Active Directory

Active DirectoryActive Directory

Im realisierten Einsatz

Option Consulting, Ernst Senn

Ernst Senn / Option Consulting / www.option.ch

Active Directory Active Directory Was ist es?

– Im Gegensatz zu WinNT 4.x– Und dessen historischer Entwicklung – Was enthält es?– Vordefinitionen und Möglichkeit der

Eigendefinitionen Was kann genutzt werden? Was muss genutzt werden? Was sollte nicht genutzt werden?

Welchen Nutzen haben wir davon? Wir: das Unternehmen Wir: die IT- Abteilung / IT-Operation Wir: die Nutzer und Administratoren


Heutige Themenabgrenzung Heutige Themenabgrenzung als Einstieg in eine Reihe von als Einstieg in eine Reihe von VorträgenVorträgen

Überblick über die „alten“ Möglichkeiten und Unmöglichkeiten

Ausblick in eineeine mögliche ZukunftErarbeitung der nächsten Schritte zur

Realisierung


Globaler ZusammenhangGlobaler Zusammenhang

Benutzer

Rechner

Domäne

RessourceSofware

V & F

Lehre

KontrolleFreiheit

Active Directory


Ist-ZustandIst-Zustand– Jede Menge Arbeitsgruppen mit vielen

Problembereichen; meist durch eine echte Administration abstellbar

– Viele Domänen mit ServernTeilweise für nur 3 Workstations

– Wenige Domänen mit den erforderlichen Backupservern (Stichwort Arbeitssicherheit)

– Kaum Domänen mit ausreichendem Administrator-Management

– Nahezu alle Domänen mit überflüssigen Administratoraufgaben


Wie kam es dazu?Wie kam es dazu? Früher war Windows nur unter Netbios nutzbar

– NBT ist jetzt noch Standard

– Keine zentrale Administrierung vorgesehen/möglich Lieschen Müller Prinzip der Installation

Fehlendes Personal•Temporäre Delegation

•Fluktuation•Fehlende Dokumentation•Besonders durch Fluktuation immer wieder Neuerfindung des Rades

Fehlende Qualifikation•kaum speziell für Administration eingestelltes Dauer-Personal


Wie kam es dazu?Wie kam es dazu?Sehr starke Strukturierung der einzelnen

Bereiche in der Universität– Hohes Bedürfnis zu Eigenständigkeit– Skepsis gegenüber Anderen

Zu geringes Sachwissen über Möglichkeiten und Unmöglichkeiten– Wenig Fach-Personal– Daraus resultierend teilweise

Falsche Vorstellungen über EinflussmöglichkeitenFalsches Gefühl der Abhängigkeit von Anderen


ArbeitsgruppeArbeitsgruppeTypische Anwendung in Arbeitsgruppen

– Vertrauen auf kleinster Basis– 2-er Beziehung

Zwischen Chef und Sekretariat möglichIn auch nur geringfügig größeren

Verbünden nicht mehr administrierbarArbeitsgruppen sollen laut Definition

– Nicht mehr als 15-25 Mitglieder (PC) haben– Nur in kleinen Netzen – Sind originär NETBIOS


Gemeinsame Nutzung von Gemeinsame Nutzung von Ressourcen in ArbeitsgruppenRessourcen in Arbeitsgruppen

PC1

PC2

Benutzer 1 braucht was von PC2

Administrator von PC2 muss die gleiche Identifikation des Benutzers 1 auch auf PC2 einrichtenEine Freigabe muss eingerichtet werden und dem Benutzer die Erlaubnis erteilt werden

Benutzer 1 muss bei Passwortänderungen 2 Systeme ändern


ZusammenfassungZusammenfassungRessourcennutzung über Arbeitsgruppen

– ist kaum administrierbar– Ist nicht über Router/Gateway möglich, da

NETBIOS nicht geroutet wirdZufallsergebnisse bei Listen

– Erzeugt unnötige NetzlastRundrufe

– Erzeugt unnötige WartezeitenErmitteln des momentanen Masters


Unvollständige Liste einiger Unvollständige Liste einiger Arbeitsgruppen und DomänenArbeitsgruppen und Domänen


