Active Directory: Gesamtstrukturen und Domänen. Active Directory in einfachen Worten (Basis) Was ist eine Active Directory-Gesamtstruktur?

In unseren vorherigen Materialien haben wir allgemeine Probleme im Zusammenhang mit Verzeichnisdiensten und Active Directory besprochen. Jetzt ist es an der Zeit, mit dem Üben fortzufahren. Aber beeilen Sie sich nicht zum Server: Bevor Sie eine Domänenstruktur in Ihrem Netzwerk bereitstellen, müssen Sie diese planen und ein klares Verständnis für den Zweck der einzelnen Server und die Interaktionsprozesse zwischen ihnen haben.

Bevor Sie Ihren ersten Domänencontroller erstellen, müssen Sie sich für dessen Betriebsmodus entscheiden. Der Betriebsmodus bestimmt die verfügbaren Fähigkeiten und hängt von der Version des verwendeten Betriebssystems ab. Wir werden nicht alle möglichen Modi berücksichtigen, außer denen, die im Moment relevant sind. Es gibt drei solcher Modi: Windows Server 2003, 2008 und 2008 R2.

Der Windows Server 2003-Modus sollte nur ausgewählt werden, wenn in Ihrer Infrastruktur bereits Server mit diesem Betriebssystem bereitgestellt sind und Sie planen, einen oder mehrere dieser Server als Domänencontroller zu verwenden. In anderen Fällen müssen Sie abhängig von den erworbenen Lizenzen den Windows Server 2008- oder 2008 R2-Modus auswählen. Es ist zu bedenken, dass der Betriebsmodus einer Domäne immer erhöht, aber nicht verringert werden kann (außer durch Wiederherstellung aus einem Backup). Gehen Sie dieses Problem daher sorgfältig an und berücksichtigen Sie mögliche Erweiterungen, Lizenzen in Zweigstellen usw. usw. usw.

Jetzt werden wir den Prozess der Erstellung eines Domänencontrollers nicht im Detail betrachten; wir werden später auf dieses Thema zurückkommen, aber jetzt möchten wir Sie darauf aufmerksam machen, dass in einer vollwertigen Active Directory-Struktur Domänencontroller vorhanden sein sollten mindestens zwei. Andernfalls setzen Sie sich einem unnötigen Risiko aus, denn wenn Ihr einziger Domänencontroller ausfällt, fällt auch Ihre AD-Struktur aus komplett zerstört. Es ist gut, wenn es relevant ist Sicherheitskopie und Sie werden sich davon erholen können, auf jeden Fall wird Ihr Netzwerk die ganze Zeit über völlig lahmgelegt sein.

Daher müssen Sie unmittelbar nach der Erstellung des ersten Domänencontrollers einen zweiten bereitstellen, unabhängig von der Netzwerkgröße und dem Budget. Der zweite Controller sollte bereits in der Planungsphase bereitgestellt werden und ohne ihn sollte die AD-Bereitstellung gar nicht erst erfolgen. Außerdem sollten Sie die Rolle eines Domänencontrollers nicht mit anderen Serverrollen kombinieren; um die Zuverlässigkeit des Betriebs mit der AD-Datenbank auf der Festplatte zu gewährleisten, ist das Schreib-Caching deaktiviert, was zu einem starken Leistungsabfall führt Festplatten-Subsystem (dies erklärt auch die lange Ladezeit von Domänencontrollern).

Unser Netzwerk sollte daher wie folgt aussehen:

Entgegen der landläufigen Meinung sind alle Controller in einer Domäne gleich, d. h. Jeder Controller enthält vollständige Informationen zu allen Domänenobjekten und kann eine Client-Anfrage bedienen. Dies bedeutet jedoch nicht, dass die Controller austauschbar sind. Wenn dieser Punkt nicht verstanden wird, kommt es oft zu AD-Ausfällen und Ausfallzeiten des Unternehmensnetzwerks. Warum passiert das? Es ist Zeit, sich an die FSMO-Rollen zu erinnern.

Wenn wir den ersten Controller erstellen, enthält dieser alle verfügbaren Rollen und ist auch ein globales Verzeichnis; mit der Einführung des zweiten Controllers werden ihm die Rollen Infrastruktur-Master, RID-Master und PDC-Emulator übertragen. Was passiert, wenn der Administrator beschließt, den DC1-Server vorübergehend zu deaktivieren, um ihn beispielsweise von Staub zu befreien? Auf den ersten Blick ist daran nichts auszusetzen, die Domain wird in den schreibgeschützten Modus wechseln, aber es wird funktionieren. Aber wir haben den globalen Katalog vergessen, und wenn in Ihrem Netzwerk Anwendungen bereitgestellt werden, die ihn erfordern, zum Beispiel Exchange, dann wissen Sie darüber Bescheid, bevor Sie den Deckel vom Server entfernen. Sie werden von unzufriedenen Benutzern lernen und das Management wird wahrscheinlich nicht erfreut sein.

Daraus folgt die Schlussfolgerung: Es müssen mindestens zwei globale Verzeichnisse in der Gesamtstruktur vorhanden sein, vorzugsweise eines in jeder Domäne. Da wir eine Domäne in der Gesamtstruktur haben, müssen beide Server globale Kataloge sein. Dies ermöglicht es Ihnen, jeden der Server problemlos in die Wartung zu versetzen. Das vorübergehende Fehlen jeglicher FSMO-Rollen führt nicht zu einem AD-Fehler, sondern verursacht ihn nur Es ist unmöglich, neue Objekte zu erstellen.

Als Domänenadministrator müssen Sie genau verstehen, wie FSMO-Rollen auf Ihren Servern verteilt werden und wann ein Server außer Betrieb genommen wird langfristigÜbertragen Sie diese Rollen auf andere Server. Was passiert, wenn der Server mit den FSMO-Rollen irreversibel ausfällt? Es ist in Ordnung, wie wir bereits geschrieben haben, jeder Domänencontroller enthält alle notwendigen Informationen, und wenn ein solches Problem auftritt, müssen Sie die erforderlichen Rollen von einem der Controller übernehmen, um den vollen Betrieb wiederherzustellen Der Verzeichnisdienst.

