AD Struktur - Versionsgeschichte

Thomas.will: /* Lightweight Directory Access Protocol (LDAP) */

2023-11-21T08:05:07Z

Lightweight Directory Access Protocol (LDAP)

Thomas.will: /* Kernkomponenten eines Active Directory */

2023-11-21T08:04:45Z

Kernkomponenten eines Active Directory

Thomas.will: /* Funktionsebenen */

2023-11-21T08:04:14Z

Funktionsebenen

Thomas.will: /* Gesamtstruktur */

2023-11-21T08:03:47Z

Gesamtstruktur

Thomas.will am 21. November 2023 um 08:03 Uhr

2023-11-21T08:03:19Z

Änderungen zeigen

Thomas.will: Die Seite wurde neu angelegt: „User Allgemein Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft (vor allem) für Windows-Netzwerke. Mit Hilfe des Active Directory werden Re…“

2023-11-21T08:01:24Z

Die Seite wurde neu angelegt: „User Allgemein Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft (vor allem) für Windows-Netzwerke. Mit Hilfe des Active Directory werden Re…“

Neue Seite

User

Allgemein
Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft (vor allem) für Windows-Netzwerke. Mit Hilfe des Active Directory werden Ressourcen hierarchisch gespeichert, identifiziert und zugänglich gemacht. Für den Zugriff auf die zugrundeliegende Datenbank wird das Lightweight Directory Access Protocol (LDAP) genutzt. Das Active Directory ist die Kernkomponente der Active Directory Domänendienste (AD DS).
Struktur und Aufbau der LDAP-Datenbank werden durch ein Schema definiert. Hierbei werden im Schema Attribute (z.B. UserPrincipalName) definiert, die den Typ des Eintrages in der Datenbank festlegen (z.B. Zahl, Text). Die Attribute sind in Klassen (z.B. Account) zusammengefasst. Alle Einträge im Verzeichnis sind Objekte, die einer oder mehrere Klassen angehören. Jedes Objekt wird durch den Distinguished Name (DN), den vollständigen Active Directory Pfad, gekennzeichnet.

Die verschiedenen Objekte (Benutzer, Gruppen Computer), die die Struktur eines Unternehmens abbilden werden in der Active Directory Datenbankdatei NTDS.dit gespeichert. Der Speicherort der Datenbank ist in der Windows Registry hinterlegt:

Die Datenbankdatei ist grundsätzlich in drei Teile (Partitionen) gegliedert. Die Schema-Partition enthält das Schema. Die Konfigurations-Partition enthält Informationen über vorhandene Domänen und Vertrauensstellungen. Die Domänen-Partition enthält alle Objekte einer bestimmten Domäne. Der Inhalt der Konfigurations- und Schema-Partition ist auf allen Domänencontrollern eines Active Directory identisch.

Verzeichnisstruktur
Das Active Directory ist in Domäne, Struktur und Gesamtstruktur gegliedert.

Domäne

Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar, der zentral verwaltet werden kann. Ein Active Directory besteht aus mindestens einer Domäne, wobei jede Domäne ihren eigenen Sicherheitsbereich mit Richtlinien und Beziehungen aufweist. Die Objekte einer Domäne werden über Organisationseinheiten strukturiert.
Die Daten (Objekte) der Domäne werden nicht lokal auf den Rechnern, sondern zentral auf Servern, den Domänencontrollern, gespeichert. Ein Domänencontroller hält immer alle Objekte der eigenen Domäne und kann niemals mehrere Domänen verwalten.

Struktur

Werden mehrere Domänen innerhalb desselben Namensraums erstellt, entsteht eine AD-Struktur (oft auch als Tree bezeichnet). Dabei bleiben die Domänen eigenständig verwaltete Sicherheitsbereiche, d.h. jede Domäne muss separat administriert werden. In jeder Struktur gibt es eine Parent-Domain mit den untergeordneten Child-Domains oder Sub-Domänen.

Zwischen den Domänen existieren transitive Vertrauensstellungen (Kerberos Two Way Transitive Trusts), d.h. alle Domänen vertrauen sich gegenseitig und lassen somit Anmeldeauthentifizierungen aus den anderen Domänen zu.

