A Glossar 531 · 2021. 3. 21. · In Kapitel 2 erfolgt eine allgemeine Einführung in die Thematik der Verzeichnisdienste. Hier wird die Basis geschaffen, die für das weitere Verständnis

1 Einleitung................................................. 13

2 Technik der Verzeichnisdienste................ 17

3 .NET als Basis........................................... 65

4 Merkmale von Active Directory Services.. 111

5 ADS-Konzept und -Planung ..................... 157

6 Installation und Konfiguration ................. 189

7 Migration ................................................. 223

8 ADS-Benutzer- und Gruppen-Objekte ..... 279

9 Zugriffsrechte und Freigaben ................... 331

10 ADS und Druckersteuerung ..................... 361

11 Profile, Richtlinien und Skripte ................ 397

12 Systemverwaltung.................................... 441

A Glossar ..................................................... 531

B Begriffe .................................................... 553

C Literatur/Quellen ..................................... 555

Auf einen Blick

Inhalt 5

2.1 Allgemeines ........................................................................................... 17

2.2 Definition............................................................................................... 19

2.3 Integration in bestehende Umgebungen ............................................... 22

2.4 Funktionen............................................................................................. 22

2.5 Normen und Standards .......................................................................... 25

2.6 X.500 als Basis ....................................................................................... 272.6.1 Grundelemente......................................................................... 282.6.2 DS-Modell und -Komponenten................................................. 312.6.3 Objektattribute ......................................................................... 352.6.4 X.500-Normen.......................................................................... 362.6.5 Datenzugriff bei X.500 .............................................................. 362.6.6 Sicherheit und Datenschutz....................................................... 39

2.7 Integration per LDAP ............................................................................. 432.7.1 Entwicklung .............................................................................. 452.7.2 Vorgaben von X.500 ................................................................. 472.7.3 Sicherheit im LDAP-Umfeld....................................................... 482.7.4 Weiterentwicklung.................................................................... 50

2.8 Namensdienst als erster Verzeichnisdienst ........................................... 53

2.9 Verzeichnisdienste im E-Mail-Bereich.................................................... 56

2.10 Verzeichniseinsatz im Datenbankbereich............................................... 56

3.1 Allgemeines ........................................................................................... 65

3.2 Grundlagen ............................................................................................ 663.2.1 XML-Webdienste ...................................................................... 663.2.2 SOAP und UDDI ....................................................................... 67

Inhalt

Vorwort 11

1 Einleitung 13

2 Technik der Verzeichnisdienste 17

3 .NET als Basis 65

6 Inhalt

3.3 .NET-Entwicklungsumgebung ............................................................... 683.3.1 .NET-Framework ...................................................................... 683.3.2 Sonstige .NET-Module und Programmentwicklung ................... 69

3.4 Server im .NET-Umfeld .......................................................................... 713.4.1 Entwicklung.............................................................................. 723.4.2 Windows NT Server.................................................................. 723.4.3 Windows 2000 Server .............................................................. 753.4.4 Windows Server 2003 .............................................................. 813.4.5 Varianten von Windows Server 2003 ........................................ 88

3.5 Anwendungen für Windows-Server....................................................... 90

3.6 ADS im .NET-Umfeld ............................................................................. 92

3.7 Von Windows 1.0 nach .NET ................................................................. 943.7.1 Am Anfang war DOS................................................................. 953.7.2 Windows 1.0 ............................................................................ 963.7.3 Windows 2 ............................................................................... 963.7.4 Windows 3 ............................................................................... 973.7.5 Windows 3, die Nächste........................................................... 983.7.6 Windows NT ............................................................................ 983.7.7 Windows NT, die Nächsten ...................................................... 993.7.8 Windows 95............................................................................. 1013.7.9 Windows 98............................................................................. 1013.7.10 Windows 98, die Zweite........................................................... 1023.7.11 Windows ME............................................................................ 1023.7.12 Windows 2000......................................................................... 1023.7.13 Windows XP............................................................................. 1033.7.14 Windows Server 2003 .............................................................. 104

3.8 .NET – und nun? .................................................................................... 105

4.1 Entwicklung........................................................................................... 111

4.2 Namen und Bezeichnungen ................................................................... 114

4.3 Funktionen und Leistungsmerkmale...................................................... 1214.3.1 ADS in Windows 2000 Server................................................... 1214.3.2 ADS-Erweiterungen bei Windows Server 2003 ......................... 127

4.4 ADS-Domänen-Modell .......................................................................... 131

4.5 Strukturelemente................................................................................... 136

4.6 Globaler Katalog .................................................................................... 139

4.7 Partitionen und Replikationen............................................................... 141

4.8 Standards in ADS................................................................................... 144

4.9 Migration und Integration..................................................................... 147

4.10 Zusatzmodule und Ergänzungen............................................................ 1484.10.1 ADSI-Interface .......................................................................... 1494.10.2 Directory Enabled Networks ..................................................... 152

4 Merkmale von Active Directory Services 111

Inhalt 7

5.1 Strategische Vorüberlegungen ............................................................... 1575.1.1 Nutzen und Vorteile.................................................................. 1575.1.2 Konzeptentwurf ........................................................................ 1595.1.3 Umsetzungsvariante .................................................................. 160

5.2 Planungsvorgaben.................................................................................. 162

5.3 Planung und Umsetzung in der Praxis.................................................... 1655.3.1 Generelle Fragestellungen ......................................................... 1655.3.2 ADS-Komponenten................................................................... 1685.3.3 Domänen und Domänen-Bäume............................................... 1715.3.4 Organisationseinheiten.............................................................. 1775.3.5 Forest ....................................................................................... 1795.3.6 Standorte .................................................................................. 1815.3.7 Systemverwaltung planen.......................................................... 1825.3.8 Dokumentation......................................................................... 184

5.4 DNS als Grundlage................................................................................. 185

5.5 Integration der Komponenten ............................................................... 185

6.1 Vorgaben ............................................................................................... 189

6.2 Grundinstallation ................................................................................... 190

6.3 Erste Schritte ......................................................................................... 2016.3.1 MMC als zentrale Schaltstation ................................................. 2026.3.2 Programme zur ADS-Verwaltung ............................................... 206

6.4 Grundlegende ADS-Verwaltung............................................................. 208

6.5 Domänen-Zuweisung eines Systems...................................................... 213

7.1 Gründe für ein Upgrade ......................................................................... 224

7.2 Windows NT 4 Server ............................................................................ 2337.2.1 Planung und Vorarbeiten........................................................... 2337.2.2 Durchführung der Migration ..................................................... 2407.2.3 Nacharbeiten ............................................................................ 2527.2.4 Wiederherstellung..................................................................... 257

7.3 Windows 2000 Server............................................................................ 2577.3.1 Planung und Vorarbeiten........................................................... 2587.3.2 Durchführung der Migration ..................................................... 2637.3.3 Nacharbeiten ............................................................................ 2717.3.4 Wiederherstellung..................................................................... 275

5 ADS-Konzept und -Planung 157

6 Installation und Konfiguration 189

7 Migration 223

8 Inhalt

8.1 Allgemeines ........................................................................................... 279

8.2 Struktur einer ADS-Umgebung.............................................................. 2838.2.1 Anlegen von Organisationseinheiten ......................................... 2848.2.2 Zuweisung der Verwaltungsfunktion ......................................... 2868.2.3 Eigenschaften einer Organisationseinheit .................................. 2918.2.4 Verschieben von Organisationseinheiten................................... 2948.2.5 Suche von Organisationseinheiten ............................................ 2958.2.6 Löschen von Organisationseinheiten ......................................... 297

8.3 Verwaltung der Benutzer-Objekte......................................................... 2978.3.1 Allgemeines .............................................................................. 2988.3.2 Benutzer-Objekt anlegen .......................................................... 2998.3.3 Eigenschaften eines Benutzer-Objekts....................................... 3028.3.4 Sonstige Objekteigenschaften ................................................... 3058.3.5 Eigenschaften mehrerer Benutzer-Objekte ................................ 3058.3.6 Benutzer-Objekt kopieren......................................................... 3068.3.7 Benutzer-Objekt umbenennen.................................................. 3078.3.8 Benutzer-Objekt verschieben.................................................... 3088.3.9 Benutzer-Objekt löschen .......................................................... 3098.3.10 Benutzer-Objekt deaktivieren ................................................... 310

8.4 Benutzergruppen verwalten .................................................................. 3118.4.1 Allgemeines .............................................................................. 3118.4.2 Gruppen-Objekt anlegen .......................................................... 3178.4.3 Eigenschaften eines Gruppen-Objekts....................................... 3188.4.4 Gruppen-Objekt löschen .......................................................... 320

8.5 Zugriffsbeschränkungen ........................................................................ 3218.5.1 Anmeldezeiten ......................................................................... 3218.5.2 Konto-Beschränkungen............................................................. 3238.5.3 Anmeldung auf Arbeitsstationen beschränken........................... 326

9.1 Prinzip der Rechtevergabe ..................................................................... 331

9.2 Verfügbare Rechte ................................................................................. 332

9.3 Zugriffsrechte durch Gruppenzuweisung ............................................... 335

9.4 Zugriffsrechte auf Benutzerebene .......................................................... 342

9.5 Freigaben............................................................................................... 3459.5.1 Einrichtung ............................................................................... 3469.5.2 Zugriff auf Verzeichnisfreigabe .................................................. 3499.5.3 Verwaltung und Überwachung.................................................. 351

9.6 Offline-Dateien...................................................................................... 353

8 ADS-Benutzer- und Gruppen-Objekte 279

9 Zugriffsrechte und Freigaben 331

Inhalt 9

10.1 Funktionen zur Druckersteuerung ......................................................... 361

10.2 Technik der Druckausgabe..................................................................... 36410.2.1 Allgemeines .............................................................................. 36410.2.2 Druckausgabe im Netzwerk....................................................... 369

10.3 Druckerfreigabe ..................................................................................... 37010.3.1 Einrichtung ............................................................................... 37010.3.2 Zugriff auf eine Druckerfreigabe ................................................ 374

10.4 Internet Printing Protocol ...................................................................... 376

10.5 Windows-Server als Druckserver ........................................................... 382

10.6 Druckausgabe per TCP/IP ...................................................................... 38710.6.1 Standard-Port-Monitor.............................................................. 38710.6.2 Line Printer ............................................................................... 390

10.7 Weitere Funktionen ............................................................................... 39210.7.1 Zugriff auf Fremdsysteme .......................................................... 39210.7.2 Möglichkeiten der Druckausgabe .............................................. 39310.7.3 DOS-Anwendungen .................................................................. 394

11.1 Benutzerprofile ...................................................................................... 397

11.2 Richtlinien.............................................................................................. 40111.2.1 Bedeutung und Funktion........................................................... 40311.2.2 Formen der Richtlinien.............................................................. 40411.2.3 Sicherheitsrichtlinien ................................................................. 40711.2.4 Zuweisung einer Gruppenrichtlinie............................................ 41011.2.5 Zugriff auf bestehende Richtlinien ............................................. 41811.2.6 Zuweisung einer anderen Richtlinie ........................................... 42011.2.7 Löschen einer Richtlinie ............................................................ 42211.2.8 Standard-Richtlinie wiederherstellen ......................................... 42411.2.9 Zusatzprogramme ..................................................................... 42511.2.10 Kontrolle der Richtlinien ........................................................... 427

11.3 Skripte ................................................................................................... 42911.3.1 Formen der Skriptdateien.......................................................... 42911.3.2 Active Server Pages ................................................................... 43011.3.3 Active Directory Services Interface ............................................ 43011.3.4 Windows Script Host ................................................................ 43111.3.5 Anmeldeskript........................................................................... 432

10 ADS und Druckersteuerung 361

11 Profile, Richtlinien und Skripte 397

12.1 Aufgaben und Funktionen des Systemverwalters .................................. 441

12.2 Verwaltungsprogramme und -anweisungen .......................................... 44212.2.1 Menü Verwaltung..................................................................... 44212.2.2 Microsoft Management Console ............................................... 46512.2.3 Anweisungen auf der Eingabeaufforderung ............................... 466

12.3 Systeminformationen und -überwachung.............................................. 48712.3.1 Verwaltung von Datenträgern ................................................... 48712.3.2 System beenden ....................................................................... 48812.3.3 Systemmonitor ......................................................................... 49012.3.4 Systemprotokolle...................................................................... 492

12.4 ADS-Verzeichnisdatenbank ................................................................... 49612.4.1 Daten verwalten ....................................................................... 49612.4.2 Group Policy Management Console .......................................... 49812.4.3 Pflege der ADS-Datenbank ....................................................... 50212.4.4 Verwaltung der Replikationen................................................... 50412.4.5 ADS-Datenbank entfernen........................................................ 506

12.5 Domänen und Domänen-Controller ...................................................... 50812.5.1 Vertrauensstellungen ................................................................ 50812.5.2 Domäne umbenennen .............................................................. 513

12.6 Domain Name System ........................................................................... 515

12.7 Sonstiges ............................................................................................... 51812.7.1 ADMINPAK .............................................................................. 51812.7.2 Terminalserver .......................................................................... 52112.7.3 Fernverwaltung......................................................................... 525

12 Systemverwaltung 441

A Glossar 531

B Begriffe 553

C Literatur/Quellen 555

Index 567

13Einleitung

1

2

3

4

5

6

7

8

9

10

11

12

1 Einleitung

Wie bereits im Vorwort erwähnt, ist die Basis für die Erläuterungendieses Buchs die Server-Betriebssystemversion Windows Server 2003mit der aktuellen ADS-Version. Auch wenn viele Spötter behaupten,dass die Änderungen von Windows Server 2003 gegenüber Windows2000 Server eher kosmetischer Natur sind, stimmt diese Behauptungnicht, denn wie so oft steckt der Teufel im Detail, was sich an vielenOptimierungen bemerkbar macht. Eine mögliche Änderung desNamens einer ADS-Domäne ist da nur eine der zahlreichen neuenFunktionen.

Bedingt durch die enge Verzahnung der einzelnen Themen kann esinnerhalb dieses Buchs hier und da zu Wiederholungen kommen. Diesist jedoch notwendig, um dem Leser die Möglichkeit zu geben, gezielteinzelne Kapitel durchzuarbeiten, ohne dass dazu auf Kenntnisse bzw.Aussagen anderer Kapitel zurückgegriffen werden muss.

In Kapitel 2 erfolgt eine allgemeine Einführung in die Thematik derVerzeichnisdienste. Hier wird die Basis geschaffen, die für das weitereVerständnis wichtig ist, wozu beispielsweise grundlegende Erläuterun-gen zu Begriffen wie X.500 oder auch LDAP zählen.

Die .NET-Strategie der Firma Microsoft (gesprochen: DOTNET) wird inKapitel 3 ausführlich beleuchtet. Sie bildet die Grundlage für das ent-sprechende Konzept des ADS-Verzeichnisdienstes.

Spezielle Merkmale und Funktionen des ADS-Verzeichnisdienstes wer-den in Kapitel 4 dargestellt und erläutert. Neben den Grundmerkmalensind hier auch Angaben zu den wesentlichen Neuerungen des Betriebs-systems Windows Server 2003 zu finden.

Vor dem Aufsetzen bzw. der Installation und Konfiguration einer ADS-Umgebung sollte auf jeden Fall eine gründliche Planung stehen. Wasdabei zu berücksichtigen und welches die beste Vorgehensweise ist,wird in Kapitel 5 erläutert.

Nach der Planung folgt die Umsetzung, wobei Kapitel 6 hier die maß-geblichen Kenntnisse für die Installation und Einrichtung einer ADS-Umgebung vermittelt. Diese Erläuterungen beziehen sich auf eine Neu-installation. Angaben zur Migration einer bestehenden Umgebung ent-hält das nachfolgende Kapitel 7, hier werden sowohl die Migration von

Einleitung14

Windows 2000 Server als auch die Migrationsschritte für eine NT-Domänen-Umgebung erläutert.

Nach der Installation oder einer möglichen Migration von ADS beginntdie eigentliche Arbeit mit dem System. Diese besteht unter anderemdarin, die Struktur anzulegen, indem Organisationseinheiten und auchdie zugehörigen ADS-Objekte angelegt und konfiguriert werden. Diedazu gegebenen Erläuterungen in Kapitel 8 werden in Kapitel 9 durchdie Themen Zugriffsrechte und Verwaltung der Freigaben komplettiert.

Die Druckersteuerung ist grundsätzlich in jedem Netzwerk eine Her-ausforderung. Was es dabei in einer ADS-Umgebung für Besonderhei-ten zu beachten gilt, ist Inhalt des Kapitels 10.

Der Einsatz von Benutzerprofilen, Richtlinien und Skriptdateien ist einsehr komplexes Thema, mit dem sich eigene Bücher füllen lassen. Dieelementaren Arbeitsschritte zum Einsatz dieser wichtigen Teilbereicheder Systemveraltung sind Gegenstand von Kapitel 11.

Das Kapitel 12 ist einzig und allein dem Systemverwalter gewidmet.Hier sind die grundlegenden Arbeiten erläutert, die in der Regel einemSystemverwalter oder einer berechtigten Person zufallen. Neben derErläuterung wesentlicher Systemeinstellungen für den Einsatz desADS-Verzeichnisdienstes werden hier auch einige Systemverwalter-Tätigkeiten in Bezug auf das eingesetzte System Windows Server 2003behandelt.

Der Anhang enthält ein ausführliches Glossar zum Thema ADS-Ver-zeichnisdienst und zu allgemeinen Themen des Netzwerkbereichs, dassich für das schnelle Nachschlagen optimal eignet und das vorliegendeBuch (hoffentlich) zu einem ständigen Begleiter bei der Verwaltungeines Windows-Servers mit ADS-Verzeichnisdienst macht.