Die Zeit vergeht, Ihre Organisation wächst und sie hat eine Niederlassung auf der anderen Seite der Stadt und es entsteht die Notwendigkeit, ihr Netzwerk in die allgemeine Infrastruktur des Unternehmens einzubinden. Auf den ersten Blick nichts Kompliziertes; Sie richten einen Kommunikationskanal zwischen den Büros ein und platzieren darin einen zusätzlichen Controller. Alles wäre gut, aber es gibt eine Sache. Sie können diesen Server nicht kontrollieren und sind daher nicht ausgeschlossen unautorisierter Zugriff ihm gegenüber, und die örtliche Verwaltung äußert Zweifel an seiner Qualifikation. Was tun in einer solchen Situation? Für diese Zwecke gibt es einen besonderen Controller-Typ: schreibgeschützter Domänencontroller (RODC), diese Funktion Verfügbar in Domänenbetriebsmodi ab Windows Server 2008 und höher.

Der schreibgeschützte Domänencontroller enthält vollständige Kopie alle Domänenobjekte und kann ein globaler Katalog sein, erlaubt Ihnen jedoch keine Änderungen an der AD-Struktur; es ermöglicht Ihnen auch, jeden Benutzer als lokalen Administrator zuzuweisen, wodurch er diesen Server vollständig bedienen kann, aber wiederum ohne Zugriff auf AD-Dienste. In unserem Fall hat der Arzt dies angeordnet.

Wir haben den RODC-Zweig eingerichtet, alles funktioniert, Sie sind ruhig, aber die Benutzer beginnen sich über lange Anmeldungen zu beschweren und die Verkehrsrechnungen zeigen am Ende des Monats einen Überschuss an. Was ist los? Es ist an der Zeit, sich noch einmal an die Gleichwertigkeit der Controller in einer Domäne zu erinnern: Ein Client kann seine Anfrage an jeden Domänencontroller senden, auch an einen, der sich in einem anderen Zweig befindet. Berücksichtigen Sie den langsamen und höchstwahrscheinlich überlasteten Kommunikationskanal – dies ist der Grund für Verzögerungen bei der Anmeldung.

Der nächste Faktor, der unser Leben in dieser Situation vergiftet, ist die Nachahmung. Wie Sie wissen, werden alle auf einem Domänencontroller vorgenommenen Änderungen automatisch an andere weitergegeben. Dieser Vorgang wird als Replikation bezeichnet. Dadurch erhalten Sie eine aktuelle und konsistente Kopie der Daten auf jedem Controller. Der Replikationsdienst kennt unsere Zweigstelle und den langsamen Kommunikationskanal nicht und daher werden alle Änderungen im Büro sofort in die Zweigstelle repliziert, wodurch der Kanal belastet und der Datenverkehr erhöht wird.

Hier kommen wir dem Konzept der AD-Sites nahe, die nicht mit Internetseiten verwechselt werden sollten. Active Directory-Sites stellen eine Methode dar, eine Verzeichnisdienststruktur physisch in Bereiche zu unterteilen, die durch langsame und/oder instabile Kommunikationsverbindungen von anderen Bereichen getrennt sind. Standorte werden auf der Grundlage von Subnetzen erstellt und alle Client-Anfragen werden hauptsächlich an die Controller ihres Standorts gesendet; es ist außerdem äußerst wünschenswert, an jedem Standort ein eigenes globales Verzeichnis zu haben. In unserem Fall müssen wir zwei Websites erstellen: AD-Site 1 für die Zentrale und AD-Site 2 für einen Zweig bzw. einen, da die AD-Struktur standardmäßig bereits eine Site enthält, die alle zuvor erstellten Objekte enthält. Schauen wir uns nun an, wie die Replikation in einem Netzwerk mit mehreren Standorten erfolgt.

Nehmen wir an, dass unsere Organisation ein wenig gewachsen ist und das Hauptbüro bis zu vier Domänencontroller enthält; dies wird als Replikation zwischen Controllern eines Standorts bezeichnet standortintern und es passiert sofort. Die Replikationstopologie basiert auf einem Ringschema mit der Bedingung, dass zwischen den Domänencontrollern nicht mehr als drei Replikationsschritte stattfinden. Das Ringschema wird für bis zu 7 Controller beibehalten, wobei jeder Controller eine Verbindung mit seinen beiden nächsten Nachbarn herstellt mehr Controllern erscheinen zusätzliche Verbindungen und der gemeinsame Ring verwandelt sich in eine Gruppe übereinanderliegender Ringe.

Intersite Die Replikation erfolgt unterschiedlich; in jeder Domäne wird automatisch einer der Server (Bridgehead-Server) ausgewählt, der eine Verbindung mit einem ähnlichen Server an einem anderen Standort herstellt. Standardmäßig erfolgt die Replikation alle 3 Stunden (180 Minuten). Wir können jedoch unseren eigenen Replikationsplan festlegen und um Datenverkehr zu sparen, werden alle Daten in komprimierter Form übertragen. Wenn an einem Standort nur ein RODC vorhanden ist, erfolgt die Replikation unidirektional.

Natürlich sind die Themen, die wir angesprochen haben, sehr tiefgreifend und in diesem Material haben wir sie nur am Rande angesprochen. Dies ist jedoch das notwendige Mindestwissen, das Sie vor der praktischen Implementierung von Active Directory in der Unternehmensinfrastruktur haben müssen. Dadurch können Sie dumme Fehler beim Einsatz und Notsituationen bei der Wartung und Erweiterung der Struktur vermeiden und jedes der angesprochenen Themen wird ausführlicher besprochen.

Active Directory (AD) sind Dienstprogramme, die für das Betriebssystem entwickelt wurden Microsoft-Server. Es wurde ursprünglich als einfacher Algorithmus für den Zugriff auf Benutzerverzeichnisse entwickelt. MIT Windows-Versionen Mit Server 2008 wurde die Integration mit Autorisierungsdiensten eingeführt.

Ermöglicht die Einhaltung von Gruppenrichtlinien, die auf allen gesteuerten PCs mit System Center Configuration Manager die gleichen Einstellungen und Software anwenden.

