Workshop: Active Directory

Thomas Mönkemeier (MCSE)

http://www.mcse-certification.de

Verzeichnisdienst

Microsoft Windows ab Version 2000 Logische und hierarchische Netzwerke

Ressourcen (z.B. Drucker) Dienste (z.B. E-Mail) Konten (Benutzer, Gruppen, Computer)

Objektorientiert mit Datenbank Objekte wie Benutzer, Computer, OUs werden mit

Eigenschaften (Attributen) konfiguriert

Bestandteile

LDAP (Lightweight Directory Access Protocol)

Kerberos (Authentifizierungsdienst) CIFS (Common Internet File System) Domain Name System (DNS)

LDAP

Spezifiziert in RFC 4511 „Light“-Version des Directory Access Protocol

(DAP), Teil des X.500-Standards Stellt Informationen über Benutzer und deren

Gruppenzugehörigkeit bereit Speichert auch komplexe Objekte, wie z. B.

die Zertifikate eines Computers

Kerberos

Benutzer wird einmal authentifiziert Erhält ein „Ticket Granting Ticket“ (TGT) Kerberos ist ein vertrauenswürdige dritte

Partei in ungesicherten Netzen Unterstützt Single Sign On, der Benutzer

muss sich nur einmal anmelden und kann alle Netzwerkdienste nutzen

Ein Kerberos-Server für einen Realm zuständig (z.B. DNS-Domäne)

CIFS

Erweiterte Version von SMB (Samba-Server) Primär zur Ablage von Daten im Netzwerk Zusätzlich zur Datei- und Druckfreigabe:

Namenauflösung über DNS Windows RPC (Remote Procedure Call NT-Domänendienste

DNS

Erforderlich für Active Directory! Absolutes Standardprotokoll im Internet Zusätzlich Dienst-Informationen mit dem

SRV-Record für Host und Port NetBIOS und WINS nur für Kompatibilität

Multimaster-Replikation

Viele DC gleichzeitig für eine Domain Jede Instanz des AD ist beschreibbar Automatische oder gesteuerte Replikation Angeblich kein PDC und BDC mehr? FSMO-Rollen aber auf Master verteilt!

Domain-Namen-Master Schema-Master RID-Master PDC-Emulator Infrastruktur-Master

Hierarchische Struktur

Gesamtstruktur Forest (Wald)

Domänen Trees (transitiv verknüpfte Bäume)

OUs Organisationseinheiten (meist Standorte)

Standorte Ordnung für Subnetze Langsame Netzwerk wie WAN oder VPN

Gruppenrichtlinienobjekte

AD-Objekt-Eigenschaften durchsetzen Für Benutzer über Gruppen/OUs und

Standorten bis zu ganzen Domänen Reihenfolge: Local, Site, Domain, OU Spätere Einträge überschreiben vorige Vererbung in der Struktur abschaltbar

Was wollen wir tun?