1

2

3

4

5

6

7

8

9

10

11

12

109

4.1 Entwicklung....................................................... 111

4.2 Namen und Bezeichnungen ............................... 114

4.3 Funktionen und Leistungsmerkmale.................. 121

4.4 ADS-Domänen-Modell ...................................... 131

4.5 Strukturelemente .............................................. 136

4.6 Globaler Katalog................................................ 139

4.7 Partitionen und Replikationen........................... 141

4.8 Standards in ADS .............................................. 144

4.9 Migration und Integration................................. 147

4.10 Zusatzmodule und Ergänzungen........................ 148

4 Merkmale von Active Directory Services

1 Einleitung

2 Technik der Verzeichnisdienste

3 .NET als Basis


5 ADS-Konzept und -Planung

6 Installation und Konfiguration

7 Migration

8 ADS-Benutzer- und Gruppen-Objekte

9 Zugriffsrechte und Freigaben

10 ADS und Druckersteuerung

11 Profile, Richtlinien und Skripte

12 Systemverwaltung

1

2

3

4

5

6

7

8

9

10

11

12

111Merkmale von Active Directory Services


Der Verzeichnisdienst Active Directory Services (ADS) von Microsoft ermöglicht die Verwaltung sämtlicher Ressourcen einer Netzwerkumgebung. Für Windows Server 2003 wurde ADS als Grundlage der Serververwaltung noch einmal gründlich überarbeitet.

Zentrale Komponente

ADS ist als skalierbarer und hierarchisch aufgebauter VerzeichnisdienstBestandteil von Windows Server 2003 und dient dort als zentraleDatenbasis zur Verwaltung der einzelnen Verzeichnisobjekte wie etwaden relevanten Netzwerk-Ressourcen.

Angaben zum grundlegenden Prinzip eines Verzeichnisdienstes enthältdas Kapitel 2, Technik der Verzeichnisdienste.

4.1 Entwicklung

Mit der Entwicklung von ADS reagierte Microsoft auf die am Marktgestiegenen Anforderungen und das breitere Anwendungsspektrumvon Verzeichnisdiensten.

NT Directory Services

Der ADS-Verzeichnisdienst löst den bestehenden »Microsoft-Verzeich-nisdienst« Windows NT Directory Service (NTDS) ab. Für Systemver-walter, die die Entwicklung von Windows NT verfolgt haben, mag dasmöglicherweise verwunderlich erscheinen, denn bereits mit der Veröf-fentlichung von Windows NT 3.51 behauptete Microsoft, dass in die-sem Betriebssystem Verzeichnisdienste enthalten sind. Sicherlich bietetdas NT-Betriebssystem die einmalige Anmeldung und eine Replizie-rung aller Benutzer innerhalb einer Domäne, aber diese Funktionalitätreicht nicht aus, um einen weitreichenden Verzeichnisdienst zu bilden,der heutigen Anforderungen genügt. Dazu gehört beispielsweise einezentralisierte Ressourcenverwaltung, die mit ADS realisiert worden ist.

Der größte Widersacher auf dem Gebiet der Verzeichnisdienste istzurzeit die Firma Novell mit NDS eDirectory. Diese Lösung unter-scheidet sich von der Microsoft-Lösung unter anderem dadurch,dass NDS eDirectory nicht systemgebunden ist; ADS läuft grundsätz-lich nur in einer Windows-Umgebung.

Merkmale von Active Directory Services112

Ziel bei der Entwicklung von ADS war es, einen integrativen Verzeich-nisdienst zur Verfügung zu stellen, mit dessen Hilfe Informationen aufverschiedenen Ebenen (Netzwerk, Betriebssystem, Dienste, Anwen-dungen) abrufbar sind. Der Verzeichnisdienst wird durch die Ablageund Verknüpfung von Informationen aus den angeschlossenen Kompo-nenten zum zentralen Punkt der Systemverwaltung, die sich aus demNetzwerk- und dem IT-Management (Inventarmanagement, Helpdeskusw.) zusammensetzt.

Windows 2000Server

Mit Erscheinen des Server-Betriebssystems Windows 2000 Server-(Standard Server, Advanced Server und Datacenter Server) hielt derVerzeichnisdienst ADS Einzug in die Microsoft-Umgebung. Mit ADSreagierte Microsoft auf die steigende Komplexität verteilter Systeme.ADS ist somit insbesondere ein Konzept zur Skalierbarkeit von Win-dows-Netzwerkarchitekturen. Aufgrund der weiten Verbreitung vonMicrosoft-Produkten und der Zusammenarbeit mit bedeutenden Part-nern war eine hohe Verbreitung von ADS absehbar.

WindowsServer 2003

Auch wenn Microsoft für ADS selbst keine Versionsbezeichnungen ver-öffentlicht, erhält die im Windows Server 2003 enthaltene Version dieBezeichnung 2.0. Aufbauend auf der ADS-Version von Windows 2000Server wurden dabei einige grundlegende Verbesserungen und Ergän-zungen implementiert.

Abbildung 4.1 Verwaltung von Windows Server 2003

1

2

3

4

5

6

7

8

9

10

11

12

113Entwicklung

Nähere Angaben zu den wesentlichen Neuerungen bzw. Ergänzungender ADS-Version unter Windows Server 2003 enthält der Abschnitt4.3.2.

Proprietäre Eigenarten

Trotz der propagierten Offenheit und der Unterstützung vielfältigerProtokolle und Mechanismen bleiben aber Schwächen. ADS ist in denGrundmerkmalen an den Standard für Verzeichnisdienste (X.500)angelehnt, wobei ADS jedoch gewisse proprietäre Merkmale nichtleugnen kann. So ist zum Beispiel das Replikationssystem von ADS pro-prietär und nicht mit standardisierten Replikationsverfahren (X.500)interoperabel.

Nähere Angaben zum Einsatz von Partitionen und Replikationen ent-hält Abschnitt 4.7.

X.500-ModellGenerell wurde bei ADS die Verzeichnisstruktur des X.500-Modells(Baumstruktur) übernommen. So werden beispielsweise Objekte mitvergleichbaren Namenskonventionen angesprochen. Im Verzeichnis-schema von Active Directory Services sind bekannte Objektklassen undAttribute abgelegt, aber ebenso auch Microsoft-spezifische Erweiterun-gen. Zur Herstellung der Kompatibilität zu anderen Verzeichnisdiens-ten unterstützt ADS das LDAP-Protokoll.

UnterstützungWie bei Microsoft-Produkten üblich, haben eine Vielzahl von Herstel-lern bereits kurz nach der Veröffentlichung ihre Unterstützung der ADSangekündigt und mittlerweile auch umgesetzt. So ist es beispielsweisemöglich, aus dem Verzeichnis heraus Netzwerkkomponenten zu konfi-gurieren und diese Konfiguration im Netzwerk bekannt zu machen.Dieses Prinzip wurde unter dem Namen DEN (Directory Enabled Net-works) bekannt.

Nähere Angaben zu Directory Enabled Networks enthält Abschnitt4.10.

Ebenso ist die Hinterlegung von Software-Konfigurationen möglich.Wird auf einer Arbeitsstation ein Dokument geöffnet, zu dem die ent-sprechende Anwendung lokal nicht installiert ist, wird im Verzeichnisnachgesehen, wo die Anwendung zu finden ist, und dann auf derbetreffenden Arbeitsstation installiert.

Exchange 2000 Server

Das erste Produkt, das vollständig in ADS integriert worden ist, warExchange 2000 Server. Das Verzeichnisschema wird dabei um die not-wendigen Objekte bzw. Attribute für Exchange ergänzt.


4.2 Namen und Bezeichnungen

Bei der Auseinandersetzung mit dem Microsoft-Verzeichnisdienst ADStauchen immer wieder Begriffe auf, die teils ADS-spezifisch sind, sichandererseits aber auch an den zugrunde liegenden Standards orientie-ren. Die wichtigsten Bezeichnungen und Namenskonventionen wer-den nachfolgend erläutert, da diese für das Verständnis der kommen-den Kapitel wichtig sind.

In den vorhergehenden Kapiteln wurden hier und da bereits einigefachspezifische Begriffe eingesetzt, auf die noch einmal explizit Bezuggenommen werden soll. Dabei handelt es sich um Bezeichnungen bzw.Namen für strukturelle Festlegungen innerhalb von Active DirectoryServices.

Access ControlList

Jedem ADS-Objekt wird automatisch eine Eigenschaft mit der Bezeich-nung »Zugriffssteuerungsliste« (Access Control List) zugewiesen. DieseZugriffssteuerungsliste eines Objekts regelt, wer auf das Objekt undseine Eigenschaften zugreifen kann. Wird zum Beispiel ein Objekt inder Zugriffssteuerungsliste eines Druckerobjekts aufgeführt, ist esberechtigt, Änderungen an dem Objekt vorzunehmen. Grundsätzlichkann jedes Objekt, das in der Zugriffssteuerungsliste eines Objekts auf-geführt ist, andere Rechte für die Eigenschaften dieses Objekts haben.

Domäne Eine Domäne ist eine Einrichtung innerhalb von ADS, die einen Sicher-heitskontext repräsentiert. Sie hat beim Einsatz von ADS einen sehrhohen Stellenwert. In einer Domäne erfolgen Sicherheitseinstellungenund die Zuweisung von Rechten, die aber standardmäßig immer nurGültigkeit innerhalb einer Domäne haben. Darüber hinaus hat dieDomäne auch großen Einfluss auf die physische Speicherung von Infor-mationen.

Domänen-Baum Sobald mehrere Domänen zu einer Struktur zusammengefasst werden,wird dies als Domänen-Baum bezeichnet. Ein Domänen-Baum ist einehierarchische Struktur aus Domänen, die wiederum verwendet wer-den, um organisatorische Strukturen eines Unternehmens abzubilden.

Die Einrichtung mehrerer Domänen und damit der Aufbau einesDomänen-Baums wird in der Regel relevant, wenn die Benutzer nicht

Die zentrale Datenbasis von Active Directory Services fußt auf derursprünglich für das Exchange-System entwickelten Datenbank. Sieist die Grundlage der ADS-Datenbank.

1

2

3

4

5

6

7

8

9

10

11

12

115Namen und Bezeichnungen

alle in einer Domäne verwaltet werden sollen bzw. wenn die Domänenaus unterschiedlichen Unternehmen oder Organisationen zusammen-geführt werden.

Abbildung 4.2 Prinzip eines ADS-Domänen-Baums

Domänen-Controller

Ein Server, der über eine Kopie der Verzeichnisdatenbank verfügt, wirdals Domänen-Controller bezeichnet. Jeder Domänen-Controller verfügtimmer über alle Informationen zu einer Domäne. Dies bedeutet, dasssämtliche Informationen zwischen den Domänen-Controllern einerDomäne vererbt werden müssen. Das würde für kleinere Domänensprechen, weil sich daraus ein geringerer Replikationsaufwand (Kopie-ren der Verzeichnisdatenbank) zu ergeben scheint. Dem steht aber ent-gegen, dass bei kleineren Domänen zum einen insgesamt mehr Domä-nen-Controller erforderlich sind, und das Risiko wächst, dass in einemräumlich verteilten Netzwerk nicht alle Informationen lokal vorhandensind. Aus diesen Gründen ist es eher empfehlenswert, größere Domä-nen aufzubauen. Dafür spricht auch, dass das Verschieben von Objek-ten zwischen Domänen sehr viel schwieriger und aufwändiger alsinnerhalb einer Domäne ist.

Eine Domäne stellt allgemein auch die Grenze der Partitionierungdar. Dies bedeutet, dass alle Domänen-Controller über sämtlicheInformationen der entsprechenden Domäne verfügen.


Betriebsmaster Die Domänen-Controller in einer ADS-Umgebung sind grundsätzlichgleichberechtigt. Allerdings gibt es auch innerhalb von ADS spezifischeAufgaben oder Funktionen, die bestimmten Domänen-Controllernzugewiesen werden. Bei diesen so genannten Betriebsmastern (FSMO= Flexible Single Master Operation Server) wird zwischen den folgen-den Typen unterschieden:

Namespace � DNS-MasterDer DNS-Master stellt in einer Domänen-Gesamtstruktur sicher,dass der verwendete Namensraum (Namespace) eindeutig ist. Um ineinem Forest neue Domänen hinzuzufügen oder bestehende Domä-nen zu löschen, wird der Zugriff auf den DNS-Master benötigt. Beieinem dauerhaften Ausfall des DNS-Masters kann dessen Funktionauch auf einen anderen Domänen-Controller übertragen werden,wobei dann aber der ursprüngliche DNS-Master seine Arbeit auf kei-nen Fall – auch nicht mehr nachträglich – wieder aufnehmen darf.

Domänen-Aktualisierung

� Infrastruktur-MasterDer Infrastruktur-Master wird für die Aktualisierung der domänenü-bergreifenden Zuordnungen benötigt. So werden mit dem Infra-struktur-Master die Informationen über die Verwaltung der ADS-Objekte, beispielsweise beim Verschieben von Objekten in eineandere Domäne, an die übrigen Domänen-Controller übertragen(repliziert). In einem Forest, der aus mehreren Domänen besteht,darf dem Domänen-Controller, der als Infrastruktur-Master einge-setzt wird, nicht gleichzeitig auch der globale Katalog zugewiesenwerden. Beim Ausfall eines Infrastruktur-Masters kann dessen Funk-tion einem anderen Domänen-Controller übertragen werden.

PDC-Emulator � PDC-Emulator-MasterUm die Kompatibilität in einer gemischten Umgebung mitWindows NT Servern zu gewährleisten, wird ein spezieller PDC-Emulator eingesetzt, der innerhalb einer Domäne eindeutig seinmuss. Der betreffende Master-Server erhält die Rolle eines PDC (Pri-mary Domain Controller) und die übrigen Domänen-Controller neh-men gegenüber den NT-Servern die Rolle eines Backup Domain Con-troller (BDC) ein. Der PDC-Emulator wird auch dann genutzt, wenn

Es ist zu empfehlen, als DNS-Master denjenigen Domänen-Control-ler einzusetzen, dem auch der globale Katalog (Global Catalog) zuge-wiesen ist.

1

2

3

4

5

6

7

8

9

10

11

12


bestimmte Client-Systeme keine Unterstützung für ADS bieten,diese sich aber dennoch entsprechend authentifizieren müssen.

Relative ID� RID-MasterWie bereits an anderer Stelle erläutert, wird jedem Objekt einerADS-Umgebung eine eindeutige Kennzeichnung, die so genannteSID (Security Identification) zugewiesen. Diese setzt sich aus einerKennzeichnung der Domäne (Domänen-SID) und einer Kennzeich-nung für das eigentliche Element zusammen, wobei dieser zweiteTeil auch als RID (Relative Identifier oder Relative Security Identifier)bezeichnet wird. Da mit dem RID-Master eine eindeutige Kennzeich-nung der einzelnen Objekte generiert wird, muss ein solcher Domä-nen-Controller innerhalb einer Domäne einmalig sein. Der RID-Master minimiert die Zeiten zur Generierung einer RID, indem erden einzelnen Domänen-Controllern ständig einen Pool von IDs zurKennzeichnung neuer oder geänderter Objekte zur Verfügung stellt.

Verzeichnis-schema

� Schema-MasterDer Schema-Master überwacht sämtliche Änderungen am Verzeich-nisschema von Active Directory Services. Innerhalb einer ADS-Umgebung darf grundsätzlich nur ein Schema-Master existieren, umso Inkonsistenzen zu vermeiden. Beim Ausfall eines Schema-Masterskann dessen Funktion auf einen anderen Domänen-Controller über-tragen werden, wobei dann der usrprüngliche Schema-Master indieser Funktion nicht mehr aktiv werden darf.

Bei einem Ausfall eines PDC-Emulator-Masters kann dies Auswir-kungen auf die Funktionalität der entsprechenden Domäne nachsich ziehen. Aus diesem Grund muss schnellstmöglich Abhilfegeschaffen werden, etwa durch die Definition eines anderen Domä-nen-Controllers als PDC-Emulator.

Die Domänen-SID ist innerhalb einer Domänen-Gesamtstruktur(Forest) und die RID innerhalb einer Domäne eindeutig. Auf dieseWeise kann jedes Objekt im Forest eindeutig identifiziert werden.

Zur Durchführung von Änderungen an dem Schema einer ADS-Umgebung muss der betreffende Benutzer Mitglied in der Gruppeder Schema-Administratoren sein.


Forest Als Forest oder Domänen-Gesamtstruktur wird innerhalb von ADSeine Zusammenfassung mehrerer Domänen-Bäume bezeichnet. Somiterlauben Forests die Integration mehrerer Domänen-Bäume zu einemNetzwerk mit einer gemeinsamen Sicherheitsinfrastruktur, in dem esdurchgehende, automatisch definierte Vertrauensstellungen gibt.Jedem Benutzer einer Domäne im Forest können so in jeder anderenDomäne einfach und schnell Zugriffsberechtigungen gewährt werden.Forests werden immer dann gebildet, wenn die Domänen unterschied-liche Namensräume haben, aber dennoch in ein gemeinsames Netz-werk integriert werden sollen.

Objekttypen Die gesamte ADS-Struktur ist in einem so genannten Verzeichnisbaumangeordnet. Verzeichnisbaum deshalb, weil alle Objekte in einer (hier-archischen) Baumstruktur angelegt und verwaltet werden, deren Auf-bau beim Stammobjekt (Root) beginnt und von dort weiter nach untenverzweigt.

Ein Verzeichnisbaum besteht generell aus zwei Arten von Objekten:Behälterobjekten (Container Object) und Blattobjekten (Leaf Object).Ein Zweig des Verzeichnisbaums setzt sich aus einem Behälterobjektund allen darin enthaltenen Objekten zusammen, wozu weitere Behäl-terobjekte gehören können. In einem Behälterobjekt können wie-derum weitere Objekte (Behälter- oder Blattobjekte) von ADS enthal-ten sein.

