AD Struktur: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „User Allgemein Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft (vor allem) für Windows-Netzwerke. Mit Hilfe des Active Directory werden Re…“)
 
Zeile 1: Zeile 1:
User
+
=== Allgemein ===
 +
*Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft, speziell für Windows-Netzwerke.
 +
*Es ermöglicht die hierarchische Speicherung, Identifizierung und Zugänglichmachung von Ressourcen.
 +
*Zur Zugriff auf die zugrundeliegende Datenbank wird das Lightweight Directory Access Protocol (LDAP) genutzt.
 +
*Das Active Directory bildet die Kernkomponente der Active Directory Domänendienste (AD DS).
 +
==== Struktur und Aufbau ====
 +
*Die LDAP-Datenbankstruktur wird durch ein Schema definiert. Das Schema enthält Attribute (z. B. UserPrincipalName), die den Typ des Eintrags in der Datenbank festlegen (z. B. Zahl, Text).
 +
*Die Attribute sind in Klassen (z. B. Account) zusammengefasst.
 +
*Einträge im Verzeichnis sind Objekte, die einer oder mehreren Klassen angehören.
 +
*Jedes Objekt wird durch den Distinguished Name (DN), den vollständigen Pfad im Active Directory, gekennzeichnet.
 +
*Verschiedene Objekte (Benutzer, Gruppen, Computer), die die Struktur eines Unternehmens abbilden, werden in der Active Directory Datenbankdatei NTDS.dit gespeichert.
 +
*Der Speicherort der Datenbank ist in der Windows Registry hinterlegt.
 +
*Die Datenbankdatei ist grundlegend in drei Teile (Partitionen) gegliedert.
 +
*Die Schema-Partition enthält das Schema. Die Konfigurations-Partition enthält Informationen über vorhandene Domänen und Vertrauensstellungen.
 +
*Die Domänen-Partition enthält alle Objekte einer bestimmten Domäne. Der Inhalt der Konfigurations- und Schema-Partition ist auf allen Domänencontrollern eines Active Directory identisch.
 +
==== Verzeichnisstruktur ====
 +
*Das Active Directory ist in Domäne, Struktur und Gesamtstruktur gegliedert.
 +
===== Domäne =====
 +
*Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar, der zentral verwaltet werden kann.
 +
*Ein Active Directory besteht aus mindestens einer Domäne, wobei jede Domäne ihren eigenen Sicherheitsbereich mit Richtlinien und Beziehungen aufweist.
 +
*Die Objekte einer Domäne werden über Organisationseinheiten strukturiert.
 +
*Die Daten (Objekte) der Domäne werden nicht lokal auf den Rechnern, sondern zentral auf Servern, den Domänencontrollern, gespeichert.
 +
*Ein Domänencontroller hält immer alle Objekte der eigenen Domäne und kann niemals mehrere Domänen verwalten.
 +
===== Struktur =====
 +
*Werden mehrere Domänen innerhalb desselben Namensraums erstellt, entsteht eine AD-Struktur (oft auch als Tree bezeichnet).
 +
*Die Domänen bleiben eigenständig verwaltete Sicherheitsbereiche, und jede Domäne muss separat administriert werden.
 +
*In jeder Struktur gibt es eine Parent-Domain mit den untergeordneten Child-Domains oder Sub-Domänen.
 +
*Zwischen den Domänen existieren transitive Vertrauensstellungen (Kerberos Two Way Transitive Trusts), d. h. alle Domänen vertrauen sich gegenseitig und lassen somit Anmeldeauthentifizierungen aus den anderen Domänen zu.
 +
*Innerhalb einer Struktur gibt es keine Vererbung von Gruppenrichtlinien über Domänengrenzen hinweg.
  