Wenn in einfachen Worten Für Anfänger handelt es sich hierbei um eine Serverrolle, mit der Sie alle Zugriffe und Berechtigungen in Ihrem lokalen Netzwerk von einem Ort aus verwalten können

Funktionen und Zwecke

Microsoft Active Directory – (das sogenannte Verzeichnis) ein Paket von Tools, mit denen Sie Benutzer und Netzwerkdaten manipulieren können. Hauptziel Erstellung – Erleichterung der Arbeit von Systemadministratoren in großen Netzwerken.

Verzeichnisse enthalten verschiedene Informationen zu Benutzern, Gruppen, Netzwerkgeräten, Dateiressourcen – kurz gesagt, Objekten. Im Verzeichnis gespeicherte Benutzerattribute sollten beispielsweise folgende sein: Adresse, Login, Passwort, Nummer Mobiltelefon usw. Das Verzeichnis wird verwendet als Authentifizierungspunkte, mit dem Sie es herausfinden können notwendige Informationenüber den Benutzer.

Grundlegende Konzepte, die während der Arbeit angetroffen werden

Es gibt eine Reihe spezieller Konzepte, die bei der Arbeit mit AD verwendet werden:

1. Server ist ein Computer, der alle Daten enthält.
2. Der Controller ist ein Server mit der AD-Rolle, der Anfragen von Personen verarbeitet, die die Domäne nutzen.
3. Eine AD-Domäne ist eine Sammlung von Geräten, die unter einem eindeutigen Namen zusammengefasst sind und gleichzeitig eine gemeinsame Verzeichnisdatenbank verwenden.
4. Der Datenspeicher ist der Teil des Verzeichnisses, der für das Speichern und Abrufen von Daten von jedem Domänencontroller verantwortlich ist.

So funktionieren Active Directorys

Die wichtigsten Funktionsprinzipien sind:

• Genehmigung, mit dem Sie Ihren PC einfach durch Eingabe Ihres persönlichen Passworts im Netzwerk nutzen können. Gleichzeitig sind alle Informationen von Kontoübertragen.
• Sicherheit. Active Directory enthält Benutzererkennungsfunktionen. Für jedes Netzwerkobjekt können Sie von einem Gerät aus die erforderlichen Rechte festlegen, die von den Kategorien und bestimmten Benutzern abhängen.
• Netzwerkadministration von einem Punkt. Bei der Arbeit mit dem Active Directory muss der Systemadministrator nicht alle PCs neu konfigurieren, wenn die Zugriffsrechte beispielsweise auf einen Drucker geändert werden müssen. Änderungen werden remote und global durchgeführt.
• Voll DNS-Integration. Mit seiner Hilfe gibt es im AD keine Verwirrung, alle Geräte werden genauso bezeichnet wie im World Wide Web.
• Großer Maßstab. Eine Reihe von Servern kann von einem Active Directory gesteuert werden.
• Suchen nach verschiedenen Parametern hergestellt, z.B. Computername, Anmeldung

Objekte und Attribute

Ein Objekt ist eine Reihe von Attributen, die unter einem eigenen Namen zusammengefasst sind und eine Netzwerkressource darstellen.

Attribut – Merkmale eines Objekts im Katalog. Dazu gehören beispielsweise der vollständige Name und das Login des Benutzers. Aber die Attribute eines PC-Kontos können der Name dieses Computers und seine Beschreibung sein.

„Mitarbeiter“ ist ein Objekt, das die Attribute „Name“, „Position“ und „TabN“ besitzt.

LDAP-Container und Name

Container ist eine Art Objekt, das dies kann aus anderen Objekten bestehen. Eine Domäne kann beispielsweise Kontoobjekte enthalten.

Ihr Hauptzweck ist Objekte organisieren nach Zeichentypen. Am häufigsten werden Container zum Gruppieren von Objekten mit denselben Attributen verwendet.

Fast alle Container bilden eine Sammlung von Objekten ab, und Ressourcen werden einem eindeutigen Active Directory-Objekt zugeordnet. Einer der Haupttypen von AD-Containern ist das Organisationsmodul oder OU (Organisationseinheit). Objekte, die in diesem Container platziert werden, gehören nur zu der Domäne, in der sie erstellt wurden.

Lightweight Directory Access Protocol (LDAP) ist der grundlegende Algorithmus für TCP/IP-Verbindungen. Es soll die Nuancen beim Zugriff auf Verzeichnisdienste reduzieren. LDAP definiert auch die Aktionen, die zum Abfragen und Bearbeiten von Verzeichnisdaten verwendet werden.

Baum und Standort

Ein Domänenbaum ist eine Struktur, eine Sammlung von Domänen, die Folgendes haben allgemeines Diagramm und Konfiguration, die einen gemeinsamen Namensraum bilden und durch Vertrauensbeziehungen verbunden sind.

Ein Domänenwald ist eine Ansammlung miteinander verbundener Bäume.

Ein Standort ist eine Ansammlung von Geräten in IP-Subnetzen, die ein physisches Modell des Netzwerks darstellen, dessen Planung unabhängig von der logischen Darstellung seines Aufbaus erfolgt. Active Directory bietet die Möglichkeit, eine Anzahl von n Standorten zu erstellen oder eine Anzahl von n Domänen unter einem Standort zusammenzufassen.

Active Directory installieren und konfigurieren

Kommen wir nun direkt zum Einrichten von Active Directory Windows-Beispiel Server 2008 (die Vorgehensweise ist bei anderen Versionen identisch):

Klicken Sie auf die Schaltfläche „OK“. Es ist zu beachten, dass solche Werte nicht erforderlich sind. Sie können die IP-Adresse und DNS Ihres Netzwerks verwenden.

• Als nächstes müssen Sie zum Menü „Start“ gehen, „Administration“ und „“ auswählen.
  
• Gehen Sie zum Punkt „Rollen“ und wählen Sie „ Rollen hinzufügen”.
  
• Wählen Sie „Active Directory-Domänendienste“, klicken Sie zweimal auf „Weiter“ und dann auf „Installieren“.
  
• Warten Sie, bis die Installation abgeschlossen ist.
  
• Öffnen Sie das „Start“-Menü-“ Ausführen" Geben Sie dcpromo.exe in das Feld ein.
  