Einschränkungen in der Einschränkungen in der VergangenheitVergangenheit Alte NT-Domänen waren flach

– max 40.000 unabhängige Objekte (theoretisch) das bedeutet, dass es innerhalb einer Domäne keinerlei

Vererbungsmöglichkeiten gab. Definition für Ressource 1 konnte nicht auf Ressource 2

angewendet/vererbt werden Hoher Verwaltungsaufwand

Administration nicht delegierbar– Prinzip „Alles oder Nichts“

dadurch waren alle Gruppierungen gezwungen eigene Domänen zu erstellen, wenn es nicht möglich war, einen Ober-Administrator und allgemein geltende Systemrichtlinien zu konzipieren oder zu akzeptieren.

Für ALLES war die Domäne die Grenze


Gemeinsame Nutzung von Gemeinsame Nutzung von Ressourcen in DomänenRessourcen in Domänen

PC1

PC2


Administrator von PC2 muss nur eine Freigabe einrichten und Benutzer 1 eine Erlaubnis erteilen

Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen

PDC

PC2 fragt PDC und erhält Erlaubnis


Einfachere Nutzung von Einfachere Nutzung von Ressourcen in DomänenRessourcen in Domänen

PC1

PC2


Administrator von PC2 muss nur eine Freigabe einrichten und Benutzergruppe 1 eine Erlaubnis erteilen

Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen

PDC

PC2 fragt PDC und erhält Erlaubnis

Account-Manager richtet eine Benutzergruppe ein und setzt Benutzer 1 als Mitglied ein


Administrationsvorteile Administrationsvorteile Domänen / ArbeitsgruppeDomänen / Arbeitsgruppe Einmalige Einrichtung einer Benutzergruppe in

der Domäne Einmalige Einrichtung einer Freigabe auf einem

PC mit Bezug auf Benutzergruppe Einmalige Erlaubnisdefinition der

Benutzergruppe in der Freigabe Zukünftige Änderungen über Account-Manager

der Domäne, der Mitglieder zur Gruppe hinzufügt oder entfernt– schlechte Verfügbarkeit durch 1 zentrale Stelle

– es fehlt auch hier eine Delegationsmöglichkeit


Überschreitung der Überschreitung der Domänengrenze durch eine Domänengrenze durch eine VertrauensstellungVertrauensstellung

Domäne A

Domäne B

RessourceBenutzer

Benutzergruppe

Vertrauensstellung

Benötigt keine Benutzerdefinitionen

Pflegt nur Benutzerdefinitionen

Dieses Modell nennt Microsoft das Master-Domänen-Modell

Wird Ressourcen-Domäne genannt


Kostenreduzierung durch Kostenreduzierung durch VertrauensstellungVertrauensstellung

Domäne A

Domäne B

PC1PC3

Benutzer

PC2

UnidirektionalesVertrauen

UnidirektionalesVertrauenBenutzer

Damit lassen sich PC-Bestände gemeinsam nutzen.Kein admin darf irgendetwas in der anderen Domäne

Gefahr durch konkurrierende Benutzerverwaltung


Die VergangenheitDie Vergangenheit Da keine Administration delegiert werden konnte,

wurden Abgrenzungen durch neue Domänen erzeugt

Die Vielzahl der Domänen war in keiner Weise zentral oder koordiniert administrierbar – und auch der Zusammenhang

Rechte, Berechtigungen, Richtlinien, Vertrauensstellungen, gemeinsame Benutzerdefinitionen

– war nicht zentral steuerbar oder koordinierbar. Auch Administration zwischen wenigen Domänen

geht nur begrenzte Zeit gut


Domänengrenzen/BeschränkungenDomänengrenzen/BeschränkungenEine Domäne

– ist nicht weiter unterteilbar– Ist Grenze für alles– hat nur 1 Richtlinie für alles– kennt nur gleichberechtigte Administratoren– Ist nicht überführbar in eine andere Domäne

Erst zerstören, dann alle Einzelteile in die andere Domäne übernehmen

absolut unflexibel!!


