RBG Seminar ActiveDirectory

8/18/2019 RBG Seminar ActiveDirectory

1/29


2/29

Physische vs. logische Struktur Standorte, Dienste und Replikation

Vertrauensstellun en

Active Directory-Objekte

anagement un m n strat onswer zeuge

© 2011 Stefan Berge 07.06.2011 2


3/29

=

◦ Spezielle Rolle eines Windows Servers

◦ Es kann mehrere (gleichberechtigte) Domänencontroller geben

Verzeichnisdienst: Organisation verschiedenster Objekte, wieBenutzer, Gruppen, Computer,…

Möglichkeit der Zugriffskontrolle und berwachung 4 Hauptmerkmale:

◦ Lig tweig t Directory Access Protoco LDAP

◦ Kerberos-Protokoll

◦ Domain Name System (DNS)

© 2011 Stefan Berge 07.06.2011 3


4/29

Verzeichnisdatenspeicher

◦ Datenbank ntds.dit

Standardpfad: %Systemroot%\NTDS

Kopiervorlage: %Systemroot%\System32, wird beim dcpromo in Standardpfad kopiert undggf. durch Replikation aktualisiert

◦ Transaktionsprotokolle

◦ Aufteilung sinnvoll um Performance zu erhöhen

Globaler Katalog

◦ Pro Gesamtstruktur genau 1 Globaler Katalog, aber mehrere Globale Katalog Servermöglich (Ausfallsicherheit!!!)

◦ - anderen Domänen der gleichen Gesamtstruktur

◦ Eigene AD-Partition (Port 3268 TCP)

◦ Schreibgeschützt: Kann nur vom System verändert werden

◦ GC und Infrastructure Master nicht auf der gleichen Maschine, außer alleDomänencontroller der Domäne sind GCs

© 2011 Stefan Berge 07.06.2011 4


5/29

Betriebsmaster

Betriebsmaster sind spezielle Domänencontroller für bestimmte

Schreibvorgänge in die Verzeichnis-Datenbank. Die einzelnen Funktionenwerden als Rolle definiert FSMO = Flexible Sin le-Master O eration .

Gesamtstrukturrollen:

◦ Schemamaster

Schreibrechte für das AD-Schema Administrator muss Mitglied der Sicherheitsgruppe „Schema-Admins“ sein

◦

Hinzufügen und Entfernen sämtlicher Verzeichnispartitionen in der Gesamtstruktur

Hinzufügen/Entfernen von Domänen Hinzufügen/Entfernen von Anwendungsverzeichnispartitionen

© 2011 Stefan Berge 07.06.2011 5


6/29

Betriebsmaster

Domänenrollen:◦ - aster

Verwaltung des RID-Pools (Relative Identifier) und Vergabe von RIDs anDomänencontroller

RID = SID + Domänen ennung

◦ PDC-Emulator

Primärer Domänencontroller für Betriebssysteme vor Windows 2000

Entfällt, da Server 2008 nicht mit Windows 2000 Server kompatibel ist

◦ Infrastrukturmaster

Gruppen

Objektänderungen werden in Gruppenmitgliedschaftslisten aktualisiert

© 2011 Stefan Berge 07.06.2011 6


7/29

◦

Definiert Klassen und Attribute, die in der AD DS

◦ Jedes AD-Objekt ist eine Instanz einer Klasse

◦ as c ema gew r e s e , ass a e e e n erGesamtstruktur einheitlich erstellt und damit vonallen Domänencontrollern verwaltet werdenkönnen.

© 2011 Stefan Berge 07.06.2011 7


8/29

AD DS-Partitionen

Die in der Verzeichnisdatenbank gespeicherten Informationen werden in mehrerelogische Partitionen unterteilt, die jeweils unterschiedliche Informationstypen

speichern. Die AD DS-Partitionen werden auch als Namenskontexte (NamingContexts, NC) bezeichnet.

◦ Folgende Kontexte:

Domain enthält die Domänenobjekte, Gruppen, Users, Computers, usw.