Innerhalb von ADS gibt es Objekte, die physikalische Einheiten darstel-len. Ein Benutzerobjekt steht beispielsweise für einen Benutzer, einDruckerobjekt für einen Drucker usw. Andere Objekte stehen für logi-sche Einheiten wie Druckerwarteschlangen oder Benutzergruppen. Füreine bessere Verwaltung der Objekte sind übergeordnete Objekte ver-fügbar, beispielsweise das Objekt »Organisationseinheit«.

Organisations-einheit

Eine Organisationseinheit (Organizational Unit) ist ein bestimmterObjekttyp, der auch als Behälterobjekt bezeichnet wird. Ein solchesObjekt kann grundsätzlich andere Objekte beinhalten. Mit den Organi-sationseinheiten lässt sich innerhalb einer Domäne eine Struktur gene-rieren.

Bei einer Vertrauensstellung »vertraut« eine Domäne A eines Domä-nen-Baums einer Domäne B in einem anderen Domänen-Baum.Einem Benutzer aus Domäne A können so Rechte zur Nutzung derRessourcen an der Domäne B zugewiesen werden.

1

2

3

4

5

6

7

8

9

10

11

12


Mit Hilfe von Behälterobjekten können alle anderen Objekte in einemVerzeichnisbaum logisch gegliedert werden. Behälterobjekte entspre-chen dem Verzeichnis in einem Dateisystem; zusammengehörige Infor-mationen werden darin in Gruppen untergliedert. Dabei werden Behäl-terobjekte immer dann als übergeordnete Objekte bezeichnet, wennsie selbst weitere Objekte enthalten. Im Gegensatz dazu befinden sichdie Blattobjekte jeweils an den Enden eines Zweiges des Verzeichnis-baums, wobei derartige Objekte grundsätzlich keine weiteren enthal-ten können. Diese Art der Objekte steht in der Praxis beispielsweisestellvertretend für Benutzer, Rechner, Drucker, Warteschlangen usw.

ObjektEine Organisationseinheit wird auch als Container-Objekt bezeichnet.Ein Objekt steht stellvertretend für eine Ressource, die im Active Direc-tory Services verwaltet wird. Es kann sich dabei um einen Benutzer,einen Drucker oder auch um eine Festplatte handeln.

Alle Objekte eines Verzeichnisbaums haben immer einen eindeutigenEigennamen. Bei Benutzerobjekten beispielsweise ist der Eigenname inder Regel identisch mit dem Anmeldenamen, der im Verzeichnisbaumangezeigt wird. Andere Blattobjekte haben ebenfalls Eigennamen, dieim Verzeichnisbaum angezeigt werden, beispielsweise ein Drucker-oder Server-Objektname. Im Gegensatz dazu werden Behälterobjektein der Regel mit dem Namen der Organisationseinheit oder auch mitdem Namen der Organisation (Organization) oder einer geografischenZuordnung bezeichnet. Ein einzelnes Objekt innerhalb einer Verzeich-nisdatenbank wird auch als Leaf- oder Blattobjekt bezeichnet.

ObjekteigenschaftWie in X.500 definiert, werden sämtliche Angaben über die einzelnenObjekte, die in der Verzeichnisdatenbank gespeichert sind, als Objekt-eigenschaften (Properties) bezeichnet. Grundsätzlich hat jedes Objektverschiedene Eigenschaften, die wiederum Informationen zum jeweili-gen Objekt enthalten. Dies kann beispielsweise die Telefon- oder Fax-nummer eines Benutzers oder der Standort eines Druckers sein. DieInformationen oder Werte zu den Objekten werden in den einzelnenDatenfeldern abgelegt. So kann ein Benutzerobjekt zum Beispiel diefolgenden Eigenschaften enthalten: Anmeldename, E-Mail-Adresse,Passwortbeschränkungen, Gruppenmitgliedschaft, Telefonnummer,Adresse usw. In vielen Fällen können für eine Eigenschaft mehrereWerte eingegeben werden. Unter der Eigenschaft »Telefonnummer«für Benutzerobjekte können etwa die geschäftliche und die privateTelefonnummer oder auch eine Mobiltelefonnummer angegeben wer-den.


Werden Informationen, beispielsweise die Telefonnummer einesBenutzers, vom Active Directory Services angefordert, wird in jedemBenutzerobjekt der Datenbank gesucht. Sobald die Telefonnummergefunden ist, wird eine Liste aller Objekte ausgegeben, in denen diebetreffende Nummer (als Eigenschaft) enthalten ist. Im Gegensatz dazukönnen von den Benutzern aber auch Informationen zu einem ganzbestimmten Objekt angefordert werden. Dabei erfolgt die Anzeige allerEigenschaften des gewünschten Objekts, sofern entsprechendeZugriffsrechte bestehen.

SID und RID Die einzelnen Objekte einer ADS-Verzeichnisdatenbank werden ineiner Domäne abgelegt, in der sie durch eine eindeutige Nummergekennzeichnet werden. In Bezug auf die Benutzer und Gruppen wer-den diesen beispielsweise so genannte Security IDs (SIDs) zugewiesen.Dabei setzt sich die SID eines Benutzers aus der SID der betreffendenDomäne und einer so genannten Relative ID (RID) zusammen, wobeidie RID wiederum innerhalb der Domäne eindeutig ist.

Vertrauens-stellung

Mit einer Vertrauensstellung besteht die Möglichkeit für den Benutzereiner Domäne A, auch auf Ressourcen in einer Domäne B zuzugreifen,ohne dass er dort über ein Benutzerkonto verfügt. Vertrauensstellun-gen werden auch als »geschützte Domänen« bezeichnet und könnensowohl ein- als auch gegenseitig sein.

Neben einer Vertrauensstellung für einzelne Domänen können imActive Directory Services auch entsprechende Vertrauensstellungen aufEbene einer Domänen-Gesamtstruktur (Forest) definiert werden.

Verzeichnis-objekte

Die verfügbaren Ressourcen eines Netzwerks werden beim Einsatz vonADS als Objekte angelegt. Dabei werden die einzelnen Ressourcen –unabhängig vom tatsächlichen Standort – in einer hierarchischenBaumstruktur abgelegt, so wie von X.500 mit dem DIT (DirectoryInformation Tree) vorgegeben. Benutzer und Systemverwalter könnensomit auf die Netzwerkdienste zugreifen, ohne beispielsweise den tat-sächlichen (physikalischen) Standort des Servers zu kennen, der denjeweiligen Dienst (Service) bereitstellt (logische Zuordnung). Somitwird jede Ressource bzw. jeder Service als Objekt behandelt, wobeisich diese Objekte wiederum aus den Objekteigenschaften und dendarin enthaltenen Daten oder Werten zusammensetzen. Diese Anga-ben über die einzelnen Objekte werden in der Verzeichnisdatenbankgespeichert.

1

2

3

4

5

6

7

8

9

10

11

12

121Funktionen und Leistungsmerkmale

4.3 Funktionen und LeistungsmerkmaleGenerell lassen sich mit ADS heterogene Systemumgebungen verwal-ten, wobei dieser Verzeichnisdienst eine hohe Skalierbarkeit bietet, mitder möglichen Verwaltung von bis zu mehreren Millionen Objektenpro Speicherbereich.

Vergleichbar mit anderen Verzeichnisdiensten kann auch bei ADS dietatsächliche Unternehmens- bzw. Organisationsstruktur abgebildetwerden. Komplexe, verteilte Umgebungen sind damit einfacher zu ver-walten als beispielsweise im Domänen-Prinzip von Windows NT Ser-ver, wobei ADS ebenfalls ein (proprietäres) Domänen-Prinzip einsetzt.

Die Entwicklung der Active Directory Services orientiert sich aus-schließlich an der Entwicklung der Server-Betriebssysteme von Micro-soft. Beginnend mit Windows 2000 Server, in dem die erste ADS-Ver-sion integriert war, bis hin zu Windows Server 2003, wo einigeÄnderungen oder Ergänzungen zur Optimierung des Verzeichnisdiens-tes beigetragen haben.

4.3.1 ADS in Windows 2000 Server

Das erste Microsoft-Produkt mit einem »echten« Verzeichnisdienst warWindows 2000 Server. Dies war gleichzeitig auch die Grundlage fürden Verzeichnisdienst Active Directory Services, wie er in WindowsServer 2003 eingesetzt wird.

Zentrale Verwaltung

In ADS können grundsätzlich alle Ressourcen erfasst, hinterlegt bzw.verwaltet werden, die in dem Netzwerk eines Unternehmens odereiner Organisation verfügbar sind. Beispielhaft sind zu nennen:Dateien, Drucker, Benutzer oder auch Richtlinien für die Verwaltungderartiger Objekte. So ermöglicht er die zentrale Verwaltung vonBenutzern und Ressourcen, ebenso wie die Steuerung der Sicherheits-richtlinien in einer Organisation oder einem Unternehmen. In Verbin-dung mit dem überarbeiteten Domänen-Konzept (aus Windows NT)ergeben sich dadurch Vorteile für den Systemverwalter, insbesonderedann, wenn eine Migration vom NT-Domänen-Konzept zu ADS geplantist.

Domänen und Forest

So sieht das ADS-Domänen-Konzept den Einsatz einzelner Domänenvor, die wiederum über entsprechende Vertrauensstellungen zu einemTree (Domänen-Baum) zusammengeführt werden können. MehrereDomänen-Bäume wiederum lassen sich dann zu einem Forest (Wald)zusammenfassen.


Abbildung 4.3 Bestandteile einer ADS-Umgebung

Nähere Angaben zum ADS-Domänen-Modell enthält der Abschnitt 4.4.

Single Point ofAdministration

Da das Verzeichnis die zentrale Datenablage (Datenbank) darstellt,müssen Änderungen nur an einer Stelle vorgenommen werden.Dadurch kann auch die Verwaltung der Domänen, Bäume und Wäldermit Hilfe der ADS von zentraler Stelle aus erfolgen. ADS bildet einen sogenannten »Single Point of Administration« für alle Ressourcen. Dabeigilt dies nicht nur für die Systemverwaltung der Komponenten imNetzwerk, sondern auch für Dateien, Verbindungen, Datenbanken,Webzugriffe, Benutzer, Netzwerknamen, E-Mail-Adressen, Zertifikateund sonstige Objekte, Dienste oder Ressourcen.

Organisations-einheit

Alle Verzeichnisobjekte befinden sich in einer Domäne, die zur struk-turierten Verwaltung in eine Hierarchie mehrerer Organisationseinhei-ten (Organizational Unit = OU) unterteilt werden kann.

Domänen-Controller

Mehrere Domänen lassen sich in einer Baumstruktur zusammenfüh-ren. ADS trennt dabei nicht mehr zwischen primären Domänen-Cont-rollern und Sicherungs-Domänen-Controllern, sondern arbeitet nurnoch mit Domänen-Controllern. Systemverwalter können Änderungenauf jedem dieser Controller durchführen. Active Directory Servicesselbst sorgt dafür, dass entsprechende Updates auf alle anderen Domä-nen-Controller automatisch repliziert werden.

1

2

3

4

5

6

7

8

9

10

11

12


Der hierarchisch strukturierte Verzeichnisdienst Active Directory Ser-vices vereinfacht die Verwaltung von Benutzern, Gruppen oder Ser-vern, da alle Netzwerk-Ressourcen an einer zentralen Stelle zusammen-gefasst und logisch strukturiert sind. Zugriff auf die Ressourcen erhältein Anwender beispielsweise über den Windows-Explorer oder dieNetzwerkumgebung, in der sich ein spezieller Eintrag eigens für dasvom ADS bereitgestellte Verzeichnis befindet.

Abbildung 4.4 ADS-Objekte im Windows-Explorer

MMCZum Umgang mit dem Verzeichnisdienst und aller dafür relevantenDienste und Ressourcen stehen zahlreiche neue Zusatzprogrammebereit, die in der Regel als Snap-In-Module für die Microsoft Manage-ment Console (MMC) ausgelegt sind. Die Vielzahl einzelner Anwen-dungen, wie beispielsweise bei Windows NT Server, hat Microsoft mitMMC unter einer einheitlichen Oberfläche zusammengeführt.

SkalierungDer hierarchische und gleichzeitig flexible Aufbau erleichtert die Ska-lierung sowie die Anpassung an organisatorische Veränderungen. DieEinrichtung und Verwaltung von Active Directory Services erfolgtebenfalls über ein Snap-In der MMC. Das Schema der ADS ist erweiter-bar; neue Eigenschaften und Objekte lassen sich jederzeit hinzufügen.


Abbildung 4.5 Module in der Microsoft Management Console

ADSI ADS lässt sich durch die integrierten Programmierschnittstellen (APIs)an individuelle Gegebenheiten anpassen. Mit dem Active DirectoryService Interface (ADSI) lassen sich weitere Verzeichnisdienste integrie-ren. Diese Programmierschnittstelle ermöglicht die Entwicklung vonAnwendungen für den Zugriff und die Verwaltung von Active Direc-tory sowie jeglicher LDAP-basierter Verzeichnisdienste und weitererwie etwa NDS eDirectory von Novell.

Nähere Angaben zur Programmierschnittstelle ADSI enthält Abschnitt4.10.

Standards Generell kann ADS auch in heterogenen Systemumgebungen einge-setzt werden. Es basiert auf Internet-Standards wie DNS und LDAP undunterstützt die verschiedenen internationalen Standards für Datei- undVerzeichnisnamen, darunter auch HTTP (über den Internet InformationServer), X.500 und UNC.

Domänen-Controller

ADS ist abwärtskompatibel und unterstützt auch gemischte Systemum-gebungen mit Domänen-Controllern aus Windows Server 2003, Win-dows 2000 Server und Windows NT 4 Server. Auf diese Weise istjederzeit eine stufenweise Migration von Windows NT nach WindowsServer 2003 möglich.

Globaler Katalog Sämtliche Ressourcen einer ADS-Umgebung sind in einem globalenKatalog (Global Catalog) abgelegt. Der globale Katalog enthält alleObjekte von Active Directory Services sowie einen sinnvollen Teil derObjekteigenschaften, der sich frei wählen lässt. Daher lässt er sich nach

1

2

3

4

5

6

7

8

9

10

11

12


vielen Kriterien (Name, Telefon, E-Mail usw.) komfortabel durchsu-chen. Sinnvoll ist ein globaler Katalog insbesondere dort, wo Objekteaus mehreren Domänen zentral verwaltet werden sollen.

Nähere Angaben zum Einsatz des globalen Katalogs enthält Abschnitt4.6.

Einmalige Anmeldung

Beim Einsatz eines Verzeichnisdienstes wie ADS meldet sich ein Benut-zer nur einmal am Netzwerk an und hat dann aufgrund der Zugriffs-rechte, die im Verzeichnis gespeichert sind, Zugang zu allen für ihn frei-gegebenen Ressourcen, Diensten und Anwendungen. Durch dasPrinzip der Replikation wird ein Zugriff auch dann möglich, wenn einVerzeichnisknoten ausfällt.

Verzeichnis-freigabe für Teilbereiche

Ausgewählte Daten bzw. Informationen der Datenbank (z.B. Angabenzu E-Mail-Adressen) können freigegeben werden, sodass auf sie ausexternen Netzwerken (z.B. Internet) oder aus dem unternehmenswei-ten Intranet zugegriffen werden kann. Möglich macht dies das Zugriff-sprotokoll LDAP, mit dem ein Zugriff auch auf externe Verzeichnisseoder auf Verzeichnisdienste anderer Netzwerkbetriebssysteme möglichist.

SicherheitsmodellSämtliche Informationen, die in der Verzeichnisdatenbank abgelegtwerden, werden durch ein unteilbares, konsistentes Sicherheitssystemgeschützt.

Sonstige Funktionen

Neben den bisher genannten und erläuterten Merkmalen der ADS sol-len die folgenden Funktionen der Vollständigkeit halber ebenfallserwähnt werden:

� Abwärtskompatibilität zu Windows NT 3.5x und NT 4.x

� Dezentrale Systemverwaltung bis auf die unterste Ebene innerhalbeiner Organisationseinheit

� Drag-and-Drop-Verwaltung der Objekte

� Erweiterbarkeit der Datenbasis durch Schema-Erweiterungen(X.500)

� Festlegung offener Schnittstellen (APIs) für Programmierer (z.B.C++) und Scriptsprachen (z.B. JavaScript, Perl, VBA) mit OLE Sup-port

� Internetzugang

� Kombination von DNS und X.500 unter Beibehaltung der bestenSchlüsselfunktionen der jeweiligen Systeme


� Multimaster-Replikation

� Skalierbarkeit von Mininetzwerken bis hin zu globalen Netzwerken

� Unterstützung verschiedener Namensformate gemäß RFC 822 undRFC 1779

� Unterstützung von Diensten mit kurzer Lebensdauer (z.B. Chat,Konferenzdienste)

� Unterstützung von Novell NetWare (Bindery und NDS eDirectory)

� Verteilte Sicherheit

� Verwendung offener Standards

ADS-Komponenten

Abschließend werden noch einmal die grundlegenden Komponentenaufgeführt, aus denen sich der Verzeichnisdienst Active Directory Ser-vice zusammensetzt:

ESE � VerzeichnisdatenbankVerzeichnis in Form einer relationalen Datenbank (ESE = ExtensibleStorage Engine), die das eigentliche Verzeichnis darstellt.

Schema � VerzeichnisschemaMenge von Regeln, die als Verzeichnisschema bezeichnet wird undmit denen alle Objekttypen von ADS definiert werden. Die Informa-tionen eines Objekts werden in Attributen (z.B. Name, Telefonnum-mer, Standort) gespeichert. Jedes Attribut wird im Schema einmaligdefiniert, wobei mehrere Attribute in Klassen zusammengefasst wer-den. Beim Anlegen eines neuen Objekts wird im Verzeichnisschemanach der Klasse des Objekts gesucht, und dem Objekt werden allenotwendigen Attribute zugewiesen. Somit ist jedes ADS-Objekt dieInstanz einer bestimmten Objektklasse. Das Verzeichnisschema istselbst in der Verzeichnisdatenbank gespeichert, lässt sich somit ein-fach erweitern und wird automatisch repliziert. Es gibt genau einSchema für die Gesamtstruktur.

