Active DirectoryActive Directory
Im realisierten Einsatz
Option Consulting, Ernst Senn
Ernst Senn / Option Consulting / www.option.ch
Active Directory Active Directory Was ist es?
– Im Gegensatz zu WinNT 4.x– Und dessen historischer Entwicklung – Was enthält es?– Vordefinitionen und Möglichkeit der
Eigendefinitionen Was kann genutzt werden? Was muss genutzt werden? Was sollte nicht genutzt werden?
Welchen Nutzen haben wir davon? Wir: das Unternehmen Wir: die IT- Abteilung / IT-Operation Wir: die Nutzer und Administratoren
Ernst Senn / Option Consulting / www.option.ch
Heutige Themenabgrenzung Heutige Themenabgrenzung als Einstieg in eine Reihe von als Einstieg in eine Reihe von VorträgenVorträgen
Überblick über die „alten“ Möglichkeiten und Unmöglichkeiten
Ausblick in eineeine mögliche ZukunftErarbeitung der nächsten Schritte zur
Realisierung
Ernst Senn / Option Consulting / www.option.ch
Globaler ZusammenhangGlobaler Zusammenhang
Benutzer
Rechner
Domäne
RessourceSofware
V & F
Lehre
KontrolleFreiheit
Active Directory
Ernst Senn / Option Consulting / www.option.ch
Ist-ZustandIst-Zustand– Jede Menge Arbeitsgruppen mit vielen
Problembereichen; meist durch eine echte Administration abstellbar
– Viele Domänen mit ServernTeilweise für nur 3 Workstations
– Wenige Domänen mit den erforderlichen Backupservern (Stichwort Arbeitssicherheit)
– Kaum Domänen mit ausreichendem Administrator-Management
– Nahezu alle Domänen mit überflüssigen Administratoraufgaben
Ernst Senn / Option Consulting / www.option.ch
Wie kam es dazu?Wie kam es dazu? Früher war Windows nur unter Netbios nutzbar
– NBT ist jetzt noch Standard
– Keine zentrale Administrierung vorgesehen/möglich Lieschen Müller Prinzip der Installation
Fehlendes Personal•Temporäre Delegation
•Fluktuation•Fehlende Dokumentation•Besonders durch Fluktuation immer wieder Neuerfindung des Rades
Fehlende Qualifikation•kaum speziell für Administration eingestelltes Dauer-Personal
Ernst Senn / Option Consulting / www.option.ch
Wie kam es dazu?Wie kam es dazu?Sehr starke Strukturierung der einzelnen
Bereiche in der Universität– Hohes Bedürfnis zu Eigenständigkeit– Skepsis gegenüber Anderen
Zu geringes Sachwissen über Möglichkeiten und Unmöglichkeiten– Wenig Fach-Personal– Daraus resultierend teilweise
Falsche Vorstellungen über EinflussmöglichkeitenFalsches Gefühl der Abhängigkeit von Anderen
Ernst Senn / Option Consulting / www.option.ch
ArbeitsgruppeArbeitsgruppeTypische Anwendung in Arbeitsgruppen
– Vertrauen auf kleinster Basis– 2-er Beziehung
Zwischen Chef und Sekretariat möglichIn auch nur geringfügig größeren
Verbünden nicht mehr administrierbarArbeitsgruppen sollen laut Definition
– Nicht mehr als 15-25 Mitglieder (PC) haben– Nur in kleinen Netzen – Sind originär NETBIOS
Ernst Senn / Option Consulting / www.option.ch
Gemeinsame Nutzung von Gemeinsame Nutzung von Ressourcen in ArbeitsgruppenRessourcen in Arbeitsgruppen
PC1
PC2
Benutzer 1 braucht was von PC2
Administrator von PC2 muss die gleiche Identifikation des Benutzers 1 auch auf PC2 einrichtenEine Freigabe muss eingerichtet werden und dem Benutzer die Erlaubnis erteilt werden
Benutzer 1 muss bei Passwortänderungen 2 Systeme ändern
Ernst Senn / Option Consulting / www.option.ch
ZusammenfassungZusammenfassungRessourcennutzung über Arbeitsgruppen
– ist kaum administrierbar– Ist nicht über Router/Gateway möglich, da
NETBIOS nicht geroutet wirdZufallsergebnisse bei Listen
– Erzeugt unnötige NetzlastRundrufe
– Erzeugt unnötige WartezeitenErmitteln des momentanen Masters
Ernst Senn / Option Consulting / www.option.ch
Unvollständige Liste einiger Unvollständige Liste einiger Arbeitsgruppen und DomänenArbeitsgruppen und Domänen
Ernst Senn / Option Consulting / www.option.ch
Einschränkungen in der Einschränkungen in der VergangenheitVergangenheit Alte NT-Domänen waren flach
– max 40.000 unabhängige Objekte (theoretisch) das bedeutet, dass es innerhalb einer Domäne keinerlei
Vererbungsmöglichkeiten gab. Definition für Ressource 1 konnte nicht auf Ressource 2
angewendet/vererbt werden Hoher Verwaltungsaufwand
Administration nicht delegierbar– Prinzip „Alles oder Nichts“
dadurch waren alle Gruppierungen gezwungen eigene Domänen zu erstellen, wenn es nicht möglich war, einen Ober-Administrator und allgemein geltende Systemrichtlinien zu konzipieren oder zu akzeptieren.