Configuration enthält die Konfiguration der Domäne / Forest und ihre OU Struktur

RootDSE LDAP Standardeinstiegspunkt

Schema hält das Schema der AD Datenbank

NDNC - ,

Tools: LDP.exe, ADSIedit.msc, repadmin.exe, nltest.exe

© 2011 Stefan Berge 07.06.2011 8


9/29

◦

Eine Gesamtstruktur ist eine integrierte Einheit mit

Gemeinsames Schema

eme nsame on gura onsverze c n spar on

Gemeinsamer Globaler Katalog

Gemeinsamer Satz von gesamtstrukturweitenBetriebsmastern und Administratoren

eme nsame on gura on vonVertrauensstellungen

© 2011 Stefan Berge 07.06.2011 9


10/29

Unterteilung einer Gesamtstruktur in kleinere Komponenten

◦ Stamm-, untergeordnete und nebengeordnete Domäne

◦ Domänengrenzen sind Replikationsgrenzen fürDomänenverzeichnispartition und Domäneninformationen im OrdnerSYSVOL

◦

Einfachere Verwaltbarkeit durch Delegation◦ Domänen bieten besseren Zugriffsschutz auf Ressourcen

(Vertrauensstellungen, Policies)

Gründe für mehrere Domänen:

◦ Eigener Namensraum

◦ Eingeschränkter Zugriff auf bestimmte Ressourcen

© 2011 Stefan Berge 07.06.2011 10


11/29

-o Abwärtskompatibilität vs. neue Features

o Domänenfunktionsebene:

o Unterstützun der DFS-Re likation (Distributed File S stem) für SYSVOL

o Unterstützung für AES 128 und 256 (Advanced Encryption Services) für dasKerberos Protokoll

,Computername, Anzahl fehlgeschlagener Anmeldeversuche)

o

Detaillierte Kennwortrichtlinien

© 2011 Stefan Berge 07.06.2011 11


12/29

-o Abwärtskompatibilität vs. neue Features

o Gesamtstrukturebene:

o Vertrauensstellun mit einer anderen Gesamtstruktur

o Domänenumbenennungo Replikation verknüpfter Werte (Es werden nur noch die Änderungen

o Möglichkeit der Bereitstellung von RODCs (Read-Only Domänencontroller)

o Deaktivieren und Umdefinieren von Attributen und Klassen im Schema

© 2011 Stefan Berge 07.06.2011 12


13/29

Verbindun en zwischen mehreren Domänen oder Gesamtstrukturen

Unidirektional (eingehend, ausgehend), bidirektional, transitiv

Externe Vertrauensstellung:

◦ Uni- oder bidirektional; NICHT transitiv!

◦ Wird gewählt bei Zugriff auf Ressourcen einer bestimmten Domäne

Gesamtstrukturvertrauensstellung

◦ Bidirektional und transitiv

◦ Kerberos-Authentifizierung

◦

Zugriff auf Ressourcen von jeder Domäne in jede Domäne◦ Domänenweite und selektive Authentifizierung möglich

© 2011 Stefan Berge 07.06.2011 13


14/29

Komponenten

◦ eines Unternehmens

“„

Verwaltung des Netzwerkverkehrs

◦ Topologie, in der jede Domäne mit jeder anderen

Domäne innerhalb einer Gesamtstruktur eineVerbindung herstellt und regelmäßig überprüft

© 2011 Stefan Berge 07.06.2011 14


15/29

Kleine Bandbreite: Die Replikation zwischen Standorten-

zu sparen. Außerdem kann die Replikation zeitlichgeplant werden.

Unzuverlässige Anbindung: Der Datenverkehr zurClientanmeldung verbleibt innerhalb eines Standorts,wenn der lokale Domänencontroller erreichbar ist.

AD DS-fähige Anwendungen, wie Distributed File System

(DFS) oder Exchange, können mithilfe von Standorten dena enver e r es en zugr s egrenzen o er asMessagerouting basierend auf der Standortkonfigurationverwalten.

© 2011 Stefan Berge 07.06.2011 15


16/29

zwischen Domänencontrollern repliziert.

AD Replikation◦ Replikation der Daten des Active Directory: Benutzer, Computer und

Gruppen. Diese Replikation wird als Multimasterreplikation bezeichnet.Betreibt man die DNS-Zone Active Directory integriert, wird diese ebenfallsrepliziert.

Sysvol Replikation

◦ ,den „Dateireplikationsdienst“ bzw. DFS-R. Hier wird der im Filesystemangesiedelte Teil des AD repliziert.

ep a on er an or n orma onen

◦ Diese Aufgabe übernimmt der KCC (Knowledge Consistency Checker).

© 2011 Stefan Berge 07.06.2011 16


17/29

◦ Replikation der wichtigsten Attribute in den Globalen Katalog. Wird nichts

konfiguriert repliziert das AD per Multimasterreplikation (RPC) innerhalb. .Diese Einstellungen gelten primär für WAN Strecken. SMTP ist nur dann zuempfehlen, wenn „unsichere“ WAN Strecken eingesetzt werden. „Unsicher“heißt für Microsoft in diesem Fall, dass die Strecken des Öfterenunterbrochen sein könnten.

