Mit Windows 2000 wurde zum ersten Mal das Konzept des Active Directory eingeführt. Beim Active Directory handelt es sich um einen zentralen Verzeichnisdienst, der zur Verwaltung des Netzwerkes, hierzu zählen die Benutzer- und Gruppenkennzeichen sowie Arbeitsplatzcomputer, Server und Drucker, benutzt wird.
|
Einführung in die Konzepte des Active Directory |
|
|
Grundsätzlich ist ein Verzeichnisdienst
unabhängig vom zugrundeliegenden Betriebssystem.
So wird von allen Betriebssystemherstellern ein
entsprechender Dienst zur Verfügung gestellt. (Active
Directory [Microsoft], Netware Directory Services
(NDS) [Novell], Netscape Directory ...) Der Verzeichnisdienst
stellt eine zentrale Informationsquelle in einer
Organisation (Firma, RWTH Institut / Lehrstuhl)
dar. Innerhalb dieser Informationsquelle werden
Informationen über die im Netzwerk vorhandenen Computer
/ Drucker sowie Benutzer und Gruppenkennzeichen
verwaltet und Informatione den angemeldeten Benutzern
zur Verfügung gestellt. Benutzer können in diesem
Verzeichnisdienst nach beliebigen Attributen eines
Objektes suchen. So ist es z.B. Möglich nach allen
Druckern zu suchen die über spezielle Eigenschaften
(beidseitiger Druck, Farboption ...) verfügen.
Dieses
kann z.B. von Gästen in einer Organisation benutzt
werden, um Resourcen im Netzwerk zu suchen und
sich auf diese Art und Weise einen besseren Überblick
zuverschaffen. Die Entwicklung eines Verzeichnisdienstes
geht zurück bis ins Jahr 1982/1985. Damals sollte
ein Verzeichnisdienst implementiert werden, der
die vergebenen IP - Netzwerke und deren Administratoren
beinhalten sollte. Dieser Verzeichnisdienst ist
als Whois-Datenbank bekannt. Die beteiligten Standardisierungsgremien
definieren einen Verzeichnisdienst wie folgt:
Der Verzeichnisdienst wird durch ein global verteiltes
Verzeichnis repräsentiert, das auf hierarchisch
angeordneten Objekten mit den zugehörigen Protokollen
basiert.
Die Hauptaufgabe eines Verzeichnisdienstes
ist die Zuordnung von Namen eines Objektes zu
einer Menge von Werten und Eigenschaften. Objekte
können
hier z.B. Personen, Verteilerlisten, oder auch Anwendungen
sein. Ein Anwender kann die Objekte mittels geeigneter
Browser beliebig durchsuchen. (Internationale ISO/ITU-T
Standards für einen plattformunabhängigen verteilten
Verzeichnisdienst)
|
Aufbau des Active Directory |
|
|
Die Implementierung des Active Directories lehnt sich an gängige TCP/IP Standards an. So besteht das Active Directory aus mindestens einer Domäne, die entweder ein frei erfundener Name, oder ein vom NIC vergebener Name sein kann. Als Beipsiel kann z.B. rwth-aachen.de dienen. Diese erste Domäne innerhalb eines Active Directory wird auch als Root Domäne bezeichnet. Untergeordnete Domänen (z.B. rz.rwth-aachen.de) können unter die Root Domäne gehängt werden. Diese Domänen bilden zudammen mit der Root Domäne einen Baum (Domain Tree).
Innerhalb einer Domäne werden Ressourcen (Benutzerkennzeichen, Drucker, Computer und ihre zugehörigen Eigenschaften in Organisationseinheiten (organisational units) verwaltet.
Wenn nun ein zweiter Baum z.B.fh-aachen.de ebenfalls von der Domäne rwth-aachen.de verwaltet werden soll, so spricht man von einer Gesamtstruktur oder Forest.
Neben der Einteilung des Netzwerkes in Domänen erfolgt eine zweite Einteilung anhand der vorhandenen Netzwerkinfrastruktur. In einem Standort (Site) werden alle Domänen zusammen gefasst zwischen denen eine gute Netzwerkverbindung (10 MBit) besteht. Diese Aufteilung ist wichtig, um die Replikation (dazu später mehr) des Active Directories zwischen mehreren Domänencontroller besser konfigurieren zu können. Aufgrund dieser Struktur sollte klar sein, dass das Active Directory nicht nur zur Verwaltung lokaler Netze dienen kann, sondern dass eine verteilte Netzwerkarchitektur wie das Netz der RWTH Aachen, dass sich nicht nur auf ein Gebäude beschränkt, verwaltet werden kann.
