FANDOM


Windows Server Active Directory
Entwickler Microsoft
Betriebssystem Windows
Active Directory, microsoft.com

Der Verzeichnisdienst von Microsoft Windows Server heißt Active Directory (AD). (Ab der Version Windows Server 2008 wird die Kernkomponente als Active Directory Domain Services (ADDS) bezeichnet.) Bei einem Verzeichnis (englisch: directory) handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen (Besitzern) zuordnet. Neben Windows Server kann auch der als Opensource veröffentlichte Samba-Daemon für Linux- und UNIX-Systeme, ab der Version 4, einen Active-Directory-Verzeichnisdienst zur Verfügung stellen.[1]

Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen.

Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.

Serverrollen Bearbeiten

Seit Windows Server 2008 sind unter dem Begriff Active Directory fünf verschiedene Serverrollen zusammengefasst:[2]

  • Active Directory Domain Services (Active Directory Domänen Verzeichnisdienst, ADDS) sind die aktuelle Version des ursprünglichen Verzeichnisdienstes und der zentrale Punkt der Domänen- und Ressourcenverwaltung.
  • Active Directory Lightweight Directory Services (Active Directory Lightweight Verzeichnisdienst, ADLDS) sind eine funktional eingeschränkte Version des ADDS, die der Anbindung von Anwendungen oder Diensten, die LDAP-konforme Informationen aus dem Verzeichnis benötigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet.
  • Active Directory Federation Services (Active Directory Verbunddienste, ADFS) dienen der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der ADDS-Infrastruktur befinden.
  • Active Directory Rights Management Services (Active Directory Rechteverwaltungsdienste, ADRMS) schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.
  • Active Directory Certificate Services (Active Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.

Die vier Hauptkomponenten Bearbeiten

Lightweight Directory Access Protocol (LDAP) Bearbeiten

Das LDAP-Verzeichnis stellt z.B. Informationen über Benutzer und deren Gruppenzugehörigkeit bereit. Aber auch andere Objekte wie zum Beispiel die Zertifikate eines Computers werden in dem Verzeichnis gespeichert. LDAP selbst ist kein Verzeichnis, sondern ein Protokoll, mittels dem es über eine bestimmte Syntax möglich ist, Informationen eines LDAP-Verzeichnisses abzufragen.

Kerberos-Protokoll Bearbeiten

Kerberos ist ein Protokoll, mit welchem der Benutzer authentifiziert wird, so dass er ein sogenanntes „Ticket Granting Ticket“ (TGT) erhält. Mit diesem ist es möglich, sich Diensttickets für den Zugriff auf einen bestimmten Dienst innerhalb des Netzwerks zu besorgen. Der Benutzer muss dabei nur einmal sein Passwort eingeben, um das TGT zu erhalten. Die Besorgung der Diensttickets erfolgt dann im Hintergrund.

Common Internet File System (CIFS) Bearbeiten

Das CIFS-Protokoll ist für die Ablage von Dateien im Netzwerk vorgesehen. Dabei wird DNS zum Auffinden der einzelnen Computersysteme und Dienstinformationen (SRV Resource Record) genutzt. Es stellt außerdem aufgrund des standardisierten Protokolls eine Möglichkeit zur Anbindung an das Internet dar.

Domain Name System (DNS) Bearbeiten

Anders als frühere Windows-Versionen wie zum Beispiel Windows NT 4.0, welche für die Namensauflösung NetBIOS verwendeten, ist für Active Directory ein eigenes DNS erforderlich. Um voll funktionsfähig zu sein, muss der DNS-Server SRV-Ressourceneinträge unterstützen.

Aus Gründen der Kompatibilität sind Windows 2000 oder -XP-Clients mit entsprechender Konfiguration auch bei Einsatz eines Active Directories weiterhin in der Lage, mit Hilfe von NetBIOS oder WINS Ressourcen im Netzwerk ausfindig zu machen.