Für ALLES war die Domäne die Grenze
Ernst Senn / Option Consulting / www.option.ch
Gemeinsame Nutzung von Gemeinsame Nutzung von Ressourcen in DomänenRessourcen in Domänen
PC1
PC2
Benutzer 1 braucht was von PC2
Administrator von PC2 muss nur eine Freigabe einrichten und Benutzer 1 eine Erlaubnis erteilen
Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen
PDC
PC2 fragt PDC und erhält Erlaubnis
Ernst Senn / Option Consulting / www.option.ch
Einfachere Nutzung von Einfachere Nutzung von Ressourcen in DomänenRessourcen in Domänen
PC1
PC2
Benutzer 1 braucht was von PC2
Administrator von PC2 muss nur eine Freigabe einrichten und Benutzergruppe 1 eine Erlaubnis erteilen
Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen
PDC
PC2 fragt PDC und erhält Erlaubnis
Account-Manager richtet eine Benutzergruppe ein und setzt Benutzer 1 als Mitglied ein
Ernst Senn / Option Consulting / www.option.ch
Administrationsvorteile Administrationsvorteile Domänen / ArbeitsgruppeDomänen / Arbeitsgruppe Einmalige Einrichtung einer Benutzergruppe in
der Domäne Einmalige Einrichtung einer Freigabe auf einem
PC mit Bezug auf Benutzergruppe Einmalige Erlaubnisdefinition der
Benutzergruppe in der Freigabe Zukünftige Änderungen über Account-Manager
der Domäne, der Mitglieder zur Gruppe hinzufügt oder entfernt– schlechte Verfügbarkeit durch 1 zentrale Stelle
– es fehlt auch hier eine Delegationsmöglichkeit
Ernst Senn / Option Consulting / www.option.ch
Überschreitung der Überschreitung der Domänengrenze durch eine Domänengrenze durch eine VertrauensstellungVertrauensstellung
Domäne A
Domäne B
RessourceBenutzer
Benutzergruppe
Vertrauensstellung
Benötigt keine Benutzerdefinitionen
Pflegt nur Benutzerdefinitionen
Dieses Modell nennt Microsoft das Master-Domänen-Modell
Wird Ressourcen-Domäne genannt
Ernst Senn / Option Consulting / www.option.ch
Kostenreduzierung durch Kostenreduzierung durch VertrauensstellungVertrauensstellung
Domäne A
Domäne B
PC1PC3
Benutzer
PC2
UnidirektionalesVertrauen
UnidirektionalesVertrauenBenutzer
Damit lassen sich PC-Bestände gemeinsam nutzen.Kein admin darf irgendetwas in der anderen Domäne
Gefahr durch konkurrierende Benutzerverwaltung
Ernst Senn / Option Consulting / www.option.ch
Die VergangenheitDie Vergangenheit Da keine Administration delegiert werden konnte,
wurden Abgrenzungen durch neue Domänen erzeugt
Die Vielzahl der Domänen war in keiner Weise zentral oder koordiniert administrierbar – und auch der Zusammenhang
Rechte, Berechtigungen, Richtlinien, Vertrauensstellungen, gemeinsame Benutzerdefinitionen
– war nicht zentral steuerbar oder koordinierbar. Auch Administration zwischen wenigen Domänen
geht nur begrenzte Zeit gut
Ernst Senn / Option Consulting / www.option.ch
Domänengrenzen/BeschränkungenDomänengrenzen/BeschränkungenEine Domäne
– ist nicht weiter unterteilbar– Ist Grenze für alles– hat nur 1 Richtlinie für alles– kennt nur gleichberechtigte Administratoren– Ist nicht überführbar in eine andere Domäne
Erst zerstören, dann alle Einzelteile in die andere Domäne übernehmen
absolut unflexibel!!