Innerhalb einer Struktur gibt es keine Vererbung von Gruppenrichtlinien über Domänengrenzen hinweg.

Gesamtstruktur

Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory. Das Merkmal der Gesamtstruktur ist, das jede Struktur einen eigenen Namensraum darstellt. Für die Gesamtstruktur wird ein einheitliches Schema verwendet. Auch in jeder Gesamtstruktur gibt es wieder eine Parent-Domain, welche über die anderen Strukturen und Child-Domains administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins.

Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt.
Eine Gesamtstruktur kann aus nur einer Struktur und wiederum aus nur einer Domäne bestehen.

Funktionsebenen
Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann. Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene. Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.

Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger.

Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z.B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.

Kernkomponenten eines Active Directory
Das Active Directory baut im Wesentlichen auf den Kernkomponenten LDAP, DNS, Kerberos und SMB3 auf.

Lightweight Directory Access Protocol (LDAP)
Wie eingangs beschrieben, handelt es sich bei LDAP nicht um das Verzeichnis, sondern um das Zugriffsprotokoll auf die zugrundeliegende AD-Datenbank. Somit ist LDAP mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language) vergleichbar. Netzwerkseitig nutz LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen; für verschlüsselte Verbindungen wird TCP Port 636 verwendet.

Der Aufbau des LDAP-Datenmodells ist einfach und folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten. Jeder Eintrag im Verzeichnisdienst (Objekt) besteht aus einer Reihe von Attributen und der Bezeichnung des Objektes selbst, dem Distinguished Name (DN). Der DN ist etwa mit einer Datei vergleichbar, so ist auf der selben Ebene kein weiters Objekt mit demselben Namen erlaubt. Objekte werden über Container (OU) strukturiert. Für Distinguished Names existieren nach RFC 2253 unter anderem folgende Attribute:

CN commonName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
DC domainComponent
UID useridDie Verwendung dieser Attribute wird an einem Beispiel deutlich:
In einem Active Directory mit dem Namen spielwiese.intern wird der Benutzer Ronaldo Localos auf der obersten Ebene angelegt. Der Distinguished Name des Benutzer wird folgendermaßen angegeben:
CN=Ronaldo Localos,DC=spielwiese,DC=intern
Wird der Benutzer nun in einen Container mit der Bezeichnung "Benutzer" verschoben, ergibt sich jetzt folgender DN:
CN=Ronaldo Localos,OU=Benutzer,DC=spielwiese,DC=intern

Domain Name System (DNS)
Für den Betrieb von Active Directory ist DNS zwingend erforderlich, da sämtliche Anfragen namensbasierend erfolgen und somit eine IP-Zuordnung notwendig ist. Der verwendete DNS-Server muss neben den Resource Records (A, AAAA, CNAME) auch Service Resource Records (SRV) unterstützen. Mittels SRV können über DNS die IP-basierten Dienste einer Domäne sowie weitere Informationen, wie der Server-Name der den Dienst bereitstellt, verbreitet werden.
Die Domänendienste von Active Directory werden über _msdcs.[Domäne] (z.B. _msdcs.spielwiese.intern) aufgelöst.

Kerberos
Bei Kerberos handelt es sich um einen verteilten, mit Tickets arbeitenden Authentifizierungsdienst der auf verschiedenen Komponenten aufsetzt. Der Dienst lässt sich zur sicheren Authentifzierung in Netzwerken einsetzen und stellt Nutzern Tickets zur Nutzung von Diensten zur Verfügung, somit müssen Passwörter nicht über das Netzwerk übertragen werden.
Um Kerberos nutzen zu können, müssen sowohl Clients, als auch die bereitgestellten Dienste in der Lage sein, Kerberos-Tickets zu verarbeiten.
Zentrale Komponente von Kerberos ist das Key Distribution Center (KDC), über welches die Schlüssel der Kerberos-Sitzungen erzeugt und verwaltet werden. Das KDC besteht aus dem Authentication Server (AS) und dem Ticket Granting Server (TGS). Der AS authentifiziert einen Benutzer und stellt ihm Ticket Granting Tickets (TGT) aus. Der TGS erhält vom Benutzer ein TGT und stellt daraufhin dem Nutzer Tickets für den Zugriff auf die einzelnen Dienste aus.