Momentan ist der Bedarf an derart hohen Durchsatzraten im WAN am größten. Beabsichtigt ist daher bei der Einführung eines einheitlichen Standards, diesen im WAN reifen zu lassen, bis sich der in zwei bis vier Jahren vorausgesagte Bedarf im MAN und LAN auch umsatzmäßig bemerkbar macht. Dann könnte man mit den erprobten WAN-Komponenten ohne größere zusätzliche Entwicklungen auch ein riesiges LAN-Marktsegment abdecken. Zwei getrennte Standards dagegen würden den Fortschritt bremsen, während man bei einer Einigung zum Beispiel ganze Server sogar direkt in ein verzweigtes WAN einbinden könnte.
 |
 |
| Organisationsstruktur einer Active Directory Domäne |
Struktur einer Active Directory Domäne die sich über
mehrer IP-Adressen Subnetzte verteilt |
Sicherheitseinstellungen auf Benutzer- oder Computerebene
können
mit Hilfe der Gruppenrichtlinien (Group Policies) realisiert werden.
Diese Richtlinien werden auf Ebene der Organisational Units angewendet
und stehen innerhalb einer Domäne zur Verfügung.
Wie bereits erläutert verwaltet
das Active Directory z.B. Benutzer, Computer oder
Drucker. Diese werden allgemein als Objekte bezeichnet.
Jedes dieser Objekte verfügt über einen spezifischen Satz
an Attributen. Alle Attribute eines Objektes
werden als Klasse bezeichnet. Alle Attribute,
die im Verzeichnis gespeichert sind, werden im Schema
definiert. In dieser Definition ist nicht nur
das Attribut definiert, sondern auch Regeln die
für dieses Attribut
gelten. So kann z.B. das Ablaufdatum eines Benutzernamens
keine Buchstaben enthalten. Damit ein konsistenter Verzeichnisdienst
garantiert werden kann, muss die
Definition der Attribute innerhalb eines Baumes
eindeutig sein. Um auf das Schema, dass der jeweiligen
Struktur zugrundeliegt, zuzugreifen
muss zuerst die schmmgmt.dll mit Hilfe des Kommandozeilenprogramms
regserv32 im System registriert werden.
 |
|
| Darstellung des Schemas hier am Beispiel der Klasse "Computer" und
damit verbundener Attribute |
|
Weitere Informationen zum Schema finden
Sie im Knowledgebase Artikel 326310: HOW TO: Manage the Active Directory
Schema in Windows Server 2003 Enterprise Edition.
Eine Aufgabe des Verzeichnisdienstes ist es,
dem Anwender die Möglichkeit
zu geben, nach bestimmten Informationen innerhalb des Netzwerkes zu
suchen. Da wie oben beschrieben ein Domänen Baum auf mehrer Standorte
aufgeteilt sein kann, muss es einen Mechanismus geben, der es erlaubt,
das Verzeichnis schnell nach bestimmten Informationen durchsuchen
zu können. Dieser Mechanismus wird vom Globalen Katalog (Global
Catalog) realisiert.
|
Installation des Active Directory |
|
|
Bevor mit der Installtion begonnen
werden sollte, muß geklärt werden, wie
die zu installierende Struktur heißen soll.
(Ab Windows Server 2003 ist dieser Name im Nachhinein änderbar.)
Dieses ist wichtig für das weitere Integrieren
von zusätzlichen Diensten in die zu installierende
Domänenstruktur. Es gibt verschiedene Möglichkeiten:
- Der Name der Struktur ist identisch mit dem
eingetragenen Domänennamen im DNS (Domain Naming Service)
In diesem Fall würde die Windows Domäne z.B. rz.rwth-aachen.de
heißen. Sollten Sie über eine homogene Windowsinfrastruktur verfügen
ist dieses eine gute Namenswahl. Für den Augenblick und die Zukunft
bedeutet dies hingegen, dass Sie keinen anderen Verzeichnisdiesnt im lokalen
Institutsnetz betreiben werden. Ebenfalls gibt es Probleme wenn in einer
derartigen Domäne ein Microsoft Exchange Server betrieben werden soll
ohne den Mitarbeitern des Institutes die Möglichkeit zu nehmen, ihre
Mails auf dem zentralen Mailserver der RWTH Aachen zu verwalten, da die
Maildomäne gleichzeitig der
Name der Windowsdomäne ist.
