Software
Consulting
HomeDownloadForumBestellenKontaktFür ResellerSitemap
Aktuelle Version: LOGINventory 5.1.5
Sie sind hier: Home AD-Migrations Projekt AD-Grundlagen
Deutsch English

AD-Grundlagen

Das Active Directory (AD) definiert und ordnet alle Elemente des Netzwerks. Physikalische Komponenten, User Accounts, Programme und Daten befinden sich in einer einzigen hierarchischen Datenbank. Regeln und Verknüpfungen lassen sich durch die Verwendung von Organizational Units (OUs), Zugriffsrechten und Trusts einfach und flexibel erstellen.

Active Directory im Vergleich mit dem NT Domain-Modell

Das Windows NT Domain-Modell beinhaltet Primary Domain Controller (PDCs) und Backup Domain Controller (BDCs); der PDC arbeitet als Master Server, während die BDCs diesem untergeordnet sind. Die Verkabelung und die physikalischen Strukturen mussten an das NT Domain-Modell angepasst werden.

Windows 2003 benutzt dagegen ein verteiltes Multi-Master-Verfahren bei den Domain Controllern. Die Aufgaben von NT PDCs können im AD einfach auf mehrere Server verteilt werden; die DC-Replikation kann an die vorhandenen physikalischen Strukturen angepasst werden. Die Netzwerk-Struktur ist ausgerichtet am DNS-Namensraum, der wesentlich flexibler ist als die Namenskonventionen des NT-Modells.

Active Directory Komponenten

  • Forest
  • Tree
  • Domain
  • Organizational Unit (OU)
  • Objekt

Forests und Trees

Ein Tree ist eine hierarchische Anordnung von Domains in einem fortlaufenden Namensraum (z.B. HQ.LOCAL als Stamm-Domain und RES.HQ.LOCAL als untergeordnete Domain). Der Name des Trees ist der Name der Stamm-Domain, im vorliegendem Beispiel HQ.LOCAL. Alle Domains in einem Tree haben einen zweiseitigen transitiven Trust zwischen übergeordneter und untergeordneter Domain.

Ein Forest ist eine Gruppierung von Domain Trees – entweder in einem fortlaufenden oder unabhängigen Namensraum. Die erste Domain in einem Forest ist die Forest-Wurzel, die weder umbenannt noch entfernt werden kann. Der Name des Forest ist gleich dem ersten Tree im Forest. Im Forest existieren zweiseitige transitive Trusts zwischen allen Stamm-Domains aller Trees.

Es sollte möglichst vermieden werden, mehr als einen Forest in einem Unternehmen zu implementieren, insbesondere wenn der Einsatz von Exchange 2000/2003 vorgesehen ist, denn eine "Exchange 2000 Organisation" ist identisch mit einem Forest. Es ist nicht möglich, diese auf mehrere Forests auszudehnen.

Domains

AD-Domains sind durch einen DNS-Namen beschrieben – außerdem besitzen Sie noch einen NetBIOS-Namen, genau wie NT-Domains.

Alle Domains in einem Forest haben folgendes gemeinsam:

  • Schema – die formale Definition aller Objekte, deren Eigenschaften und Beziehungen;
  • Global Catalog (GC) – teilweise Replikation aller Objekte im Forest;
  • Konfiguration – Unternehmsweite Konfigurations-Informationen inkl. Standorte und Netzwerk-Dienste (z.B. Exchange)

Organizational Unit (OU)

OUs bilden in Domains eine besonders nützliche Art von Verzeichnisobjekten. OUs sind Active Directory-Container, denen Sie Benutzer, Gruppen, Computer und andere OUs hinzufügen können. Auch Objekte aus anderen Domains können in einer OU enthalten sein.

Eine OU stellt den kleinsten Bereich oder die kleinste Einheit dar, der Gruppenrichtlinieneinstellungen (GPOs) zugewiesen oder an die Administratorrechte delegiert werden können. Mit Hilfe von OUs können Sie innerhalb einer Domain bestimmte Container erstellen, die die administrativen Strukturen innerhalb Ihrer Organisation widerspiegeln. Die beste Übersetzung ins Deutsche lautet daher "Administrative Einheit".

Gründe zur Benutzung von Administrativen Einheiten (OUs):

  • Schema – die formale Definition aller Objekte, deren Eigenschaften und Beziehungen;
  • Global Catalog (GC) – teilweise Replikation aller Objekte im Forest;
  • Konfiguration – Unternehmsweite Konfigurations-Informationen inkl. Standorte und Netzwerk-Dienste (z.B. Exchange)
Empfehlungen für OUs:
  • Top-Level OUs sollten innerhalb eines Unternehmens (=Forest) standardisiert werden.
  • Maximal 10 OUs Schachtelungstiefe.
  • Der Replikationsaufwand steigt mit der Anzahl und Schachtelungstiefe der OUs.
  • Die Delegation von administrativen Rechten sollte stets auf der OU-Ebene und nicht auf der Objekt Ebene stattfinden.
  • Erzeugen Sie keine OU-Struktur nur um der Strukturen Willen: Die OU-Struktur sollte ausschließlich am Nutzen ausgerichtet werden und selbsterklärend sein.
  • Beim Anlegen einer OU beantworten Sie stets folgende Fragen:
    • Wer soll die OU administrieren?
    • Wofür soll die OU verwendet werden?
  • keep IT simple!