GC � Globaler KatalogGlobaler Katalog (Global Catalog) als Untermenge des Verzeichnisseszum schnellen Auffinden von Objekten und Objekteigenschaften. Eshandelt sich dabei um eine spezielle Datenbank innerhalb einerADS-Umgebung, in der zu allen Objekten ausgewählte Attributegespeichert werden. Der GC dient als zentrale Suchmaschine, umschnelle Zugriffe auf bestimmte oft benötigte Informationen zuermöglichen. Dies ist gerade in einer größeren Struktur sehr wichtig,da dort das Verzeichnis häufig über mehrere Server verteilt ist. Der

1

2

3

4

5

6

7

8

9

10

11

12


Global Catalog vermittelt also von zentraler Stelle die Informationenselbst oder verweist auf den Server, auf dem diese abgelegt sind.

Redundanz� ReplikationEinsatz eines Replikationsdienstes zum Kopieren der verfügbarenDatenbanken auf andere Server. Häufig werden in einer ADS-Umge-bung aus Gründen erhöhter Redundanz und Lastverteilung mehrereServer eingesetzt, die das Verzeichnis speichern. Dabei verwendetADS die so genannte Multi-Master-Replikationsmethode, die esermöglicht, dass Änderungen am Verzeichnis an jedem Server vorge-nommen werden können und automatisch repliziert werden.

ACL� SicherheitskonzeptMittels eines speziellen Sicherheitskonzepts, das auf Richtlinien undZugriffslisten aufbaut, werden die Daten einer ADS-Umgebunggeschützt. Der Zugriff auf sämtliche ADS-Objekte wird über AccessControl Lists (ACL) geregelt. Damit kann explizit definiert werden,ob Benutzer auf ein Objekt zugreifen, es bearbeiten dürfen, oder obes überhaupt für sie sichtbar ist. Somit lassen sich auch Aufgaben derSystemverwaltung delegieren, ohne Zugriffsberechtigungen für dasgesamte Verzeichnis erteilen zu müssen. Mit Hilfe von Vererbungs-techniken können sehr schnell für eine große Anzahl von ObjektenBerechtigungen gesetzt werden. Eine weitere Sicherheitsfunktionerfüllen die Gruppenrichtlinien, auf die später noch separat einge-gangen wird.

4.3.2 ADS-Erweiterungen bei Windows Server 2003

Durch die enge Kopplung von Active Directory Services an MicrosoftsServer-Betriebssysteme ergaben sich mit der Veröffentlichung vonWindows Server 2003 neue Merkmale der ADS-Version. Die wesentli-chen neuen Funktionen werden nachfolgend erläutert.

Domänenname ändern

Entscheidende Verbesserungen gegenüber der ersten ADS-Versionergeben sich bei Windows Server 2003 beispielsweise dadurch, dassder Name einer Domäne geändert werden kann. Während es bei Win-

Hersteller wie Novell sind – im Gegensatz zu Microsoft – sehr frühdazu übergegangen, den Verzeichnisdienst vom Betriebssystem zuentkoppeln. Deshalb steht zum Beispiel der Novell-Verzeichnis-dienst NDS eDirectory heute für unterschiedliche Systemplattfor-men zur Verfügung (NetWare, Windows, UNIX, Linux, Solaris usw.).


dows 2000 Server nicht möglich war, eine Domäne umzubenennen,kann dies ab Windows Server 2003 erfolgen, wobei dieses Merkmalbesonders interessant ist bei der Zusammenführung von mehrerenADS-Verzeichnisdiensten. Dies kann zum Beispiel erforderlich sein beider organisatorischen Zusammenführung von zwei Unternehmen.

Das Umbenennen einer Domäne erfolgt unter Windows Server 2003über das Programm RENDOM.EXE. Dabei kann nicht nur die Domäne,sondern der Domänen-Controller umbenannt werden. Das Zusatzpro-gramm steht beispielsweise auf den Webseiten von Microsoft zumDownload zur Verfügung unter: http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx

Nähere Angaben zum Unbenennen einer Domäne enthält Kapitel 12,Systemverwaltung.

Cross ForestTrusts

Oft ist in der Literatur die Rede vom »Sieg der Praxis über die Theorie«,wenn das Prinzip der Vertrauensstellungen von Forests in einem ADS-Gebilde erläutert wird. Während es in der ersten ADS-Version bereitsmöglich war, zwischen einzelnen Domänen in unterschiedlichenForests eine Vertrauensstellung (Trust Relationship) zu definieren,wurde dieses Prinzip bei Windows Server 2003 auch auf ganze Forestsausgedehnt.

Abbildung 4.6 Definition einer neuen Vertrauenstellung für Cross Forest Trusts

1

2

3

4

5

6

7

8

9

10

11

12


Schema-änderungen

Je nach Installationsgrad und nach installierten Zusatzprodukten ist esnotwendig, das ADS-Schema zu erweitern. Während bei der erstenADS-Version derartige Schemaänderungen nicht rückgängig gemachtwerden konnten, ist dies ab Windows Server 2003 möglich. Auf dieseWeise kann das ADS-Schema jederzeit wieder bereinigt werden.

Das Schema ist die Basis für einen Verzeichnisdienst. In ihm sind dieeinzelnen Objekte und die verfügbaren Objekteigenschaften abgelegt.

InetOrgPersonMit InetOrgPerson steht ein neuer Objektyp zur Verfügung, der alter-nativ zum Benutzer-Objekttyp (User) eingesetzt werden kann. Bedingtdurch die größere Kompatibilität des Objekttyps InetOrgPerson mitanderen Verzeichnisdiensten und speziell in einer LDAP-Umgebung, istder Einsatz dieses Objekttyps der Verwendung des Typs »Benutzer«vorzuziehen.

Mehrfachauswahl von Objekten

Bei der Verwaltung der ADS-Objekte ist es ab Windows Server 2003möglich, mehrere Objekte zu markieren und diesen dann diegewünschten Eigenschaften zuzuweisen. Mit dieser Mehrfachauswahlkann einer Gruppe von Verzeichnisobjekten schnell und einfach diegleiche Eigenschaft zugewiesen werden.

Abbildung 4.7 Zuweisung von Eigenschaften an mehrere Objekte

Nähere Angaben zum Domänen-Modell von Active Directory Ser-vices und den Möglichkeiten der Vertrauensstellungen zwischenDomäne, Domänen-Bäumen und Forest enthält Abschnitt 4.4.


Gruppen-mitglieder

Ab Windows Server 2003 ist es möglich, einer einzelnen Gruppe bis zu5000 Mitglieder zuzuweisen. Eine Verschachtelung von Gruppen istdeshalb in der Regel nicht mehr notwendig.

Gruppen-richtlinien

Mit Hilfe von Gruppenrichtlinien können Systemverwalter Einstellun-gen und zulässige Aktionen für Benutzer und Rechner definieren. Sokönnen Richtlinien definiert werden, die für eine bestimmte Domäne,einen bestimmten Standort oder für einen beliebigen Bereich einesUnternehmens oder einer Organisation gelten. Derartig eingesetzteRichtlinien (Group Policy Management) vereinfachen Aufgaben wiebeispielsweise das Aktualisieren des Systems, das Installieren vonAnwendungen, das Einrichten von Benutzerprofilen sowie das Sperrendes Desktop-Systems.

Die Verwaltung der Gruppenrichtlinien wurde dahingehend verbes-sert, dass nun die vererbten Gruppenrichtlinien angezeigt werden; dieswar bei Windows 2000 Server nicht der Fall. Damit wird die Verwal-tung erleichtert, zumal bei Windows Server 2003 zusätzlich eineAnzeige der effektiven Richtlinien in HTML-Form verfügbar ist.

GPMC Mit der Group Policy Management Console (GPMC), die als Add-On-Komponente für Windows Server 2003 angeboten wird, existiert einebenutzerfreundliche Umgebung für die Verwaltung der Gruppenricht-linien.

DSADD Mit speziellen Anweisungen für die Befehlszeile stehen Möglichkeitenzur Verfügung, die ADS-Objekte einfach und schnell zu bearbeiten. Sokönnen beispielsweise mit der Anweisung DSADD der Verzeichnisda-tenbank neue Objekte hinzugefügt werden.

DSRM Das Gegenstück zu DSADD stellt die Anweisung DSRM dar, mit derObjekte aus der Verzeichnisdatenbank von Active Directory Servicesgelöscht werden können.

DSMOVE Die Anweisung DSMOVE ermöglicht das Verschieben von Objekten inandere Organisationseinheiten, wobei dies nur innerhalb einerDomäne möglich ist.

DSQUERY Zur Durchführung bestimmter Abfragen der Verzeichnisinformationensteht DSQUERY.EXE zur Verfügung.

DSGET Mit DSGET.EXE können neben den normalen Objekteigenschaftenauch bestimmte Attributwerte abgefragt werden.

ApplicationDirectory Partition

Zusätzlich zu den Partitionen für die Verzeichnisdatenbank bietet Win-dows Server 2003 auch noch die Möglichkeit, Partitionen mit Objekten

1

2

3

4

5

6

7

8

9

10

11

12

131ADS-Domänen-Modell

für Anwendungen zu generieren. Somit können die Objekte der Ver-zeichnisdatenbank wie Benutzer, Gruppen, Drucker usw. sauber vonden Anwendungen getrennt werden. Ein weiterer positiver Nebenef-fekt ist, dass die Informationen aus einer Anwendungspartition (Appli-cation Directory Partition) nicht automatisch zum globalen Katalog rep-liziert werden.

Positiv bemerkbar macht sich dies dadurch, dass keine Anwendungsda-ten innerhalb von Active Directory repliziert werden müssen: beispiels-weise beim Einsatz von DNS (Domain Name System), denn dadurchwird vermieden, dass die DNS-Informationen auch zu Servern repli-ziert werden, auf denen überhaupt kein DNS installiert ist.

Verzeichnis als Datei

Eine Neuerung der ADS-Variante bezieht sich auf das Auslagern dergesamten Datenbank in eine Datei. Es kann nicht nur eine Sicherheits-kopie erstellt werden, sondern es besteht auch die Möglichkeit, eineKopie der Datenbank (Replikation) sehr schnell an einen anderen Ortoder auch nur auf einen anderen Server zu übertragen, um darauf auf-bauend dann eine Verzeichnisdatenbank zu installieren.

Die Möglichkeit der Auslagerung der ADS-Datenbank ist auch für denAufbau eines Testservers interessant und nützlich.

4.4 ADS-Domänen-Modell

»Die Domäne ist tot, es lebe die Domäne!« So oder ähnlich kann dieVorgehensweise von Microsoft bei der Realisierung der Active Direc-tory Services umschrieben werden. Es lässt sich nicht bestreiten, dasssich das Domänen-Konzept des Betriebssystems Windows NT Servermitunter als sehr problematisch erwiesen hat, insbesondere durch diesehr aufwändige und schwierige Verwaltung der notwendigen Vertrau-ensstellungen.

Dabei ist eine Domäne unter Windows NT Server ein Bereich mitgemeinsamen Sicherheitsdefinitionen, der sich unter Umständen auchüber mehrere physikalische Standorte erstrecken kann. Bei ADSkommt ein etwas anderer Ansatz zum Tragen, wobei dies aber nichtbedeutet, dass dort keine Domänen mehr verwendet werden – dieDomäne bleibt auch bei ADS das grundlegende Element.

Nicht zuletzt aus Kompatibilitätsgründen zu Windows NT Server undder einfacheren Migration halber verfügt auch ADS über Domänen zurStrukturierung und Verwaltung der einzelnen Ressourcen eines Netz-


werks. Dabei ist eine Domäne identisch mit einem Verzeichnis, daswiederum auf unterschiedlichen Domänen-Controllern abgelegt wer-den kann.

Domäne, Baumund Forest

Mehrere Domänen mit einem gemeinsamen Schema können in ADSdurch Vertrauensstellungen (Trust Relationships) zu einem Domänen-Baum (Domain Tree) verbunden werden. Die Domänen im Domänen-Baum bilden dabei eine vollständige Baumstruktur. Mehrere Domä-nen-Bäume mit einem gemeinsamen Schema, die aber keine vollstän-dige Baumstruktur bilden, können zu der so genannten Domänen-Gesamtstruktur (Forest) zusammengefasst werden.

Kerberos Zwischen den Domänen-Bäumen in einem Forest bestehen, wie inner-halb des Domänen-Baumes auch, Vertrauensstellungen auf der Basisdes Kerberos-Sicherheitsprotokolls.

Partitionierung In ADS wird eine Domäne durch eine Partition des Verzeichnissesabgebildet. Eine Domäne kann dabei weiter in einzelne Organisations-einheiten (OUs) unterteilt werden. Diese entsprechen bei ADS jedochnicht durchgängig der gleichnamigen Objektklasse im Standard X.500.

Domänen bei Windows NT Server und die Domänen bei ADS unter-scheiden sich nicht unwesentlich. Durch die ADS änderte sich dergesamte Namensraum. Das alte flache Domänen-Konzept(Windows NT Server) wurde zu Gunsten eines hierarchisch geglieder-ten Domänen-Baums aufgegeben, wobei auch die ADS-Domänen nachwie vor eine flache Datenstruktur aufweisen. Domänen selbst werdenals Baum gegliedert, indem sämtliche Objekte in einer Domäne (Benut-zer, Rechner, Drucker, Festplatten usw.) als Einträge in einem Verzeich-nis betrachtet werden. Der bisherige primäre Domänen-Controllerwird durch ADS ersetzt, über die auf alle Objekte in der Domäne zuge-griffen werden kann.

Domänen-Baum Durch die Domänen-Bäume wird eine logische Struktur festgelegt,wodurch es beim Zugriff auf die Objekte des Verzeichnisdienstes keineRolle spielt, wo sich die Ressourcen befinden. Durch diese Standortun-abhängigkeit findet eine strikte Trennung von physikalischer und logi-scher Netzwerkgliederung statt. Im Ergebnis lassen sich Änderungenan der physikalischen Struktur für den Benutzer transparent durchfüh-ren. Jede Domäne innerhalb eines Domänen-Baums besitzt die Kopieder Verzeichnisdatenbank, die sämtliche Objekte der Domäne sowieMetadaten über den Domänen-Baum enthält. Hierzu gehört beispiels-weise das Schema (die Definition der einzelnen Objektklassen und der

1

2

3

4

5

6

7

8

9

10

11

12


darin vorkommenden Attribute), eine Liste aller Domänen im Baumoder Informationen über die Standorte von Katalog-Servern (GlobalCatalog).

Vertrauens-stellung

Eine Verbindung zwischen zwei ADS-Domänen-Bäumen wird als Ver-trauensstellung bezeichnet. Eingerichtete Vertrauensstellungen ermög-lichen es einem Benutzer, mit einem Benutzerkonto und einem Pass-wort auf das gesamte Netzwerk zuzugreifen.

Während sich bei einer Domäne unter Windows NT die Vertrauensstel-lung auf einzelne Domänen bezieht, besitzen ADS-Domänen grund-sätzlich Vertrauen zu den anderen Domänen, sofern sich diese im glei-chen Domänen-Baum befinden. Existieren mehrere Domänen-Bäumeund wird ein übergreifender Ressourcenzugriff benötigt, müssen zwi-schen den beteiligten Domänen-Bäumen entsprechende Vertrauens-stellungen (Trust Relationship) hergestellt werden.

Eine weitere einschneidende Veränderung der Domänen-Strukturbetrifft die Zuweisung und die Verwaltung der Vertrauensstellungen.Unter Windows NT Server musste für jede Domäne explizit angegebenwerden, welche andere Domäne vertrauenswürdig ist. Bei ADS sindautomatisch alle Domänen im gleichen Baum vertrauenswürdig. Solleiner Domäne im eigenen Baum nicht vertraut werden, so muss diesexplizit angegeben werden. Für den Zugriff auf Domänen in anderenDomänen-Bäumen muss jedoch nach wie vor eine explizite Vertrauens-stellung zugewiesen werden. Neben dem entsprechenden Verwal-tungsaufwand können so auch leicht Sicherheitslücken entstehen.

Transitive Vertrauens-stellung

Anders als in der Domänen-Struktur von Windows NT Server sind dieVertrauensstellungen in ADS transitiv. Durch diese implizite Form derVertrauensstellung verfügen zwei Domänen, die sich gegenseitig ver-trauen, automatisch auch über eine Vertrauensstellung mit dazwischenliegenden anderen Domänen. Mit der Einführung der transitiven Ver-trauensstellungen reduziert sich bei ADS die Anzahl der einzurichten-den Vertrauensstellungen innerhalb eines Domänen-Baums (jedeDomäne vertraut jeder anderen Domäne) erheblich. Dennoch darfnicht vergessen werden, dass auch bei ADS Vertrauensstellungen ein-gerichtet werden müssen (wenn auch wesentlich weniger), die nebendem Verwaltungsaufwand immer auch ein gewisses Sicherheitsrisikoimplizieren.


Abbildung 4.8 Transitive Vertrauensstellung im ADS-Domänen-Modell

Cross-Forest-Trusts

In der ersten ADS-Version war es möglich, zwischen einzelnen Domä-nen in unterschiedlichen Forests eine Vertrauensstellung zu definieren.Dieses Prinzip wurde in der ADS-Version von Windows Server 2003erweitert, indem dort eine Vertrauensstellung auf Forest-Ebene mög-lich ist.