• Weiter klicken".
  
• Wählen " Erstellen neue Domäne im neuen Wald“ und klicken Sie erneut auf „Weiter“.
  
• Geben Sie im nächsten Fenster einen Namen ein und klicken Sie auf „Weiter“.
  
• Wählen Kompatibilitätsmodus(Windows Server 2008).
  
• Belassen Sie im nächsten Fenster alles als Standard.
  
• Wird beginnen KonfigurationsfensterDNS. Da es zuvor noch nicht auf dem Server verwendet wurde, wurde keine Delegation erstellt.
  
• Wählen Sie das Installationsverzeichnis aus.
  
• Nach diesem Schritt müssen Sie festlegen Administrationspasswort.

Um sicher zu sein, muss das Passwort die folgenden Anforderungen erfüllen:

Nachdem AD den Komponentenkonfigurationsprozess abgeschlossen hat, müssen Sie den Server neu starten.

Das Setup ist abgeschlossen, das Snap-In und die Rolle sind auf dem System installiert. AD kann nur auf installiert werden Windows-Familie Server reguläre Versionen, wie 7 oder 10, erlauben möglicherweise nur die Installation der Verwaltungskonsole.

Verwaltung im Active Directory

Standardmäßig arbeitet die Konsole „Active Directory-Benutzer und -Computer“ in Windows Server mit der Domäne, zu der der Computer gehört. Sie können über die Konsolenstruktur auf Computer- und Benutzerobjekte in dieser Domäne zugreifen oder eine Verbindung zu einem anderen Controller herstellen.

Die Tools in derselben Konsole ermöglichen Ihnen die Anzeige Zusätzliche Optionen Objekte verwalten und nach ihnen suchen, Sie können neue Benutzer und Gruppen erstellen und Berechtigungen ändern.

Gibt es übrigens 2 Arten von Gruppen im Asset Directory - Sicherheit und Verteilung. Sicherheitsgruppen sind für die Begrenzung der Zugriffsrechte auf Objekte verantwortlich und können als Verteilergruppen verwendet werden.

Verteilergruppen können keine Rechte differenzieren und werden hauptsächlich zum Verteilen von Nachrichten im Netzwerk verwendet.

Was ist AD-Delegation?

Die Delegation selbst ist Übertragung eines Teils der Berechtigungen und Kontrolle vom Elternteil an einen anderen Verantwortlichen.

Es ist bekannt, dass jede Organisation in ihrem Hauptsitz mehrere Systemadministratoren hat. Verschiedenen Schultern sollten unterschiedliche Aufgaben zugewiesen werden. Um Änderungen anwenden zu können, müssen Sie über Rechte und Berechtigungen verfügen, die in Standard- und Spezialrechte unterteilt sind. Speziell – anwendbar auf bestimmtes Objekt, und Standard ist eine Reihe vorhandener Berechtigungen, die einzelne Funktionen verfügbar oder nicht verfügbar machen.

Vertrauen aufbauen

Es gibt zwei Arten von Vertrauensbeziehungen in AD: „unidirektional“ und „bidirektional“. Im ersten Fall vertraut eine Domäne der anderen, aber nicht umgekehrt; dementsprechend hat die erste Zugriff auf die Ressourcen der zweiten, die zweite jedoch keinen Zugriff. Beim zweiten Typ ist Vertrauen „gegenseitig“. Es gibt auch „ausgehende“ und „eingehende“ Beziehungen. Bei ausgehenden Domänen vertraut die erste Domäne der zweiten und ermöglicht so den Benutzern der zweiten, die Ressourcen der ersten zu nutzen.

Bei der Installation sollten die folgenden Verfahren befolgt werden:

• Überprüfen Netzwerkverbindungen zwischen Controllern.
• Überprüfen Sie die Einstellungen.
• Melodie Namensauflösung für externe Domains.
• Stellen Sie eine Verbindung her von der vertrauenden Domäne.
• Erstellen Sie eine Verbindung von der Seite des Controllers, an den die Vertrauensstellung gerichtet ist.
• Überprüfen Sie die erstellten unidirektionalen Beziehungen.
• Wenn der Bedarf entsteht beim Aufbau bilateraler Beziehungen - eine Installation machen.

Globaler Katalog

Dies ist ein Domänencontroller, der Kopien aller Objekte in der Gesamtstruktur speichert. Es gibt Benutzern und Programmen die Möglichkeit, in jeder Domäne der aktuellen Gesamtstruktur nach Objekten zu suchen Tools zur Attributerkennung im globalen Katalog enthalten.

Der globale Katalog (GC) enthält einen begrenzten Satz von Attributen für jedes Gesamtstrukturobjekt in jeder Domäne. Es empfängt Daten von allen Domänenverzeichnispartitionen in der Gesamtstruktur und wird mithilfe des standardmäßigen Active Directory-Replikationsprozesses kopiert.

Das Schema bestimmt, ob das Attribut kopiert wird. Es gibt eine Möglichkeit Aufbau zusätzliche Eigenschaften , die im globalen Katalog mithilfe des „Active Directory Schema“ neu erstellt wird. Um ein Attribut zum globalen Katalog hinzuzufügen, müssen Sie das Replikationsattribut auswählen und die Option „Kopieren“ verwenden. Dadurch wird eine Replikation des Attributs in den globalen Katalog erstellt. Attributparameterwert isMemberOfPartialAttributeSet wird wahr werden.

Damit Finden Sie den Standort heraus Um einen globalen Katalog zu erstellen, müssen Sie in der Befehlszeile Folgendes eingeben:

Dsquery-Server –isgc

Datenreplikation im Active Directory

Bei der Replikation handelt es sich um einen Kopiervorgang, der durchgeführt wird, wenn es erforderlich ist, gleichermaßen aktuelle Informationen zu speichern, die auf einem beliebigen Controller vorhanden sind.

Es wird produziert ohne Betreiberbeteiligung. Es gibt die folgenden Arten von Replikatinhalten:

• Datenreplikate werden von allen vorhandenen Domänen erstellt.
• Replikate von Datenschemata. Da das Datenschema für alle Objekte in der Active Directory-Gesamtstruktur gleich ist, werden Replikate davon in allen Domänen verwaltet.
• Konfigurationsdaten. Zeigt den Aufbau von Kopien zwischen Controllern. Die Informationen werden an alle Domänen in der Gesamtstruktur verteilt.

