Upload
marlow
View
41
Download
0
Embed Size (px)
DESCRIPTION
Workshop: Active Directory. Thomas Mönkemeier (MCSE) http://www.mcse-certification.de. Verzeichnisdienst. Microsoft Windows ab Version 2000 Logische und hierarchische Netzwerke Ressourcen (z.B. Drucker) Dienste (z.B. E-Mail) Konten (Benutzer, Gruppen, Computer) - PowerPoint PPT Presentation
Citation preview
Workshop: Active Directory
Thomas Mönkemeier (MCSE)
http://www.mcse-certification.de
Verzeichnisdienst
Microsoft Windows ab Version 2000 Logische und hierarchische Netzwerke
Ressourcen (z.B. Drucker) Dienste (z.B. E-Mail) Konten (Benutzer, Gruppen, Computer)
Objektorientiert mit Datenbank Objekte wie Benutzer, Computer, OUs werden mit
Eigenschaften (Attributen) konfiguriert
Bestandteile
LDAP (Lightweight Directory Access Protocol)
Kerberos (Authentifizierungsdienst) CIFS (Common Internet File System) Domain Name System (DNS)
LDAP
Spezifiziert in RFC 4511 „Light“-Version des Directory Access Protocol
(DAP), Teil des X.500-Standards Stellt Informationen über Benutzer und deren
Gruppenzugehörigkeit bereit Speichert auch komplexe Objekte, wie z. B.
die Zertifikate eines Computers
Kerberos
Benutzer wird einmal authentifiziert Erhält ein „Ticket Granting Ticket“ (TGT) Kerberos ist ein vertrauenswürdige dritte
Partei in ungesicherten Netzen Unterstützt Single Sign On, der Benutzer
muss sich nur einmal anmelden und kann alle Netzwerkdienste nutzen
Ein Kerberos-Server für einen Realm zuständig (z.B. DNS-Domäne)
CIFS
Erweiterte Version von SMB (Samba-Server) Primär zur Ablage von Daten im Netzwerk Zusätzlich zur Datei- und Druckfreigabe:
Namenauflösung über DNS Windows RPC (Remote Procedure Call NT-Domänendienste
DNS
Erforderlich für Active Directory! Absolutes Standardprotokoll im Internet Zusätzlich Dienst-Informationen mit dem
SRV-Record für Host und Port NetBIOS und WINS nur für Kompatibilität
Multimaster-Replikation
Viele DC gleichzeitig für eine Domain Jede Instanz des AD ist beschreibbar Automatische oder gesteuerte Replikation Angeblich kein PDC und BDC mehr? FSMO-Rollen aber auf Master verteilt!
Domain-Namen-Master Schema-Master RID-Master PDC-Emulator Infrastruktur-Master
Hierarchische Struktur
Gesamtstruktur Forest (Wald)
Domänen Trees (transitiv verknüpfte Bäume)
OUs Organisationseinheiten (meist Standorte)
Standorte Ordnung für Subnetze Langsame Netzwerk wie WAN oder VPN
Gruppenrichtlinienobjekte
AD-Objekt-Eigenschaften durchsetzen Für Benutzer über Gruppen/OUs und
Standorten bis zu ganzen Domänen Reihenfolge: Local, Site, Domain, OU Spätere Einträge überschreiben vorige Vererbung in der Struktur abschaltbar
Was wollen wir tun?