- Der Name der Struktur ist eine untergeordnete
Domäne im Sinne des DNS
Hierbei heißt die Windows Domäne z.B. win.rz.rwth-aachen.de. Nach
unserer
Überzeugung ist dieses die flexibelste Art eine Windows Domäne
zu betreiben, da an diesen Namen keine weiteren Dienste (z.B. Maildomäne
vgl. 1.) gebunden ist.
In beiden Fällen mussüberlegt werden auf welcher Ebene die
notwendigen DNS-Einträge für den Betrieb des Active Directory gespeichert
werden. Auch hierbei gibt es zwei verschiedene Ansätze:
- Die notwendigen DNS-Einträge
werden im zentralen DNS Server der RWTH Aachen gepflegt.
Hierzu müssen Sie die Datei netlogon.dns aus dem Verzeichnis %systemroot%\system32\config
an hostmaster@rwth-aachen.de schicken. Damit die notwendigen Einträge
in den globalen DNS Server eingetragen werden können. Der Vorteil dieser
Methode liegt darin, dass im lokalen Institutsnetz kein DNS Dienst installiert
und konfiguriert
werden muss. Hier entfällt für den lokalen Administrator sowohl die
Arbeit der Konfiguration als auch die der Wartung eines derartigen Dienstes.
Der Nachteil dieser Variante liegt aber in der Tatsache, dass die Einträge
im DNS Server vorliegen müssen wenn ein zweiter Domänenconroller
installiert werden soll. Hier liegt also eine gewisse zeitliche Abhängigkeit
vor.
- Die notwendigen DNS-Einträge werden auf einem
der Domänencontroller verwaltet.
Dem lokalen Administrator bietet diese Möglichkeit größtmögliche Flexibilität
da er vom Administrator des zentralen DNS nicht abhängig ist, und somit
selbständig Änderungen vornehmen kann ohne diese jedensmal an hostmaster@rwth-aachen.de
schicken zu müssen. Dieser Vorteil ist aber gleichzeitig auch ein Nachteil,
da sich der lokale Administrator zusätzlich noch um die Installation
und Wartung des DNS Dienstes kümmern muss.
Wenn diese Fragen geklärt sind, kann mit der Installation
begonnen werden.
Installation des Active Directory
Zur Installation des Active Directory
wid das Programm dcpromo verwendet. Dieses wird mit
der Installation von Windows Server gleich mitinstalliert.
Zur Installation des Active Directories werden Administratorrechte
benötigt.
Schritt 1:
Nach dem
Starten von DCPROMO wird der Installationsassistent
für
das Einrichten des Active Directory gestartet |
 |
Schritt 2:
Es
wird festgelegt ob der einzurichtende Domänencontroller der Erste
einer Domäne ist oder ob es bereits einen Domänencontroller gibt. |
 |
Schritt 3:
Es
wird festgelegt ob die neu zu erstellende
Domäne zu einer bereits
bestehenden Struktur gehört. |
 |
Schritt 4:
Es wird festgelegt ob die neu zu erstellende
Domäne zu einer bereits
bestehenden Gesamtstruktur gehört. |
 |
Schritt 5:
An
dieser Stelle muss der Name der neu zu
erstellenden Domäne eingetragen
werden. |
 |
Schritt 6:
Neben dem Domänennamen (Schritt 5) wird
ebenfalls noch ein NetBIOS-Name der Domäne
benötigt. Dieser wird aus Kompatibilitätsgründen
zu Windows NT 4.0 Server benötigt. |
 |
Schritt 7:
Zu
dieser Installationsphase sind bereits
alle, für die Konfiguration
des Active Directory notwendigen Angaben gemacht worden. Nun werden noch
Installationsparameter abgefragt. Im ersten Teil wird gefragt in welchem
Verzeichnis die Active Directory Datenbank zusammen mit den LOG-Dateien
gespeichert werden soll. Die hier gemachten Angaben können später mit
Hilfe des Programms ntdsutil.exe geändert / angepasst werden. |
 |
Schritt 8:
In
diesem Installationsschritt wird nach dem
Sysvol-Ordner gefragt. In diesem Verzeichnis
werden später unter anderem Teile der Gruppenrichtlinien
abgelegt. |
 |
Schritt 9:
Nun
wird gefragt ob der DNS Dienst während der Installaltion des Active
Directory ebenfalls eingerichtet werden soll. Wenn Sie sich dazu entschließen,
den DNS selbst auf einem Ihrer Domänencontroller zu installieren so können
Sie an dieser Stelle die Installation veranlassen. (Es wird der Installationsdatenträger
benötigt) |
 |
Schritt 10:
Im
letzten Schritt der Konfiguration wird
nach den Berechtigungen gefragt. Sie können an dieser Stelle während
der Installation des Active Directory beeinflussen
wer Daten des Verzeichnisdienstes lesen
darf. |
 |
Schritt 11:
Das hier einzutragende Kennwort wird z.B.