Durch die Erweiterung des Prinzip der Vertrauensstellung ist es bei-spielsweise möglich, dass ein Benutzer aus der Domäne A im Forest AZugriffsrechte für die Objekte in einer beliebigen Domäne A desForests B erhält. Da die Vertrauensstellungen transitiv sind, ist natür-lich auch der umgekehrte Weg denkbar.

Die Forest-übergreifende Vertrauensstellung wird als Vorteil derADS-Version von Windows Server 2003 angepriesen. Leider istMicrosoft aber damit fast wieder da angekommen, wo es vor derEinführung des ADS-Verzeichnisdienstes war.

Anstatt eine Vereinheitlichung und Zusammenführung unterschied-licher Domänen, Domänen-Bäume und Forests unter dem Dacheines Verzeichnisdienstes zu bewerkstelligen, werden wiederursprüngliche (und sinnvolle) Begrenzungen aufgehoben, und eswird ein Mechanismus implementiert, der die Verwaltung nichtgerade vereinfacht.

1

2

3

4

5

6

7

8

9

10

11

12


UnterschiedeBeim Vergleich der Merkmale eines Forests und eines Domänen-Baumsergeben sich einige grundsätzliche Unterschiede. So besteht ein Domä-nen-Baum grundsätzlich aus mehreren Domänen, die

� ein einheitliches Verzeichnisschema nutzen

� einen gemeinsamen Namensraum (DNS) nutzen

� einen gemeinsamen globalen Katalog nutzen

� über eine gegenseitige direkte und transitive Vertrauensstellung zuden übergeordneten Domänen verfügen

� über eine Vertrauensstellung zu den Domänen verfügen, der dieübergeordnete Domäne vertraut

Im Gegensatz dazu besteht ein Forest aus mehreren unterschiedlichenDomänen-Strukturen, die

� ein einheitliches Verzeichnisschema nutzen

� einen gemeinsamen globalen Katalog nutzen

� keinen gemeinsamen Namensraum (DNS) nutzen

� über eine direkte und transitive Vertrauensstellung zur oberenDomäne der jeweiligen Struktur verfügen

Dezentrale Systemverwaltung

Zur Reduzierung des Verwaltungsaufwands gibt es im Domänen-Kon-zept von Active Directory Services eine Möglichkeit, administrativeAufgaben zu dezentralisieren. Dies betrifft insbesondere die Verwal-tung von Sicherheitsinformationen und Benutzerkonten. Die Baum-struktur der ADS-Domänen erlaubt es, globale Vorgaben zu machen,zugleich aber eine Selbstverwaltung der Domänen nach diesen Vorga-ben zuzulassen.

Der Grund für dieses Aufbrechen von Grundstrukturen eines Ver-zeichnisdienstes liegt darin, dass bereits bei der Konzeptionierungvon ADS offensichtlich der Mut fehlte, das Domänen-Konzept abzu-lösen. Ursprünglich als Möglichkeit implementiert, um den Kundeneine sanfte Migration zum ADS-Verzeichnisdienst zur Verfügung zustellen, sind die Domänen spätestens mit Windows Server 2003wieder fester Bestandteil des Microsoft-Verzeichnisdienstes, wasjedoch einer Orientierung am Standard für Verzeichnisdienstewiderspricht.


Eigenschafts-rechte für Objekte

Interessant und für die Praxis sinnvoll ist auch die Vergabe vonZugriffsrechten für Objekte auf Eigenschaftsebene. Insbesondere beider Benutzerverwaltung erscheint dieses Konzept recht viel verspre-chend. So ist es beispielsweise möglich, einem für die Wartung derTelefonanlage zuständigen Mitarbeiter Lese- und Schreibrechte auf fürihn relevante Benutzerattribute zu geben, ohne ihm volle Systemver-walterrechte einzuräumen.

Bestehende Windows NT-Domänen werden auf ADS-Domänen mi-griert, indem zunächst ein Upgrade des primären Domänen-Controllers(PDC) durchgeführt wird. Anschließend existiert eine gemischteNT/ADS-Domäne, der PDC verhält sich nach außen jedoch wie ein NT-System. Anschließend werden alle Backup Domain Controller (BDC)nach und nach migriert. Im Anschluss liegt eine vollständige ADS-Do-mäne vor. Mehrere migrierte Domänen können dann zu einem Domä-nen-Baum verbunden werden.

4.5 Strukturelemente

Insbesondere Systemverwalter, die sich bis dato nur mit flachen Struk-turen wie beispielsweise dem Domänen-Modell von Windows NT Ser-ver beschäftigt haben, ist vor dem Einsatz eines Verzeichnisdiensteswie Active Directory Services unbedingt anzuraten, ein paar grundle-gende Strukturüberlegungen anzustellen.

Die kleinste Einheit, die als Strukturelement bei ADS eingesetzt werdenkann, sind natürlich die Objekte. Dabei werden mit einem solchenObjekt die Eigenschaften eines Benutzers, eines Druckers oder einersonstigen Ressource definiert. Die folgenden Objekttypen unterstütztADS standardmäßig:

� ComputerDieser Objekttyp wird Windows-Rechnern zugewiesen. Unterhalbeines Computer-Objekts können keine weiteren Objekte angeordnetsein. ADS ist dabei ausschließlich auf die Verwaltung von Windows-Rechnern ausgelegt, sodass Rechner-Objekte ausschließlich Systemerepräsentieren können, die mit ADS zusammenarbeiten.

� Kontakt

� GruppeDieses Objekt dient dazu, andere Objekte zu gruppieren.

1

2

3

4

5

6

7

8

9

10

11

12

137Strukturelemente

� InetOrgPersonDieser Objekttyp ist vergleichbar mit dem Benutzer-Objekt, stelltaber eine Kompatibilität zu Standards wie LDAP her.

� MSMQ-Warteschlangenalias

� OrganisationseinheitMit dem Objekt »Organisationseinheit« (Organizational Unit) kön-nen Hierarchien aufgebaut werden. In einer Organisationseinheitkönnen weitere Organisationseinheiten oder andere Objekte (Rech-ner, Benutzer, Gruppen usw.) zugeordnet werden.

� DruckerDieser Objekttyp ermöglicht die Zuweisung von Netzwerkdruckern.

� BenutzerDurch dieses Objekt werden Windows-Benutzer repräsentiert.Unterhalb eines Benutzer-Objekts können keine weiteren Objekteangeordnet sein.

� Freigegebene Ordner

Anders als beim Domänen-Modell von Windows NT Server beinhalteteine ADS-Domäne zahlreiche Objekte, die ihre gezielte Strukturierungerlauben. Auf diese Weise erfolgt eine Einteilung in hierarchisch ein-deutig strukturierte Organisationseinheiten, die auch im Praxisbetriebdie notwendige Übersichtlichkeit gewährleisten.

OUOrganisationseinheiten (OUs) ermöglichen es beispielsweise, jedeDomäne in eine bestimmte Anzahl leichter zu verwaltende Bereicheaufzuteilen. Diese auf einer hierarchischen Struktur basierenden Ein-heiten machen ADS zu einer dreidimensionalen Lösung. Neben derMöglichkeit, die Daten in strukturierter Weise darzustellen, beseitigendie Organisationseinheiten zwei der größten Einschränkungen der NT-Domänen-Struktur. Zum einen erleichtern die OUs die Verwaltung,weil damit für einen spezifischen Objekttyp der Domäne administra-tive Rechte zugewiesen werden können. Des Weiteren ist der Einsatzhierarchisch angeordneter, beschreibender Namen möglich (z.B.LARISCH.VERKAUF.DILARO.DE)

GruppenSo wie im Domänen-Konzept von Windows NT Server existieren auchinnerhalb von Active Directory Services Gruppen (Groups), die Objektegleichen Typs zusammenfassen. Mögliche Objekte, für die der Einsatzvon Gruppen Sinn macht, sind insbesondere Benutzerobjekte, aberebenso auch andere Netzwerk-Ressourcen. Dies ist auch der Grund,weshalb Gruppen auch bei ADS als Basis zur Vergabe von Rechten fürRessourcen dienen.


Abbildung 4.9 Organisationseinheiten als Strukturelemente einer Domäne

Domänen-Baum Die Organisationseinheiten sind Bestandteil der einzelnen Domänen.Mit derartig aufgebauten Domänen lässt sich eine baumförmige Struk-tur realisieren, um beispielsweise die innerbetriebliche oder geografi-sche Organisationsform eines Unternehmens abzubilden. Dabei bildetADS typischerweise einen Domänen-Baum (Directory-Tree) ab, der dasgesamte System hierarchisch in einer baumähnlichen Struktur darstellt.Der Domänen-Baum beinhaltet die einzelnen Domänen und ist derSchlüssel zur Skalierbarkeit von ADS. Auch die Einrichtung größererDomänen-Bäume folgt der so genannten »Bottom-Up«-Methode. Sys-temverwalter können mit einer einzelnen Domäne starten, die beiBedarf bis zu mehrere Millionen Objekte aufnehmen kann. Sind mehrObjekte zu speichern oder wird eine komplexere Organisationsstrukturbenötigt, werden einfach weitere ADS-Domänen angelegt und diese ineinem Domänen-Baum zusammengeführt.

Die Verwendung von Gruppen mit entsprechender Rechtezuwei-sung ist auch deshalb wichtig, weil ADS eine direkte Rechtezuwei-sung auf Ebene der Organisationseinheiten nicht unterstützt; so wiedies praktikabel wäre und auch im X.500-Standard vorgegeben ist.

1

2

3

4

5

6

7

8

9

10

11

12

139Globaler Katalog

Verzeichnis-schema

Gegenüber dem in Windows NT Server verwendeten Domänen-Kon-zept besitzt ADS noch einen weiteren Vorteil: Das Verzeichnisschemabeschreibt genau, wie Objekte und deren Eigenschaften im Verzeichniszu speichern sind. Ein solches Verzeichnisschema erlaubt es imBedarfsfall, existierenden Objekten weitere Eigenschaften hinzuzufü-gen oder gar zusätzliche Objekttypen zu definieren. Dadurch eröffnensich neue Möglichkeiten, denn eine Anwendung wie MicrosoftExchange benötigt somit keine eigene Benutzerdatenbank mehr. Imoptimalen Fall findet eine Erweiterung des Verzeichnisschemas umentsprechende Objekte für die gewünschte Anwendung statt (Objektfür E-Mail-Adresse o.Ä.). Die Verwaltung der Anwendungsobjekteerfolgt dann an zentraler Stelle durch Active Directory Services.

SitesBei Active Directory Services werden als weiteres Strukturmerkmal sogenannte »Sites« eingesetzt. Als »Site« wird dabei ein beliebiger Stand-ort im Netzwerk bezeichnet, an dem sich ein oder mehrere ADS-Serverbefinden. Über die Replikationsmechanismen ermöglichen Sites somiteine leichtgängige Konfiguration des Zugriffs auf die ADS-Daten. IstADS mit Sites doch in der Lage, Anmeldungen etwa von Benutzernoder Diensten schnell und zuverlässig abzuwickeln.

4.6 Globaler KatalogGlobal CatalogEin Verzeichnisdienst, der sich am Standard orientiert, sollte grundsätz-

lich auch über Suchfunktionen verfügen, mit deren Hilfe sich diegewünschten Informationen schnell und einfach finden lassen. AlsSuchbegriffe dienen dabei in der Regel bestimmte Attribute von Objek-

Sämtliche Domänen innerhalb eines Domänen-Baums verwendendenselben DNS-Namensraum. ADS ermöglicht auch, mehrere Domä-nen-Bäume zu einem Wald (Forest) zusammenzuführen. In einemWald enthaltene Domänen können unterschiedlichen DNS-Namens-räumen angehören. Unabhängig davon findet die gesamte Verwal-tung über ADS statt, womit eine gewisse Flexibilität erreicht wird.

Voraussetzung zur Nutzung der Active Directory Service ist natür-lich, dass die jeweilige Anwendung an ADS angepasst ist, was jedochbei den Microsoft-Produkten anzunehmen und beispielsweise beiExchange (ab der Version 2000) auch der Fall ist. Basis für die ADS-Datenbank war schließlich die seinerzeit für Exchange entwickelteDatenbank.


ten wie zum Beispiel Namen oder E-Mail-Adressen. Um diesen Anfor-derungen auch in einer verteilten Netzwerkumgebung gerecht zu wer-den, beinhaltet ADS einen globalen Katalog (Global Catalog).Insbesondere auch zum Auffinden von entfernten Ressourcen (in ande-ren Domänen-Bäumen) wurde der Global Catalog (GC) in ADS imple-mentiert.

In den GC werden ausgewählte Attribute von allen ADS-Einträgenkopiert; es handelt sich dabei um eine so genannte partielle Replika-tion. Damit ist eine schnelle Suche in der gesamten Verzeichnisdaten-bank möglich. Da jedes im Domänen-Baum gespeicherte Objekt im GCeingetragen wird, ist es möglich, auch Objekte in entfernten Domänenschnell zu finden, ohne eine Suchanfrage an das entfernte Verzeichnisstellen zu müssen.

Suchoperationen Beim Global Catalog handelt es sich um einen speziellen Dienst, hinterdem eine Datenbank zur Abwicklung von Suchoperationen im Ver-zeichnis steht. Mit dessen Hilfe können Benutzer spezifische Objektefinden – unabhängig davon, in welcher Domäne und in welchemDomänen-Baum sich diese befinden. Der Dienst selber steht für dieBearbeitung von Anfragen nach Objekten überall im Domänen-Baumzur Verfügung. Ein globaler Katalog entspricht einer Untermenge desActive Directory Service, da nur wenige Eigenschaften der Objekteberücksichtigt werden, die für die Abwicklung schneller Suchoperatio-nen jedoch vollkommen ausreichend sind. Da ein globaler Katalogbereits Informationen über die Objekte aller Domänen des Domänen-Baums enthält, erfolgt die Suche sehr schnell. So müssen auch nichtextra Domänen-Controller mit Suchoperationen belastet werden.

Der globale Katalog-Dienst wird auf spezifischen Servern ausgeführt,die als Domänen-Controller innerhalb der Netzwerkumgebung arbei-ten. Es bleibt dem Systemverwalter überlassen, ob er einen Domänen-Controller zu einem Katalog-Server ernennt. In jedem Fall ist es emp-fehlenswert, von wenigstens einem Domänen-Controller pro Standorteinen globalen Katalog führen zu lassen. Auf diese Weise ist sicherge-stellt, dass Suchoperationen direkt und ohne Verzögerung vorgenom-men werden können.

Speziell bei verteilten Netzwerken und dem Einsatz mehrererDomänen ist der globale Katalog ein unverzichtbares Element zurstrukturierten Suche bestimmter Informationen innerhalb der Ver-zeichnisdatenbank.

1

2

3

4

5

6

7

8

9

10

11

12

141Partitionen und Replikationen

4.7 Partitionen und Replikationen

Die Art der Datenspeicherung hat bei einem Verzeichnisdienst in derRegel Auswirkungen auf die Performance, die Verfügbarkeit und dieSkalierbarkeit dieses Dienstes. So muss ein Verzeichnisdienst beispiels-weise eine deutlich höhere Anzahl von Anfragen verarbeiten als Ände-rungen durchzuführen (Updates). Typischerweise liegt das Verhältnisbei 98 Prozent Anfragen (Lesevorgänge) zu 2 Prozent Updates. Dies isteiner der Gründe dafür, dass eine Verzeichnisdatenbank in mehrerePartitionen und Replikationen (Kopien der Ursprungsdatenbank) auf-geteilt wird. Die Performance wird so erhöht, da Anfragen direkt an dienächstgelegene Partition bzw. Replikation weitergeleitet werden kön-nen. Durch eine solche Parallelisierung lässt sich die Anzahl der beant-worteten Anfragen pro Zeiteinheit steigern.

PartitionenZur Erhöhung der Übersichtlichkeit einer Verzeichnisdatenbank wirddiese in mehrere kleine Teile, so genannte Partitionen, unterteilt. Dabeibesteht jede Partition aus einem Teil der verfügbaren Objekte und denzugehörigen Eigenschaften der einzelnen Objekte. Die Struktur einerPartition (Teilbereich der Verzeichnisdatenbank) ist für die einzelnenBenutzer (bewusst) vollkommen transparent, da diese in der Regel nureinen umfassenden Verzeichnisbaum der einzelnen Objekte sehen.

ReplikationZur Vereinfachung des Zugriffs auf die verschiedenen Bereiche (Parti-tionen) kann jede Partition repliziert werden, wobei eine Replikationdie exakte Kopie einer Partition darstellt. Gemäß dem X.500-Standardkönnen von jeder Partition grundsätzlich beliebig viele Replikationenerstellt und auf den einzelnen Servern verteilt werden. Dadurch wirdbei Beschädigung einer Replikation nicht automatisch der Zugriff aufdie Partitionsdaten unterbrochen.

FehlertoleranzDurch eine Replikation wird der Zugriff auf die Daten des Verzeichnis-dienstes erleichtert und dieser unmittelbar mit einer Fehlertoleranzausgestattet. Ohne ein Exemplar der vollständigen Verzeichnisdaten-bank auf jedem einzelnen Server zu installieren, werden lediglich Rep-likationen der einzelnen Partitionen auf den gewünschten Servern im

Da der GC-Dienst für die schnelle Beantwortung von Suchanfragenoptimiert ist, verspricht Microsoft sich einen erheblichen Perfor-mance-Gewinn. Allerdings darf dabei nicht außer Acht gelassen wer-den, dass der GC eine separate Datenbasis darstellt, die zusätzlichzur Verzeichnisdatenbank existiert.


gesamten Netzwerk verteilt. Eine Replikation erfüllt im Einzelnen fol-gende Funktionen:

� Sie verhindert, dass es bei einer Störung zu einem Gesamtausfallkommt. Ist beispielsweise die Festplatte eines Servers defekt oderfällt ein Server aus sonstigen Gründen aus, kann die Replikationüber einen anderen Server den Benutzern Zugriff auf den Verzeich-nisdienst gewähren und somit die benötigten Informationen zu denObjekten auf dieser Partition bereitstellen.