 +
===== Gesamtstruktur =====
  
Allgemein
+
- Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory.
Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft (vor allem) für Windows-Netzwerke. Mit Hilfe des Active Directory werden Ressourcen hierarchisch gespeichert, identifiziert und zugänglich gemacht. Für den Zugriff auf die zugrundeliegende Datenbank wird das Lightweight Directory Access Protocol (LDAP) genutzt. Das Active Directory ist die Kernkomponente der Active Directory Domänendienste (AD DS).  
+
- Jede Struktur hat einen eigenen Namensraum, und eine einheitliches Schema wird verwendet.
Struktur und Aufbau der LDAP-Datenbank werden durch ein Schema definiert. Hierbei werden im Schema Attribute (z.B. UserPrincipalName) definiert, die den Typ des Eintrages in der Datenbank festlegen (z.B. Zahl, Text). Die Attribute sind in Klassen (z.B. Account) zusammengefasst. Alle Einträge im Verzeichnis sind Objekte, die einer oder mehrere Klassen angehören. Jedes Objekt wird durch den Distinguished Name (DN), den vollständigen Active Directory Pfad, gekennzeichnet.
+
- In jeder Gesamtstruktur gibt es wieder eine Parent-Domain, die administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins.
 +
- Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt.
 +
- Eine Gesamtstruktur kann aus nur einer Struktur und wiederum aus nur einer Domäne bestehen.
  
Die verschiedenen Objekte (Benutzer, Gruppen Computer), die die Struktur eines Unternehmens abbilden werden in der Active Directory Datenbankdatei NTDS.dit gespeichert. Der Speicherort der Datenbank ist in der Windows Registry hinterlegt:
+
=== Funktionsebenen ===
  
 
 
Die Datenbankdatei ist grundsätzlich in drei Teile (Partitionen) gegliedert. Die Schema-Partition enthält das Schema. Die Konfigurations-Partition enthält Informationen über vorhandene Domänen und Vertrauensstellungen. Die Domänen-Partition enthält alle Objekte einer bestimmten Domäne. Der Inhalt der Konfigurations- und Schema-Partition ist auf allen Domänencontrollern eines Active Directory identisch.
 
 
 
 
Verzeichnisstruktur
 
Das Active Directory ist in Domäne, Struktur und Gesamtstruktur gegliedert.
 
 
 
 
Domäne
 
 
Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar, der zentral verwaltet werden kann. Ein Active Directory besteht aus mindestens einer Domäne, wobei jede Domäne ihren eigenen Sicherheitsbereich mit Richtlinien und Beziehungen aufweist. Die Objekte einer Domäne werden über Organisationseinheiten strukturiert.
 
Die Daten (Objekte) der Domäne werden nicht lokal auf den Rechnern, sondern zentral auf Servern, den Domänencontrollern, gespeichert. Ein Domänencontroller hält immer alle Objekte der eigenen Domäne und kann niemals mehrere Domänen verwalten.
 
 
Struktur
 
 
Werden mehrere Domänen innerhalb desselben Namensraums erstellt, entsteht eine AD-Struktur (oft auch als Tree bezeichnet). Dabei bleiben die Domänen eigenständig verwaltete Sicherheitsbereiche, d.h. jede Domäne muss separat administriert werden. In jeder Struktur gibt es eine Parent-Domain mit den untergeordneten Child-Domains oder Sub-Domänen.
 
 
Zwischen den Domänen existieren transitive Vertrauensstellungen (Kerberos Two Way Transitive Trusts), d.h. alle Domänen vertrauen sich gegenseitig und lassen somit Anmeldeauthentifizierungen aus den anderen Domänen zu.
 
 
Innerhalb einer Struktur gibt es keine Vererbung von Gruppenrichtlinien über Domänengrenzen hinweg.
 
 
Gesamtstruktur
 
 
Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory.  Das Merkmal der Gesamtstruktur ist, das jede Struktur einen eigenen Namensraum darstellt. Für die Gesamtstruktur wird ein einheitliches Schema verwendet. Auch in jeder Gesamtstruktur gibt es wieder eine Parent-Domain, welche über die anderen Strukturen und Child-Domains administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins.
 
 
Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt.
 
Eine Gesamtstruktur kann aus nur einer Struktur und wiederum aus nur einer Domäne bestehen.
 