für ein Starten im Active Directory restoremode
benötigt. Es kann im folgenden nicht mehr
geändert werden. Daher ist hier Vorsicht
geboten! |
 |
Schritt 12:
Abschließende Kontrolle aller gemachten Eingaben und anschließend
beginnt die Installation. |
 |
Im Kowledgebase Artikel 238369 "HOW
TO: Promote and Demote Domain Controllers in Windows
2000" wird beschrieben wie das Active Directory unter
Windows 2000 installiert werden kann. Analog dazu
beschreibt der Artikel 324753 "HOW TO: Create an
Active Directory Server in Windows Server 2003" den
Installationsvorgang unter Windows Server 2003.
Was sind Gruppenrichtlinien?
Seit Windows NT 4.0 gibt es die
Möglichkeit auf einem Domänencontroller
Einstellmöglichkeiten abzulegen, die Einfluss auf die Konfiguration bzw.
das Erscheinen der Windows Oberfläche auf den angemeldeten Benutzer haben.
Damals wurde diese Möglichkeit als Systemrichtlinie bezeichnet. Einer der
Nachteile war es, dass die Einstellungen die in Systemrichtlinien vorgenommen
wurden in die Registry des
Benutzers übernommen wurden. Dieses führte in der Praxis dazu, dass einmal
gemachte Einstellungen nur noch schwer zurückgenommen werden konnten. Dieses
Systemverhalten wurde als „Tattooing
der Registry“ bezeichnet. Ab Windows 2000
ist das Konzept der Systemrichtlinien durch das der Gruppenrichtlinien abgelöst
worden. In einer Standardinstallation stehen dem Administrator durch Konfiguration
der Gruppenrichtlinien ca. 600 Einstellmöglichkeiten
sowohl für Computerobjekte als
auch für Benutzerobjekte zur
Verfügung.
Wie funktionieren Gruppenrichtlinien
und was genau kann konfiguriert werden?
Bei Windowsbetriebssystemen werden Konfigurationseinstellungen
in der Registry gespeichert. Die Registry ist somit eine zentrale Komponente
des Betriebssystems,
die
zur Verwaltung sowohl von computer- als auch
benutzerspezifischen Einstellungen benutzt wird. Da das Ziel der Netzwerkverwaltung
unter anderem darin besteht, stabile
und einheitlich konfigurierte Systeme den Anwendern zur Verfügung zu
stellen, muss auf diese Konfigurationsdaten von übergeordneter Stelle zugegriffen
werden, um an zentraler Stelle Einfluss auf
die Konfiguration zu nehmen. Genau an dieser Stelle setzt das
Konzept der Gruppenrichtlinien an.
Wie in der Registry (HKEY_LOCAL_MACHINE und
HKEY_CURRENT_USER) die Konfigurationsdaten zwischen computerspezifisch und
benutzerspezifisch
getrennt werden, so findet sich diese Trennung auch bei der Konfiguration der
Gruppenrichtlinien (Computerkonfiguration und Benutzerkonfiguration) wieder.
Computerspezifische Konfigurationseinstellungen werden beim Starten des jeweiligen
Computers ausgewertet und in die lokale Registry übernommen, wohingegen benutzerspezifische
Konfigurationseinstellungen beim Anmelden des jeweiligen Benutzers ausgewertet
werden. Konfigurationseinstellungen, die über Gruppenrichtlinien gesetzt werden, werden
an einer bestimmten Stelle der Registry gespeichert. Damit wird erreicht, dass
die Einstellungen die über die Gruppenrichtlinien vorgenommen werden nicht
permanent im Registryzweig des Benutzers
oder des Computers gespeichert werden.