Die Haupttypen von Replikaten sind Intra-Node- und Inter-Node-Replikate.

Im ersten Fall wartet das System nach den Änderungen und fordert dann den Partner auf, eine Replik zu erstellen, um die Änderungen abzuschließen. Auch wenn keine Änderungen vorgenommen werden, erfolgt der Replikationsprozess nach einer bestimmten Zeitspanne automatisch. Nachdem Breaking Changes auf Verzeichnisse angewendet wurden, erfolgt die Replikation sofort.

Replikationsvorgang zwischen Knoten passiert dazwischen minimale Belastung des Netzwerks, dadurch werden Informationsverluste vermieden.

Sobald Sie Active Directory in Ihrer Netzwerkumgebung installiert und mit der Implementierung eines Dienstdesigns begonnen haben, das Ihren Geschäftszielen entspricht, werden Sie mit der logischen Struktur von Active Directory arbeiten. Es handelt sich um ein Verzeichnisdienstmodell, das jeden Sicherheitsteilnehmer in einem Unternehmen sowie die Organisation dieser Teilnehmer definiert. Die Active Directory-Datenbank enthält die folgenden Strukturobjekte:

• Abschnitte;
• Domänen;
• Domänenbäume;
• Wälder;
• Websites;
• Organisationseinheiten.

Im Folgenden finden Sie eine Einführung in diese Komponenten und die Konzepte von Vertrauensbeziehungen, die verwendet werden, um Sicherheitfür in verschiedenen Domänen gespeicherte Ressourcen zu erteilen. In Kapitel 5 erfahren Sie, wie diese Bausteine ​​verwendet werden, um bestimmte Ziele zu erreichen (z. B. den Zugriff auf Ressourcen zu schützen) und die Netzwerkleistung zu optimieren. Die Sicherheitsprinzipale selbst (Benutzer, Gruppen und Computer) werden in diesem Kapitel nicht behandelt.
Active Directory-Partitionen
Wie Sie bereits wissen, wird die Active Directory-Datenbank in einer Datei auf der Festplatte jedes Domänencontrollers gespeichert. Es ist in mehrere logische Partitionen unterteilt, in denen jeweils gespeichert wird Verschiedene Arten Information. Active Directory-Partitionen werden als Namenskontexte (NC) bezeichnet. Sie können sie mit dem Ldp.exe- oder ADSI-Bearbeitungstool anzeigen (Abbildung 2-4).

Reis. 2-4. Anzeigen von Active Directory-Partitionen mit dem ADSI-Bearbeitungstool

Abschnitt „Verzeichnisdomäne“.

Im Domänenbereich finden die meisten Aktionen statt. Es enthält alle Domäneninformationen zu Benutzern, Gruppen, Computern und Kontakten: alles, was mit dem Verwaltungstool „Active Directory-Benutzer und -Computer“ angezeigt werden kann.
Die Domänenpartition wird automatisch auf alle Controller in der Domäne repliziert. Die darin enthaltenen Informationen werden von jedem Domänencontroller zur Authentifizierung von Benutzern benötigt.

Abschnitt zur Verzeichniskonfiguration

Der Konfigurationsabschnitt enthält Informationen zur Gesamtstrukturkonfiguration, z. B. Informationen zu Sites, Site-Links und Replikationsverbindungen. Viele Anwendungsprogramme speichern darin Informationen. Exchange Server 2000, Microsoft-Anwendungen Internet sicherheit Und Beschleunigungsserver (ISA) platzieren ihre Konfigurationsinformationen in der Active Directory-Veund nicht in ihrem eigenen Verzeichnisdienst. Wenn Sie die erste ISA-Firewall in Ihrer Organisation installieren, können Sie ein Array konfigurieren, das alle ISA-Konfigurationsinformationen in Active Directory speichert. Weitere ISA-Firewalls lassen sich dann problemlos mit derselben Konfiguration installieren, die aus Active Directory gelesen wird.
Die Veverfügt über Kopien von sich selbst in der gesamten Gesamtstruktur. Jeder Domänencontroller enthält eine beschreibbare Kopie der Konfigurationspartition, und Änderungen an dieser Verzeichnispartition können von jedem Domänencontroller in der Organisation vorgenommen werden. Dies bedeutet, dass Konfigurationsinformationen auf alle Domänencontroller repliziert werden. Wenn die Replikation vollständig synchronisiert ist, verfügt jeder Domänencontroller in der Gesamtstruktur über dieselben Konfigurationsinformationen.

Abschnitt „Verzeichnisschema“.

Der Schemaabschnitt enthält das Schema für die gesamte Gesamtstruktur. Wie Sie bereits wissen, handelt es sich bei einem Schema um eine Reihe von Regeln darüber, welche Objekttypen in Active Directory erstellt werden können, sowie von Regeln für jeden Objekttyp. Die Schemapartition wird auf alle Domänencontroller in der Gesamtstruktur repliziert. Allerdings verwaltet nur ein Domänencontroller, der Schemamaster, eine beschreibbare Kopie der Verzeichnisschemapartition. Alle Änderungen am Schema werden auf dem Schema-Master-Controller vorgenommen und dann auf andere Domänencontroller repliziert.

Globale Katalogpartition

Eine globale GC-Katalogpartition ist keine Partition im eigentlichen Sinne. Sie wird wie eine andere Partition in der Datenbank gespeichert, Administratoren können jedoch keine Informationen direkt darin eingeben. Die GC-Partition ist auf allen GC-Servern schreibgeschützt und wird aus den Inhalten der Datenbanken der Domäne erstellt. Jedes Attribut im Schema hat einen booleschen Wert mit dem Namen isMemberOfTeilweiseAttributeet. Wenn es eingestellt ist WAHR(true), das Attribut wird in das GC-Verzeichnis kopiert.