� Durch die Verteilung der Informationen des Verzeichnsidienstes aufmehreren Servern besteht keine Abhängigkeit von einem bestimm-ten betriebsbereiten Server, um den Benutzern Zugriff zum Netz-werk zu gewähren.

� Beim Einsatz einer Weitverkehrsverbindung (WAN) bieten die Rep-likationen den Benutzern schnelleren Zugriff auf die Verzeichnisin-formationen, indem die Partition mit den benötigten Daten als Rep-likation auf einem Server abgelegt wird, auf den die Benutzer loka-len Zugriff haben. Damit können beim Zugriff auf die Daten derVerzeichnisdatenbank die Zugriffszeit und insbesondere auch derNetzwerkverkehr verringert werden.

� Innerhalb eines LANs ergibt sich durch die Verteilung von Partitio-nen über Replikationen auf verschiedenen Servern eines Netzwerksein schneller und zuverlässiger Zugriff auf Daten, da sich diese aufdem nächsten verfügbaren Server befinden.

ADS-Partition Mit der Einführung von ADS hat Microsoft eine Replikationsstrategieimplementiert, bei der Änderungen an Datensätzen auf einer Kopiedurchgeführt werden. Der Verzeichnisdienst ist anschließend für dieWeiterleitung der Änderung an alle anderen Server, auf denen sich eineKopie des Datensatzes befindet, verantwortlich. Wenn dabei jedochstets das gesamte Verzeichnis repliziert würde, könnte dies unterUmständen zu Performance-Einbrüchen führen. Deshalb werden auchbei ADS die Partitionen eingesetzt, die jeweils die grundlegenden ADS-Informationen enthalten. Da lediglich Partitionen repliziert werdenund nicht der gesamte Verzeichnisbaum, geht die Replikation relativschnell vonstatten.

Domänen-Controller

Diese Vorgänge funktionieren bei ADS relativ gut, da es nur nochgleichberechtigte Domänen-Controller gibt. Eine Aufteilung in ver-schiedenartige Domänen-Controller (wie beispielsweise bei NT-Domä-nen) ist bei ADS nicht erforderlich, denn dieser Verzeichnisdienst ver-wendet eine Multimaster-Replikation. Dadurch können Anwender auf

1

2

3

4

5

6

7

8

9

10

11

12

143Partitionen und Replikationen

jedem beliebigen Windows-Server Änderungen an der ADS durchfüh-ren, der über eine beschreibbare Kopie der Domänen-Datenbank ver-fügt. Die Änderungen werden automatisch zu allen anderen Kopien desVerzeichnisses repliziert, entweder über Punkt-zu-Punkt- oder überStore-and-Forward-Verbindungen. Nach einem erfolgreichen Replikati-onslauf besitzen anschließend alle beteiligten Server den gleichen Ver-zeichnisstand. Auf diese Weise können die Ausfallzeiten von Servernüberbrückt werden.

SynchronisationBei jedweder Art der Replikation von Daten muss die Konsistenz derDaten gewährleistet werden. Um dies zu erreichen und um Synchroni-sationsprobleme zu vermeiden, werden bei ADS jedoch keine Zeit-stempel verwendet, wie beispielsweise bei dem Verzeichnisdienst NDSeDirectory. Statt dessen besitzt jedes Objekt eine eindeutige Nummer(USN = Update Sequence Number). Die USN stellt sicher, dass immerdie aktuelle Version eines Objekts repliziert wird, wobei diese Vorge-hensweise an das LSID-Konzept in Coda angelehnt ist.

USNBei den USN handelt es sich um serverspezifische Nummern, die vonjedem Domänen-Controller geführt werden. Wann immer er eineÄnderung an einem Objekt in der Verzeichnisdatenbank durchführt,wird die zugehörige USN automatisch erhöht. Jeder Domänen-Control-ler verfügt darüber hinaus über eine Tabelle der letzten USNs, die ervon seinen Replikationspartnern erhalten hat. Auf diese Weise könnenReplikationspartner den Domänen-Controller explizit nach allenObjekt-Änderungen mit einer höheren USN als der zuletzt empfange-nen abfragen.

PVNDarüber hinaus kommen bei ADS zusätzlich auch Nummern für Eigen-schaften zum Einsatz, die so genannten »Property Version Numbers«(PVN). Damit ist es möglich, Änderungen an Eigenschaften von Objek-ten korrekt zu replizieren. Denn das Einfügen geänderter Objektegeschieht immer auf Ebene ihrer Eigenschaften. Objekte werden alsonicht als Ganzes geschrieben, sondern jede Eigenschaft wird einzeln fürsich repliziert. Dadurch wird die Wahrscheinlichkeit einer Kollisiondurch gemeinsame Schreibvorgänge auf ein Minimum reduziert. Trittwider Erwarten eine Kollision auf (ändern also mehrere Benutzergleichzeitig den Eigenschaftswert eines Objekts), wird keine Kollisions-auflösung durchgeführt. In diesem Fall überschreibt der letzte Eintragalle vorherigen Änderungen.


4.8 Standards in ADS

Ein Verzeichnisdienst, der diesen Namen zu Recht trägt, muss sichheutzutage an den in diesem Bereich verfügbaren Standards messenlassen. Neben Erfüllung der Vorgaben für Verzeichnisdienste gemäßX.500 zählt dazu auch die breite Unterstützung anderer Standards zurVerwaltung entsprechender Dienste wie LDAP usw. Da sich die Imple-mentierung eines Verzeichnisdienstes nur mit Hilfe entsprechenderStandards umsetzen lässt, unterstützt Active Directory Services in die-sem Zusammenhang auch einige Standards, Protokolle und Namensfor-mate. Fast alle unterstützten Technologien stammen aus dem Umfelddes Internets und sind deshalb sehr weit verbreitet.

Sicht aufRessourcen

Wie bei jedem strukturierten Verzeichnisdienst, so erhält der System-verwalter auch bei ADS eine einheitliche Sicht auf das Netzwerk mit-samt den darin enthaltenen Ressourcen. Darüber hinaus ist ADS offenfür andere Verzeichnisdienste bzw. ermöglicht den Zugriff darauf.

NichtOSI-konform!

ADS ist kein Verzeichnisdienst im Sinne von X.500-Directory! DieseAussage unterstreicht Microsoft mit dem Hinweis darauf, dass diedamit verbundene Unterstützung der OSI-Protokollfamilie aufgrunddes hiermit verbundenen Overheads zu einem unnötigen Performance-verlust führen würde. ADS setzt statt dessen auf LDAP als grundlegen-des Zugriffsprotokoll und unterstützt auf diese Weise indirekt dasX.500-Modell. Damit besteht keine Notwendigkeit, den gesamtenX.500-Overhead mitzuschleppen. Aufgrund der Unterstützung vonLDAP ist ADS in der Lage, Informationen mit beliebigen Anwendun-gen oder Verzeichnissen auszutauschen, die ihrerseits den Umgang mitLDAP beherrschen. Der Verzeichnisdienst arbeitet also auch über dieGrenzen von Betriebssystemen hinweg und integriert unterschiedlicheNamensräume.

LDAP und HTTP Active Directory Services verwendet das Domain Name System (DNS)als Namenssystem und tauscht Informationen mit Anwendungen aus,die das Lightweight Directory Access Protocol (LDAP) oder das Hyper-Text Transfer Protocol (HTTP) unterstützen.

Microsoft begründet die fehlende Kollisionsauflösung bei gleichzei-tigen Schreibvorgängen mit der geringen Wahrscheinlichkeit vonKollisionen in Verzeichnisdiensten. Untersuchungen an vergleichba-ren Dateisystemen (Ficus, Coda) haben dies offensichtlich bestätigt.

1

2

3

4

5

6

7

8

9

10

11

12

145Standards in ADS

DHCPBeim Einsatz von ADS ergibt sich eine komplexe Kombination vonDHCP, DDNS, LDAP und Kerberos v5. Begriffe dieser Art dürften heut-zutage für einen Systemverwalter keine Unbekannten mehr darstellen.Mit Hilfe von DHCP (Dynamic Host Configuration Protocol) könnenSystemverwalter von zentraler Stelle aus Bereiche von IP-Adressen ver-geben, die von den Clients nach Bedarf angefordert und auch wiederfreigegeben werden können. Die manuelle Konfiguration von IP-Adres-sen für die einzelnen Clients entfällt, wobei es aber noch einigeAnwendungen und Einsatzgebiete gibt, bei denen eine feste IP-Zuord-nung wünschenswert ist.

DNSDer DNS-Dienst nimmt eine Auflösung symbolischer Namen (Hostna-men) in die erforderlichen IP-Adressen vor. Unterstützt von DDNS(dynamisches DNS) trägt DHCP die vergebenen IP-Adressen mitsamtden Namen der involvierten Clients automatisch in die DNS-Daten-bank ein.

Bei der Entwicklung von ADS haben bestehende Verzeichnisdienste alsMuster gedient. Dies zeigt sich insbesondere bei der Implementierungvon DNS für den Namensdienst und dem Einsatz von X.500 als Grund-lage für den Namensraum und das Verzeichnisschema.

So benutzt ADS die DNS-Namen für die Bezeichnung von Windows-Domänen. Die Bezeichnung DILARO.DE kann somit eine DNS-Bezeichnung, aber ebenso auch der Name einer Windows-Domänesein. So stellt sich eine Angabe wie [email protected] sowohl alsE-Mail-Adresse als auch als ein Benutzername in der DomäneDILARO.DE dar.

Über den DNS-Einsatz integriert ADS das Konzept des Internet-Namensraums mit den Verzeichnisdiensten des Betriebssystems,wodurch eine einheitliche Verwaltung unterschiedlicher Namens-räume, die heute in heterogenen Umgebungen vielfach existieren,angestrebt wird. Der Vorteil dieser Variante ist, dass sich mit dem Ein-satz des so genannten User Principal Name (UPN) sowohl Windows-Domänen als auch Internet-Domänen behandeln lassen.

DDNSMit ADS existiert ein Namensdienst, der einen anderen Namensdienst(WINS = Windows Internet Naming Service) überflüssig macht. ZurAuflösung (symbolischer) Namen in IP-Adressen wird eine DNS-Vari-ante in Form des dynamischen DNS (DDNS) eingesetzt. Allerdings setztADS einen dynamischen DNS-Server voraus, wie er beispielsweise inWindows 2000 Server oder in Windows Server 2003 enthalten ist. Sys-


temverwalter können aber grundsätzlich auch auf moderne BIND-Vari-anten (8.1.x) ausweichen, die DDNS ebenfalls standardmäßig unter-stützen.

LDAP Zur Kommunikation innerhalb der Verzeichnis-Struktur von ADS wirdLDAP verwendet, wobei dieses Protokoll ebenso zur Außenkommuni-kation zur Verfügung steht. LDAP führt standardisierte Zugriffe auf Ver-zeichnisse bzw. deren Inhalt durch, was die Nutzung unterschiedlicherVerzeichnisse wesentlich vereinfacht. Je nach Client ergibt sich somiteine angepasste Sicht eines Domänen-Baums. Ein ADS-Client sieht eineADS-Struktur; ein LDAP-fähiger Client aber sieht ein LDAP-Verzeichnis,in dem er sich genau wie in einem herkömmlichen DIT (DirectoryInformation Tree) bewegen kann.

Der Zugriff auf das Verzeichnis wird von ADS entweder über LDAPv2oder über das LDAP-Protokoll in der Version 3 gemäß der X.500-Namenskonvention (attributed naming) unterstützt. Ein entsprechen-der Eintrag kann sich beispielsweise wie folgt darstellen:

LDAP://fs.dilaro.de/cn=larisch, ou=verkauf, o=dilaro,c=de

Auf entsprechende Verzeichniseinträge kann auch über das HTTP-Pro-tokoll im entsprechenden URL-Format zugegriffen werden; beispiels-weise wie folgt:

http://fortytwo.dilaro.de/dilaro/verkauf/larisch

Eine weitere Möglichkeit, um auf Einträge im Verzeichnis zuzugreifen,besteht in der Verwendung der UNC-Notation, so wie sie beispiels-weise in Windows-Netzwerken verwendet wird. Nachfolgend ein ent-sprechendes Beispiel:

\\dilaro.de\verkauf.vol1\texte\muster.doc

In Abhängigkeit von der Beschaffenheit bereits vorhandener DNS-Server sollten Systemverwalter eine Integrations- bzw. eine Migrati-onsstrategie erarbeiten, um so eine konsistente Systemumgebungbereitstellen zu können.

ADS unterstützt den Zugriff über die X.500-Protokolle (DAP, DSP,DISP, DOP) nicht, da Microsoft den entstehenden Overhead des OSI-Protokollstacks ablehnt.

1

2

3

4

5

6

7

8

9

10

11

12

147Migration und Integration

DatenmodellDas bei ADS eingesetzte Datenmodell orientiert sich stark an demLDAP-Datenmodell. Ein Eintrag wird durch Attribute (Properties)genau beschrieben. Das Datenmodell für ADS (Baumstruktur, Distingu-ished Name, Namenskontext usw.) ist dem X.500-Standard entnom-men. Hierbei wurden jedoch nur die Strukturen und Mechanismenimplementiert, die Microsoft als sinnvoll ansah.

KerberosMit dem speziellen Kerberos-Verfahren (Sicherheitsprotokoll) werdenin ADS die heutzutage unverzichtbaren Sicherheitsfunktionalitäten rea-lisiert. Dieses Verfahren arbeitet mit einer flachen Datenbankstrukturfür Personen und Encryption-Keys (Verschlüsselung), wobei ADS auto-matisch Vertrauensstellungen zwischen Kerberos-Bereichen erstellt.Für den Anwender geschieht dies vollkommen transparent, sodass ersich darüber keine weiteren Gedanken zu machen braucht. Kerberos-Bereiche sind innerhalb des Verzeichnisses als Domänen repräsentiertund korrespondieren zu DNS-Subdomänen.

4.9 Migration und Integration

Wie bei jedem neuen Produkt, so stellte sich auch beim Erscheinen vonWindows 2000 Server die Frage, inwieweit sich dieses System in einebestehende Netzwerkumgebung integrieren lässt. Mit der Serverver-sion Windows Server 2003 gewann diese Frage für viele Systemverant-wortliche zusätzliches Gewicht, denn es existieren zu diesem Zeitpunktnoch viele NT-Installationen, die mittelfristig umgestellt werden müs-sen. Es bleibt zu klären, auf welche Art und Weise eine Migration vomNT-Domänen-Konzept hin zu Active Directory Service durchgeführtwerden kann bzw. sollte.

Microsoft war sich offensichtlich bereits mit dem Erscheinen von Win-dows 2000 Server dieser Problematik bewusst, denn die Active Direc-tory Services wurden von Beginn an mit einer entsprechendenAbwärts-Kompatibilität ausgestattet. So verfügt ADS über eine kom-plette Emulation des Domänen-Konzepts von Windows NT Server 3.51und Windows NT Server 4. Dies bedeutet, dass Verwaltungspro-gramme und Anwendungen, die für das Win32-API von Windows NTgeschrieben wurden, theoretisch ohne Änderungen auch in ADS-Umgebungen funktionsfähig sind. Darüber hinaus verhält sich ein ineiner NT-Domänen-Umgebung installierter ADS-Server mit den spezi-ellen ADS-Domänen zunächst exakt so wie ein NT-Domänen-Control-ler. Somit hat Microsoft also wenigstens den Investitionsschutz gesi-chert, sofern ADS wirklich in einer gemischten Umgebung eingesetztwerden soll.


Angenommen es existieren ein primärer NT-Domänen-Controller(PDC) und zwei Backup Domänen-Controller (BDC), auf all denenWindows NT 4 Server installiert ist. Um diese drei Domänen-Control-ler zu ADS zu migrieren, muss zunächst der PDC zu einem ADS-Server(Windows 2000 Server, Windows Server 2003) aufgerüstet werden.Hierfür wird die entsprechende Installationsroutine von Windows2000 Server bzw. Windows Server 2003 genutzt, die eine entspre-chende Aufrüstungsoption zur Verfügung stellt.

Im Laufe der Aufrüstung übernimmt der neue Domänen-Controller dieInformationen aus dem Windows NT-Verzeichnis (NT Directory Ser-vices) und überträgt diese in die ADS-Datenbank. Während der Instal-lation auf dem PDC wird ADS automatisch zur Master-Kopie des Domä-nen-Verzeichnisses. Ab diesem Zeitpunkt kann ein Systemverwalterbereits die grafischen Verwaltungsprogramme zur Systemverwaltungund zur Pflege der Benutzerkonten verwenden.

Dabei ist es sehr wichtig, dass die Windows NT-BDCs sowie die einzel-nen Client-Systeme der Domänen von den durchgeführten Änderun-gen überhaupt nichts mitbekommen. Sie funktionieren wie bisher,wobei der neue ADS-Server als PDC für die (noch) bestehende NT-Domäne eingesetzt wird. Die einzelnen Client-Systeme werten undbehandeln die ADS-Domäne wie eine NT-Domäne. Werden nach demUpgrade des PDC neue Client-Systeme installiert, erkennen diese natür-lich die erweiterten Verzeichnisdienste und können deren Vorteiledirekt ausschöpfen.

Der abschließende Migrationsschritt besteht anschließend noch in derAufrüstung der BDCs zu einem ADS-Server. Auch dazu kann die ent-sprechende Installationsroutine der gewünschten Windows-Server-Version eingesetzt werden. Beim Aufrüsten der BDCs wird dieWindows NT-Replikation durch die neue Multimaster-Replikation desActive Directory Service ersetzt. Sobald die beteiligten BDCs auf ADSaufgerüstet sind, entsteht aus der übergangsweise noch gemischtenDomäne eine reine ADS-Domäne. Nähere Angaben zur Migration einesServers unter Windows NT Server 4 enthält das Kapitel 7, Migration.

