1 Einleitung Technik der Verzeichnisdienste NET als Basis Merkmale von Active Directory Services.. 111

Transkript

1

2 Auf einen Blick 1 Einleitung Technik der Verzeichnisdienste NET als Basis Merkmale von Active Directory Services ADS-Konzept und -Planung Installation und Konfiguration Migration ADS-Benutzer- und Gruppen-Objekte Zugriffsrechte und Freigaben ADS und Druckersteuerung Profile, Richtlinien und Skripte Systemverwaltung A Glossar B Begriffe C Literatur/Quellen

3 Inhalt Vorwort 11 1 Einleitung 13 2 Technik der Verzeichnisdienste Allgemeines Definition Integration in bestehende Umgebungen Funktionen Normen und Standards X.500 als Basis Grundelemente DS-Modell und -Komponenten Objektattribute X.500-Normen Datenzugriff bei X Sicherheit und Datenschutz Integration per LDAP Entwicklung Vorgaben von X Sicherheit im LDAP-Umfeld Weiterentwicklung Namensdienst als erster Verzeichnisdienst Verzeichnisdienste im -Bereich Verzeichniseinsatz im Datenbankbereich NET als Basis Allgemeines Grundlagen XML-Webdienste SOAP und UDDI Inhalt 5

4 3.3.NET-Entwicklungsumgebung NET-Framework Sonstige.NET-Module und Programmentwicklung Server im.net-umfeld Entwicklung Windows NT Server Windows 2000 Server Windows Server Varianten von Windows Server Anwendungen für Windows-Server ADS im.net-umfeld Von Windows 1.0 nach.net Am Anfang war DOS Windows Windows Windows Windows 3, die Nächste Windows NT Windows NT, die Nächsten Windows Windows Windows 98, die Zweite Windows ME Windows Windows XP Windows Server NET und nun? Merkmale von Active Directory Services Entwicklung Namen und Bezeichnungen Funktionen und Leistungsmerkmale ADS in Windows 2000 Server ADS-Erweiterungen bei Windows Server ADS-Domänen-Modell Strukturelemente Globaler Katalog Partitionen und Replikationen Standards in ADS Migration und Integration Zusatzmodule und Ergänzungen ADSI-Interface Directory Enabled Networks Inhalt

5 5 ADS-Konzept und -Planung Strategische Vorüberlegungen Nutzen und Vorteile Konzeptentwurf Umsetzungsvariante Planungsvorgaben Planung und Umsetzung in der Praxis Generelle Fragestellungen ADS-Komponenten Domänen und Domänen-Bäume Organisationseinheiten Forest Standorte Systemverwaltung planen Dokumentation DNS als Grundlage Integration der Komponenten Installation und Konfiguration Vorgaben Grundinstallation Erste Schritte MMC als zentrale Schaltstation Programme zur ADS-Verwaltung Grundlegende ADS-Verwaltung Domänen-Zuweisung eines Systems Migration Gründe für ein Upgrade Windows NT 4 Server Planung und Vorarbeiten Durchführung der Migration Nacharbeiten Wiederherstellung Windows 2000 Server Planung und Vorarbeiten Durchführung der Migration Nacharbeiten Wiederherstellung Inhalt 7

6 8 ADS-Benutzer- und Gruppen-Objekte Allgemeines Struktur einer ADS-Umgebung Anlegen von Organisationseinheiten Zuweisung der Verwaltungsfunktion Eigenschaften einer Organisationseinheit Verschieben von Organisationseinheiten Suche von Organisationseinheiten Löschen von Organisationseinheiten Verwaltung der Benutzer-Objekte Allgemeines Benutzer-Objekt anlegen Eigenschaften eines Benutzer-Objekts Sonstige Objekteigenschaften Eigenschaften mehrerer Benutzer-Objekte Benutzer-Objekt kopieren Benutzer-Objekt umbenennen Benutzer-Objekt verschieben Benutzer-Objekt löschen Benutzer-Objekt deaktivieren Benutzergruppen verwalten Allgemeines Gruppen-Objekt anlegen Eigenschaften eines Gruppen-Objekts Gruppen-Objekt löschen Zugriffsbeschränkungen Anmeldezeiten Konto-Beschränkungen Anmeldung auf Arbeitsstationen beschränken Zugriffsrechte und Freigaben Prinzip der Rechtevergabe Verfügbare Rechte Zugriffsrechte durch Gruppenzuweisung Zugriffsrechte auf Benutzerebene Freigaben Einrichtung Zugriff auf Verzeichnisfreigabe Verwaltung und Überwachung Offline-Dateien Inhalt

7 10 ADS und Druckersteuerung Funktionen zur Druckersteuerung Technik der Druckausgabe Allgemeines Druckausgabe im Netzwerk Druckerfreigabe Einrichtung Zugriff auf eine Druckerfreigabe Internet Printing Protocol Windows-Server als Druckserver Druckausgabe per TCP/IP Standard-Port-Monitor Line Printer Weitere Funktionen Zugriff auf Fremdsysteme Möglichkeiten der Druckausgabe DOS-Anwendungen Profile, Richtlinien und Skripte Benutzerprofile Richtlinien Bedeutung und Funktion Formen der Richtlinien Sicherheitsrichtlinien Zuweisung einer Gruppenrichtlinie Zugriff auf bestehende Richtlinien Zuweisung einer anderen Richtlinie Löschen einer Richtlinie Standard-Richtlinie wiederherstellen Zusatzprogramme Kontrolle der Richtlinien Skripte Formen der Skriptdateien Active Server Pages Active Directory Services Interface Windows Script Host Anmeldeskript Inhalt 9

8 12 Systemverwaltung Aufgaben und Funktionen des Systemverwalters Verwaltungsprogramme und -anweisungen Menü Verwaltung Microsoft Management Console Anweisungen auf der Eingabeaufforderung Systeminformationen und -überwachung Verwaltung von Datenträgern System beenden Systemmonitor Systemprotokolle ADS-Verzeichnisdatenbank Daten verwalten Group Policy Management Console Pflege der ADS-Datenbank Verwaltung der Replikationen ADS-Datenbank entfernen Domänen und Domänen-Controller Vertrauensstellungen Domäne umbenennen Domain Name System Sonstiges ADMINPAK Terminalserver Fernverwaltung A Glossar 531 B Begriffe 553 C Literatur/Quellen 555 Index 567