Schwierigkeit der Administration Schwierigkeit der Administration der Vertrauensstellungender Vertrauensstellungen Alle Vertrauensstellungen müssen per Hand

eingegeben werden Wenn Domäne A der B vertraut und umgekehrt,

konnten sich die Benutzer der A an den Rechnern der B einloggen und umgekehrt.

Die Besitzer einer Ressource in A konnten Benutzergruppen aus A und B – Zugriffe gestatten

– oder explizit verweigern.

– Vertrauen heißt nicht Einflußnahme


VertrauensstellungenVertrauensstellungen

Domäne A Domäne B

Domäne CDomäne D

Alle Vertrauensstellungen erfordern je 1 Aktion des Administrators der jeweiligen Domäne

n! – Beziehungen müssen gepflegt werden


Richtlinien-Probleme durch Richtlinien-Probleme durch DomänengrenzeDomänengrenze

Domäne A

Domäne B

PC1PC3

Benutzer

PC2

UnidirektionalesVertrauen

Sicherheitsrichtlinien wirken nur innerhalb 1 Domäne

Die in der Domäne A erforderlichen Richtlinien der Benutzer bei Nutzung der dortigen PC müssen in Domäne B installiert werden

Problem: Domäne B weiss nichts von PC1 und PC2. Richtlinien sind nicht erstellbar

Richtlinien der Domäne A werden nicht wirksam bei Benutzern der Domäne B

Administrator der Domäne A kann „seinen“ Benutzern nichts an allen PCx ändern


Probleme durch Probleme durch DomänengrenzenDomänengrenzen Im Endeffekt sind diese Probleme unter NT4 bis

heute nicht nur bei uns nicht gelöst (Prinzip) Gründe der Unlösbarkeit

– Jeder Ressourcendomänen-Administrator hätte zum Administrator der Masterdomäne gemacht werden müssen – mit allen ungewünschten Konsequenzen

– Alle Administratoren hätten 1 Definition gemeinsam nutzen und bearbeiten müssen

Die Definition wäre riesig geworden Hätte zu lange Ladezeiten gehabt Wäre bei vielfachen, konkurrierenden Änderungen und

gegensätzlichen Ansichten nicht mehr handhabbar gewesen


Heute Heute mitmit Active Directory Active DirectoryErstmals hierarchische Struktur

– Dadurch viele DelegationsmöglichkeitenOber- und Unteradministratoren für viele

Teilgebiete konzipierbar, aber nicht erforderlich!Abgrenzungen sind extrem variabel

– InhaltContainer

– Können Container und Nicht-Container enthaltenNicht-Container

– Leafs – Endknoten; enthalten typischerweise Benutzer, Computer und/oder Gruppen-Objekte


Inhalt des Active DirectoryInhalt des Active DirectoryDer meistgebräuchliche Containertyp ist

die Organisationseinheit (englisch: organisational unit = OU)

Alle Objekte im AD lassen sich eindeutig identifizieren durch eine Kennung - Global Unique Identifier GUID -,die bei der Erzeugung zugewiesen wird.

Eine GUID ist ein 128-stelliges Zahlenmonster.


Objekte im Active DirectoryObjekte im Active DirectoryJedes Objekt lässt sich über

Active Directory Services Interface –ADSI-

programmgesteuertscriptgesteuert

ansprechen und verwalten. ADS-Pfade verwenden normalerweise die

Syntax und Regeln, die das Lightweight Directory Access Protocol –LDAP- definiert


ObjektinhalteObjektinhalte Objekte können

– Definitionen sein

– Dokumentationen sein

– Passiv sein, also durch andere Systemteile zu interpretierende Regeln sein

– Aktiv sein, also selbst Programme oder Scripten sein, die auf passive Teile (Regeln) zugreifen

– Dateisysteme sein, die z.B. zur Installation von Software dienen

– U.s.w.


