Präsentation von Markus Häfele Network Implementation and Integration, 7. Semester 19. Jänner 2009
Zentraler, hierarchischer Verzeichnisdienst Gemeinsame Datenbank bzw. Informationsquelle Speichert Attribute zu Objekten Vereinfachung der Netzwerkverwaltung für alle Objekte User Computer Drucker Dateien Anwendungen
Liefert Informationen zu den Objekten hilft diese Objekte zu organisieren komfortable, gemeinsame und wirtschaftliche Nutzung Unterstützt die Sicherheit durch Richtlinien Möglichkeit des Single Sign-On Standardisierte Schnittstelle: LDAP
Erste Verzeichnisdienste entstanden 1982 Früher als NT Directory Service bezeichnet Erste Bekanntmachung und Entwicklung 1996 Erster Release in Windows 2000 Server Mehrere Funktionen seit Windows Server 2003 Verbesserungen in Windows Server 2008
Mind. 1 Server Windows 2000 Server Windows Server 2003 Windows Server 2008 Arbeitsstationen Windows 2000 Windows XP Professional Windows Vista Business, Enterprise oder Ultimate
Domäne (domain)
Domäne (domain) Standort (site)
Domäne (domain) Standort (site) Organisationseinheit (organizational units, OU)
Domäne (domain) Standort (site) Organisationseinheit (organizational units, OU) Struktur (Baum, tree)
Domäne (domain) Standort (site) Organisationseinheit (organizational units, OU) Struktur (Baum, tree) Gesamtstruktur (Wald, forest)
Domäne (domain) Standort (site) Organisationseinheit (organizational units, OU) Struktur (Baum, tree) Gesamtstruktur (Wald, forest) Domänen Controller (domain controller, DC) Globaler Katalog (global catalog)
Basierend auf Jet Blue Von Microsoft 1992 entwickelt Bis zu 10.000 parallel Verbindungen Wird auch verwendet für Windows Desktop Search Exchange Server Grenzen pro Domäne 17 Terabytes 10 Millionen Objekte Theoretisch, da nur 1 Million Objekte empfohlen wird
Jeder Domänencontroller repliziert bzw. synchronisiert seine Datenbank mit allen anderen Domänencontrollern inkrementell umfasst die Einstellung einer Domäne und ist auf die Domäne begrenzt Erfolgt automatisch nach vorgegebenen Einstellungen Standard: alle 5 Minuten bei 2000 Server Standard: alle 15 Sekunden bei Server 2003 Speziell einstellbar zwischen einzelnen Sites
Anmeldename Muss eindeutig sein bis zu 20 Zeichen enthalten Namenskonvention ist empfehlenswert Einstellungen für das Kennwort kann ablaufen nicht änderbar Bei nächster Anmeldung zu ändern
Persönliche Eigenschaften Anmeldeoptionen Auf bestimmte Zeiten einschränkbar Auf bestimmte Computer einschränkbar Servergespeicherte Profile Authentifizierung läuft über Kerberos-Tickets
Berechtigungen werden einmal für einen Gruppe erteilt anstelle jedes einzelnen Mitglieds Gruppenmitglieder verfügen über zugewiese Rechte der Gruppe Benutzer können Mitglieder mehrerer Gruppen sein Gruppen und Computer können ebenfalls Mitglieder von Gruppen sein
Gruppenbereiche Bereich Mitglieder Berechtigungen Lokal aus definierter Domäne für definierte Domäne Global aus definierter Domäne für beliebige Domäne Universell aus beliebiger Domäne für beliebige Domäne Gruppentypen Sicherheit Verteiler Nur für E-Mail
GPO bieten die Möglichkeit, an zentraler Stelle die Anwendungsumgebung der Benutzer einmalig festzulegen, wobei das Betriebssystem die Einhaltung sicherstellt. GPO können zu Computern und / oder Benutzern zugeteilt werden Gültigkeits-Reihenfolge: Lokale Richtlinien Standort Domäne Organisationseinheit (niedrigste Priorität) werden überschrieben (höchste Priorität)
Beispiele für Richtlinien: Standarddrucker festlegen Erstellen/Kopieren/Löschen von Dateien Anlegen/Löschen/Freigeben von Verzeichnissen Erstellen/Löschen/Überschreiben von Registry ODBC-Datenquellen konfigurieren Zugriffe auf Hardware (Bsp.: DVD) verbieten VPN-Verbindungen konfigurieren Lokalen Administratornamen und Kennwort ändern
Häufige Modifizierungen: OU-Admin deaktiviert die Vererbung Nur die GPO der OU werden angewendet Ober-Admin setzt eine GPO auf kein Vorrang Diese GPO wird definitiv angewendet Rechner/User das Recht zum Lesen einer GPO entziehen GPO wird bei diesem Rechner/User nicht angewendet Potentielle Fehlerquelle! Gpresult.exe und rsop.msc listen die verwendeten Richtlinien und deren Herkunft auf
AD ist ein mächtiges Werkzeug für die Administration der gesamten IT in einem Unternehmen. Es stehen umfassende Programme zur Verfügung um die Verwaltung von Objekten zu erleichtern und effizient zu gestalten. Keine Bindung an spezielle Computer
Mit Hilfe der Gruppenrichtlinien lassen sich Benutzerumgebungen (Desktopaussehen und Verhalten, installierte Programme usw.) individuell für Gruppen anpassen und vorgeben. Mehrere Server vermindern Ausfälle und mildern die Folgen Replikation funktioniert automatisch
Blank K., Siering P., Zander E.: Server 2000, c t 2000, Heft 10 Bierschenk K.: Gruppenzwang, c t 2003, Heft 12 Bierschenk K., Violka K.: Zentralregierung, c t 2008, Heft 11 http://www.nickles.de/c/s/14-0022-347-1.htm http://www.microsoft.com/windowsserver2003/tech nologies/directory/activedirectory/default.mspx