9 1 1 Einleitung Wie bereits im Vorwort erwähnt, ist die Basis für die Erläuterungen dieses Buchs die Server-Betriebssystemversion Windows Server 2003 mit der aktuellen ADS-Version. Auch wenn viele Spötter behaupten, dass die Änderungen von Windows Server 2003 gegenüber Windows 2000 Server eher kosmetischer Natur sind, stimmt diese Behauptung nicht, denn wie so oft steckt der Teufel im Detail, was sich an vielen Optimierungen bemerkbar macht. Eine mögliche Änderung des Namens einer ADS-Domäne ist da nur eine der zahlreichen neuen Funktionen. Bedingt durch die enge Verzahnung der einzelnen Themen kann es innerhalb dieses Buchs hier und da zu Wiederholungen kommen. Dies ist jedoch notwendig, um dem Leser die Möglichkeit zu geben, gezielt einzelne Kapitel durchzuarbeiten, ohne dass dazu auf Kenntnisse bzw. Aussagen anderer Kapitel zurückgegriffen werden muss. In Kapitel 2 erfolgt eine allgemeine Einführung in die Thematik der Verzeichnisdienste. Hier wird die Basis geschaffen, die für das weitere Verständnis wichtig ist, wozu beispielsweise grundlegende Erläuterungen zu Begriffen wie X.500 oder auch LDAP zählen. Die.NET-Strategie der Firma Microsoft (gesprochen: DOTNET) wird in Kapitel 3 ausführlich beleuchtet. Sie bildet die Grundlage für das entsprechende Konzept des ADS-Verzeichnisdienstes. Spezielle Merkmale und Funktionen des ADS-Verzeichnisdienstes werden in Kapitel 4 dargestellt und erläutert. Neben den Grundmerkmalen sind hier auch Angaben zu den wesentlichen Neuerungen des Betriebssystems Windows Server 2003 zu finden. Vor dem Aufsetzen bzw. der Installation und Konfiguration einer ADS- Umgebung sollte auf jeden Fall eine gründliche Planung stehen. Was dabei zu berücksichtigen und welches die beste Vorgehensweise ist, wird in Kapitel 5 erläutert. Nach der Planung folgt die Umsetzung, wobei Kapitel 6 hier die maßgeblichen Kenntnisse für die Installation und Einrichtung einer ADS- Umgebung vermittelt. Diese Erläuterungen beziehen sich auf eine Neuinstallation. Angaben zur Migration einer bestehenden Umgebung enthält das nachfolgende Kapitel 7, hier werden sowohl die Migration von Einleitung 13

10 Windows 2000 Server als auch die Migrationsschritte für eine NT- Domänen-Umgebung erläutert. Nach der Installation oder einer möglichen Migration von ADS beginnt die eigentliche Arbeit mit dem System. Diese besteht unter anderem darin, die Struktur anzulegen, indem Organisationseinheiten und auch die zugehörigen ADS-Objekte angelegt und konfiguriert werden. Die dazu gegebenen Erläuterungen in Kapitel 8 werden in Kapitel 9 durch die Themen Zugriffsrechte und Verwaltung der Freigaben komplettiert. Die Druckersteuerung ist grundsätzlich in jedem Netzwerk eine Herausforderung. Was es dabei in einer ADS-Umgebung für Besonderheiten zu beachten gilt, ist Inhalt des Kapitels 10. Der Einsatz von Benutzerprofilen, Richtlinien und Skriptdateien ist ein sehr komplexes Thema, mit dem sich eigene Bücher füllen lassen. Die elementaren Arbeitsschritte zum Einsatz dieser wichtigen Teilbereiche der Systemveraltung sind Gegenstand von Kapitel 11. Das Kapitel 12 ist einzig und allein dem Systemverwalter gewidmet. Hier sind die grundlegenden Arbeiten erläutert, die in der Regel einem Systemverwalter oder einer berechtigten Person zufallen. Neben der Erläuterung wesentlicher Systemeinstellungen für den Einsatz des ADS-Verzeichnisdienstes werden hier auch einige Systemverwalter- Tätigkeiten in Bezug auf das eingesetzte System Windows Server 2003 behandelt. Der Anhang enthält ein ausführliches Glossar zum Thema ADS-Verzeichnisdienst und zu allgemeinen Themen des Netzwerkbereichs, das sich für das schnelle Nachschlagen optimal eignet und das vorliegende Buch (hoffentlich) zu einem ständigen Begleiter bei der Verwaltung eines Windows-Servers mit ADS-Verzeichnisdienst macht. 14 Einleitung

11 1 4 Merkmale von Active Directory Services Entwicklung Namen und Bezeichnungen Funktionen und Leistungsmerkmale ADS-Domänen-Modell Strukturelemente Globaler Katalog Partitionen und Replikationen Standards in ADS Migration und Integration Zusatzmodule und Ergänzungen

12 1 Einleitung 2 Technik der Verzeichnisdienste 3.NET als Basis 4 Merkmale von Active Directory Services 5 ADS-Konzept und -Planung 6 Installation und Konfiguration 7 Migration 8 ADS-Benutzer- und Gruppen-Objekte 9 Zugriffsrechte und Freigaben 10 ADS und Druckersteuerung 11 Profile, Richtlinien und Skripte 12 Systemverwaltung

13 1 4 Merkmale von Active Directory Services 2 Der Verzeichnisdienst Active Directory Services (ADS) von Microsoft ermöglicht die Verwaltung sämtlicher Ressourcen einer Netzwerkumgebung. Für Windows Server 2003 wurde ADS als Grundlage der Serververwaltung noch einmal gründlich überarbeitet. 3 4 ADS ist als skalierbarer und hierarchisch aufgebauter Verzeichnisdienst Bestandteil von Windows Server 2003 und dient dort als zentrale Datenbasis zur Verwaltung der einzelnen Verzeichnisobjekte wie etwa den relevanten Netzwerk-Ressourcen. Angaben zum grundlegenden Prinzip eines Verzeichnisdienstes enthält das Kapitel 2, Technik der Verzeichnisdienste. 4.1 Entwicklung Mit der Entwicklung von ADS reagierte Microsoft auf die am Markt gestiegenen Anforderungen und das breitere Anwendungsspektrum von Verzeichnisdiensten. Zentrale Komponente Der größte Widersacher auf dem Gebiet der Verzeichnisdienste ist zurzeit die Firma Novell mit NDS edirectory. Diese Lösung unterscheidet sich von der Microsoft-Lösung unter anderem dadurch, dass NDS edirectory nicht systemgebunden ist; ADS läuft grundsätzlich nur in einer Windows-Umgebung. Der ADS-Verzeichnisdienst löst den bestehenden»microsoft-verzeichnisdienst«windows NT Directory Service (NTDS) ab. Für Systemverwalter, die die Entwicklung von Windows NT verfolgt haben, mag das möglicherweise verwunderlich erscheinen, denn bereits mit der Veröffentlichung von Windows NT 3.51 behauptete Microsoft, dass in diesem Betriebssystem Verzeichnisdienste enthalten sind. Sicherlich bietet das NT-Betriebssystem die einmalige Anmeldung und eine Replizierung aller Benutzer innerhalb einer Domäne, aber diese Funktionalität reicht nicht aus, um einen weitreichenden Verzeichnisdienst zu bilden, der heutigen Anforderungen genügt. Dazu gehört beispielsweise eine zentralisierte Ressourcenverwaltung, die mit ADS realisiert worden ist. NT Directory Services Merkmale von Active Directory Services 111