 
 
 
 
Funktionsebenen
 
 
Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann. Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene. Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.
 
Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann. Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene. Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.
  
Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger.
+
- Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger.
 
+
- Eine Herabstufung der Funktionsebene ist nicht möglich.
Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z.B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.
+
- Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z. B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.
 
 
 
 
 
 
Kernkomponenten eines Active Directory
 
Das Active Directory baut im Wesentlichen auf den Kernkomponenten LDAP, DNS, Kerberos und SMB3 auf.
 
 
 
 
 
Lightweight Directory Access Protocol (LDAP)
 
Wie eingangs beschrieben, handelt es sich bei LDAP nicht um das Verzeichnis, sondern um das Zugriffsprotokoll auf die zugrundeliegende AD-Datenbank. Somit ist LDAP mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language) vergleichbar. Netzwerkseitig nutz LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen; für verschlüsselte Verbindungen wird TCP Port 636 verwendet.
 
 
 
Der Aufbau des LDAP-Datenmodells ist einfach und folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten. Jeder Eintrag im Verzeichnisdienst (Objekt) besteht aus einer Reihe von Attributen und der Bezeichnung des Objektes selbst, dem Distinguished Name (DN). Der DN ist etwa mit einer Datei vergleichbar, so ist auf der selben Ebene kein weiters Objekt mit demselben Namen erlaubt. Objekte werden über Container (OU) strukturiert. Für Distinguished Names existieren nach RFC 2253 unter anderem folgende Attribute:
 
 
 
 
 
CN    commonName
 
ST stateOrProvinceName
 
O organizationName
 
OU organizationalUnitName
 
C countryName
 
DC domainComponent
 
UID useridDie Verwendung dieser Attribute wird an einem Beispiel deutlich:
 
In einem Active Directory mit dem Namen spielwiese.intern wird der Benutzer Ronaldo Localos auf der obersten Ebene angelegt. Der Distinguished Name des Benutzer wird folgendermaßen angegeben:
 
CN=Ronaldo Localos,DC=spielwiese,DC=intern
 
Wird der Benutzer nun in einen Container mit der Bezeichnung "Benutzer" verschoben, ergibt sich jetzt folgender DN:
 
CN=Ronaldo Localos,OU=Benutzer,DC=spielwiese,DC=intern
 
 
 
 
 
Domain Name System (DNS)
 
Für den Betrieb von Active Directory ist DNS zwingend erforderlich, da sämtliche Anfragen namensbasierend erfolgen und somit eine IP-Zuordnung notwendig ist. Der verwendete DNS-Server muss neben den Resource Records (A, AAAA, CNAME) auch Service Resource Records (SRV) unterstützen. Mittels SRV können über DNS die IP-basierten Dienste einer Domäne sowie weitere Informationen, wie der Server-Name der den Dienst bereitstellt, verbreitet werden.
 
Die Domänendienste von Active Directory werden über _msdcs.[Domäne] (z.B. _msdcs.spielwiese.intern) aufgelöst.
 
  
 +
=== Kernkomponenten eines Active Directory ===
  
Kerberos
+
Das Active Directory basiert im Wesentlichen auf den Kernkomponenten LDAP, DNS, Kerberos und SMB3.
Bei Kerberos handelt es sich um einen verteilten, mit Tickets arbeitenden Authentifizierungsdienst der auf verschiedenen Komponenten aufsetzt. Der Dienst lässt sich zur sicheren Authentifzierung in Netzwerken einsetzen und stellt Nutzern Tickets zur Nutzung von Diensten zur Verfügung, somit müssen Passwörter nicht über das Netzwerk übertragen werden.
 
Um Kerberos nutzen zu können, müssen sowohl Clients, als auch die bereitgestellten Dienste in der Lage sein, Kerberos-Tickets zu verarbeiten.
 