Ernst Senn / Option Consulting / www.option.ch
Schwierigkeit der Administration Schwierigkeit der Administration der Vertrauensstellungender Vertrauensstellungen Alle Vertrauensstellungen müssen per Hand
eingegeben werden Wenn Domäne A der B vertraut und umgekehrt,
konnten sich die Benutzer der A an den Rechnern der B einloggen und umgekehrt.
Die Besitzer einer Ressource in A konnten Benutzergruppen aus A und B – Zugriffe gestatten
– oder explizit verweigern.
– Vertrauen heißt nicht Einflußnahme
Ernst Senn / Option Consulting / www.option.ch
VertrauensstellungenVertrauensstellungen
Domäne A Domäne B
Domäne CDomäne D
Alle Vertrauensstellungen erfordern je 1 Aktion des Administrators der jeweiligen Domäne
n! – Beziehungen müssen gepflegt werden
Ernst Senn / Option Consulting / www.option.ch
Richtlinien-Probleme durch Richtlinien-Probleme durch DomänengrenzeDomänengrenze
Domäne A
Domäne B
PC1PC3
Benutzer
PC2
UnidirektionalesVertrauen
Sicherheitsrichtlinien wirken nur innerhalb 1 Domäne
Die in der Domäne A erforderlichen Richtlinien der Benutzer bei Nutzung der dortigen PC müssen in Domäne B installiert werden
Problem: Domäne B weiss nichts von PC1 und PC2. Richtlinien sind nicht erstellbar
Richtlinien der Domäne A werden nicht wirksam bei Benutzern der Domäne B
Administrator der Domäne A kann „seinen“ Benutzern nichts an allen PCx ändern
Ernst Senn / Option Consulting / www.option.ch
Probleme durch Probleme durch DomänengrenzenDomänengrenzen Im Endeffekt sind diese Probleme unter NT4 bis
heute nicht nur bei uns nicht gelöst (Prinzip) Gründe der Unlösbarkeit
– Jeder Ressourcendomänen-Administrator hätte zum Administrator der Masterdomäne gemacht werden müssen – mit allen ungewünschten Konsequenzen
– Alle Administratoren hätten 1 Definition gemeinsam nutzen und bearbeiten müssen
Die Definition wäre riesig geworden Hätte zu lange Ladezeiten gehabt Wäre bei vielfachen, konkurrierenden Änderungen und
gegensätzlichen Ansichten nicht mehr handhabbar gewesen
Ernst Senn / Option Consulting / www.option.ch
Heute Heute mitmit Active Directory Active DirectoryErstmals hierarchische Struktur
– Dadurch viele DelegationsmöglichkeitenOber- und Unteradministratoren für viele
Teilgebiete konzipierbar, aber nicht erforderlich!Abgrenzungen sind extrem variabel
– InhaltContainer
– Können Container und Nicht-Container enthaltenNicht-Container
– Leafs – Endknoten; enthalten typischerweise Benutzer, Computer und/oder Gruppen-Objekte
Ernst Senn / Option Consulting / www.option.ch
Inhalt des Active DirectoryInhalt des Active DirectoryDer meistgebräuchliche Containertyp ist
die Organisationseinheit (englisch: organisational unit = OU)
Alle Objekte im AD lassen sich eindeutig identifizieren durch eine Kennung - Global Unique Identifier GUID -,die bei der Erzeugung zugewiesen wird.
Eine GUID ist ein 128-stelliges Zahlenmonster.
Ernst Senn / Option Consulting / www.option.ch
Objekte im Active DirectoryObjekte im Active DirectoryJedes Objekt lässt sich über
Active Directory Services Interface –ADSI-
programmgesteuertscriptgesteuert
ansprechen und verwalten. ADS-Pfade verwenden normalerweise die
Syntax und Regeln, die das Lightweight Directory Access Protocol –LDAP- definiert
Ernst Senn / Option Consulting / www.option.ch
ObjektinhalteObjektinhalte Objekte können
– Definitionen sein
– Dokumentationen sein
– Passiv sein, also durch andere Systemteile zu interpretierende Regeln sein
– Aktiv sein, also selbst Programme oder Scripten sein, die auf passive Teile (Regeln) zugreifen
– Dateisysteme sein, die z.B. zur Installation von Software dienen
– U.s.w.