Server Message Block 3 (SMB3)
Bei SMB3 stellt das Zugriffsprotokoll für Dateifreigaben im Active Directory dar.
Dateifreigaben werden im Verzeichnis für unterschiedliche Zwecke verwendet, z.B. zur Replikation von Diensten.
Jeder Domänencontroller stellt die Freigabe SYSVOL zur Verfügung. In dieser Freigabe sind unter anderem Gruppenrichtlinien für Clients und Benutzer, sowie Anmeldeskripte vorhanden.

@@ Zeile 53: / Zeile 53: @@
 *Ein Eintrag im Verzeichnisdienst (Objekt) besteht aus Attributen und dem Distinguished Name (DN).
 *Der DN ist vergleichbar mit einer Datei, daher ist auf derselben Ebene kein weiteres Objekt mit demselben Namen erlaubt.
-*Objekte werden über Container (OU) strukturiert. Für Distinguished Names existieren Attribute wie CN (commonName), ST (stateOrProvinceName), O (organizationName), OU (organizationalUnitName), C (countryName), DC (domainComponent), UID (userid).
+*Objekte werden über Container (OU) strukturiert.

@@ Zeile 45: / Zeile 45: @@
 === Kernkomponenten eines Active Directory ===
+*Das Active Directory basiert im Wesentlichen auf den Kernkomponenten LDAP, DNS, Kerberos und SMB3.
 ==== Lightweight Directory Access Protocol (LDAP) ====
+*LDAP ist das Zugriffsprotokoll auf die AD-Datenbank.
-- LDAP ist das Zugriffsprotokoll auf die AD-Datenbank.
+*Es ist vergleichbar mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language).
-- Es ist vergleichbar mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language).
+*Netzwerkseitig nutzt LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen. Für verschlüsselte Verbindungen wird TCP Port 636 verwendet.
-- Netzwerkseitig nutzt LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen. Für verschlüsselte Verbindungen wird TCP Port 636 verwendet.
+*Das LDAP-Datenmodell folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten.
-- Das LDAP-Datenmodell folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten.
+*Ein Eintrag im Verzeichnisdienst (Objekt) besteht aus Attributen und dem Distinguished Name (DN).
-- Ein Eintrag im Verzeichnisdienst (Objekt) besteht aus Attributen und dem Distinguished Name (DN).
+*Der DN ist vergleichbar mit einer Datei, daher ist auf derselben Ebene kein weiteres Objekt mit demselben Namen erlaubt.
-- Der DN ist vergleichbar mit einer Datei, daher ist auf derselben Ebene kein weiteres Objekt mit demselben Namen erlaubt.
+*Objekte werden über Container (OU) strukturiert. Für Distinguished Names existieren Attribute wie CN (commonName), ST (stateOrProvinceName), O (organizationName), OU (organizationalUnitName), C (countryName), DC (domainComponent), UID (userid).

@@ Zeile 37: / Zeile 37: @@
 === Funktionsebenen ===
+*Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann.
-Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann. Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene. Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.
+*Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene.
+*Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.
-- Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger.
+*Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger.
-- Eine Herabstufung der Funktionsebene ist nicht möglich.
+*Eine Herabstufung der Funktionsebene ist nicht möglich.
-- Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z. B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.
+*Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z. B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.
 === Kernkomponenten eines Active Directory ===

@@ Zeile 30: / Zeile 30: @@
 ===== Gesamtstruktur =====
+*Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory.
-- Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory.
+*Jede Struktur hat einen eigenen Namensraum, und eine einheitliches Schema wird verwendet.
-- Jede Struktur hat einen eigenen Namensraum, und eine einheitliches Schema wird verwendet.
+*In jeder Gesamtstruktur gibt es wieder eine Parent-Domain, die administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins.
-- In jeder Gesamtstruktur gibt es wieder eine Parent-Domain, die administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins.
+*Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt.
-- Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt.
+*Eine Gesamtstruktur kann aus nur einer Struktur und wiederum aus nur einer Domäne bestehen.
 === Funktionsebenen ===