Zentrale Komponente von Kerberos ist das Key Distribution Center (KDC), über welches die Schlüssel der Kerberos-Sitzungen erzeugt und verwaltet werden. Das KDC besteht aus dem Authentication Server (AS) und dem Ticket Granting Server (TGS). Der AS authentifiziert einen Benutzer und stellt ihm Ticket Granting Tickets (TGT) aus. Der TGS erhält vom Benutzer ein TGT und stellt daraufhin dem Nutzer Tickets für den Zugriff auf die einzelnen Dienste aus.
 
  
 +
==== Lightweight Directory Access Protocol (LDAP) ====
  
Server Message Block 3 (SMB3)
+
- LDAP ist das Zugriffsprotokoll auf die AD-Datenbank.
Bei SMB3 stellt das Zugriffsprotokoll für Dateifreigaben im Active Directory dar.
+
- Es ist vergleichbar mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language).
Dateifreigaben werden im Verzeichnis für unterschiedliche Zwecke verwendet, z.B. zur Replikation von Diensten.
+
- Netzwerkseitig nutzt LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen. Für verschlüsselte Verbindungen wird TCP Port 636 verwendet.
Jeder Domänencontroller stellt die Freigabe SYSVOL zur Verfügung. In dieser Freigabe sind unter anderem Gruppenrichtlinien für Clients und Benutzer, sowie Anmeldeskripte vorhanden.
+
- Das LDAP-Datenmodell folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten.
 +
- Ein Eintrag im Verzeichnisdienst (Objekt) besteht aus Attributen und dem Distinguished Name (DN).
 +
- Der DN ist vergleichbar mit einer Datei, daher ist auf derselben Ebene kein weiteres Objekt mit demselben Namen erlaubt.
 +
- Objekte werden über Container (OU) strukturiert. Für Distinguished Names existieren Attribute wie CN (commonName), ST (stateOrProvinceName), O (organizationName), OU (organizationalUnitName), C (countryName), DC (domainComponent), UID (userid).

Version vom 21. November 2023, 08:03 Uhr

Allgemein

  • Das Active Directory (AD) ist der Verzeichnisdienst von Microsoft, speziell für Windows-Netzwerke.
  • Es ermöglicht die hierarchische Speicherung, Identifizierung und Zugänglichmachung von Ressourcen.
  • Zur Zugriff auf die zugrundeliegende Datenbank wird das Lightweight Directory Access Protocol (LDAP) genutzt.
  • Das Active Directory bildet die Kernkomponente der Active Directory Domänendienste (AD DS).

Struktur und Aufbau

  • Die LDAP-Datenbankstruktur wird durch ein Schema definiert. Das Schema enthält Attribute (z. B. UserPrincipalName), die den Typ des Eintrags in der Datenbank festlegen (z. B. Zahl, Text).
  • Die Attribute sind in Klassen (z. B. Account) zusammengefasst.
  • Einträge im Verzeichnis sind Objekte, die einer oder mehreren Klassen angehören.
  • Jedes Objekt wird durch den Distinguished Name (DN), den vollständigen Pfad im Active Directory, gekennzeichnet.
  • Verschiedene Objekte (Benutzer, Gruppen, Computer), die die Struktur eines Unternehmens abbilden, werden in der Active Directory Datenbankdatei NTDS.dit gespeichert.
  • Der Speicherort der Datenbank ist in der Windows Registry hinterlegt.
  • Die Datenbankdatei ist grundlegend in drei Teile (Partitionen) gegliedert.
  • Die Schema-Partition enthält das Schema. Die Konfigurations-Partition enthält Informationen über vorhandene Domänen und Vertrauensstellungen.
  • Die Domänen-Partition enthält alle Objekte einer bestimmten Domäne. Der Inhalt der Konfigurations- und Schema-Partition ist auf allen Domänencontrollern eines Active Directory identisch.