14 Ziel bei der Entwicklung von ADS war es, einen integrativen Verzeichnisdienst zur Verfügung zu stellen, mit dessen Hilfe Informationen auf verschiedenen Ebenen (Netzwerk, Betriebssystem, Dienste, Anwendungen) abrufbar sind. Der Verzeichnisdienst wird durch die Ablage und Verknüpfung von Informationen aus den angeschlossenen Komponenten zum zentralen Punkt der Systemverwaltung, die sich aus dem Netzwerk- und dem IT-Management (Inventarmanagement, Helpdesk usw.) zusammensetzt. Windows 2000 Server Windows Server 2003 Mit Erscheinen des Server-Betriebssystems Windows 2000 Server- (Standard Server, Advanced Server und Datacenter Server) hielt der Verzeichnisdienst ADS Einzug in die Microsoft-Umgebung. Mit ADS reagierte Microsoft auf die steigende Komplexität verteilter Systeme. ADS ist somit insbesondere ein Konzept zur Skalierbarkeit von Windows-Netzwerkarchitekturen. Aufgrund der weiten Verbreitung von Microsoft-Produkten und der Zusammenarbeit mit bedeutenden Partnern war eine hohe Verbreitung von ADS absehbar. Auch wenn Microsoft für ADS selbst keine Versionsbezeichnungen veröffentlicht, erhält die im Windows Server 2003 enthaltene Version die Bezeichnung 2.0. Aufbauend auf der ADS-Version von Windows 2000 Server wurden dabei einige grundlegende Verbesserungen und Ergänzungen implementiert. Abbildung 4.1 Verwaltung von Windows Server Merkmale von Active Directory Services

15 1 Nähere Angaben zu den wesentlichen Neuerungen bzw. Ergänzungen der ADS-Version unter Windows Server 2003 enthält der Abschnitt Trotz der propagierten Offenheit und der Unterstützung vielfältiger Protokolle und Mechanismen bleiben aber Schwächen. ADS ist in den Grundmerkmalen an den Standard für Verzeichnisdienste (X.500) angelehnt, wobei ADS jedoch gewisse proprietäre Merkmale nicht leugnen kann. So ist zum Beispiel das Replikationssystem von ADS proprietär und nicht mit standardisierten Replikationsverfahren (X.500) interoperabel. Nähere Angaben zum Einsatz von Partitionen und Replikationen enthält Abschnitt 4.7. Generell wurde bei ADS die Verzeichnisstruktur des X.500-Modells (Baumstruktur) übernommen. So werden beispielsweise Objekte mit vergleichbaren Namenskonventionen angesprochen. Im Verzeichnisschema von Active Directory Services sind bekannte Objektklassen und Attribute abgelegt, aber ebenso auch Microsoft-spezifische Erweiterungen. Zur Herstellung der Kompatibilität zu anderen Verzeichnisdiensten unterstützt ADS das LDAP-Protokoll. Wie bei Microsoft-Produkten üblich, haben eine Vielzahl von Herstellern bereits kurz nach der Veröffentlichung ihre Unterstützung der ADS angekündigt und mittlerweile auch umgesetzt. So ist es beispielsweise möglich, aus dem Verzeichnis heraus Netzwerkkomponenten zu konfigurieren und diese Konfiguration im Netzwerk bekannt zu machen. Dieses Prinzip wurde unter dem Namen DEN (Directory Enabled Networks) bekannt. Nähere Angaben zu Directory Enabled Networks enthält Abschnitt Ebenso ist die Hinterlegung von Software-Konfigurationen möglich. Wird auf einer Arbeitsstation ein Dokument geöffnet, zu dem die entsprechende Anwendung lokal nicht installiert ist, wird im Verzeichnis nachgesehen, wo die Anwendung zu finden ist, und dann auf der betreffenden Arbeitsstation installiert. Das erste Produkt, das vollständig in ADS integriert worden ist, war Exchange 2000 Server. Das Verzeichnisschema wird dabei um die notwendigen Objekte bzw. Attribute für Exchange ergänzt. Proprietäre Eigenarten X.500-Modell Unterstützung Exchange 2000 Server Entwicklung 113

16 Die zentrale Datenbasis von Active Directory Services fußt auf der ursprünglich für das Exchange-System entwickelten Datenbank. Sie ist die Grundlage der ADS-Datenbank. 4.2 Namen und Bezeichnungen Bei der Auseinandersetzung mit dem Microsoft-Verzeichnisdienst ADS tauchen immer wieder Begriffe auf, die teils ADS-spezifisch sind, sich andererseits aber auch an den zugrunde liegenden Standards orientieren. Die wichtigsten Bezeichnungen und Namenskonventionen werden nachfolgend erläutert, da diese für das Verständnis der kommenden Kapitel wichtig sind. In den vorhergehenden Kapiteln wurden hier und da bereits einige fachspezifische Begriffe eingesetzt, auf die noch einmal explizit Bezug genommen werden soll. Dabei handelt es sich um Bezeichnungen bzw. Namen für strukturelle Festlegungen innerhalb von Active Directory Services. Access Control List Domäne Domänen-Baum Jedem ADS-Objekt wird automatisch eine Eigenschaft mit der Bezeichnung»Zugriffssteuerungsliste«(Access Control List) zugewiesen. Diese Zugriffssteuerungsliste eines Objekts regelt, wer auf das Objekt und seine Eigenschaften zugreifen kann. Wird zum Beispiel ein Objekt in der Zugriffssteuerungsliste eines Druckerobjekts aufgeführt, ist es berechtigt, Änderungen an dem Objekt vorzunehmen. Grundsätzlich kann jedes Objekt, das in der Zugriffssteuerungsliste eines Objekts aufgeführt ist, andere Rechte für die Eigenschaften dieses Objekts haben. Eine Domäne ist eine Einrichtung innerhalb von ADS, die einen Sicherheitskontext repräsentiert. Sie hat beim Einsatz von ADS einen sehr hohen Stellenwert. In einer Domäne erfolgen Sicherheitseinstellungen und die Zuweisung von Rechten, die aber standardmäßig immer nur Gültigkeit innerhalb einer Domäne haben. Darüber hinaus hat die Domäne auch großen Einfluss auf die physische Speicherung von Informationen. Sobald mehrere Domänen zu einer Struktur zusammengefasst werden, wird dies als Domänen-Baum bezeichnet. Ein Domänen-Baum ist eine hierarchische Struktur aus Domänen, die wiederum verwendet werden, um organisatorische Strukturen eines Unternehmens abzubilden. Die Einrichtung mehrerer Domänen und damit der Aufbau eines Domänen-Baums wird in der Regel relevant, wenn die Benutzer nicht 114 Merkmale von Active Directory Services

