AD Struktur

Aus xinux.net
Zur Navigation springen Zur Suche springen

Allgemein

  • Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft, speziell für Windows-Netzwerke.
  • Es ermöglicht die hierarchische Speicherung, Identifizierung und Zugänglichmachung von Ressourcen.
  • Zur Zugriff auf die zugrundeliegende Datenbank wird das Lightweight Directory Access Protocol (LDAP) genutzt.
  • Das Active Directory bildet die Kernkomponente der Active Directory Domänendienste (AD DS).

Struktur und Aufbau

  • Die LDAP-Datenbankstruktur wird durch ein Schema definiert. Das Schema enthält Attribute (z. B. UserPrincipalName), die den Typ des Eintrags in der Datenbank festlegen (z. B. Zahl, Text).
  • Die Attribute sind in Klassen (z. B. Account) zusammengefasst.
  • Einträge im Verzeichnis sind Objekte, die einer oder mehreren Klassen angehören.
  • Jedes Objekt wird durch den Distinguished Name (DN), den vollständigen Pfad im Active Directory, gekennzeichnet.
  • Verschiedene Objekte (Benutzer, Gruppen, Computer), die die Struktur eines Unternehmens abbilden, werden in der Active Directory Datenbankdatei NTDS.dit gespeichert.
  • Der Speicherort der Datenbank ist in der Windows Registry hinterlegt.
  • Die Datenbankdatei ist grundlegend in drei Teile (Partitionen) gegliedert.
  • Die Schema-Partition enthält das Schema. Die Konfigurations-Partition enthält Informationen über vorhandene Domänen und Vertrauensstellungen.
  • Die Domänen-Partition enthält alle Objekte einer bestimmten Domäne. Der Inhalt der Konfigurations- und Schema-Partition ist auf allen Domänencontrollern eines Active Directory identisch.

Verzeichnisstruktur

  • Das Active Directory ist in Domäne, Struktur und Gesamtstruktur gegliedert.
Domäne
  • Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar, der zentral verwaltet werden kann.
  • Ein Active Directory besteht aus mindestens einer Domäne, wobei jede Domäne ihren eigenen Sicherheitsbereich mit Richtlinien und Beziehungen aufweist.
  • Die Objekte einer Domäne werden über Organisationseinheiten strukturiert.
  • Die Daten (Objekte) der Domäne werden nicht lokal auf den Rechnern, sondern zentral auf Servern, den Domänencontrollern, gespeichert.
  • Ein Domänencontroller hält immer alle Objekte der eigenen Domäne und kann niemals mehrere Domänen verwalten.
Struktur
  • Werden mehrere Domänen innerhalb desselben Namensraums erstellt, entsteht eine AD-Struktur (oft auch als Tree bezeichnet).
  • Die Domänen bleiben eigenständig verwaltete Sicherheitsbereiche, und jede Domäne muss separat administriert werden.
  • In jeder Struktur gibt es eine Parent-Domain mit den untergeordneten Child-Domains oder Sub-Domänen.
  • Zwischen den Domänen existieren transitive Vertrauensstellungen (Kerberos Two Way Transitive Trusts), d. h. alle Domänen vertrauen sich gegenseitig und lassen somit Anmeldeauthentifizierungen aus den anderen Domänen zu.
  • Innerhalb einer Struktur gibt es keine Vererbung von Gruppenrichtlinien über Domänengrenzen hinweg.
Gesamtstruktur
  • Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory.
  • Jede Struktur hat einen eigenen Namensraum, und eine einheitliches Schema wird verwendet.
  • In jeder Gesamtstruktur gibt es wieder eine Parent-Domain, die administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins.
  • Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt.
  • Eine Gesamtstruktur kann aus nur einer Struktur und wiederum aus nur einer Domäne bestehen.

Funktionsebenen

  • Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann.
  • Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene.
  • Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.
  • Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger.
  • Eine Herabstufung der Funktionsebene ist nicht möglich.
  • Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z. B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.

Kernkomponenten eines Active Directory

  • Das Active Directory basiert im Wesentlichen auf den Kernkomponenten LDAP, DNS, Kerberos und SMB3.

Lightweight Directory Access Protocol (LDAP)

  • LDAP ist das Zugriffsprotokoll auf die AD-Datenbank.
  • Es ist vergleichbar mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language).
  • Netzwerkseitig nutzt LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen. Für verschlüsselte Verbindungen wird TCP Port 636 verwendet.
  • Das LDAP-Datenmodell folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten.
  • Ein Eintrag im Verzeichnisdienst (Objekt) besteht aus Attributen und dem Distinguished Name (DN).
  • Der DN ist vergleichbar mit einer Datei, daher ist auf derselben Ebene kein weiteres Objekt mit demselben Namen erlaubt.
  • Objekte werden über Container (OU) strukturiert.
  • Für Distinguished Names existieren Attribute wie CN (commonName), ST (stateOrProvinceName), O (organizationName), OU (organizationalUnitName), C (countryName), DC (domainComponent), UID (userid).
Abgerufen von „https://xinux.net/index.php?title=AD_Struktur&oldid=50490