1 / 77

Microsoft Active Directory

Microsoft Active Directory. Kay Ködel 25.01.06. Index. 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge 2.3 Installation 2.4 Active Directory Objekte 2.5 Berechtigungen 2.6 Replikation 2.7 Richtlinien

kylan-macdonald
Download Presentation

Microsoft Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Microsoft Active Directory Kay Ködel 25.01.06

  2. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge 2.3 Installation 2.4 Active Directory Objekte 2.5 Berechtigungen 2.6 Replikation2.7 Richtlinien 3 Dienste und Ihre Bedeutung für das Gesamtsystem 3.1 Ereignisanzeige 4 Abschließende Bemerkungen

  3. 1 Einführung in das Active Directory Verzeichnisse (engl. Directories) sind Sammlungen von Daten einer bestimmten Art. So kann man Telefon- und Adressbücher wie auch Kataloge oder Fernseh-Programme als Verzeichnisse bezeichnen. Dabei liegt allen Directories ein ordnendes Prinzip zugrunde: Telefonbücher sind nach Namen geordnet, Kataloge nach Themen und Fernseh-Programme nach TV-Kanälen und Datum.

  4. 1 andere Definition Das Active Directory ist ein hierarchischer Verzeichnisdienst, der unternehmensrelevante Daten (Benutzer, Computer, Drucker, etc.) an einer zentralen Stelle verwaltet und diese über standardisierte Schnittstellen (LDAP) den Benutzern des Netzwerkes zur Verfügung.

  5. 1 Herkunft • Einführung mit Windows 2000 • LDAP • Notwendigkeit für die Administration größerer Netze • Ansätze in Windows NT

  6. 1 Unterstützte Technologien • DHCP - Dynamic Host Configuration Protocol • (D)DNS - (Dynamic) Domain Name System • SNTP - Simple Network Time Protocol • LDAP - Lightweight Directory Access Protocol v3 • LDIF - LDAP Data Interchange Format - • X.509 v3-Zertifikate - Authentifizierung • TCP/IP - Transmission Control Protocol/Internet Protocol

  7. 2 Microsoft Active Directory Vorteile: • Informationssicherheit • Richtlinienbasierte Verwaltung • Erweiterungsfähigkeit • Skalierbarkeit • Replikation von Informationen • DNS-Integration • Zusammenarbeit mit anderen Verzeichnisdiensten

  8. 2 Allgemein • global verteiltes Verzeichnis • hierarchisch angeordnete Objekte • Hauptaufgabe eines Verzeichnisdienstes ist die Zuordnung von Namen eines Objektes zu einer Menge von Werten und Eigenschaften. • Suchen nach Objekten mit geeigneten Browsern • Internationale ISO/ITU-T Standards für einen plattformunabhängigen verteilten Verzeichnisdienst

  9. 2 Allgemein • Eine Art Zuordnungsliste • Datensätze, Objekte Atribute • Vorraussetzung DNS • Aktiv in der Anwendungsschicht und nutzt andere Protokolle • Organisation, Bereitstellung und Überwachung • Dreiteilung: Schema, Konfiguration und Domain • Active-Directory-Datenbank (Windows 2000) benutzt Jet-Basierende ESE98 (Grenze bei 17 Terabytes und 10 Millionen Objekte pro Domain)

  10. 2.1 Begriffsdefinition • Domäne • Tree • Forest • Standort • Organisationseinheit • Gruppenrichtilinienobjekte • Schema • Global Catalog

  11. S S S D D D ? ? ? 2 2 2 0 0 0 0 0 0 P P P R R R O O O S S S I I I G G G N N N I I I A A A R R R p p p . e . e . e . . . . n n n . . . . . t t . . t . . i . i i . u u . . u . . . . m m m . . . 2.1 Domäne • Besteht aus mind. 1 DC • Der das komplette Verzeichnis vorhält • Durch Multi-Master Replikation Änderungen von allen DCs aus möglich • Domäne bildet Grenze für die Replikation

  12. 2.1 Struktur (Tree) • Beliebig tiefer hierarchischer Domänen-Baum • einheitliches Namensschemata alka.de halle.alka.de • Transitive Kerberos Vertrauensstellung

  13. 2.1 Gesamtstruktur (Forest) • Beliebig tiefer hierarchischer Domänen-Baum • einheitliches Namensschemata alka.de halle.alka.de • Transitive Kerberos Vertrauensstellungen

  14. 2.1 Standort (Site) • Definiert ein Netzwerk mit schnellen Verbindungen. • Definition über IP-Subnetze • Replikation innerhalb des Standorts und über Standortgrenzen hinweg separat konfigurierbar • Clients können stets „nahe“ Ressourcen nutzen.