17 1 alle in einer Domäne verwaltet werden sollen bzw. wenn die Domänen aus unterschiedlichen Unternehmen oder Organisationen zusammengeführt werden Abbildung 4.2 Prinzip eines ADS-Domänen-Baums Ein Server, der über eine Kopie der Verzeichnisdatenbank verfügt, wird als Domänen-Controller bezeichnet. Jeder Domänen-Controller verfügt immer über alle Informationen zu einer Domäne. Dies bedeutet, dass sämtliche Informationen zwischen den Domänen-Controllern einer Domäne vererbt werden müssen. Das würde für kleinere Domänen sprechen, weil sich daraus ein geringerer Replikationsaufwand (Kopieren der Verzeichnisdatenbank) zu ergeben scheint. Dem steht aber entgegen, dass bei kleineren Domänen zum einen insgesamt mehr Domänen-Controller erforderlich sind, und das Risiko wächst, dass in einem räumlich verteilten Netzwerk nicht alle Informationen lokal vorhanden sind. Aus diesen Gründen ist es eher empfehlenswert, größere Domänen aufzubauen. Dafür spricht auch, dass das Verschieben von Objekten zwischen Domänen sehr viel schwieriger und aufwändiger als innerhalb einer Domäne ist. Domänen- Controller Eine Domäne stellt allgemein auch die Grenze der Partitionierung dar. Dies bedeutet, dass alle Domänen-Controller über sämtliche Informationen der entsprechenden Domäne verfügen. Namen und Bezeichnungen 115

18 Betriebsmaster Namespace Die Domänen-Controller in einer ADS-Umgebung sind grundsätzlich gleichberechtigt. Allerdings gibt es auch innerhalb von ADS spezifische Aufgaben oder Funktionen, die bestimmten Domänen-Controllern zugewiesen werden. Bei diesen so genannten Betriebsmastern (FSMO = Flexible Single Master Operation Server) wird zwischen den folgenden Typen unterschieden: DNS-Master Der DNS-Master stellt in einer Domänen-Gesamtstruktur sicher, dass der verwendete Namensraum (Namespace) eindeutig ist. Um in einem Forest neue Domänen hinzuzufügen oder bestehende Domänen zu löschen, wird der Zugriff auf den DNS-Master benötigt. Bei einem dauerhaften Ausfall des DNS-Masters kann dessen Funktion auch auf einen anderen Domänen-Controller übertragen werden, wobei dann aber der ursprüngliche DNS-Master seine Arbeit auf keinen Fall auch nicht mehr nachträglich wieder aufnehmen darf. Es ist zu empfehlen, als DNS-Master denjenigen Domänen-Controller einzusetzen, dem auch der globale Katalog (Global Catalog) zugewiesen ist. Domänen- Aktualisierung PDC-Emulator Infrastruktur-Master Der Infrastruktur-Master wird für die Aktualisierung der domänenübergreifenden Zuordnungen benötigt. So werden mit dem Infrastruktur-Master die Informationen über die Verwaltung der ADS- Objekte, beispielsweise beim Verschieben von Objekten in eine andere Domäne, an die übrigen Domänen-Controller übertragen (repliziert). In einem Forest, der aus mehreren Domänen besteht, darf dem Domänen-Controller, der als Infrastruktur-Master eingesetzt wird, nicht gleichzeitig auch der globale Katalog zugewiesen werden. Beim Ausfall eines Infrastruktur-Masters kann dessen Funktion einem anderen Domänen-Controller übertragen werden. PDC-Emulator-Master Um die Kompatibilität in einer gemischten Umgebung mit Windows NT Servern zu gewährleisten, wird ein spezieller PDC- Emulator eingesetzt, der innerhalb einer Domäne eindeutig sein muss. Der betreffende Master-Server erhält die Rolle eines PDC (Primary Domain Controller) und die übrigen Domänen-Controller nehmen gegenüber den NT-Servern die Rolle eines Backup Domain Controller (BDC) ein. Der PDC-Emulator wird auch dann genutzt, wenn 116 Merkmale von Active Directory Services

19 1 bestimmte Client-Systeme keine Unterstützung für ADS bieten, diese sich aber dennoch entsprechend authentifizieren müssen. 2 Bei einem Ausfall eines PDC-Emulator-Masters kann dies Auswirkungen auf die Funktionalität der entsprechenden Domäne nach sich ziehen. Aus diesem Grund muss schnellstmöglich Abhilfe geschaffen werden, etwa durch die Definition eines anderen Domänen-Controllers als PDC-Emulator. RID-Master Wie bereits an anderer Stelle erläutert, wird jedem Objekt einer ADS-Umgebung eine eindeutige Kennzeichnung, die so genannte SID (Security Identification) zugewiesen. Diese setzt sich aus einer Kennzeichnung der Domäne (Domänen-SID) und einer Kennzeichnung für das eigentliche Element zusammen, wobei dieser zweite Teil auch als RID (Relative Identifier oder Relative Security Identifier) bezeichnet wird. Da mit dem RID-Master eine eindeutige Kennzeichnung der einzelnen Objekte generiert wird, muss ein solcher Domänen-Controller innerhalb einer Domäne einmalig sein. Der RID- Master minimiert die Zeiten zur Generierung einer RID, indem er den einzelnen Domänen-Controllern ständig einen Pool von IDs zur Kennzeichnung neuer oder geänderter Objekte zur Verfügung stellt. Relative ID Die Domänen-SID ist innerhalb einer Domänen-Gesamtstruktur (Forest) und die RID innerhalb einer Domäne eindeutig. Auf diese Weise kann jedes Objekt im Forest eindeutig identifiziert werden. 9 Schema-Master Der Schema-Master überwacht sämtliche Änderungen am Verzeichnisschema von Active Directory Services. Innerhalb einer ADS- Umgebung darf grundsätzlich nur ein Schema-Master existieren, um so Inkonsistenzen zu vermeiden. Beim Ausfall eines Schema-Masters kann dessen Funktion auf einen anderen Domänen-Controller übertragen werden, wobei dann der usrprüngliche Schema-Master in dieser Funktion nicht mehr aktiv werden darf. Verzeichnisschema Zur Durchführung von Änderungen an dem Schema einer ADS- Umgebung muss der betreffende Benutzer Mitglied in der Gruppe der Schema-Administratoren sein. Namen und Bezeichnungen 117

