Active Directory - Übersicht
Active Directory™ (AD) Domänendienste verwenden DNS-Namensauflösungsdienste, um Domänencontroller zu finden und damit die Domänencontroller, die den Verzeichnisdienst hosten, miteinander kommunizieren können. AD weist eine hierarchische Containerstruktur auf, in der der Container auf der höchsten Ebene die Gesamtstruktur ist. Innerhalb einer Gesamtstruktur befinden sich Domänen und innerhalb einer Domäne Organisationseinheiten. Dieses logische Modell ist unabhängig von den physischen Aspekten der Bereitstellung.
Active Directory-Terminologie
In Active Directory (AD) wird die folgende Terminologie verwendet:
- Gesamtstruktur - Eine Gruppe von Domänen (mindestens eine), die über eine gemeinsame logische Struktur, ein gemeinsames Verzeichnisschema, eine gemeinsame Verzeichniskonfiguration und einen gemeinsamen globalen Katalog verfügen. Domänen in derselben Gesamtstruktur werden automatisch mit bidirektionalen transitiven Vertrauensstellungen verknüpft.
- Domäne - Eine Domäne ist eine Partition in einer Gesamtstruktur. Durch das Partitionieren von Daten ist es möglich, dass Organisationen Daten nur dort replizieren, wo diese Daten benötigt werden. Auf diese Weise kann das Verzeichnis global in einem Netz skaliert werden, dessen verfügbare Bandbreite begrenzt ist. Der Bereich eines Netzes, den eine einzelne Authentifizierungsdatenbank abdeckt.
- Schema - Eine Gruppe von Regeln, die die im Verzeichnis enthaltenen Objektklassen und Attribute, die Vorgaben und Begrenzungen für Instanzen dieser Objekte sowie das Namensformat der Objekte definieren.
- Domänencontroller - Domänencontroller stellen den physischen Speicher für die Active Directory Domain Services-Datenbank bereit. Darüber hinaus stellen sie die Services und Daten bereit, mit denen Unternehmen ihre Server, Workstations, Benutzer und Anwendungen effektiv verwalten können. Domänencontroller müssen sicher geschützt sein, um eine Beeinträchtigung Ihrer Active Directory-Daten zu verhindern.
- Rootdomäne - Die Rootdomäne enthält die Gruppe der Unternehmensadministratoren und die Gruppe der Schemaadministratoren. Diese Serviceadministratorgruppen werden für die Verwaltung von Operationen auf Gesamtstrukturebene verwendet, z. B. Domänen hinzufügen und entfernen und Schemaänderungen implementieren.
- Übergeordnete Domäne - Mehrere Domänen können miteinander verknüpft werden, um eine Baumstruktur zu bilden. In der Hierarchie wird die höchste Ebene als übergeordnete Domäne bezeichnet und hat eine oder mehrere untergeordnete Domänen, die mit ihr verbunden sind.
- Untergeordnete Domäne - Eine untergeordnete Domäne ist mit einer übergeordneten Domäne verknüpft und übernimmt den Adressraum der übergeordneten Domäne, so dass sie eine Unterdomäne ist. Die untergeordnete Domäne einer Domäne kann gleichzeitig die übergeordnete Domäne anderer Domänen sein. Der Name einer untergeordneten Domäne beinhaltet immer den vollständigen Namen der übergeordneten Domäne. Die untergeordnete und die übergeordnete Domäne teilen sich ein wechselseitiges transitives Vertrauen.
- Globaler Katalog - Ein Server für globalen Katalog ist ein Domänencontroller, der Teilkopien aller Active Directory-Objekte in der Gesamtstruktur speichert. Er speichert eine vollständige Kopie aller Objekte im Verzeichnis der Domäne sowie eine Teilkopie aller Objekte aller anderen Gesamtstrukturdomänen. Benutzer und Administratoren können nach Verzeichnisinformationen suchen, unabhängig davon, welche Domäne in dem Verzeichnis die Daten enthält. Sie werden auf jeden Domänencontroller repliziert, der Teil der Gesamtstruktur ist.
- AD-Standort - In AD stellt ein Standort eine im Domänencontroller definierte physische oder logische Entität dar. Jeder Standort ist einer Domäne zugeordnet. Darüber hinaus verfügt jeder Standort über IP-Definitionen die festlegen, welche IP-Adressen bzw. -Bereiche zu ihm gehören. Domänencontroller verwenden Standortinformationen, um AD-Clients über Domänencontroller zu informieren, die sich an dem Standort befinden, der einem Client am nächsten ist.
- Standortverknüpfung - Mit Standortverknüpfungen werden Verknüpfungen zwischen AD-Standorten hergestellt. Durch eine Konfiguration von Standortverknüpfungseigenschaften (z. B. Zeitplan, Replikationskosten und Intervall) kann standortübergreifende Replikation verwaltet werden.