Konfigurieren können Sie die Gruppenrichtlinien über
das Snap-In Gruppenrichtlinien der mmc (Microsoft Management Console)
|
mmc.exe mit dem Snap-In Gruppenrichtlinien
|
Jeweils für die Computereinstellungen und Benutzereinstellungen gibt
es den Bereich der Administrativen Vorlagen. Diese Vorlagen basieren auf .adm
Dateien die wiederum im ASCII-Format abgespeichert sind. Der Aufbau dieser
Dateien ist offen und somit kann ein Administrator, wenn er Programme zentral
konfigurieren möchte,
die zwar über Registryeinträge
verfügen aber keine eigenen .adm Dateien mitbringen, selber
welche erstellen.
Welche Abarbeitungsreihenfolge ist
zu beachten?
Gruppenrichtlinien werden im Active
Directory gespeichert und verwaltet. Durch die hierarchichen
Strukturen des Active Directories muss es eine festgelegte Abarbeitungsreihenfolge
der einzelnen Gruppenrichtlinien geben.
|
Abarbeitungsreihenfolge der Gruppenrichtlinien
|
Was braucht ein Administrator um effektiv mit Gruppenrichtlinien
zu arbeiten?
Aufgrund der sehr hohen Komplexität der Gruppenrichtlinien
ist es wichtig, dass eine Dokumentation der Einstellungen, die in den jeweiligen
Gruppenrichtlinien vorgenommen wird, erstellt wird. Hierbei kann auf Programme zurückgegriffen
werden, die diese
Dokumentationsarbeit automatisieren.
Produkt
|
Beschreibung
|
Fazam
2000 Reduced Function Version
|
Das Produkt Fazam der
Firma FullArmor wird in einer Demoversion im Resource Kit
zu Windows 2000 zur Verfügung gestellt.
|
Group
Policy Management Console
|
Diese Konsole hilft bei der Konfiguration
von Gruppenrichtlininen auf einem Windows Server 2003. Sie lässt sich
aber auch auf einem Windows XP System installieren, um
von diesem Arbeitsplatz aus die Gruppenrichtlinien zu administrieren.
|
Wo werden Gruppenrichtlinien gespeichert?
Ein Gruppenrichtlinienobjekt wird über seine GUID (Global Unique Identifier) identifiziert.
Sein Inhalt teilt sich in zwei Teile, den
Group Policy Container und den Group Policy Template. Der Group Policy Container
wird im Active Directory abgelegt, wohingegen
das Group Policy Template im Dateisystem im sysvol Verzeichnis gespeichert
wird. Einstellungen, die über die administrativen Vorlagen
im Gruppenrichtlinienobjekt konfiguriert werden, betreffen
sowohl einen Arbeitsplatz (Computerkonfiguration) als auch einen Benutzer
(Benutzerkonfiguration). Vorgenommene Konfigurationen werden in der Datei
registry.pol im Dateisystem abgelegt. Diese Datei befindet sich im Verzeichnis
Computer und/oder User des Gruppenrichtlinienobjektes, je
nachdem ob Computerkonfigurationen oder Benutzerkonfigurationen vorgenommen
wurden. Neben den beiden genannten Verzeichnissen
Computer und User gibt es noch das Verzeichnis Adm. In diesem Verzeichnis
werden die Administrativen Vorlagen gespeichert.
Weitergehende Informationen sind
im Resource
Kit (auch im Rahmen der Technet erhältlich)
zu finden.
Was sind Administrative Vorlagen?
Unter einer administrativen Vorlagen ist eine
Textdatei zu verstehen, die in die Konsole Gruppenrichtlinie eingebunden werden
kann,
um Konfigurationen für Benutzer und Computer festzulegen. Da der Aufbau dieser
Textdatei offen gelegt ist, ist es möglich, die vorhandenen Administrativen Vorlagen an eigene Bedürfnisse
anzupassen oder zu erweitern.
Weitere
Literaturquellen
Microsoft Windows 2000 Server - Verteilte
Systeme - Die
Technische Referenz - ISBN 3-86063-273-6