20 Forest Als Forest oder Domänen-Gesamtstruktur wird innerhalb von ADS eine Zusammenfassung mehrerer Domänen-Bäume bezeichnet. Somit erlauben Forests die Integration mehrerer Domänen-Bäume zu einem Netzwerk mit einer gemeinsamen Sicherheitsinfrastruktur, in dem es durchgehende, automatisch definierte Vertrauensstellungen gibt. Jedem Benutzer einer Domäne im Forest können so in jeder anderen Domäne einfach und schnell Zugriffsberechtigungen gewährt werden. Forests werden immer dann gebildet, wenn die Domänen unterschiedliche Namensräume haben, aber dennoch in ein gemeinsames Netzwerk integriert werden sollen. Bei einer Vertrauensstellung»vertraut«eine Domäne A eines Domänen-Baums einer Domäne B in einem anderen Domänen-Baum. Einem Benutzer aus Domäne A können so Rechte zur Nutzung der Ressourcen an der Domäne B zugewiesen werden. Objekttypen Die gesamte ADS-Struktur ist in einem so genannten Verzeichnisbaum angeordnet. Verzeichnisbaum deshalb, weil alle Objekte in einer (hierarchischen) Baumstruktur angelegt und verwaltet werden, deren Aufbau beim Stammobjekt (Root) beginnt und von dort weiter nach unten verzweigt. Ein Verzeichnisbaum besteht generell aus zwei Arten von Objekten: Behälterobjekten (Container Object) und Blattobjekten (Leaf Object). Ein Zweig des Verzeichnisbaums setzt sich aus einem Behälterobjekt und allen darin enthaltenen Objekten zusammen, wozu weitere Behälterobjekte gehören können. In einem Behälterobjekt können wiederum weitere Objekte (Behälter- oder Blattobjekte) von ADS enthalten sein. Innerhalb von ADS gibt es Objekte, die physikalische Einheiten darstellen. Ein Benutzerobjekt steht beispielsweise für einen Benutzer, ein Druckerobjekt für einen Drucker usw. Andere Objekte stehen für logische Einheiten wie Druckerwarteschlangen oder Benutzergruppen. Für eine bessere Verwaltung der Objekte sind übergeordnete Objekte verfügbar, beispielsweise das Objekt»Organisationseinheit«. Organisationseinheit Eine Organisationseinheit (Organizational Unit) ist ein bestimmter Objekttyp, der auch als Behälterobjekt bezeichnet wird. Ein solches Objekt kann grundsätzlich andere Objekte beinhalten. Mit den Organisationseinheiten lässt sich innerhalb einer Domäne eine Struktur generieren. 118 Merkmale von Active Directory Services

21 1 Mit Hilfe von Behälterobjekten können alle anderen Objekte in einem Verzeichnisbaum logisch gegliedert werden. Behälterobjekte entsprechen dem Verzeichnis in einem Dateisystem; zusammengehörige Informationen werden darin in Gruppen untergliedert. Dabei werden Behälterobjekte immer dann als übergeordnete Objekte bezeichnet, wenn sie selbst weitere Objekte enthalten. Im Gegensatz dazu befinden sich die Blattobjekte jeweils an den Enden eines Zweiges des Verzeichnisbaums, wobei derartige Objekte grundsätzlich keine weiteren enthalten können. Diese Art der Objekte steht in der Praxis beispielsweise stellvertretend für Benutzer, Rechner, Drucker, Warteschlangen usw. Eine Organisationseinheit wird auch als Container-Objekt bezeichnet. Ein Objekt steht stellvertretend für eine Ressource, die im Active Directory Services verwaltet wird. Es kann sich dabei um einen Benutzer, einen Drucker oder auch um eine Festplatte handeln. Alle Objekte eines Verzeichnisbaums haben immer einen eindeutigen Eigennamen. Bei Benutzerobjekten beispielsweise ist der Eigenname in der Regel identisch mit dem Anmeldenamen, der im Verzeichnisbaum angezeigt wird. Andere Blattobjekte haben ebenfalls Eigennamen, die im Verzeichnisbaum angezeigt werden, beispielsweise ein Druckeroder Server-Objektname. Im Gegensatz dazu werden Behälterobjekte in der Regel mit dem Namen der Organisationseinheit oder auch mit dem Namen der Organisation (Organization) oder einer geografischen Zuordnung bezeichnet. Ein einzelnes Objekt innerhalb einer Verzeichnisdatenbank wird auch als Leaf- oder Blattobjekt bezeichnet. Wie in X.500 definiert, werden sämtliche Angaben über die einzelnen Objekte, die in der Verzeichnisdatenbank gespeichert sind, als Objekteigenschaften (Properties) bezeichnet. Grundsätzlich hat jedes Objekt verschiedene Eigenschaften, die wiederum Informationen zum jeweiligen Objekt enthalten. Dies kann beispielsweise die Telefon- oder Faxnummer eines Benutzers oder der Standort eines Druckers sein. Die Informationen oder Werte zu den Objekten werden in den einzelnen Datenfeldern abgelegt. So kann ein Benutzerobjekt zum Beispiel die folgenden Eigenschaften enthalten: Anmeldename, -Adresse, Passwortbeschränkungen, Gruppenmitgliedschaft, Telefonnummer, Adresse usw. In vielen Fällen können für eine Eigenschaft mehrere Werte eingegeben werden. Unter der Eigenschaft»Telefonnummer«für Benutzerobjekte können etwa die geschäftliche und die private Telefonnummer oder auch eine Mobiltelefonnummer angegeben werden. Objekt Objekteigenschaft Namen und Bezeichnungen 119

22 Werden Informationen, beispielsweise die Telefonnummer eines Benutzers, vom Active Directory Services angefordert, wird in jedem Benutzerobjekt der Datenbank gesucht. Sobald die Telefonnummer gefunden ist, wird eine Liste aller Objekte ausgegeben, in denen die betreffende Nummer (als Eigenschaft) enthalten ist. Im Gegensatz dazu können von den Benutzern aber auch Informationen zu einem ganz bestimmten Objekt angefordert werden. Dabei erfolgt die Anzeige aller Eigenschaften des gewünschten Objekts, sofern entsprechende Zugriffsrechte bestehen. SID und RID Vertrauensstellung Die einzelnen Objekte einer ADS-Verzeichnisdatenbank werden in einer Domäne abgelegt, in der sie durch eine eindeutige Nummer gekennzeichnet werden. In Bezug auf die Benutzer und Gruppen werden diesen beispielsweise so genannte Security IDs (SIDs) zugewiesen. Dabei setzt sich die SID eines Benutzers aus der SID der betreffenden Domäne und einer so genannten Relative ID (RID) zusammen, wobei die RID wiederum innerhalb der Domäne eindeutig ist. Mit einer Vertrauensstellung besteht die Möglichkeit für den Benutzer einer Domäne A, auch auf Ressourcen in einer Domäne B zuzugreifen, ohne dass er dort über ein Benutzerkonto verfügt. Vertrauensstellungen werden auch als»geschützte Domänen«bezeichnet und können sowohl ein- als auch gegenseitig sein. Neben einer Vertrauensstellung für einzelne Domänen können im Active Directory Services auch entsprechende Vertrauensstellungen auf Ebene einer Domänen-Gesamtstruktur (Forest) definiert werden. Verzeichnisobjekte Die verfügbaren Ressourcen eines Netzwerks werden beim Einsatz von ADS als Objekte angelegt. Dabei werden die einzelnen Ressourcen unabhängig vom tatsächlichen Standort in einer hierarchischen Baumstruktur abgelegt, so wie von X.500 mit dem DIT (Directory Information Tree) vorgegeben. Benutzer und Systemverwalter können somit auf die Netzwerkdienste zugreifen, ohne beispielsweise den tatsächlichen (physikalischen) Standort des Servers zu kennen, der den jeweiligen Dienst (Service) bereitstellt (logische Zuordnung). Somit wird jede Ressource bzw. jeder Service als Objekt behandelt, wobei sich diese Objekte wiederum aus den Objekteigenschaften und den darin enthaltenen Daten oder Werten zusammensetzen. Diese Angaben über die einzelnen Objekte werden in der Verzeichnisdatenbank gespeichert. 120 Merkmale von Active Directory Services