Speicherort – erf. HardwareSpeicherort – erf. Hardware Es gibt keine explizite Trennung zwischen DC und

BDC mehr– Erhöhte Sicherheit gegen Ausfall der Domäne– Weniger administrativer Aufwand im Problemfall

Wird auf alle BDC repliziert Replizierung nur der geänderten Teile AD ist 1 Verzeichnis auf dem DC

– Teilweise erheblicher Platzbedarf Im Prinzip keine Größengrenze mehr (40MB bei NT)

– Sehr gute Plattenhardware erforderlich Raidcontroller wird dringend angeraten

– Doppelprozessor wird empfohlen– Gute Netzwerkanbindung ist unabdingbar (100MB)


DemonstrationDemonstrationAD LagerortVorschlag einer DomänenstrukturVorschlag einer OU-StrukturErgebnisse der Anwendung von

unterschiedlichen Gruppenrichtlinien in unterschiedlichen OU am Beispiel der Pool-PC‘s


WunschtraumWunschtraum 1 zentrale Domäne ausreichender Leistung

– größtenteils realisiert; Ausbau aber sinnvoll Beliebige Anzahl sog. OU

– Könnten vollständig lokal administriert werden Qualifiziertes Dauerpersonal mit EDV-Kenntnissen ALLE Richtlinien lokal einrichtbar Alle Software lokal einrichtbar bzw. administrierbar

– Könnten statt dessen nach einem zu definierenden Standard einmalig zentral „vor“-administriert werden

Geringe lokale Dauerarbeiten Geringe lokale EDV-Kenntnis notwendig

– Beliebige Anzahl lokaler Server ohne domänenseitigen Administrationsbedarf in einer OU möglich


Wunschtraum Teil 2Wunschtraum Teil 2Sehr begrenzte Anzahl untergeordneter

Domänen– Mit vollständiger Hardware (DC+BDC)– Nur mit qualifizierten Administratoren

möglich– Mit beliebiger Anzahl von eigenen OU

Betrieb und Art des Betriebes von OU und Sub-Domänen sollten von Personalkapazität abhängig gemacht werden


Was bleibt zu tun?Was bleibt zu tun? Viel Administratives

und viel neu zu Entdeckendes Definition der zentralen Administrationsvorgaben

Für voll-administrierte OU Für nicht administrierte OU

– Laufende Unterstützung der Admin. Der vorhandenen Sub-Domänen und OU unabdingbar

Definitionen von OU und Sub-Domänen Integration vorhandener Domänen unter möglichst

vollständiger Eliminierung der NT4-Domänen Erzeugung diverser OUs und der Sub-OU der Bereiche

– Integration aller PC in die OUs– Umsetzung der Struktur auf Mitarbeiter– Definition der OU-Administratorenrechte


Was bleibt zu tun?Was bleibt zu tun?– Benennung „echter“ Administratoren in allen lokal

gemanagten OU oder Sub-Domänen

– Installation eines zentralen Grupperichtliniendienstes mit externer Unterstützung

– Möglicher zentraler Softwaredienst für remote administrierbare Software (z.B. Windows 2000 oder MS-Office)

dadurch z.B. geringere Personalkosten Gesicherte Verteilung und Installation von Updates, Service

Packs und ganz wichtig!! Hot-Fixes Vermeidung lokaler Probleme in den zentral administrierten

Teilen, da defekte bzw. fehlende Softwareteile automatisch vom Betriebssystem aus dem zentralen Pool nachinstalliert werden


Realisierbare WünscheRealisierbare Wünsche Sichere Datenübertragung

– Weitgehende Eliminierung des NETBIOS– Alles auf reiner TCP/IP-Basis

Unter Domänenstruktur remote einstellbar Unter Windows 2000 nur 2 Doppelklicks und 8 Klicks Unter ME auch lokal einstellbar Unter anderen Win9x-Systemen durch Nachinstallation und

lokales Einstellen Win 3.xy und DOS können hier nicht mehr genutzt werden

Unterbindung bekannter Hackermethoden z.B. „Man in the middle attack“ Durch zentral ?erzwungenen? Einsatz der

betriebssystemseitig vorhandenen Mechanismen (Software-Update-Service)


Realisierbare WünscheRealisierbare WünscheInstallation lokaler Zuständigkeiten

– reine lokale PrüfaufgabenRechnernamen, TCP/IP-Einstellungen, Lizenzen

– Zusätzliche Beratung und ÜberwachungLokale Updates,

muss fortgesetzt werden

Documents

Active Directory