4.10 Zusatzmodule und Ergänzungen

Da ADS noch nicht so lange auf dem Markt vertreten ist wie andereVerzeichnisdienste, gibt es auch noch nicht so viele Zusatzprodukte.Dennoch gibt es einige interessante Ansätze, Konzepte und Entwick-lungen, auf die nachfolgend eingegangen wird.

1

2

3

4

5

6

7

8

9

10

11

12

149Zusatzmodule und Ergänzungen

4.10.1 ADSI-Interface

Single Point of Directory Access

In vielen Unternehmen findet sich eine Vielzahl von Verzeichnissen,angefangen bei den Netzwerk-Betriebssystemen bis hin zu E-Mail-Sys-temen und Groupware-Produkten. Da ein gemeinsames Verzeichnisnicht in Sicht ist, entwickelte Microsoft mit ADSI (Active Directory Ser-vices Interface) ein abstraktes Interface zu den verfügbaren Verzeich-nisdiensten (NDS eDirectory, ADS, X.500, LDAP usw.). Auf diese Weisesoll die Entwicklung von Anwendungen erleichtert werden, denn Ent-wickler müssen sich nur noch mit den ADSI-Mechanismen befassenund nicht mehr die verschiedenen Verzeichnisse kennen (Single Pointof Directory Access).

ADSI ist abstrakter angelegt als die Programmierschnittstelle von LDAP(LDAP-C-API). Die Programmierung kann in C/C++, Visual Basic oderJava erfolgen. Ein entsprechendes Software Development Kit (SDK) istvorhanden. Neben ADSI wird die LDAP-C-API und MAPI unterstützt;MAPI insbesondere deswegen, um eine Abwärtskompatibilität zugewährleisten.

Dependent Objects

Generell liegt ADSI als abstrakte Schnittstelle zwischen einem Clientbzw. einer Anwendung und einem Verzeichnisdienst. In dieser Zwi-schenschicht existieren ADSI-Objekte, die Tochterobjekte (DependentObjects) haben können und die über COM-Interfaces angesprochenwerden. Außer den ADSI-Objekten, welche die Verzeichniseinträgerepräsentieren (DS-Objekte, unterteilt in Container-Objekte und Leaf-Objekte) existieren Schema-Management-Objekte, mit denen dieObjekte im Verzeichnis erweitert oder neue Arten von Einträgen gene-riert werden können. Einige DS-Objekte (z.B. Country, Locality, Orga-nization, Organizational Unit) sind wie bei X.500 bereits vordefiniert.

Einheitlicher Zugriff

Der Zugriff auf andere Verzeichnisdienste erfolgt über eine Schnitt-stelle, was die Entwicklung von Anwendungen, die auf diese Verzeich-nisdienste zugreifen sollen, nicht gerade vereinfacht. Programmierermüssen nicht nur ein Konzept verstehen und eine Schnittstelle imple-

Die Anbindung bzw. Kopplung lokaler Systeme und entfernter Res-sourcen, die teilweise nur über das Internet erreichbar sind, wirdimmer komplexer. Um diese weit entfernten Ressourcen schnell undsicher zu finden, zu verwalten und nutzen zu können, wird eineDatenbasis benötigt, in der alle relevanten Informationen abgelegtsind.


mentieren, vielmehr muss die Anwendung jeden benötigten Verzeich-nisdienst explizit unterstützen. Auch der Endnutzer wünscht sich eineneinheitlichen Zugriff auf seine Daten, was wiederum eine homogeneSicht auf die Vielzahl der vorhandenen Verzeichnisdienste bedingt.

API Microsoft hat dazu mit ADS (Active Directory Services) einen eigenenAnsatz entwickelt. So stellt sie spezielle Programmierschnittstellen(Application Programming Interface = API) zur Verfügung, die eineKommunikation mit anderen Verzeichnisdiensten ermöglichen. ADSselbst bietet eine einheitliche Sicht auf die Ressourcen, indem vorhan-dene Dienste gekapselt und durch eine feste Schnittstelle, das ADS-Interface (ADSI), zugänglich gemacht werden.

DCOM ADSI liegt ein auf dem Microsoft Distributed Component ObjectModel (DCOM) basierendes Objektmodell zugrunde. Objekte werdenin ADSI in so genannte »Active Directory Objects« und in »DependentObjects« (abhängige Objekte) eingeteilt; beide Objekttypen sindDCOM-Objekte. Abhängige Objekte beinhalten Funktionen für dieHost-Objekte, wobei als Host-Objekte nur ADS-Objekte in Frage kom-men können. Abhängige Objekte können so die Funktionen eines ADS-Objekts gliedern und kapseln. Die Objekte selbst sind in die beidenGruppen »Directory-Leaf-Objekt« (Blattobjekt) und »Directory-Service-Container-Objekt« (Behälterobjekt) aufgeteilt. Die Container-Objektekönnen andere ADS-Objekte beinhalten, während Leaf-Objekte dieBlätter des ADS-Baums darstellen.

Service Provider Grundlage der ADS-Schnittstelle (ADSI) ist es, dass für jeden Verzeich-nisdienst, der über ADS erreichbar sein soll, ein so genannter »ServiceProvider« existiert, der den Zugriff auf die Verzeichnisobjekte realisiert.Dieser Provider wird vom Benutzer über ADSI angesprochen und stelltein Interface zum gewünschten Verzeichnisobjekt zur Verfügung; die-ses Interface ist als spezielles Objekt (DCOM) realisiert.

Aufbauend auf den Basisobjekten wurden in ADSI einige abgeleiteteObjekte definiert, die für Verzeichnisdienste wichtig sind. So gibt esObjekt-Container für Namensräume, Standorte und Organisationen,Domänen und Organisationseinheiten sowie Rechner und Datei-dienste. Als Blattobjekte wurden Benutzer, Gruppen, Aliase, Dienste,verschiedene Druckerobjekte und sonstige Ressourcen definiert. Alsabhängige Objekte wurden Sammlungs- und Mitgliedsobjekte zur Auf-zählung von Mengen (zum Beispiel Benutzer einer Gruppe), Byte-stream-Objekte und Objekte für die Zugriffskontrolle festgelegt.

1

2

3

4

5

6

7

8

9

10

11

12

151Zusatzmodule und Ergänzungen

ADSI soll eine größtmögliche Flexibilität beim Zugriff auf Verzeichnis-dienste ermöglichen. Insbesondere sollen Clients, die die Struktur desgewünschten Namenraumes nicht kennen und somit nicht auf dessenObjekte und Schnittstellen zugreifen können, dennoch mit diesenObjekten umgehen können. Microsoft hat deshalb jedem Objekt einSchema angehängt, durch welches zur Laufzeit Eigenschaften, Metho-den und deren Syntax abgefragt werden. Auf diese Weise können auchObjektmengen zurückgegeben werden; ein Durchsuchen des Verzeich-nisbaums ist so möglich. Ein Schema ermöglicht einem Verzeichnis-dienst-Provider die Einführung neuer Funktionen und Eigenschaftenbeziehungsweise deren Änderung, die von Microsoft bei der Erstellungder Standardobjekte bisher nicht definiert wurden.

BeispielEin Client-Programm, das ADS unterstützt, könnte beispielsweiseeinen Drucker ansprechen wollen, von dem nur bekannt ist, dass erpostscriptfähig ist, irgendwo im Gebäude steht und in eine NT-Domäneeingebunden ist. Das jeweilige Programm formuliert eine Suchanfrageund übergibt sie über ADSI an den Verzeichnisdienst. Anschließendwird der entsprechende Provider (Windows NT) aufgerufen, der dengewünschten Drucker sucht und dem Client eine Schnittstelle in Formeines DCOM-Objekts zurückgibt. Der Client kann somit dieses Objektverwenden, um mit dem Drucker zu kommunizieren. Entscheidend indiesem Zusammenhang ist, dass die vom Client initiierte Suchanfrageausgeführt wird, ohne dass er Details der Implementierung des eigent-lichen Verzeichnisses kennen muss.

ADSI stellt eine einfache Art dar, auf Systemparameter zugreifen unddiese ändern zu können. Doch nicht nur für den Systemverwalter sinddiese Schnittstellen nützlich. Durch die einheitliche Sicht der Objekteeines Systems hat der Benutzer einen einfacheren und verständlicherenÜberblick über seine Umgebung. Den größten Nutzen aus ADSI dürf-ten die Entwickler von Windows-Programmen haben, denn über eineMethode können Objekte überall angesprochen werden, sei es inWindows NT, NDS eDirectory und natürlich auch in LDAP. Dafürspricht auch, dass Skriptsprachen wie VBScript (Visual Basic) integrati-ver Bestandteil des Windows-Betriebssystems sind. Mittels ADS-Inter-face (ADSI) und dem einfachen Zugriff auf alle Objekte im Domänen-Baum lassen sich viele Verwaltungsaufgaben automatisieren.

Index 567

Index

.NET Compact Framework 70

.NET Framework 68, 90

.NET-Framework 68, 453

.NET-Strategie 65/etc/hosts 5564-Bit-Version 363

AAblagemappe 331Access Control List 41, 93, 114, 231Accounting 531ACL 41, 231, 264Active Directory Preparation Tool 259Active Directory Services Interface 430Active Directory-Benutzer und

-Computer 209, 280Active Directory-Domänen und

-Vertrauensstellungen 213, 280Active Directory-Standorte und

-Dienste 280Active Server Pages 232, 430ActiveX 430Adapter 531Add Printer Wizard 77ADM-Datei 405Administrator 335ADMIN-Package 519ADMINPAK 519ADO.NET 69ADPREP 259Adressierung 532ADS 72ADS, v1 267ADS, v2 112, 267ADS-Assistent 244ADS-Datenbank löschen 506ADS-Domänen-Modell 131ADS-Druckersuche 376ADS-Grundinstallation 212ADSI 149, 430ADS-Schema 129ADS-Snap-Ins 207ADS-Standort 282, 443ADS-Wiederherstellung 198, 250AltaVista 58

Anbindung 74Änderung von Kennwörtern 415Änderungsschnittstelle 32Anforderungsanalyse 159Anmeldename 119, 535Anmeldeoption 73Anmeldeskript 400, 429, 432, 438, 543Anmeldeüberwachung 321Anmeldeversuche 323, 325Anmeldezeiten 322, 323Antwortdatei 191Anwendungspartition 235, 260AppleTalk 72, 393Application Directory Partition 131Application Installation Service 81Application Layer 532Application Pool 231Arbeitsplatzdrucker 367Arbeitsumgebung 397Arbeitsverzeichnis 401Archie 533Archivierung 533ARCNet 533ARP 533ARPANET 534ARP-Tabellen 482ASID-Arbeitsgruppe 51ASP 232, 430ASP.NET 69, 82, 90ASR 228Asynchronous Transfer Mode 534ATM 534Attachment Unit Interface 534Attributtyp 28AUI 534Auslagern der Datenbank 131Authentication 39Authentifizierung 18, 80Automated System Recovery 228Autorenmodus 205Autorisierung 18

BBack Office 90Backbone 534

568 Index

Backup 73Backup Domain Controller 238Bandwidth 534Base Class Library 68Basisverzeichnis 401Batchdatei 431, 432Baumstruktur 47, 113, 118, 120, 122, 132BDC 148, 238Behälterobjekt 118, 150Benötigter Speicherplatz 190Benutzerdaten 73Benutzereigenschaften 303, 307, 438Benutzergruppe anlegen 317Benutzergruppe löschen 320Benutzergruppen 73, 311Benutzerkennung 535, 546Benutzerkonfiguration 411Benutzerkonto 73, 74, 133, 280, 314,

493Benutzermodus 205Benutzer-Objekt anlegen 299Benutzer-Objekt deaktivieren 310Benutzer-Objekt kopieren 306Benutzer-Objekt löschen 309Benutzer-Objekt umbenennen 307Benutzer-Objekt verschieben 308Benutzer-Objekt verwalten 297Benutzerprofil 397, 400Benutzerrecht 493Benutzerumgebung 433Berechtigungen 298, 311, 331, 333, 334Berechtigungsstruktur 170Bestandsaufnahme 261Betreiber 535Betriebsmaster 116, 239Betriebsmodus 235, 259, 272Bewegtbild 535Bigfoot 56Bildkommunikation 535Bildschirmfarben 397Bill Gates 94BIOS 545Blattobjekt 118, 119, 150Bluetooth 535BOOT.INI 482Broadcast 536Builtin 281, 313Bundesdatenschutzgesetz 41

Bus-Topologie 536

CC Sharp → s. C#C# 70Cache 536Cache Policy Management 232Carrier 535Cisco 154Cladding 539Client-side Caching 78CLR 69, 83Cluster 84Cluster-Knoten 445Cluster-Umgebung 445COM 430Common Language Runtime → s. CLRCommon Object Model 430, 450Common Object Request Broker

Architecture 56COMMON.ADM 405Computerkonfiguration 411Computervirus 536COM-Spezifikation 450Container Object 118, 119, 150, 308CORBA 56, 57CP/M 95Cross Forest Trusts 128, 180, 225CSCRIPT.EXE 431CSMA/CD 536, 539

DDAP 31, 46Datagramm 532, 537Dateiberechtigungen 333Dateibereich 533Dateisystem 119, 334Dateizuordnungstabelle 334Datendurchsatz 537Datenendeinrichtung 546Datenfeld 547Datenpaket 546Datenpool für die Druckertreiber 382Datensatz 548Datenschutz 184Datenschutzbeauftragter 184Datensicherung 75

Index 569

Datenträger für die Spool-Dateien 386

DCGPOFIX.EXE 424DCOM 56DCPROMO 190, 240, 258DDE 97, 393DDI 364DDM 77DDNS 145, 194DEC 539Default Domain Policy 415Delegation der Systemverwaltung 170Delegation von Aufgaben 286DEN 113, 152, 154, 185, 186DEN-Architektur 154Design der ADS-Umgebung 235Desktop 72, 280, 545Device Driver Interface 364DFS 76, 228, 462DHCP 73, 145DIB 29Directory 27Directory Access Protocol 31Directory Enabled Network 152, 186Directory Enabled Networks 113, 154,

185Directory Information Model 31Directory Information Tree 28, 146Directory Interface Shell 37Directory Management Domain 26Directory Services 17Directory Services Markup Language

93DirX 61dish 37Disk Management 79Disk Operating System 95Diskless Workstation 537DISKPART.EXE 487DISP 33Distinguished Name 28, 49Distributed Component Object Model

56Distributed File System 76, 228, 462Distributed Objects Computing 153DIT 28, 146DIX 539DMD 26

DNS 53, 185, 193, 236, 245DNS-Konfiguration 515DNS-Master 116DNS-Namensraum 139DNS-Server 427DNS-Server konfigurieren 515DOC 153Dokumentenliste 378Domain Controllers 281Domain Name System 20, 53, 185, 193,

236, 245, 448, 515Domainprep 266DOMAINRENAME 513Domäne 114Domäne heraufstufen 256Domäne umbenennen 128, 513Domänen-Baum 114, 132, 313Domänen-Controller 73, 115, 132Domänen-Gesamtstruktur 118, 168,

179, 193, 245Domänen-Konzept von Windows_NT

Server 20Domänen-Name 194, 246Domänen-Prinzip 121Domänen-SID 117Domänen-Umgebung 192Domänen-Zugriff 197, 249Doppelklick 318DOS 95DOS-Betriebssystem 394DOS-Druckausgabe 394Drittanbieter 73Druckauftrag 386, 493, 538Druckdienst 73Druckerbenutzung 73Drucker-Berechtigungen 373Drucker-Formulare 382Druckerfreigabe 370Druckerobjekt 118Druckerpools 367Druckertreiber 361Druckerverbindungen 397Druckserver 382, 538DSA 31DSADD 130, 496DSGET 496DSML 93DSMOD 497

570 Index

DSMOVE 130, 497DSQUERY 130, 497DSRM 497DUA 31Dynamic Data Exchange 97, 393Dynamic Disk Management 77Dynamic Domain Name System 194Dynamic Host Configuration Protocol

73, 145Dynamisches DNS 145

EEchtheit 40ECP 367EDI 27eDirectory 23, 51Eigenschaften Benutzer-Objekt 302Eigenschaftsfenster 303Eindeutiger Objektname 317Einführung eines Verzeichnisdienstes

157, 160Eingabeaufforderung 279, 401Einzelberechtigung 333Electronic Data Interchange 27Elektronische Dokumente 41E-Mail 23EMF 365Emulation 539Enhanced Metafile 365Enhanced Parallel Port 367Entfernte System verwalten 205Entwicklungsumgebung 67ENV 41210 26ENV 41212 27ENV 41215 27ENV 41217 27ENV 41512 27EPP 367Ereignisanzeige 492Erweiterte Sicherheitseinstellung 340ESE 126Ethernet 539Event 539Excel 90Extended Capabilities Port 367eXtensible Markup Language 57, 66Extensible Storage Engine 93, 126Extranet 17, 49

FFailover 84FAT 74, 334FAT32-Datenträger 483Fehlersuche 164Fehlertoleranz 141, 162Fernverwaltung 226, 525Fernwartung per Internet 78File Allocation Table 334File Replication 75File Replication Service 237, 254, 434File Service Management 79File Transfer Protocol 540Finger 37FireWire 368Flexible Domänen-Struktur 189Flexible Single Master Operation

Server 116ForeignSecurityPrincipals 281Forest 118, 132, 168, 193, 233, 245Forest heraufstufen 255Forest Root Domain 166, 168Forestprep 264Forward-Lookupzone 516Four11 56FQDN 54Fragen zur ADS-Planung 166FRD 168Freigabe 345Freigabe in einer ADS-Umgebung 352Freigabe von Druckern 369Freigabeberechtigungen 333, 334Freigabename 347, 376Fremdhersteller 533Front-End 90FRS 237, 254FSMO 116FTP 46, 540Fully Qualified Domain Name 54