23 1 4.3 Funktionen und Leistungsmerkmale Generell lassen sich mit ADS heterogene Systemumgebungen verwalten, wobei dieser Verzeichnisdienst eine hohe Skalierbarkeit bietet, mit der möglichen Verwaltung von bis zu mehreren Millionen Objekten pro Speicherbereich. Vergleichbar mit anderen Verzeichnisdiensten kann auch bei ADS die tatsächliche Unternehmens- bzw. Organisationsstruktur abgebildet werden. Komplexe, verteilte Umgebungen sind damit einfacher zu verwalten als beispielsweise im Domänen-Prinzip von Windows NT Server, wobei ADS ebenfalls ein (proprietäres) Domänen-Prinzip einsetzt. Die Entwicklung der Active Directory Services orientiert sich ausschließlich an der Entwicklung der Server-Betriebssysteme von Microsoft. Beginnend mit Windows 2000 Server, in dem die erste ADS-Version integriert war, bis hin zu Windows Server 2003, wo einige Änderungen oder Ergänzungen zur Optimierung des Verzeichnisdienstes beigetragen haben ADS in Windows 2000 Server Das erste Microsoft-Produkt mit einem»echten«verzeichnisdienst war Windows 2000 Server. Dies war gleichzeitig auch die Grundlage für den Verzeichnisdienst Active Directory Services, wie er in Windows Server 2003 eingesetzt wird. In ADS können grundsätzlich alle Ressourcen erfasst, hinterlegt bzw. verwaltet werden, die in dem Netzwerk eines Unternehmens oder einer Organisation verfügbar sind. Beispielhaft sind zu nennen: Dateien, Drucker, Benutzer oder auch Richtlinien für die Verwaltung derartiger Objekte. So ermöglicht er die zentrale Verwaltung von Benutzern und Ressourcen, ebenso wie die Steuerung der Sicherheitsrichtlinien in einer Organisation oder einem Unternehmen. In Verbindung mit dem überarbeiteten Domänen-Konzept (aus Windows NT) ergeben sich dadurch Vorteile für den Systemverwalter, insbesondere dann, wenn eine Migration vom NT-Domänen-Konzept zu ADS geplant ist. So sieht das ADS-Domänen-Konzept den Einsatz einzelner Domänen vor, die wiederum über entsprechende Vertrauensstellungen zu einem Tree (Domänen-Baum) zusammengeführt werden können. Mehrere Domänen-Bäume wiederum lassen sich dann zu einem Forest (Wald) zusammenfassen. Zentrale Verwaltung Domänen und Forest Funktionen und Leistungsmerkmale 121

24 Abbildung 4.3 Bestandteile einer ADS-Umgebung Nähere Angaben zum ADS-Domänen-Modell enthält der Abschnitt 4.4. Single Point of Administration Organisationseinheit Domänen- Controller Da das Verzeichnis die zentrale Datenablage (Datenbank) darstellt, müssen Änderungen nur an einer Stelle vorgenommen werden. Dadurch kann auch die Verwaltung der Domänen, Bäume und Wälder mit Hilfe der ADS von zentraler Stelle aus erfolgen. ADS bildet einen so genannten»single Point of Administration«für alle Ressourcen. Dabei gilt dies nicht nur für die Systemverwaltung der Komponenten im Netzwerk, sondern auch für Dateien, Verbindungen, Datenbanken, Webzugriffe, Benutzer, Netzwerknamen, -Adressen, Zertifikate und sonstige Objekte, Dienste oder Ressourcen. Alle Verzeichnisobjekte befinden sich in einer Domäne, die zur strukturierten Verwaltung in eine Hierarchie mehrerer Organisationseinheiten (Organizational Unit = OU) unterteilt werden kann. Mehrere Domänen lassen sich in einer Baumstruktur zusammenführen. ADS trennt dabei nicht mehr zwischen primären Domänen-Controllern und Sicherungs-Domänen-Controllern, sondern arbeitet nur noch mit Domänen-Controllern. Systemverwalter können Änderungen auf jedem dieser Controller durchführen. Active Directory Services selbst sorgt dafür, dass entsprechende Updates auf alle anderen Domänen-Controller automatisch repliziert werden. 122 Merkmale von Active Directory Services

25 1 Der hierarchisch strukturierte Verzeichnisdienst Active Directory Services vereinfacht die Verwaltung von Benutzern, Gruppen oder Servern, da alle Netzwerk-Ressourcen an einer zentralen Stelle zusammengefasst und logisch strukturiert sind. Zugriff auf die Ressourcen erhält ein Anwender beispielsweise über den Windows-Explorer oder die Netzwerkumgebung, in der sich ein spezieller Eintrag eigens für das vom ADS bereitgestellte Verzeichnis befindet Abbildung 4.4 ADS-Objekte im Windows-Explorer Zum Umgang mit dem Verzeichnisdienst und aller dafür relevanten Dienste und Ressourcen stehen zahlreiche neue Zusatzprogramme bereit, die in der Regel als Snap-In-Module für die Microsoft Management Console (MMC) ausgelegt sind. Die Vielzahl einzelner Anwendungen, wie beispielsweise bei Windows NT Server, hat Microsoft mit MMC unter einer einheitlichen Oberfläche zusammengeführt. Der hierarchische und gleichzeitig flexible Aufbau erleichtert die Skalierung sowie die Anpassung an organisatorische Veränderungen. Die Einrichtung und Verwaltung von Active Directory Services erfolgt ebenfalls über ein Snap-In der MMC. Das Schema der ADS ist erweiterbar; neue Eigenschaften und Objekte lassen sich jederzeit hinzufügen. MMC Skalierung Funktionen und Leistungsmerkmale 123