Verzeichnisstruktur

  • Das Active Directory ist in Domäne, Struktur und Gesamtstruktur gegliedert.
Domäne
  • Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar, der zentral verwaltet werden kann.
  • Ein Active Directory besteht aus mindestens einer Domäne, wobei jede Domäne ihren eigenen Sicherheitsbereich mit Richtlinien und Beziehungen aufweist.
  • Die Objekte einer Domäne werden über Organisationseinheiten strukturiert.
  • Die Daten (Objekte) der Domäne werden nicht lokal auf den Rechnern, sondern zentral auf Servern, den Domänencontrollern, gespeichert.
  • Ein Domänencontroller hält immer alle Objekte der eigenen Domäne und kann niemals mehrere Domänen verwalten.
Struktur
  • Werden mehrere Domänen innerhalb desselben Namensraums erstellt, entsteht eine AD-Struktur (oft auch als Tree bezeichnet).
  • Die Domänen bleiben eigenständig verwaltete Sicherheitsbereiche, und jede Domäne muss separat administriert werden.
  • In jeder Struktur gibt es eine Parent-Domain mit den untergeordneten Child-Domains oder Sub-Domänen.
  • Zwischen den Domänen existieren transitive Vertrauensstellungen (Kerberos Two Way Transitive Trusts), d. h. alle Domänen vertrauen sich gegenseitig und lassen somit Anmeldeauthentifizierungen aus den anderen Domänen zu.
  • Innerhalb einer Struktur gibt es keine Vererbung von Gruppenrichtlinien über Domänengrenzen hinweg.
Gesamtstruktur

- Eine Gesamtstruktur (oft auch als Forest bezeichnet) ist die größtmögliche Organisationseinheit und umfasst alle Domänen eines Active Directory. - Jede Struktur hat einen eigenen Namensraum, und eine einheitliches Schema wird verwendet. - In jeder Gesamtstruktur gibt es wieder eine Parent-Domain, die administrativ die Oberhand hat. Dafür existieren die Organisations-Admins und Schema-Admins. - Beim Erstellen der ersten Domäne wird zugleich eine neue Gesamtstruktur erzeugt. - Eine Gesamtstruktur kann aus nur einer Struktur und wiederum aus nur einer Domäne bestehen.

Funktionsebenen

Funktionsebenen bestimmen den Funktionsumfang der Active Directory Domänendienste und legen fest, welche Betriebssystemversion für Domänencontroller eingesetzt werden kann. Funktionsebenen existieren auf Domänen- und Gesamtstruktur-Ebene. Die verwendete Version von Windows Server sämtlicher betroffenen Domänencontroller darf nicht kleiner sein, als die Funktionsebene zulässt.

- Die Funktionsebene einer Domäne kann höher als die der Gesamtstruktur sein, aber niemals niedriger. - Eine Herabstufung der Funktionsebene ist nicht möglich. - Die Funktionsebene einer Domäne oder der Gesamtstruktur kann bei Bedarf heraufgestuft werden (z. B. von Server 2008 R2 auf Server 2016). Eine Herabstufung ist jedoch nicht möglich.

Kernkomponenten eines Active Directory

Das Active Directory basiert im Wesentlichen auf den Kernkomponenten LDAP, DNS, Kerberos und SMB3.

Lightweight Directory Access Protocol (LDAP)

- LDAP ist das Zugriffsprotokoll auf die AD-Datenbank. - Es ist vergleichbar mit anderen Datenbankabfragesprachen wie SQL (Structured Query Language). - Netzwerkseitig nutzt LDAP TCP Port 389 für ungesicherte und mit STARTTLS gesicherte Abfragen. Für verschlüsselte Verbindungen wird TCP Port 636 verwendet. - Das LDAP-Datenmodell folgt einem objektorientierten Ansatz mit Klassen, Vererbung und Objekten. - Ein Eintrag im Verzeichnisdienst (Objekt) besteht aus Attributen und dem Distinguished Name (DN). - Der DN ist vergleichbar mit einer Datei, daher ist auf derselben Ebene kein weiteres Objekt mit demselben Namen erlaubt. - Objekte werden über Container (OU) strukturiert. Für Distinguished Names existieren Attribute wie CN (commonName), ST (stateOrProvinceName), O (organizationName), OU (organizationalUnitName), C (countryName), DC (domainComponent), UID (userid).

Abgerufen von „http://wiki.ixheim.de/index.php?title=AD_Struktur&oldid=50486