Ernst Senn / Option Consulting / www.option.ch
Speicherort – erf. HardwareSpeicherort – erf. Hardware Es gibt keine explizite Trennung zwischen DC und
BDC mehr– Erhöhte Sicherheit gegen Ausfall der Domäne– Weniger administrativer Aufwand im Problemfall
Wird auf alle BDC repliziert Replizierung nur der geänderten Teile AD ist 1 Verzeichnis auf dem DC
– Teilweise erheblicher Platzbedarf Im Prinzip keine Größengrenze mehr (40MB bei NT)
– Sehr gute Plattenhardware erforderlich Raidcontroller wird dringend angeraten
– Doppelprozessor wird empfohlen– Gute Netzwerkanbindung ist unabdingbar (100MB)
Ernst Senn / Option Consulting / www.option.ch
DemonstrationDemonstrationAD LagerortVorschlag einer DomänenstrukturVorschlag einer OU-StrukturErgebnisse der Anwendung von
unterschiedlichen Gruppenrichtlinien in unterschiedlichen OU am Beispiel der Pool-PC‘s
Ernst Senn / Option Consulting / www.option.ch
WunschtraumWunschtraum 1 zentrale Domäne ausreichender Leistung
– größtenteils realisiert; Ausbau aber sinnvoll Beliebige Anzahl sog. OU
– Könnten vollständig lokal administriert werden Qualifiziertes Dauerpersonal mit EDV-Kenntnissen ALLE Richtlinien lokal einrichtbar Alle Software lokal einrichtbar bzw. administrierbar
– Könnten statt dessen nach einem zu definierenden Standard einmalig zentral „vor“-administriert werden
Geringe lokale Dauerarbeiten Geringe lokale EDV-Kenntnis notwendig
– Beliebige Anzahl lokaler Server ohne domänenseitigen Administrationsbedarf in einer OU möglich
Ernst Senn / Option Consulting / www.option.ch
Wunschtraum Teil 2Wunschtraum Teil 2Sehr begrenzte Anzahl untergeordneter
Domänen– Mit vollständiger Hardware (DC+BDC)– Nur mit qualifizierten Administratoren
möglich– Mit beliebiger Anzahl von eigenen OU
Betrieb und Art des Betriebes von OU und Sub-Domänen sollten von Personalkapazität abhängig gemacht werden
Ernst Senn / Option Consulting / www.option.ch
Was bleibt zu tun?Was bleibt zu tun? Viel Administratives
und viel neu zu Entdeckendes Definition der zentralen Administrationsvorgaben
Für voll-administrierte OU Für nicht administrierte OU
– Laufende Unterstützung der Admin. Der vorhandenen Sub-Domänen und OU unabdingbar
Definitionen von OU und Sub-Domänen Integration vorhandener Domänen unter möglichst
vollständiger Eliminierung der NT4-Domänen Erzeugung diverser OUs und der Sub-OU der Bereiche
– Integration aller PC in die OUs– Umsetzung der Struktur auf Mitarbeiter– Definition der OU-Administratorenrechte
Ernst Senn / Option Consulting / www.option.ch
Was bleibt zu tun?Was bleibt zu tun?– Benennung „echter“ Administratoren in allen lokal
gemanagten OU oder Sub-Domänen
– Installation eines zentralen Grupperichtliniendienstes mit externer Unterstützung
– Möglicher zentraler Softwaredienst für remote administrierbare Software (z.B. Windows 2000 oder MS-Office)
dadurch z.B. geringere Personalkosten Gesicherte Verteilung und Installation von Updates, Service
Packs und ganz wichtig!! Hot-Fixes Vermeidung lokaler Probleme in den zentral administrierten
Teilen, da defekte bzw. fehlende Softwareteile automatisch vom Betriebssystem aus dem zentralen Pool nachinstalliert werden
Ernst Senn / Option Consulting / www.option.ch
Realisierbare WünscheRealisierbare Wünsche Sichere Datenübertragung
– Weitgehende Eliminierung des NETBIOS– Alles auf reiner TCP/IP-Basis
Unter Domänenstruktur remote einstellbar Unter Windows 2000 nur 2 Doppelklicks und 8 Klicks Unter ME auch lokal einstellbar Unter anderen Win9x-Systemen durch Nachinstallation und
lokales Einstellen Win 3.xy und DOS können hier nicht mehr genutzt werden
Unterbindung bekannter Hackermethoden z.B. „Man in the middle attack“ Durch zentral ?erzwungenen? Einsatz der
betriebssystemseitig vorhandenen Mechanismen (Software-Update-Service)
Ernst Senn / Option Consulting / www.option.ch
Realisierbare WünscheRealisierbare WünscheInstallation lokaler Zuständigkeiten
– reine lokale PrüfaufgabenRechnernamen, TCP/IP-Einstellungen, Lizenzen
– Zusätzliche Beratung und ÜberwachungLokale Updates,
muss fortgesetzt werden