26 Abbildung 4.5 Module in der Microsoft Management Console ADSI ADS lässt sich durch die integrierten Programmierschnittstellen (APIs) an individuelle Gegebenheiten anpassen. Mit dem Active Directory Service Interface (ADSI) lassen sich weitere Verzeichnisdienste integrieren. Diese Programmierschnittstelle ermöglicht die Entwicklung von Anwendungen für den Zugriff und die Verwaltung von Active Directory sowie jeglicher LDAP-basierter Verzeichnisdienste und weiterer wie etwa NDS edirectory von Novell. Nähere Angaben zur Programmierschnittstelle ADSI enthält Abschnitt Standards Domänen- Controller Globaler Katalog Generell kann ADS auch in heterogenen Systemumgebungen eingesetzt werden. Es basiert auf Internet-Standards wie DNS und LDAP und unterstützt die verschiedenen internationalen Standards für Datei- und Verzeichnisnamen, darunter auch HTTP (über den Internet Information Server), X.500 und UNC. ADS ist abwärtskompatibel und unterstützt auch gemischte Systemumgebungen mit Domänen-Controllern aus Windows Server 2003, Windows 2000 Server und Windows NT 4 Server. Auf diese Weise ist jederzeit eine stufenweise Migration von Windows NT nach Windows Server 2003 möglich. Sämtliche Ressourcen einer ADS-Umgebung sind in einem globalen Katalog (Global Catalog) abgelegt. Der globale Katalog enthält alle Objekte von Active Directory Services sowie einen sinnvollen Teil der Objekteigenschaften, der sich frei wählen lässt. Daher lässt er sich nach 124 Merkmale von Active Directory Services

27 1 vielen Kriterien (Name, Telefon, usw.) komfortabel durchsuchen. Sinnvoll ist ein globaler Katalog insbesondere dort, wo Objekte aus mehreren Domänen zentral verwaltet werden sollen. Nähere Angaben zum Einsatz des globalen Katalogs enthält Abschnitt 4.6. Beim Einsatz eines Verzeichnisdienstes wie ADS meldet sich ein Benutzer nur einmal am Netzwerk an und hat dann aufgrund der Zugriffsrechte, die im Verzeichnis gespeichert sind, Zugang zu allen für ihn freigegebenen Ressourcen, Diensten und Anwendungen. Durch das Prinzip der Replikation wird ein Zugriff auch dann möglich, wenn ein Verzeichnisknoten ausfällt. Ausgewählte Daten bzw. Informationen der Datenbank (z.b. Angaben zu -Adressen) können freigegeben werden, sodass auf sie aus externen Netzwerken (z.b. Internet) oder aus dem unternehmensweiten Intranet zugegriffen werden kann. Möglich macht dies das Zugriffsprotokoll LDAP, mit dem ein Zugriff auch auf externe Verzeichnisse oder auf Verzeichnisdienste anderer Netzwerkbetriebssysteme möglich ist. Sämtliche Informationen, die in der Verzeichnisdatenbank abgelegt werden, werden durch ein unteilbares, konsistentes Sicherheitssystem geschützt. Neben den bisher genannten und erläuterten Merkmalen der ADS sollen die folgenden Funktionen der Vollständigkeit halber ebenfalls erwähnt werden: Einmalige Anmeldung Verzeichnisfreigabe für Teilbereiche Sicherheitsmodell Sonstige Funktionen Abwärtskompatibilität zu Windows NT 3.5x und NT 4.x Dezentrale Systemverwaltung bis auf die unterste Ebene innerhalb einer Organisationseinheit Drag-and-Drop-Verwaltung der Objekte Erweiterbarkeit der Datenbasis durch Schema-Erweiterungen (X.500) Festlegung offener Schnittstellen (APIs) für Programmierer (z.b. C++) und Scriptsprachen (z.b. JavaScript, Perl, VBA) mit OLE Support Internetzugang Kombination von DNS und X.500 unter Beibehaltung der besten Schlüsselfunktionen der jeweiligen Systeme Funktionen und Leistungsmerkmale 125

28 Multimaster-Replikation Skalierbarkeit von Mininetzwerken bis hin zu globalen Netzwerken Unterstützung verschiedener Namensformate gemäß RFC 822 und RFC 1779 Unterstützung von Diensten mit kurzer Lebensdauer (z.b. Chat, Konferenzdienste) Unterstützung von Novell NetWare (Bindery und NDS edirectory) Verteilte Sicherheit Verwendung offener Standards ADS- Komponenten ESE Schema GC Abschließend werden noch einmal die grundlegenden Komponenten aufgeführt, aus denen sich der Verzeichnisdienst Active Directory Service zusammensetzt: Verzeichnisdatenbank Verzeichnis in Form einer relationalen Datenbank (ESE = Extensible Storage Engine), die das eigentliche Verzeichnis darstellt. Verzeichnisschema Menge von Regeln, die als Verzeichnisschema bezeichnet wird und mit denen alle Objekttypen von ADS definiert werden. Die Informationen eines Objekts werden in Attributen (z.b. Name, Telefonnummer, Standort) gespeichert. Jedes Attribut wird im Schema einmalig definiert, wobei mehrere Attribute in Klassen zusammengefasst werden. Beim Anlegen eines neuen Objekts wird im Verzeichnisschema nach der Klasse des Objekts gesucht, und dem Objekt werden alle notwendigen Attribute zugewiesen. Somit ist jedes ADS-Objekt die Instanz einer bestimmten Objektklasse. Das Verzeichnisschema ist selbst in der Verzeichnisdatenbank gespeichert, lässt sich somit einfach erweitern und wird automatisch repliziert. Es gibt genau ein Schema für die Gesamtstruktur. Globaler Katalog Globaler Katalog (Global Catalog) als Untermenge des Verzeichnisses zum schnellen Auffinden von Objekten und Objekteigenschaften. Es handelt sich dabei um eine spezielle Datenbank innerhalb einer ADS-Umgebung, in der zu allen Objekten ausgewählte Attribute gespeichert werden. Der GC dient als zentrale Suchmaschine, um schnelle Zugriffe auf bestimmte oft benötigte Informationen zu ermöglichen. Dies ist gerade in einer größeren Struktur sehr wichtig, da dort das Verzeichnis häufig über mehrere Server verteilt ist. Der 126 Merkmale von Active Directory Services

29 1 Global Catalog vermittelt also von zentraler Stelle die Informationen selbst oder verweist auf den Server, auf dem diese abgelegt sind. Replikation Einsatz eines Replikationsdienstes zum Kopieren der verfügbaren Datenbanken auf andere Server. Häufig werden in einer ADS-Umgebung aus Gründen erhöhter Redundanz und Lastverteilung mehrere Server eingesetzt, die das Verzeichnis speichern. Dabei verwendet ADS die so genannte Multi-Master-Replikationsmethode, die es ermöglicht, dass Änderungen am Verzeichnis an jedem Server vorgenommen werden können und automatisch repliziert werden. Sicherheitskonzept Mittels eines speziellen Sicherheitskonzepts, das auf Richtlinien und Zugriffslisten aufbaut, werden die Daten einer ADS-Umgebung geschützt. Der Zugriff auf sämtliche ADS-Objekte wird über Access Control Lists (ACL) geregelt. Damit kann explizit definiert werden, ob Benutzer auf ein Objekt zugreifen, es bearbeiten dürfen, oder ob es überhaupt für sie sichtbar ist. Somit lassen sich auch Aufgaben der Systemverwaltung delegieren, ohne Zugriffsberechtigungen für das gesamte Verzeichnis erteilen zu müssen. Mit Hilfe von Vererbungstechniken können sehr schnell für eine große Anzahl von Objekten Berechtigungen gesetzt werden. Eine weitere Sicherheitsfunktion erfüllen die Gruppenrichtlinien, auf die später noch separat eingegangen wird ADS-Erweiterungen bei Windows Server 2003 Durch die enge Kopplung von Active Directory Services an Microsofts Server-Betriebssysteme ergaben sich mit der Veröffentlichung von Windows Server 2003 neue Merkmale der ADS-Version. Die wesentlichen neuen Funktionen werden nachfolgend erläutert. Hersteller wie Novell sind im Gegensatz zu Microsoft sehr früh dazu übergegangen, den Verzeichnisdienst vom Betriebssystem zu entkoppeln. Deshalb steht zum Beispiel der Novell-Verzeichnisdienst NDS edirectory heute für unterschiedliche Systemplattformen zur Verfügung (NetWare, Windows, UNIX, Linux, Solaris usw.). Redundanz ACL Entscheidende Verbesserungen gegenüber der ersten ADS-Version ergeben sich bei Windows Server 2003 beispielsweise dadurch, dass der Name einer Domäne geändert werden kann. Während es bei Win- Domänenname ändern Funktionen und Leistungsmerkmale 127