Aufbau Bearbeiten

Bestandteile Bearbeiten

Active Directory ist in drei Teile aufgegliedert: Schema, Konfiguration und Domäne. Ein Schema ist eine Schablone für alle Active-Directory-Einträge. Es definiert Objekttypen, ihre Klassen und Attribute als auch ihre Attributsyntax. Welche Objekttypen im Active Directory verfügbar sind, lässt sich durch die Definition neuer Typen beeinflussen. Das dafür zugrundeliegende Muster ist das „Schema“, das die Objekte und ihre Attribute definiert.

Die Konfiguration stellt die Struktur des Active-Directory-Waldes und seiner Bäume dar.

Die Domäne schließlich speichert alle Informationen über die erstellten Objekte und seiner Domäne.

Die ersten beiden Teile der Active Directory werden mit jedem Domänencontroller repliziert. Es gibt nur einen globalen Katalog, in dem alle Informationen der Domänen gespeichert werden. Die Grenze der vollen Domänenreplikation stellt die Domäne selbst dar.

Datenbank Bearbeiten

Das Active Directory verwendet zur Speicherung der Informationen über die Netzwerkobjekte eine Jet (Blue)-Datenbank, die Microsoft auch für den Exchange Server einsetzt. Sie ist relational, transaktionsorientiert und benutzt ein „Write-Ahead-Logging“. Die Active-Directory-Datenbank ist auf 17 Terabytes und 10 Millionen Objekte pro Domäne begrenzt. Dies ist ein theoretischer Grenzwert, da nicht mehr als eine Million Objekte pro Domäne empfohlen werden.

Die Datenbankdatei „NTDS.DIT“ enthält drei Haupttabellen: die „schema table“ zur Speicherung der Schemata, die „link table“ zur Speicherung der Objekt-Struktur und die „data table“ zur Speicherung der Daten.

ESE (extensible storage engine) ordnet die nach einem relationalen Modell abgespeicherten Active-Directory-Daten nach einem vorgegebenen Schema in einem hierarchischen Modell an.

Unter Windows 2000 benutzt Active Directory die Jet-basierende ESE98-Datenbank.

Objekte Bearbeiten

Im Gegensatz zum objektorientierten Verzeichnissystem eDirectory von Novell ist das Active Directory eher als objektbasiert – und hierarchisch – zu bezeichnen.

Die Datensätze in der Datenbank werden im Active Directory als „Objekte“ und deren Eigenschaften als „Attribute“ definiert. Die Attribute sind abhängig von ihrem Typ definiert. Objekte werden eindeutig über ihren Namen identifiziert.

Die Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinien-Objekten gespeichert. Diese sind ebenfalls Domänen und Standorten zugeordnet.

Objektkategorien Bearbeiten

Objekte lassen sich in drei Kategorien einteilen:

  • Ressourcen, wie zum Beispiel Computer, Server, Drucker, Scanner und Kameras
  • Dienste, wie zum Beispiel E-Mail
  • Konten, wie zum Beispiel Benutzerkonten, Gruppenkonten und Computerkonten

Ablage in Containern (Organisationseinheiten) Bearbeiten

Die möglicherweise bis zu vielen Millionen Objekte werden in Containern (Organisationseinheiten), auch OUs (Organizational Unit) genannt, abgelegt. Einige Container sind vordefiniert, beliebige weitere Organisationseinheiten können mit Subeinheiten (Unterorganisationseinheiten) erstellt werden. Als objektbasiertes System unterstützt Active Directory die Vererbung von Eigenschaften eines Objektcontainers an untergeordnete Objekte, die auch wieder Container sein können. Dadurch erlaubt es Active Directory, Netzwerke logisch und hierarchisch aufzubauen.