- Vertrauensstellung - Eine Vertrauensstellung ist eine logische Beziehung, die zwischen Domänen hergestellt wird, um eine Authentifizierung und Berechtigung für gemeinsam genutzte Ressourcen zu ermöglichen. Während des Authentifizierungsprozesses wird die Identität eines Benutzers überprüft und während des Berechtigungsprozesses wird festgelegt, welche Aktivitäten der Benutzer in einem Computersystem oder Netz ausführen darf.
- Verzeichnis - In AD wird ein strukturierter Datenspeicher als Basis für eine logische, hierarchische Organisation von Verzeichnisinformationen verwendet. Dieser Datenspeicher wird als Verzeichnis bezeichnet und enthält Informationen zu AD-Objekten. Bei den Objekten handelt es sich in der Regel um gemeinsam genutzte Ressourcen wie Server, Datenträger, Drucker sowie Netzbenutzer- und Computerkonten.
- Replikation - Ein Service, der Verzeichnisdaten in einem Netz verteilt. Alle Domänencontroller in einer Domäne sind an der Replikation beteiligt und enthalten eine vollständige Kopie aller Verzeichnisinformationen für ihre Domäne. Alle Änderungen der Verzeichnisdaten werden in alle Domänencontroller in der Domäne repliziert.
- Organisationseinheit - Mit Organisationseinheiten kann eine Containerhierarchie in einer Domäne gebildet werden. Organisationseinheiten werden zum Gruppieren von Objekten für Verwaltungszwecke verwendet, z. B. für die Anwendung einer Gruppenrichtlinie oder die Delegierung von Kompetenzen. Die Steuerung einer Organisationseinheit und der enthaltenen Objekte wird durch die Zugriffssteuerungslisten (Access Control Lists, ACLs) für die Organisationseinheit und die darin enthaltenen Objekte bestimmt. Um das Management einer großen Anzahl an Objekten zu vereinfachen, unterstützt Active Directory Domain Services das Delegierung von Kompetenzen. Mithilfe der Delegierung können Eigner anderen Benutzern oder Gruppen uneingeschränkte oder eingeschränkte Verwaltungssteuerungsberechtigung für Objekte übertragen. Die Delegation ist wichtig, weil sie dazu beiträgt, die Verwaltung einer großen Anzahl von Objekten auf eine Reihe von Personen zu verteilen, denen die Erledigung der Verwaltungsaufgaben anvertraut wird.
- Funktionsebenen - Funktionsebenen bestimmen die verfügbaren Active Directory Domain Services-Domänen- oder -Forest-Funktionen und die Windows® Server-Betriebssysteme, die Sie auf Domänencontrollern in der Domäne oder dem Forest ausführen können. Funktionsebenen haben jedoch keinen Einfluss auf die Betriebssysteme, die Sie auf Workstations und Member-Servern, die mit der Domäne oder Gesamtstruktur verknüpft sind, ausführen können.
Domänenmodelle
Überprüfen Sie die typischen Domänenmodelle, die einem Kunden zur Verfügung stehen, wenn sie ihre Domänen entweder lokal oder in der IBM Cloud® bezeichnen.
- Modell mit einzelner Gesamtstruktur und einzelner Domäne
- Modell mit einer Gesamtstruktur und mehreren Domänen
- Modell mit mehreren Wäldern
Weitere Informationen zu Gesamtstruktur- und Domänenmodellen finden Sie unter Die logische Struktur entwerfen.
Modell mit einzelner Gesamtstruktur und einzelner Domäne
Das Modell mit einer einzelnen Gesamtstruktur und einer einzelnen Domäne ist am leichtesten zu verwalten und zu pflegen. Das Design besteht aus einer Gesamtstruktur, die eine einzelne Domäne enthält. Als einzige Domäne ist dies die Rootdomäne der Gesamtstruktur, die alle Benutzer- und Gruppenkonten in der Gesamtstruktur und die Ressourcenobjekte enthält. Für einige Unternehmen ist dieses Modell alles, was erforderlich ist. Komplexere Unternehmen können dieses Modell jedoch nicht mehr verwenden.