30 dows 2000 Server nicht möglich war, eine Domäne umzubenennen, kann dies ab Windows Server 2003 erfolgen, wobei dieses Merkmal besonders interessant ist bei der Zusammenführung von mehreren ADS-Verzeichnisdiensten. Dies kann zum Beispiel erforderlich sein bei der organisatorischen Zusammenführung von zwei Unternehmen. Das Umbenennen einer Domäne erfolgt unter Windows Server 2003 über das Programm RENDOM.EXE. Dabei kann nicht nur die Domäne, sondern der Domänen-Controller umbenannt werden. Das Zusatzprogramm steht beispielsweise auf den Webseiten von Microsoft zum Download zur Verfügung unter: windowsserver2003/downloads/domainrename.mspx Nähere Angaben zum Unbenennen einer Domäne enthält Kapitel 12, Systemverwaltung. Cross Forest Trusts Oft ist in der Literatur die Rede vom»sieg der Praxis über die Theorie«, wenn das Prinzip der Vertrauensstellungen von Forests in einem ADS- Gebilde erläutert wird. Während es in der ersten ADS-Version bereits möglich war, zwischen einzelnen Domänen in unterschiedlichen Forests eine Vertrauensstellung (Trust Relationship) zu definieren, wurde dieses Prinzip bei Windows Server 2003 auch auf ganze Forests ausgedehnt. Abbildung 4.6 Definition einer neuen Vertrauenstellung für Cross Forest Trusts 128 Merkmale von Active Directory Services

31 1 Nähere Angaben zum Domänen-Modell von Active Directory Services und den Möglichkeiten der Vertrauensstellungen zwischen Domäne, Domänen-Bäumen und Forest enthält Abschnitt 4.4. Je nach Installationsgrad und nach installierten Zusatzprodukten ist es notwendig, das ADS-Schema zu erweitern. Während bei der ersten ADS-Version derartige Schemaänderungen nicht rückgängig gemacht werden konnten, ist dies ab Windows Server 2003 möglich. Auf diese Weise kann das ADS-Schema jederzeit wieder bereinigt werden. Das Schema ist die Basis für einen Verzeichnisdienst. In ihm sind die einzelnen Objekte und die verfügbaren Objekteigenschaften abgelegt. Mit InetOrgPerson steht ein neuer Objektyp zur Verfügung, der alternativ zum Benutzer-Objekttyp (User) eingesetzt werden kann. Bedingt durch die größere Kompatibilität des Objekttyps InetOrgPerson mit anderen Verzeichnisdiensten und speziell in einer LDAP-Umgebung, ist der Einsatz dieses Objekttyps der Verwendung des Typs»Benutzer«vorzuziehen. Bei der Verwaltung der ADS-Objekte ist es ab Windows Server 2003 möglich, mehrere Objekte zu markieren und diesen dann die gewünschten Eigenschaften zuzuweisen. Mit dieser Mehrfachauswahl kann einer Gruppe von Verzeichnisobjekten schnell und einfach die gleiche Eigenschaft zugewiesen werden. Schemaänderungen InetOrgPerson Mehrfachauswahl von Objekten Abbildung 4.7 Zuweisung von Eigenschaften an mehrere Objekte Funktionen und Leistungsmerkmale 129

32 Gruppenmitglieder Gruppenrichtlinien Ab Windows Server 2003 ist es möglich, einer einzelnen Gruppe bis zu 5000 Mitglieder zuzuweisen. Eine Verschachtelung von Gruppen ist deshalb in der Regel nicht mehr notwendig. Mit Hilfe von Gruppenrichtlinien können Systemverwalter Einstellungen und zulässige Aktionen für Benutzer und Rechner definieren. So können Richtlinien definiert werden, die für eine bestimmte Domäne, einen bestimmten Standort oder für einen beliebigen Bereich eines Unternehmens oder einer Organisation gelten. Derartig eingesetzte Richtlinien (Group Policy Management) vereinfachen Aufgaben wie beispielsweise das Aktualisieren des Systems, das Installieren von Anwendungen, das Einrichten von Benutzerprofilen sowie das Sperren des Desktop-Systems. Die Verwaltung der Gruppenrichtlinien wurde dahingehend verbessert, dass nun die vererbten Gruppenrichtlinien angezeigt werden; dies war bei Windows 2000 Server nicht der Fall. Damit wird die Verwaltung erleichtert, zumal bei Windows Server 2003 zusätzlich eine Anzeige der effektiven Richtlinien in HTML-Form verfügbar ist. GPMC DSADD DSRM DSMOVE DSQUERY DSGET Application Directory Partition Mit der Group Policy Management Console (GPMC), die als Add-On- Komponente für Windows Server 2003 angeboten wird, existiert eine benutzerfreundliche Umgebung für die Verwaltung der Gruppenrichtlinien. Mit speziellen Anweisungen für die Befehlszeile stehen Möglichkeiten zur Verfügung, die ADS-Objekte einfach und schnell zu bearbeiten. So können beispielsweise mit der Anweisung DSADD der Verzeichnisdatenbank neue Objekte hinzugefügt werden. Das Gegenstück zu DSADD stellt die Anweisung DSRM dar, mit der Objekte aus der Verzeichnisdatenbank von Active Directory Services gelöscht werden können. Die Anweisung DSMOVE ermöglicht das Verschieben von Objekten in andere Organisationseinheiten, wobei dies nur innerhalb einer Domäne möglich ist. Zur Durchführung bestimmter Abfragen der Verzeichnisinformationen steht DSQUERY.EXE zur Verfügung. Mit DSGET.EXE können neben den normalen Objekteigenschaften auch bestimmte Attributwerte abgefragt werden. Zusätzlich zu den Partitionen für die Verzeichnisdatenbank bietet Windows Server 2003 auch noch die Möglichkeit, Partitionen mit Objekten 130 Merkmale von Active Directory Services