Hierarchie Bearbeiten

Wald (forest) Bearbeiten

Die gesamte hierarchische Struktur heißt „Wald“ (forest) oder auch „Gesamtstruktur“; eine Ansammlung aller Objekte, deren Attribute, Regeln und Container in dem Verzeichnis abgelegt werden. Der Wald verwaltet einen oder mehrere transitiv verknüpfte Bäume. Ein Baum verwaltet eine oder mehrere Domänen, welche wiederum transitiv in der Hierarchie miteinander verknüpft sind. Domänen werden nach den Regeln des DNS-Systems benannt, dem „Namensraum“ (Namespace).

Organisationseinheiten Bearbeiten

Eine Organisationseinheit (OU) ist ein Containerobjekt, das zum Gruppieren anderer Objekte im AD dient. Eine OU kann neben Objekten auch andere OUs enthalten. Die frei definierbare Hierarchie der OUs vereinfacht die Administration von Active Directory. In der Regel richtet sie sich nach den Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens. Die OUs sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden können.

Standort Bearbeiten

Eine Möglichkeit der Unterteilung ist ein Standort. Dieser stellt eine physikalische Gruppierung eines oder mehrerer logischer IP-Unternetze dar.

Standorte zeichnen sich durch die Verbindung zwischen langsamen Netzwerken wie zum Beispiel WAN oder VPN einerseits und schnellen Netzwerken wie zum Beispiel LAN andererseits aus. Domänen können Standorte enthalten, und Standorte können Domänen beinhalten. Dies ist wichtig für die Kontrolle des Netzwerkverkehrs der durch Replikationsvorgänge entsteht.

Es ist fundamental, die Infrastruktur der Unternehmensinformationen in eine hierarchische Aufteilung in Domänen und der Organisationseinheiten sorgfältig zu planen. Hierfür haben sich Aufteilungen hinsichtlich geografischer Orte, Aufgaben oder IT-Rollen oder einer Kombination aus diesen Modellen als nützlich erwiesen.

Domänencontroller und Replikation Bearbeiten

Windows-NT Bearbeiten

Unter Windows-NT gab es pro Domäne immer einen ausgezeichneten Controller, den primären Domänencontroller (PDC), der Änderungen an der Nutzer- und Computerdatenbank (SAM) ausführen durfte. Alle anderen Domänencontroller dienten als Sicherungskopie, die im Bedarfsfall zu einem PDC hochgestuft werden können.

Ab Windows 2000: Multimaster-Replikation Bearbeiten

Active Directory nutzt für die Replikation des Verzeichnisses zwischen den Domänencontrollern eine sogenannte Multimaster-Replikation. Das hat den Vorteil, dass sich jedes Replikat beschreiben und synchronisieren lässt. Somit ist bei verteilten Implementierungen eine lokale Administration vollständig möglich. Im Gegensatz zu NT4-Domänen besitzen ab Windows 2000 alle Domänencontroller (DC) eine beschreibbare Kopie der Active-Directory-Datenbank. Die Veränderung eines Attributes auf einem der DCs wird in regelmäßigen Intervallen an alle anderen DCs weitergegeben (repliziert). Dadurch sind alle DCs auf demselben Stand. Der Ausfall eines DCs ist für die Active Directory Datenbank unerheblich, da keine Informationen verloren gehen. Das Replikationsintervall kann je nach Änderungshäufigkeit auf 15 oder mehr Minuten eingestellt werden. Windows 2000 Server repliziert das AD standardmäßig nach spätestens 5 Minuten, Windows Server 2003 repliziert es standardmäßig nach spätestens 15 Sekunden. Da eine Replikation über höchstens 3 Hops geht, erhält man je nach verwendeter Serverversion 15 Minuten bzw. 45 Sekunden als Replikationsintervall für eine Domäne.