Modell mit einer Gesamtstruktur und mehreren Domänen
Das Modell mit mehreren Domänen wird von größeren Unternehmen verwendet, in denen die Gesamtstruktur viele Benutzer enthält, die entweder über verschiedene geografische Standorte oder andere Geschäftseinheiten verteilt sind. Wenn für jede Position eine eigene Domäne vorhanden ist, wird der Replikationsdatenverkehr zwischen den Positionen verringert. Verwaltungskomfort ist häufig der Anwendungsfall für Domänen, die für verschiedene Unternehmensbereiche verwendet werden. Dieses Domänenmodell besteht aus einer Rootdomäne der Gesamtstruktur und mindestens einer regionalen Domäne. Oft ist die Stammdomäne der Gesamtstruktur nur auf die Gruppen 'Enterprise Admins' und 'Schema Admins' beschränkt. Diese Gruppen werden verwendet, um Operationen auf Gesamtstrukturebene zu verwalten, wie z. B. die Hinzufügung und den Ausschluss von Domänen und die Implementierung von Änderungen am Schema.
Zur Erstellung eines Modelldesigns mit mehreren Domänen gehört das Angeben der Rootdomäne der Gesamtstruktur und das Festlegen der Anzahl zusätzlicher Domänen, die benötigt werden, um Ihre Replikationsanforderungen zu erfüllen. Bei diesen Domänen kann es sich um übergeordnete oder untergeordnete Domänen handeln, je nachdem, wie die Domänenstruktur die Organisationsstruktur widerspiegeln muss. In der Regel ist es besser, so wenig Domänen wie möglich zu verwalten. Um die Komplexität zu reduzieren, muss das Unternehmen ein Gleichgewicht zwischen der Komplexität und der Trennung von Ressourcen in verschiedene Domänen und Subdomänen finden, was Vorteile für die Sicherheit mit sich bringt.
Modell mit mehreren Gesamtstrukturen
Enthält ein Unternehmen Gruppen, deren Daten oder Services von anderen Gruppen im Unternehmen isoliert werden müssen, kann mit dem Modell mit mehreren Gesamtstrukturen eine separate Gesamtstruktur für diese Gruppen erstellt werden. In Domänen sind Datenisolation und Serviceisolation nicht möglich. Die Administratoren des Gesamtstrukturservices haben uneingeschränkten Zugriff auf alle Ressourcen der Gesamtstruktur. Dieser Zugriff kann nicht verhindert werden. Wenn Sie also Ressourcen haben, auf die diese Gruppe keinen Zugriff haben darf, müssen diese Ressourcen in einem anderen Wald platziert werden.
Das Modell mit mehreren Gesamtstrukturen ist auch üblich bei Unternehmensfusionen, wenn zwei Unternehmen zwei unterschiedliche Active Directory Domain Services-Strukturen haben.
Die folgenden drei Gesamtstrukturmodelle liefern Ihnen weitere Informationen.
- Organisations-Gesamtstrukturmodell – In diesem Modell befinden sich Benutzerkonten und Ressourcen in beiden Gesamtstrukturen, sie werden aber unabhängig voneinander verwaltet. Dieses Modell kann Autonomie und Isolation bereitstellen, wenn in der Konfiguration der Gesamtstruktur definiert ist, dass allen Benutzern außerhalb der Gesamtstruktur der Zugriff verweigert wird. Wenn Benutzer in einer Organisationsgesamtstruktur auf Ressourcen in anderen Gesamtstrukturen zugreifen müssen oder umgekehrt, können Vertrauensbeziehungen zwischen einer einzelnen Organisationsgesamtstruktur und den anderen Gesamtstrukturen hergestellt werden.
- Ressourcen-Gesamtstrukturmodell – In diesem Modell wird eine separate Gesamtstruktur zur Verwaltung von Ressourcen verwendet. Eine Ressourcengesamtstruktur enthält ausschließlich die Benutzerkonten der Serviceadministratoren. Gesamtstruktur-Vertrauensstellungen werden eingerichtet, so dass Benutzer anderer Gesamtstrukturen auf die Ressourcen in der Ressourcengesamtstruktur zugreifen können. Dieses Modell stellt Serviceisolation bereit.
- Forest-Modell mit eingeschränktem Zugriff - In diesem Modell wird ein separater Forest erstellt, der Benutzerkonten und Ressourcen enthält, die vom Rest des Unternehmens isoliert werden müssen. Benutzern einer Gesamtstruktur kann kein Zugriff auf die andere Gesamtstruktur gewährt werden, da zwischen den Gesamtstrukturen keine Vertrauensstellung besteht. Dieses Modell wird beispielsweise häufig von Service-Providern eingesetzt, die Infrastrukturmanagementservices bereitstellen können. Wenn Benutzer in diesem Modell Zugriff auf Ressourcen in beiden Gesamtstrukturen benötigen, müssen sie ein Konto in einer Gesamtstruktur und ein separates Benutzerkonto in der anderen Gesamtstruktur haben. Dieses Modell stellt Datenisolation bereit. Das Waldmodell mit eingeschränktem Zugriff wird erstellt, wenn Sie eine VMware Cloud Foundation for Classic – Automated-Instanz bereitstellen.