GGateway 37, 44, 533, 540GDI 362, 364GDS 61Gemischte Umgebung 116generation identifier 30Geräte-Manager 77Gesamtausfall 142

Index 571

Gesamtkonfiguration 313given name 30Global Catalog 92, 116, 124, 133, 140,

166, 312, 517Global Directory Server 61Globale Gruppe 312Globaler Katalog 124Globales Konto 298Gopher 37GPFIXUP.EXE 513GPMC 86, 130, 417, 498GPO 404GPRESULT.EXE 426GPUPDATE.EXE 425Grace logins 325Graphical Device Interface 362, 364Group Policy 403, 410Group Policy Editor 80Group Policy Management 130Group Policy Management Console

86, 498Group Policy Object 404Groupware-Produkte 149Grundlegende ADS-Verwaltung 202Gruppe der Administratoren 303Gruppenmitglieder 319Gruppen-Mitgliedschaft 303, 331Gruppennamen 311Gruppen-Objekt anlegen 317Gruppen-Objekte verwalten 311Gruppenrichtlinie 80, 130, 225, 292,

403Gruppenrichtlinien-Verwaltungs-

konsole 498Gruppenverwaltung 493Gruppen-Zuordnung 332

HHardware Wizard 77Hardwarekomponente 531Hash-Funktion 49Helpdesk 22Hewlett Packard Graphics Language

366Hilfsprogramm 73hisecdc 409hisecws 409HKEY_LOCAL_MACHINE 405

Hochgeschwindigkeitsnetzwerk 534Hochverfügbarkeit der Daten 463Host 541Hot Add Memory 228Hot Plug 368HPGL 366HSLAN 534HTML 57HTTP 57, 92, 363, 376Hypertext Markup Language 57Hypertext Transport Protocol 57, 363,

376

IIAS 227ICA 522, 524Identität 40IEEE1394 368IIS 79, 82, 377, 445IIS 6 230IIS-Verwaltungsprogramm 449Independent Computing Architecture

522, 524InetOrgPerson 129, 299INETRES.ADM 406Infrared Data Association 368Infrastruktur-Master wird für die

Aktualisierung der Domänen-über-greifenden Zuordnungen 116

In-Place-Upgrade 234, 258Intel 72, 539IntelliMirror 80Intermediate Language 70International Standardization Organi-

zation 542Internet 533, 541, 551Internet Authentication Services 227Internet Information Server 79, 82,

377, 445Internet Information Services 79, 83,

230, 445Internet Printing Protocol 378Interoperabilität 105Intranet 17, 44, 542IP-Adresse 20IPP 377IPP-Druckdienste 380IPP-Verbindung 380

572 Index

IPSec 403IPX/SPX 72IrDA 368ISO 542, 546ITU T.120 524

JJava 53JIT 70JScript 70, 429Just in Time Compiler 70

KKapselung 75Kennwort 299, 305Kennwort zurücksetzen 305Kennwortalter 323, 325, 416Kennwortchronik 325Kennwortrichtlinien 323Kennworts, Länge eines 323Kerberos 147, 403Kerndurchmesser 543Kernel mode 362Knotenadresse 542, 545Kommunikationsplattform 455Kompatibilität 242Kompatibilitätsmodus 228, 394Konfigurationseinstellungen für die

Domäne 282, 443Kontextmenü einzelner Objekte 211Konto sperren 325Konto-Beschränkungen 323Konto-Deaktivierung 310Kryptografie 42, 50Kupferkabel 550

LLAN 74, 543LAN Manager 2.1 98LAN Manager Replication 237Länge des Domänen-Namens 189Laufwerkbuchstabe 350LDAP 22, 43, 44, 50, 124LDAPv3 51Leaf Object 118, 150, 297Leighweight Directory Access Protocol

44Leitweg 536

Leseschnittstelle 32Lesezugriff 533Lightweight Directory Access Protocol

22Limited User Access 228Line Printer 390Line Printer Daemon 391Lizenzen für das System 452LMRepl 237Load Balancing 84, 229, 484, 523Local Area Network 543Local Print Provider 365localhost 378Logical Link Layer 537Lokale Gruppe 311Lokales Benutzerprofil 398Lokales Konto 298LPD 391LPP 365LPR 390LUA 228

MMAC-Adresse 533Mail 119Mainframe 72Mehrfachauswahl 129Member Server 234, 258Memory Protection 75Meta-Verzeichnis 61Microsoft Cluster Services 229Microsoft Management Console 78,

86, 202Microsoft Metadirectories Services

226Microsoft Software Update Services

86Migration 223Migration von Domänen 175Migrationsobjekt 233Millenium Edition 102MIPS 72Mitgliedschaften 319Mitgliedsserver 234, 258MITS Altair 94MMC 78, 86, 123, 202, 280MMC-Zusatzmodule 203MMS 226

Index 573

Modemleitung 74Modul zur Objektverwaltung 208Monomodefaser 543MS Exchange 91MS TSE 523MSCS 229MSTSC.EXE 527Multi-Domänen-Umgebung 238, 262Multimaster-Replikation 142Multi-Master-Replikationsmethode

127Multimedia 534Multimodefaser 543Multitasking 544

NName eines Gruppen-Objekts 317Namenskonventionen 114NAS 228Native-Modus 274NDPS 392NDS eDirectory 51NET 433, 467NetBEUI 72, 544NetBIOS 195, 374, 544NetBIOS-Name 20NETSH 433NET-Shell 480NetWare 23, 392Network File System 545Network Information Center 53Network Interface Card 545Network Load Balancing 229, 457Netzausdehnung 534Netzsegment 540Netzwerkadapter 382, 545Netzwerkadresse 542, 545Netzwerk-Anwender 298Netzwerk-Betriebssystem 23Netzwerkdrucker 382, 538Netzwerkformen 551Netzwerkkarte 531, 545Netzwerkknoten 542, 545Netzwerklastenausgleich 457Netzwerklaufwerk 401Netzwerkmanagement 532, 549Netzwerkressourcen 74Netzwerkschicht 545

Netzwerktyp 539Netzwerkumgebung 350, 369Netzwerkverbindung 493Netzwerkverbund 545Netzwerk-Verkehr 142Netzwerkzugriff 346Neue Gesamtstruktur 193, 245Neue Richtlinie 413Neustart 200, 251NFS 545NIC 53, 545NLB 229, 457Node 545Non Uniform Memory Access 229Novell Distributed Print System 392NT-4-Migration 233NT-Domäne 240NTDS 111NTDS.DIT 190, 503NTDS-Settings 506NTDSUTIL 503NTFS 332, 333NTFS 5.0 76NTFS Journaling Filesystem 228NTUSER.DAT 397, 399NUMA 229Nutzdaten 550

OObjekt 18, 119Objekteigenschaft 120, 544Objektklasse 28, 132Objektname 119Objektverwaltung 286, 320Objektypen 136Objektzugriff 493ODBC 446OEM 89Öffentliche Dateien 248Öffentliches Schlüsselverzeichnis 43Offline-Dateien 353Offline-Ordner 354Offline-Verfügbarkeit 354Online-Suche 43Open Database Connectivity 446Open Systems Interconnection 546Optimales Domänen-Modell 175Optionen der NET-Anweisung 468

574 Index

Ordnername 348Ordnerumleitung 406Organisation-Admins 180Organisationseinheit 118, 119, 177Organisationseinheit löschen 297Organisationseinheit suchen 295Organisationseinheit verschieben 294Organisationsstruktur 21, 252, 283Organizational Unit 118, 284Original Equipment Manufacturer 89OSI 532, 545, 546OU-Eigenschaften 291

PPartielle Replikation 140Partitionierung 132, 141Passwort 305PDC 148, 238PDC-Emulator 116PEAP 227Perl 429Personenbezogene Daten 41Pflege der ADS 279Physical Layer 535PICS 50PKI 40, 227Platzbedarf einer ADS-Installation 190Plug and Play 85, 101Pocket PC 70Portal 455Portierbarkeit 72Postscript 366PPP 74Praxiseinsatz 53Preemptives Multitasking 74Primary Domain Controller 238Primary-Domain-Name-Server 55Printserver 389, 538Prinzip der Echtheit 39Priorität der Richtlinien 402Produktfamilie 91Programm zur Serververwaltung 207Programmierschnittstelle 544, 549Projektmodell 161Properties 119Property Version Number 143Protected Extensible Authentication

Protocol 227

Protected Mode 97Protocol Data Unit 547Protokolldatei 73, 195, 247Protokollfamilie 533, 549Protokollschicht 547Protokollstack 548Prozessor 490PS/2-Modell 95Public Key Directory 43Public Key Infrastructure 40, 85, 227Push-Technologie 58Python 430

RRAS 74, 237RAS-Dienst 239Raw 365RDN 28, 33, 36RDP 522, 524Rechte eines Benutzer-Objekts 342Rechtevererbung 183Recovery 257Referenzmodell 535Register 303Registrierungsdatenbank 405Registry 397, 399Reihenfolge der Aktualisierung 262Relative Distinguished Names 28, 33,

36Relative ID 120Remote 323Remote Access Service 74, 80, 458Remote Desktop Protocol 522, 524Remote Installation Services 406Remote Storage Service 77Remote-Desktop 226, 355, 525Remote-Desktop-Sitzung 528RENDOM.EXE 128, 513Replikation 141, 169, 434, 517Replikationsmechanismus 173Replikations-Operator 315Replikationspartner 143Requests for Comment 51Resultant Set Of Policy 426, 484Reverse Lookups 194Reverse-Lookupzone 516REXX 430RFC 51

Index 575

Rialto Global Directory 61Richtlinie löschen 422Richtlinien 402Richtlinien für das lokale System 453Richtlinien, Konzept 402Richtlinien-Editor 416Richtlinien-Objekt 413Richtlinienvererbung deaktivieren 417Richtlinienzuweisung aufheben 423RID 120RID-Master 117RIS 406Roaming Profile 398, 399Roaming User Profiles 81RSOP 426, 484

SSAM 225, 256SAN 85, 228Satzsperre 548Schema 129Schema-Admins 180Schema-Master 117Schichtenmodell 533, 546Schwellenwert-Überprüfung 492SECEDIT 410Secondary-Domain-Name-Server 55Secure Socket Layer 61, 231Security ID 120Security Identification 117Selbstauskunft 41Serial Line Internet Protocol 74Server-Cluster 84Server-Farm 522Servergespeichertes Profil 399Serverkonsole 529Serverleistung 74Service Provider 150Services for UNIX 229SFP 227SFU 229SGML 60Sharepoint-Umgebung 455SHUTDOWN 488Sicherheitsdatenbank 225, 256Sicherheitsprotokoll 147Sicherheitsrichtlinien 323, 332, 402,

406, 407

SID 117, 120, 176, 233Signalton 386Simple Mail Transfer Protocol 549Simple Network Management

Protocol 387, 549Simple Object Access Protocol 66Single Point of Administration 49Single Sign On 18, 19, 61Site 139, 169Skalierbarkeit 549Skriptdatei 429Skriptsprache 429SLIP 74Smartcard 85SMTP 46, 549SNA 91Snap-In 465SNMP 75, 387, 549SOAP 66Socket 549Software Update Services 226Softwarerichtlinien 407Sparse File Support 76Speichermedium 536Speichernetzwerke 228SPM 387Spool 364SPP 367SQL 34, 91SQL-Datenbank 446SSL 61, 80, 231Stammobjekt 118Standard für Verzeichnisdienste 113Standard Generalized Markup

Language 60Standard Parallel Port 367Standard-Organisationseinheiten 212,

281Standard-Port-Monitor 387Standard-Richtlinien 424, 461Standardverzeichnis 401Standardvorgabe zur Kontosperrung

326Standort 139, 169, 181Startdatei 543Startdiskette 536Steckkarte 545Steuerfeld 532

576 Index

Steuerrechner 548Steuerung der Druckausgabe 361Storage Area Network 85Store and Forward 143Streaming-Media 87Structured Query Language 34Strukturierung des Verzeichnisbaums

164Subnetz 533, 534Suchmaschine 58Suchmaske 337Suchschnittstelle 32surname 30SUS 86, 226Switch 534Synchronisation Offline-Dateien 357Synchronisierung 547System File Protection 227System Management Server 91System Service Management 79SYSTEM.ADM 405Systemdatenbank 399Systemdienst 533Systemebene 279Systemkomponente 73Systemmonitor 490Systemressource 532Systemsicherheit 493Systemverwalter 120, 306, 490SYSVOL 434

TT.Share 524Taktfrequenz 547TCL 430TCP 74TCP/IP 72, 74, 549TCP/IP-Protokollstack 74Telefonbuch 56TELNET 549Terminaldienste 462Terminalemulation 533Terminalserver 353, 457, 522Terminal-Server-Dienste 87Terminplaner 23Test der ADS-Funktionen 254Testen der Richtlinien 427Thin-Client-Architektur 101

Three Tier Architecture 57TLD 54Top-Level-Domäne 54Topologie 533, 549Total Cost of Ownership 404, 523Transceiver 534Transitive Vertrauensstellung 133Translator 48Transport Control Protocol 549Trennzeichen 54Trust Relationship 128, 132, 133, 508Typen von Benutzergruppen 311

UÜbergreifender Modulzugriff 213Überprüfung der Protokolle 492Überwachung der Systemleistung 451UDDI 83, 227UFN 34Umbenennen der Domäne 172Umkehrbare Verschlüsselung 325Umleitung lokaler Druckeranschluss

394UNC 92, 350Unidriver 366Uniform Ressource Locator 363, 376Universal Description, Discovery, and

Integration 83Universal Naming Convention 92, 350Universal Serial Bus 103, 368Universelle Gruppe 312UNIX 73, 74, 390, 549UNIX-Druckdienste 390UNIX-Drucker 370Unshielded Twisted Pair 550Unternehmensstruktur 162Update Sequence Number 143Upgrade 223Upgrade eines Domänen-Controllers

258Upgrade-Gründe 224UPN 145URL 363, 376, 377USB 103, 368USB-Drucker 364USER 397User friendly naming 34User Mode 361

Index 577

User Principal Name 145Users 281USN 143

VVBScript 429Verbindliches Profil 399Vererbung 340, 345Vererbung der Gruppenrichtlinien 403Vernetzung 72Verschlüsselung 40, 147Verteilte Datenhaltung 34Vertrauensstellung 129, 132, 133, 282,

443, 508, 509Verwaltung der ADS-Datenbank 496Verwaltung der ADS-Objekte 443Verwaltung von Zertifikaten 519Verwaltungsaufwand reduzieren 135Verzeichnisbaum 118, 119, 141, 162, 164,

334Verzeichnisberechtigungen 333, 334Verzeichnisdatei 493Verzeichnisdatenbank, Kopieren der

115Verzeichnisdienst 17, 75Verzeichnisdienst, Konzept 160Verzeichnisebene 334Verzeichniskontext 299Verzeichnisreplikation 315Verzeichnis-Schema 117, 225Videostream 87Virtual Private Network 80Visual Studio .NET 68Vollzugriff 334Volume Shadowcopy Services 228VPN 80VSS 228

WW3C 60WAN 142, 551WBEM 78Web Garden 232Web Services 65WebDAV 79Web-Dokument 50Web-Publishing 377Web-Server 230

Weitverkehrsverbindung 142WhoWhere 56Wiederherstellung 257Wiederherstellung des Betriebssy-

stems 228Wiederherstellungsplan 257Windows 1.0 96Windows 2.0 97Windows 2000 102Windows 2000 Server 75Windows 3.0 97Windows 95 101Windows 98 101Windows Explorer 342Windows Internet Naming Service 145Windows Management Instrumen-

tation 230, 487Windows Media 87Windows NT 98Windows NT 3.51 99Windows NT 4 100Windows NT 5 75Windows NT Directory Service 111Windows NT Server 72Windows NT Workstation 72Windows Scripting Host 78, 431Windows Server 2003 71, 81

Datacenter Edition 89Enterprise Edition 88Standard-Edition 88Web Edition 89

Windows Server 2003-interim 254, 272Windows XP 103Windows, Geschichte von 94WINDOWS.ADM 406Windows-2000-Server-Migration 257Windows-Entwicklung 94Windows-Server mit .NET-Technologie

72WinFrame 523WINNT.ADM 406WINS 74, 145Wireless LAN 364, 368Wireless Markup Language 551Wirkungsbereich von Berechtigungen

168WLAN 364, 368WMI 230, 264, 487

578 Index

WML 551World Wide Web Consortium 60WSCRIPT.EXE 431WSH 431Wurzel-Domäne 172, 183, 283

XX.500 22, 25, 27, 551X.500-DS 29X.500-Normen 36X.500-Overhead 144X.501 36X.509 36X.511 36X.518 36X.519 36X.520 36X.521 36X.525 36Xerox 539XLM-Format 230XML 57, 60, 67, 83XML Metabase 230

XML Web Services 66XML-Komponente 81XML-Web-Dienste 66, 82, 105

YYahoo 56, 58

ZZeitscheibe 544Zertifikatsobjekt 231Zertifikatsserver 464Ziel-Kontext 308Zugriffsart 333Zugriffsbeschränkungen 321Zugriffsliste 41Zugriffsmethode 551Zugriffsrechte 331Zugriffsrechte für Druckerfreigabe 374Zugriffsschutzverfahren 42Zugriffssteuerung 165Zuweisung einer Richtlinie 417Zuweisung eines Anmeldeskripts 433Zwischenspeicherung 354, 536

Documents

A Glossar 531 · 2021. 3. 21. · In Kapitel 2 erfolgt eine allgemeine Einführung in die Thematik der Verzeichnisdienste. Hier wird die Basis geschaffen, die für das weitere Verständnis