Namensvergabe Bearbeiten

Active Directory unterstützt eine Benennung und den Zugriff über UNC/URL- und LDAP-URL-Namen. Intern wird die LDAP-Version X.500 für die Namensstruktur verwendet. Jedes Objekt hat einen vollqualifizierten Namen (distinguished name, DN). Ein Druckobjekt heißt beispielsweise „LaserDrucker3“ in der organisatorischen Einheit „Marketing“ und der Domäne „foo.org“. Der voll qualifizierte Name ist somit „CN=LaserDrucker3,OU=Marketing,DC=foo,DC=org“. „CN“ steht hierbei für „common name“. „DC“ ist die Domänen-Objekt-Klasse (domain component), die aus sehr vielen Teilen bestehen kann. Die Objekte können auch nach der UNC/URL-Notation bezeichnet werden. Diese zeichnet sich durch eine umgekehrte Reihenfolge der Bezeichner aus, welche durch Schrägstriche voneinander getrennt sind. Das obige Objekt könnte somit auch mit „foo.org/Marketing/LaserDrucker3“ bezeichnet werden. Um Objekte innerhalb der Container anzusprechen, werden relative Namen (relative distinguished names, RDNs) verwendet. Dies wäre für den Laserdrucker „CN=LaserDrucker3“. Jedes Objekt hat neben seinem global eindeutigen Namen eine ebenfalls global eindeutige 128 Bit lange Nummer (globally unique identifier, GUID). Diese wird üblicherweise als Zeichenfolge dargestellt und ändert sich auch beim Umbenennen des Objekts nicht. Weiterhin kann jedes Benutzer- und Computerobjekt auch eindeutig über seinen zugeordneten UPN (User Principal Name) angesprochen werden, der den Aufbau „Objektname“@„Domänenname“ hat.

Samba Bearbeiten

Seit 1992 versucht das Samba-Projekt einen Serverdienst für Linux- und UNIX-Systeme zu schaffen, der einen nativen Windows-Server überflüssig macht. Schon lange sehr erfolgreich war dieses Opensource-Projekt mit der Nachbildung der SMB-, CIFS- und LAN-Manager-Dienste. Seit der im Jahr 2003 veröffentlichten Version 3.0.0 ist es möglich, Samba als Mitgliedsserver in einem Active Directory zu benutzen. Die Version 4.0.0 umfasst eine vollständige Implementierung des Active-Directory-Verzeichnisdienstes.[1] Dies wurde nicht zuletzt durch die Unterstützung, die das Samba-Projekt von Microsoft direkt erhalten hatte, möglich.[3]

Literatur Bearbeiten

Siehe auch Bearbeiten

Einzelnachweise Bearbeiten

  1. 1,0 1,1 Samba4 Introduces Active Directory Servers (englisch), www.muktware.com, 18. Mai 2010
  2. Vorlage:Cite web
  3. Samba-Entwickler arbeitet für Microsoft, heiseonline, 8. August 2009

Weblinks Bearbeiten

cs:Active Directory da:Active Directory en:Active Directory es:Active Directory fa:اکتیو دایرکتوری fi:Active Directory fr:Active Directory he:Active Directory hi:सक्रिय निर्देशिका hu:Active Directory id:Active Directory it:Active Directory ja:Active Directory ko:액티브 디렉터리 lv:Active Directory ml:ആക്റ്റീവ് ഡയറക്റ്ററി nl:Active Directory nn:Active Directory no:Active Directory pl:Active Directory pt:Active Directory ro:Active Directory ru:Active Directory sk:Active Directory sv:Active Directory ta:செயல்மிகு டைரக்டரி tr:Active Directory uk:Active Directory yi:Active Directory zh:Active Directory

Störung durch Adblocker erkannt!


Wikia ist eine gebührenfreie Seite, die sich durch Werbung finanziert. Benutzer, die Adblocker einsetzen, haben eine modifizierte Ansicht der Seite.

Wikia ist nicht verfügbar, wenn du weitere Modifikationen in dem Adblocker-Programm gemacht hast. Wenn du sie entfernst, dann wird die Seite ohne Probleme geladen.

Auch bei FANDOM

Zufälliges Wiki