Kataloganwendungsabschnitte

Der letzte Partitionstyp in Windows Server 2003 Active Directory ist die Verzeichnisanwendungspartition. In Active Directory wird standardmäßig nur ein Typ von Verzeichnisanwendungspartition erstellt, und zwar die Partition, die für den DNS-Serverdienst (Domain Name System) reserviert ist. Wenn Sie die erste integrierte Active Directory-Zone installieren, werden die Anwendungsverzeichnispartitionen ForestDnsZones und DomainDnsZones erstellt. Die Verzeichnisanwendungspartition kann alle Arten von Active Directory-Objekten mit Ausnahme von Sicherheitsprinzipalen speichern. Darüber hinaus werden Kataloganwendungspartitionen erstellt, um den Datenreplikationsprozess zu verwalten, und keines der Kakann auf eine GC-Partition repliziert werden.
Verzeichnisanwendungspartitionen werden zum Speichern anwendungsspezifischer Informationen verwendet. Der Vorteil ihrer Verwendung besteht darin, dass die Replikation von Informationen in die Partition gesteuert werden kann. Für zu dynamische Informationen müssen Replikate verwaltet werden, um den Netzwerkverkehr zu begrenzen. Wenn Sie eine Verzeichnisanwendungspartition erstellen, können Sie angeben, welche Domänencontroller eine Replik der Partition erhalten. Die Domänencontroller, die das Anwendungspartitionsreplikat empfangen, können sich in einer beliebigen Domäne oder einem beliebigen Standort in der Gesamtstruktur befinden.

Das Benennungsschema für Anwendungsverzeichnispartitionen ist identisch mit dem anderer Active Directory-Verzeichnispartitionen. Der DNS-Name für die Koin der Gesamtstruktur „Contoso.com“ lautet beispielsweise dc=Configuration, dc=Contoso, dc=com. Wenn Sie eine Verzeichnisanwendungspartition mit dem Namen AppPartitionl in der Domäne Contoso.com erstellen, lautet ihr DNS-Name dc=AppPartitionl, dc=Contoso, dc=com. Verzeichnisanwendungspartitionen sind hinsichtlich des Ortes, an dem sie erstellt werden, oder genauer gesagt ihres Benennungskontexts, recht flexibel. Beispielsweise können Sie unter AppPartitionl eine zusätzliche Kataloganwendungspartition erstellen. Dadurch erhält die Partition den Namen dc=AppPartition2, dc=AppPartitionl, dc=Contoso, dc=com. Es ist möglich, eine Verzeichnisanwendungspartition mit einem DNS-Namen zu erstellen, der an keine Domäne in der Gesamtstruktur angrenzt. Sie können in der Domäne „Contoso.com“ eine Anwendungspartition mit dem DNS-Namen „dc=AppPartition“ erstellen und so einen neuen Baum in der Gesamtstruktur erstellen.

Notiz. Die Auswahl eines DNS-Namens für den Anwendungs-Namespace hat keine Auswirkungen auf Funktionalität Abschnitt Anwendungen. Der einzige Unterschied besteht in der Konfiguration des LDAP-Clients, der auf die Partition zugreift. Verzeichnisanwendungspartitionen sind für den LDAP-Zugriff vorgesehen, daher muss der Client so konfiguriert werden, dass er den Server im richtigen Namespace sucht.
Das Erstellen einer Verzeichnisanwendungspartition wird dadurch erschwert, dass Berechtigungen für Partitionsobjekte verwaltet werden müssen. Standardmäßigen Active Directory-Partitionen werden Berechtigungen automatisch zugewiesen. Wenn Sie ein Objekt in einer Domänenverzeichnispartition erstellen, werden der Gruppe „Domänen-Admins“ automatisch vollständige Berechtigungen für das Objekt zugewiesen. Wenn Sie ein Objekt in einem Konfigurationsabschnitt oder Verzeichnisschemaabschnitt erstellen, werden Berechtigungen den Benutzerkonten und Gruppen zugewiesen, die zur Stammdomäne der Gesamtstruktur gehören. Da eine Anwendungsverzeichnispartition in jeder Partition in der Verzeichnisdomäne oder als separater Baum in einer Gesamtstruktur erstellt werden kann, gilt der Standardpfad für die Berechtigungszuweisung nicht. Es ist einfach, der Gruppe „Domänenadministratoren“ die volle Kontrolle über die Objekte in einer Partition zu geben, aber es ist nicht klar, welche Domäne die Standarddomäne ist. Daher werden Verzeichnisanwendungspartitionen immer mit einem Verweis auf die Domäne erstellt, die die Sicherheitsbeschreibungen enthält. Diese Domäne wird zur Standarddomäne und wird verwendet, um Objekten im Anwendungsabschnitt des Katalogs Berechtigungen zuzuweisen. Wenn eine Verzeichnisanwendungspartition in einer Verzeichnisdomänenpartition erstellt wird, wird die übergeordnete Domäne als Domäne verwendet, die die Sicherheitsbeschreibungen enthält, und es wird eine Berechtigungsvererbung erstellt. Wenn die Verzeichnisanwendungspartition einen neuen Baum in der Gesamtstruktur erstellt, wird die Stammdomäne der Gesamtstruktur als Domäne verwendet, die die Sicherheitsbeschreibungen enthält.

Beratung. Typischerweise werden Verzeichnisanwendungspartitionen während des Installationsprozesses einer Anwendung erstellt, die die Verwendung einer Verzeichnispartition erfordert. Der Anwendungsinstallationsvorgang muss die Erstellung zusätzlicher Replikate auf anderen Domänencontrollern ermöglichen. Sie können mit dem Dienstprogramm Ntdsutil einen Anwendungskatalog erstellen, dieser wird jedoch normalerweise nicht in einer Unternehmensumgebung verwendet. Verfahren zum Verwalten von Verzeichnisanwendungspartitionen finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Windows-Unterstützung Server 2003). Ausführliche Informationen zu Verzeichnisanwendungspartitionen und zum programmgesteuerten Zugriff darauf finden Sie unter „Verwenden von Anwendungsverzeichnispartitionen“ auf msdn.microsoft.com.

Sobald eine Verzeichnisanwendungspartition mit mehreren Replikaten erstellt wurde, wird die Partitionsreplikation auf die gleiche Weise wie bei anderen Partitionen verwaltet. Weitere Informationen Informationen zur Active Directory-Replikation finden Sie in Kap. 4.