  15. 2.1 Organisationseinheit • Active Directory Container Objekt innerhalb einer Domäne • Verwaltung Benutzer-, Gruppen und Computerobjekten • Kleinste Bereich auf den Gruppenrichtlinienobjekte angewendet werden können

  16. 2.1 Gruppenrichtlienenobjekte • Gruppenrichtlinene (Group Policy Object GPO) • Definition: Policies bieten die Möglichkeit, an zentraler Stelle die Anwendungsumgebung der Benutzer einmalig festzulegen, wobei das Betriebssystem die Einhaltung sicherstellt. • Ca. 600 Konfigurationsmöglichkeiten • Unterteilt in Computer- und Benutzereinstellungen • Können vom Administrator erweitert werden

  17. 2.1 Schema • Beschreibung aller Objekte inkl. Ihrer Attribute des Active Directory • Wird vom Schema-Master verwaltet • 1 Schemamaster pro Domäne • Eindeutigkeit in einem Forest sicherstellen

  18. 2.1 Globaler Katalog

  19. 2.2 Hauptwerkzeuge des AD • Active Directory Benutzer und Gruppen • Active Directory Domänene und Vertrauensstellungen • Active Directory Standorte und Dienste • Sicherheitsrichtilininien für Domänen • Sicherheitsrichtlinien für Domänencontroler • Serververwaltung Standardkomponenten

  20. 2.2 Serververwaltung unter Windows • Dateiserver • Druckserver • Anwendungsserver (IIS,ASP.NET) • Mailserver(POP3, SMTP) • Terminalserver • RAS/VPN-Server • Domänencontroler • DNS-Server • DHCP-Server • Streaming-Media-Server • WINS-Server

  21. 2.3 Installation des Active Directory Mögliche Varianten für den Einsatz des Domaincontrollers: • Erste Root-Domäne (im Wald oder in einer Gesamtstruktur) • zusätzlichen Domänencontrollers (Replikationscontroller) • weitere Sub- bzw. Child-Domäne • neuer Domänenbaum innerhalb der Domänengesamtstruktur (Domänenwald)

  22. 2.3 Installation des Active Directory • Wahl des Domainnamens • Planung des Einsatzes und Zwecks • Dokumentation der Einstellungen • Entwerfen einer Bennenungsstrategie • Entwerfen einer Schematarichtlinie • Unterstützung von Gruppenrichtlinien • Verzeichnisstruktur mit mehreren Domains • Entwerfen einer Standardtopologie • Entwerfen einer Infrastruktur

  23. 2.3 Installation des Active Directory • Programm: DCPROMO.EXE

  24. 2.3 Serverrollen • Windows 2000 - 5 Serverrollen • RID-Master (eindeutig in Domäne)Stellt den DCs seiner Domäne sogenannte Relative IDs (RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security Principals, das sind User-, Gruppen- oder Computer-Objekten. Zusammen mit der SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus die endgültige SID. • Infrastruktur-Master (eindeutig in Domäne)Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden.

  25. 2.3 Serverrollen • Schema Master (eindeutig im Forest) Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema definiert alle Objekttypen der AD-Datenbank. • Domänennamen-Master (eindeutig imForest)Er kontrolliert das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Zusätzlich gibt es drei domänenweite FISMOs: • PDC-Emulator (eindeutig in Domäne)Übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere nicht-W2k-Clients oder BDCs enthält. Überwacht Anmeldungen und Paßwortänderungen.

  26. 2.3 AD Dateien im Dateisystem • Dateien liegen standardmäßig unter: Stamm\NTDS • Folgende Dateien sollten vorhanden sein NTDS.DIT die AD Datenbank EDB.LOG das Transaktionsprotokoll EDBxxxx.LOG fortlaufende LOG Dateien EDB.CHK Log Checkpoint RES1(2).LOG Reserve-Log Dateien Temp.EDB Suchoptionen Schema.INI Standard Schema

  27. 2.3 Deinstallation des Active Directory • Programm: DCPROMO.EXE

  28. 2.4 AD Objekte • Benutzer, • Gruppen, • Computer, • Drucker, • Sicherheits- richtlinien, • Dateifreigaben, • Applikationen und • untergeordnete OE.

  29. Lokale Benutzerkonten • Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten. Domänenbenutzerkonten • Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf Netzwerkressourcen zu erhalten • Befinden sich in Active Directory Vordefinierte Benutzerkonten • Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen • Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten) Administrator und Gast 2.4 Benutzerkonten

  30. New Object - User 2.4 Erstellen eines Domänenbenutzerkontos

  31. 2.4 Namenskonventionen • Benutzeranmeldenamenmüssen eindeutig sein • Benutzeranmeldenamen: • Können bis zu 20 Zeichen enthalten • Eine Kombination von speziellen und alphanumerischen Zeichen kann verwendet werden • Eine Namenskonvention sollte: • Eine Regel zum Auflösen von identische Namen enthalten • Temporäre Benutzer identifizieren können

  32. 2.4 Erstellen eines Domänenbenutzerkontos

  33. 2.4 Kennwortrichtlinien • Weisen Sie dem Konto „Administrator“ stets ein Kennwort zu • Legen Sie fest, wer die Kontrolle über dieKennwörter hat • Standardmäßig müssen bei Windows 2003 Kennwörter „stark“ sein

  34. 2.4 Persönliche Eigenschaften • Hinzufügen persönlicher Informationen über Benutzer und Speichern im Active Directory • Verwenden persönlicher Eigenschaften, um Active Directory zu durchsuchen

