und kann auch so angenommen werden. Dies wird lediglich für die Abwärtskompatibilität gemacht. Seite 14 von

15 Nun soll der Ort für die Verzeichnisdienstdatenbank und die Log-Files angegeben werden. Es empfiehlt sich immer eine andere Partition als die des Systems zu wählen. Speziell ist dies von Wichtigkeit, sollte man viele Objekte und somit eine grosse Datenbank haben. In diesem Shared Volumen werden Daten abgelegt, welche repliziert werden sollen (wie Startskripte, etc.). Hier gilt derselbe Ratschlag, man sollte nicht die Systempartition dazu nutzen. Seite 15 von

16 Hier kommt ein weitere Schritt zur Kompatibilität und sogar Sicherheit hinzu. Da wir in unserer Beispiel-Domäne nur Windows 2000 und neuer einsetzen, müssen keine älteren OS berücksichtigt werden. Im Notfall kann man die Domain bzw. den Kontroller dazu mit einem speziellen Recovery-Account in einem speziellen Modus wiederherstellen. Für diesen Account wird hier das Passwort bereitgestellt. Seite 16 von

17 Nach Abschluss der Frage wird eine Zusammenfassung angezeigt, welche kontrolliert und dann mit Next angenommen werden. Ist die Zusammenfassung korrekt und wird Next gedrückt, so beginnt Windows 2003 das AD zu erstellen. Dies kann durchaus einige Zeit in Anspruch nehmen. Seite 17 von

18 Wichtig ist, dass die System- CD entweder auf der Festplatte als Kopie oder als CD bereitliegt, da Windows 2003 weitere Komponenten installieren muss. 8 Konten 8.4 Computerkonten Bei Windows NT Clients ist es notwendig, dass man das Computerkonto auf dem Server erstellt, bevor man den Client in die Domäne aufnimmt. Bei den neueren Versionen kann man den Client direkt aufnehmen und dabei das Konto on the fly erstellen. Unter Start - Systemsteuerung - System - Netzwerkidentifikation existiert eine Schaltfläche namens Eigenschaft. Ein Klick darauf führt eine Maske zu Tage, mit welcher man den PC Mitglied einer Domäne machen kann. Wichtig ist zu beachten, dass der Hostname den Normen entspricht und nach dem Hinzufügen zur Domain nur noch über Umwege veränderbar ist. Nach der Abfrage des Administrator-Passwortes (der Domain, nicht des lokalen Hosts natürlich) und einem Neustart besteht nun beim DC der entsprechenden Domain ein Computeraccount, was das Anmelden von Benutzer in dieser Domain ermöglicht. Das dynamische DNS sollte den Host bereits in den DNS-Server eintragen und somit erreichbar machen. Mit dem MMC ist so ein Computeraccount ohne grosse Komplikationen erstellbar. 8.5 Benutzerkonten Profile Wer mit Serversystemen und Windows-Domänen schon zu tun hatte, kennt die Problematik mit den Profilen. Eine einzelne Workstation (Bsp. Laptop in eurem Besitz), auf welcher Windows installiert ist, legt das Profil des Benutzers lokal ab. Dieses wird beim Einloggen des jeweilen Benutzers eingelesen und beim Ausloggen wieder neu geschrieben. Änderungen an eurer Umgebung sind dann in diesem Profil gespeichert, aber nirgends sonst. Seite 18 von

19 In grösseren Arbeitsumgebungen und Umgebungen, in welchen nicht für jede Person ein Arbeitsplatz zur Verfügung steht und sich mehrere Personen in ungeordneter Reihenfolge diese teilen müssen, ist das Verfahren mit lokalen Profilen nicht günstig. Servergespeicherte Profile werden beim Anmelden an einer Workstation auf den Rechner kopiert und beim Ausloggen auf den Server zurückgesichert. Zudem werden diese, bei entsprechender Einstellung in der lokalen Registry (oder Richtlinie) nach dem kopieren auf der lokalen Maschine gelöscht. Somit sind alle Einstellungen immer und überall verfügbar Domänen-Benutzer Auf einer lokalen Maschine können sich nur Benutzer einloggen, welche auch lokal einen Account besitzen bzw. auf einen solchen Zugriff haben. Bei einer grossen Umgebung ist auch dies administrativ nicht haltbar. Die Benutzer werden also in der Domäne erstellt und können sich von jedem PC, welcher in der Domäne eingetragen ist und keine speziellen Sicherheitsrichtlinien einhalten muss, einloggen. Sie erhalten automatisch (und je nach Konfiguration des Administrators) die nötigen Zugriffsrechte, Netzlaufwerke, etc. Mit dem MMC ist so ein Benutzeraccount ohne grosse Komplikationen erstellbar. 6 MMC (Microsoft Managment Console) Dieses mächtige Werkzeit wurde im Windows 2000 eingeführt. Auf der Konsole ist es mit dem Befehl mmc zu starten. Ähnlich wie die Tools von Novell kann man mit Snap-Ins die Konsole um zu administrierende Bereiche erweitern. Jedes dieser Snap-Ins kann also einen Bereich der Serverdienste abdecken und als GUI für die Verwaltung dieser dienen. Seite 19 von

20 9 Quellen Englisches und deutsches Wikipedia ( offizielle Homepage Microsoft efault.mspx Active Directory von Robbie Allen und Alistair Lowe-Morris (übersetzt) des Verlages O'Reilly (ISBN ) 10 Abbildungen Abbildung 1: Selbst hergestellt (Vorlage aus Quelle Active Directory ) Abbildung Kapitel 7: Screenshots aus Wizard Windows 2003 Server Seite 20 von