◦ Beim Hinzufügen von neuen Attributen zum GC muss beachtet werden,dass diese ebenfalls auf alle anderen GCs im Forest repliziert werden undzusätz ic e Last au WAN-Strec en erzeugen ann.

DNS Replikation

- .

© 2011 Stefan Berge 07.06.2011 17


18/29

◦

Hierarchische Struktur◦ r e c tert e m n strat on

◦ Delegation möglich auf OU-Ebene

◦

Keine Standard-Container verwenden Organisationsstruktur immer neu abbilden

Standard-OUs nicht verändern

© 2011 Stefan Berge 07.06.2011 18


19/29

Aufgaben:

◦

◦ Gruppenobjekte

© 2011 Stefan Berge 07.06.2011 19


20/29

◦ Drei unterschiedliche Objekttypen:

enutzero e te c er e tspr nc pa

inetOrgPerson (Sicherheitsprincipal)

Kontaktobjekt (Kommunikation)

-

CN Administrator

instanceType 0x4 = (WRITE)

objectCategory CN=Person,CN=Schema,CN=Configuration,DC=…

objectClass Top; person; organizationalPerson; user

objectSid S-1-5-21-678375784-9234653470-…

sAMAccountName Administrator

© 2011 Stefan Berge 07.06.2011 20


21/29

◦ 2 Gruppentypen:

c er e tsgruppe

Dient zur Zuweisung von Berechtigungen auf Netzwerk-

Verteilergruppe

, . .mit Microsoft Exchange

© 2011 Stefan Berge 07.06.2011 21


22/29

◦ Gruppenbereiche:

o a n omäneZum Zuweisen von Rechten auf Ressourcen der lokalen Domäne(ab Windows 2000)

GlobalZum Zuweisen von Rechten auf Ressourcen in allen Domänen

(ab NT4.0)

UniversalZum Zuweisen von Rec ten au Ressourcen in a en Domänender Gesamtstruktur und zwischen vertrauten Gesamtstrukturen(ab Windows 2000)

© 2011 Stefan Berge 07.06.2011 22


23/29

◦ Benutzerkonten von jeder beliebigen Domäne in der

◦ Globale oder universelle Gruppen von jeder

◦ Benutzerkonten oder globale oder universelleGru en von eder beliebi en Domäne in derGesamtstruktur

◦ Verschachtelte domänenlokale Gru en von derlokalen Domäne

© 2011 Stefan Berge 07.06.2011 23


24/29

◦ Benutzerkonten von der Domäne, in der die Gruppe

◦ Verschachtelte globale Gruppen von der gleichen

© 2011 Stefan Berge 07.06.2011 24


25/29

◦ Benutzerkonten von jeder beliebigen Domäne in der

◦ Globale Gruppen von jeder beliebigen Domäne in

◦ Verschachtelte universelle Gruppen von jederbeliebi en Domäne in der Gesamtstruktur

© 2011 Stefan Berge 07.06.2011 25


26/29

- – - -

◦ A(ccounts) go in

G◦ Go a roups neste n

◦ (U(niveral Groups) nested in)

◦

D(omain Local Groups) that are granted◦ P(ermissions).

© 2011 Stefan Berge 07.06.2011 26


27/29

◦ Computerkonto wird beim erstmaligen Eintritt in

über Name, Betriebssystem, Sicherheitsrichtlinien,GUID

◦ Computer muss sich genauso authentifizieren, wieBenutzer (Authentifizierung erfolgt beimRechnerstart)

◦ GUID wird bei jedem Neustart an DC übertragenun e e asc nen erzeugen e nen er erosverschlüsselten Kanal (Secure Channel) mit

© 2011 Stefan Berge 07.06.2011 27


28/29

◦ Active Directory Benutzer und Computer

◦ Active Directory Standorte und Dienste

Systemtools

◦ t.msc

◦ Ldp.exe

◦ t sut .exe

07.06.2011© 2011 Stefan Berge 28


29/29

Stefan Bergetefan Berge

Hochschulrechenzentrumochschulrechenzentrum

49 521 10649 521 106-126102610

[email protected]@uni-bielefeld.deielefeld.de

07.06.2011© 2011 Stefan Berge 29

Documents

RBG Seminar ActiveDirectory