  35. Benutzer02 User Benutzer03 User Benutzer04 User Benutzer05 User Benutzer06 User Benutzer01User 2.4 Kontoeigenschaften

  36. Standard 2.4 Anmeldeoptionen

  37. 2.4 Anmeldeoptionen • Anmeldezeiten so festlegen, dass sie den Arbeitszeiten der Benutzer entsprechen • Festlegen der Computer, von denen aus sich der Benutzer anmelden kann • Domänenbenutzer können sich standardmäßig an jedem Computer der Domäne anmelden • Domänenbenutzer können auf bestimmte Computer eingeschränkt werden, damit die Sicherheit erhöht wird

  38. \Basis Benutzer1 Benutzer2 Benutzer3 2.4 Servergespeicherte Profile So erstellen sie einen Basisordner: - Erstellen Sie einen Ordner auf einem Server, und geben Sie diesen frei - Erteilen Sie die entsprechende Berechtigung - Benutzerkonto entsprechend konfigurieren

  39. 2.5 Berechtigungen • Umfangreiche Gestaltung • Anlenung an Objektorientierte Standards • Vererbungsstrategie • Zugriffsrechte anstelle von Beschränkungen

  40. 2.5 NTFS-Datei/Ordner Berechtigungen Orderberechtigungen Dateiberechtigungen Lesen Lesen Schreiben Schreiben Ordnerinhalt auflisten Lesen, Ausführen Lesen, Ausführen Ändern Ändern Vollzugriff Vollzugriff Spezial Spezial

  41. 2.5 Kopieren & Verschieben NTFS-Partition C:\ NTFS-Partition E:\ Kopieren oder Verschieben • Durch das Kopieren gehen Berechtigungen verlohren • Nur durch das Verschieben innerhalb einer Partition werden Berechtigungen beibehalten Kopieren NTFS-Partition D:\ Verschieben

  42. Anstelle von Berechtigungen werden einmal für einen Gruppe erteilt Berechtigungen werden für jedes Benutzerkonto einzeln erteilt 2.5 Gruppen • Gruppenmitglieder verfügen über zugewiese Rechte der Gruppe • Benutzer können Mitglieder mehrerer Gruppen sein • Gruppen und Computer können ebenfalls Mitglieder von Gruppen sein

  43. Gruppentypen Sicherheitsgruppen • Verwenden zum Erteilen von Berechtigungen • Können als E-Mail-Verteilungsliste verwendet • werden Verteilergruppen • Können nicht zum Erteilen von Berechtigungen • verwendet werden • Können als E-Mail-Verteilungsliste verwendet • werden 2.5 Gruppentypen und -bereiche Gruppenbereiche Globale Gruppe Verwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren Gruppe der lokalen Domäne Verwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilen Universelle Gruppe Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden

  44. 2.5 Gruppen anlegen und löschen Neues Objekt - Group Erstellen in: nwtraders.msft/Users Gruppenname Gruppenname: Public Gruppenname (Windows NT 3.5x/4.0): Gruppenbereich: Gruppentyp: Lokale Domäne Global Universal Sicherheit Verteiler OK Abbrechen

  45. 2.5 NTFS-Berechtigungen „Verweigern“ setzt andere Berechtigungen außer Kraft

  46. Berechtigungen fürfreigegebene Ordner Lesen Ändern Daten Vollzugriff Benutzer 2.5 Berechtigungen für Freigaben • Benutzer benötigen auf einem NTFS-Datenträger zusätzlich die entsprechende NTFS-Berechtigung • Restriktivste Berechtigung gilt • Empfehlung: Auf Freigabeebene der Gruppe Jeder Vollzugriff erteilen und explizite Berechtigungen über NTFS- Berechtigungen konfigurieren

  47. 2.5 Verbindung zu freigegebenen Ordnern • Verwendung von „Netzwerkumgebung“ -> SUCHEN Freigabenamen mit angehängtem „$“ werden nicht angezeigt • Verwenden von „Netzlaufwerk verbinden“ \\Server\Name_des_freigegebenen_Ordners\Datei • Über Eingabeaufforderung: net use <Laufwerksbuchstaben> <Freigabename>

  48. 2.5 Richtlinien • Dienst läuft unter einem Benutzerkontext • Interne Dienste unter Systemkonten • Externe Dienste unter Benutzerkonten • Default Domain (Controllers) Policy • Unter welchen Berechtigungen Dienste laufen dürfen • Log on as a service /Deny logon as a service

  49. 2.5 Richtlinien

  50. 2.6 Richtlinien • Mit Hilfe des Gruppenrichtilinieneditors lassen sich umfangreiche Einstellungen vornehmen um die Administration zu vereinfachen. • Neben den schon bereits erleuterten Sicherheitseinstellungen können speziell Benutztereinstellungen wie verfügbare Programme, installierte Dienste, Windowseinstellungen und administrative Aufgaben konfiguriert werden. Als Standard existiert am Anfang nur die Default Domain Policy.

More Related