Domänen

Die Domäne ist der Grundbaustein im Active Directory-Dienstmodell. Durch die Installation von Active Directory auf Ihrem laufenden Computer Windows-Steuerung Server 2003 erstellen Sie eine Domäne. Die Domäne dient als Verwaltungsgrenze und definiert auch die Grenzen
zu Sicherheitspolitik. Jede Domäne verfügt über mindestens einen Domänencontroller (optimal sind zwei oder mehr).
Active Directory-Domänen sind hierarchisch organisiert. Die erste Domäne im Unternehmen wird Gesamtstruktur-Stammdomäne es heißt normalerweise Stammdomäne oder Walddomäne. Die Stammdomäne ist Startpunkt für den Active Directory-Namespace. Die erste Domäne in der Contoso-Organisation ist beispielsweise Contoso.com. Die erste Domain könnte sein ernannt(gewidmet) oder nicht zugewiesen(nicht dedizierte) Stammdomäne. Eine designierte Stammdomäne, genannt leere Wurzel ist eine leere Platzhalterdomäne, die für die Ausführung von Active Directory entwickelt wurde. Diese Domäne enthält keine echten Benutzerkonten (Gruppenkonten) und wird zur Zuweisung des Zugriffs auf Ressourcen verwendet. Die einzigen Konten, die in der designierten Stammdomäne enthalten sind, sind Standardbenutzer- und Gruppenkonten, z. B. das Administratorkonto und die globale Gruppe „Domänenadministratoren“. Die nicht zugewiesene Stammdomäne ist die Domäne, in der tatsächliche Benutzer- und Gruppenkonten erstellt werden. Die Gründe für die Wahl einer bestimmten oder nicht zugewiesenen Gesamtstruktur-Stammdomäne werden in Kapitel 1 erläutert. 5.
Die übrigen Domänen im Unternehmen existieren entweder als Peers in Bezug auf die Stammdomäne oder als untergeordnete Domänen. Peer-Domänen befinden sich auf derselben hierarchischen Ebene wie die Stammdomäne. Abbildung 2-5 zeigt das Peer-Domain-Modell.

Reis. 2-5. Als Peers organisierte Active Directory-Domänen

Es wird allgemein akzeptiert, dass Domänen nach der Root-Domäne installiert werden untergeordnete Domänen. Untergeordnete Domänen nutzen denselben Active Directory-Namespace wie die übergeordnete Domäne. Wenn beispielsweise die erste Domäne in der Contoso-Organisation „Contoso.com“ heißt, könnte eine untergeordnete Domäne in dieser Struktur „NAmerica.Contoso.com“ heißen und zur Verwaltung aller Sicherheitsteilnehmer in der Contoso-Organisation in Nordamerika verwendet werden. Wenn die Organisation groß oder komplex genug ist, sind möglicherweise zusätzliche Subdomänen erforderlich, z. B. Sales.NAmerica.Contoso.com. Abbildung 2-6 zeigt die übergeordnete-untergeordnete Domänenhierarchie für die Contoso-Organisation.

Reis. 2-6. Eltern-Kind-Domänenmodell für Contoso Corporation

Domänenbäume

Domänen, die in der Active Directory-Infrastruktur erstellt werden, nachdem die Stammdomäne erstellt wurde, können einen vorhandenen Active Directory-Namespace gemeinsam nutzen oder über einen separaten Namespace verfügen. Um einer neuen Domäne einen separaten Namespace zuzuweisen, müssen Sie einen neuen Domänenbaum erstellen. Unabhängig davon, ob ein einzelner oder mehrere Namespaces verwendet werden, funktionieren zusätzliche Domänen in derselben Gesamtstruktur genau gleich. Das Erstellen zusätzlicher Domänenbäume ist eine reine Organisations- und Benennungsfrage und hat keinerlei Auswirkungen auf die Funktionalität. Ein Domänenbaum enthält mindestens eine Domäne. Sogar eine Organisation mit einer einzelnen Domäne verfügt über einen Domänenbaum. Die Verwendung mehrerer Bäume anstelle von untergeordneten Domänen wirkt sich auf die DNS-Konfiguration aus, wie Sie in Kapitel 1 erfahren werden. 3.

Ein Domänenbaum entsteht, wenn eine Organisation nach der Erstellung einer Gesamtstruktur-Stammdomäne eine Domäne erstellt, aber keinen vorhandenen Namespace verwenden möchte. Wenn im Fall von Contoso eine vorhandene Domänenstruktur den Namespace Contoso.com verwendet, kann eine neue Domäne erstellt werden, die einen völlig anderen Namespace verwendet, z. B. Fabrikam.com. Wenn in Zukunft Domänen erstellt werden müssen, um den Anforderungen einer Fabrikam-Einheit gerecht zu werden, können sie als untergeordnete Elemente der Fabrikam-Domänenstruktur erstellt werden. Abbildung 2-7 zeigt eine Contoso-Organisation mit mehreren Domänenbäumen.

Reis. 2-7. Contoso Corporation mit mehreren Domänenbäumen

Wälder

Wald stellt die am weitesten entfernte Replikation dar und ist die Sicherheitsgrenze für das Unternehmen. Alle Domänen und Domänenbäume sind in einer oder mehreren Active Directory-Gesamtstrukturen vorhanden. Die Gesamtstruktur wird von allen Domänencontrollern in der Gesamtstruktur gemeinsam genutzt. Gemeinsame Komponenten können sein:

• Gemeinsames Schema: Alle Domänencontroller in einer Gesamtstruktur haben das gleiche Schema. Die einzige Möglichkeit, zwei bereitzustellen verschiedene Schemata In einer Organisation besteht die Bereitstellung zweier separater Gesamtstrukturen.
• Abschnitt zur allgemeinen Verzeichniskonfiguration. Alle Domänencontroller in einer Gesamtstruktur verfügen über denselben Konfigurationscontainer, der für die Replikation innerhalb der Gesamtstruktur verwendet wird. Die Vewird häufig von Anwendungen genutzt, die Active Directory unterstützen (Exchange Server 2000 und ISA).
• Allgemeiner globaler Katalog GC. Er enthält Informationen zu allen Objekten in der Gesamtstruktur. Dadurch wird die Suche nach beliebigen Objekten effizienter und Benutzer können sich mit ihrem UPN bei jeder Domäne in der Gesamtstruktur anmelden.
• Eine gemeinsame Gruppe von Administratoren innerhalb einer Gesamtstruktur. INStammdomäne Für die Gesamtstruktur werden zwei Sicherheitsgruppen erstellt. Ihnen werden Berechtigungen gewährt, die kein anderer Benutzer hat. Die Gruppe „Schema-Admins“ ist die einzige Gruppe, die berechtigt ist, das Schema zu ändern, und die Gruppe „Enterprise-Admins“ ist die einzige Gruppe, die berechtigt ist, Aktionen auf Gesamtstrukturebene durchzuführen, wie z. B. das Hinzufügen oder Entfernen von Domänen zur Gesamtstruktur. Die Gruppe „Unternehmensadministratoren“ wird automatisch zu jeder lokalen Administratorengruppe auf Domänencontrollern in jeder Domäne in der Gesamtstruktur hinzugefügt.
• Allgemeine Konfiguration von Vertrauensbeziehungen. Alle Domänen in der Gesamtstruktur werden automatisch so konfiguriert, dass sie allen anderen Domänen in der Gesamtstruktur vertrauen. Vertrauensbeziehungen werden im nächsten Abschnitt ausführlicher besprochen.

Abbildung 2-8 zeigt die Contoso-Gesamtstruktur.

Vertrauensvolle Beziehung

Standardmäßig ist eine Domäne die Grenze für den Zugriff auf Ressourcen in einer Organisation. Mit den entsprechenden Berechtigungen kann jeder Sicherheitsprinzipal (z. B. ein Benutzer- oder Gruppenkonto) auf jede öffentliche Ressource in derselben Domäne zugreifen. Active Directory-Vertrauensstellungen werden verwendet, um Zugriff auf Ressourcen außerhalb der Domäne zu erhalten. Vertrauensvolle Beziehung stellen eine Authentifizierungsbeziehung zwischen zwei Domänen dar, über die Sicherheitsprinzipale die Berechtigung zum Zugriff auf Ressourcen in einer anderen Domäne erhalten können. Es gibt verschiedene Arten von Vertrauensbeziehungen, darunter:

• transitive Vertrauensbeziehungen;
• einseitige Vertrauensbeziehungen;
• Waldvertrauensbeziehungen;
• Vertrauensbeziehungen der Region.

Transitive Trusts

Alle Domänen in einem Baum unterhalten transitive bidirektionale Vertrauensbeziehungen zu anderen Domänen im Baum. Wenn im obigen Beispiel die Domäne NAmerica.Contoso.com als untergeordnete Domäne der Stammdomäne Contoso.com erstellt wird, wird automatisch eine bidirektionale Vertrauensbeziehung zwischen den Domänen NAmerica.Contoso.com und Contoso.com erstellt. Über eine Vertrauensbeziehung kann jeder Benutzer in der Domäne NAmerica.Contoso.com auf jede Ressource in der Domäne Contoso.com zugreifen, für die er über eine Zugriffsberechtigung verfügt. Wenn in der Domäne „Contoso.com“ Sicherheitsprinzipale vorhanden sind (z. B. in einer nicht zugewiesenen Stammdomäne), kann diesen ebenfalls Zugriff auf Ressourcen in der Domäne „NAmerica.Contoso.com“ gewährt werden.

Innerhalb einer Gesamtstruktur werden Vertrauensstellungen entweder als übergeordnete/untergeordnete Vertrauensstellungen oder als Baumstamm-Vertrauensstellungen eingerichtet (BaumWurzel). Ein Beispiel für eine Eltern-Kind-Vertrauensbeziehung ist die Beziehung zwischen den Domänen NAmerica.Contoso.com und Contoso.com. Eine Baumstammvertrauensstellung ist eine Beziehung zwischen zwei Bäumen in einer Gesamtstruktur, beispielsweise zwischen Contoso.com und Fabrikam.com.
Alle Vertrauensstellungen zwischen Gesamtstrukturdomänen sind transitiv. Das bedeutet, dass alle Domänen in der Gesamtstruktur einander vertrauen. Wenn die Domäne Contoso.com der Domäne NAmerica.Contoso.com vertraut und die Domäne Europe.Contoso.com der Domäne Contoso.com vertraut, gibt die Transitivität an, dass die Domäne Europe.Contoso.com auch der Domäne NAmerica.Contoso.com vertraut. Daher Benutzer in der NAmerica-Domäne. Contoso.com kann auf Ressourcen in der Domäne Europe.Contoso.com zugreifen und umgekehrt. Die Transitivitätseigenschaft von Vertrauensbeziehungen gilt für Baumstamm-Vertrauensbeziehungen. Die Domäne NAmerica.Contoso.com vertraut der Domäne Contoso.com und die Domäne Contoso.com vertraut der Domäne Fabrikam.com. Daher lautet die Domain NAmerica. Contoso.com und die Domäne Fabrikam.com verfügen außerdem über transitive Vertrauensbeziehungen zueinander.

Einseitiges Vertrauensverhältnis

Zusätzlich zu den bidirektionalen transitiven Vertrauensstellungen, die beim Erstellen einer neuen untergeordneten Domäne eingerichtet werden, können unidirektionale Vertrauensstellungen zwischen Gesamtstrukturdomänen erstellt werden. Dies geschieht, um den Zugriff auf Ressourcen zwischen Domänen zu ermöglichen, die keine direkte Vertrauensbeziehung haben. Es werden auch einseitige Vertrauensbeziehungen verwendet
werden erstellt, um die Leistung zwischen Domänen zu optimieren, die durch transitive Vertrauensbeziehungen verbunden sind. Diese Einweg-Trusts werden verkürzte Trusts genannt (Abkürzungvertraut). Kurze Vertrauensbeziehungen sind erforderlich, wenn ein häufiger Zugriff auf Ressourcen zwischen Domänen erforderlich ist, die über eine Domänenstruktur oder Gesamtstruktur remote verbunden sind. Ein Beispiel hierfür ist die in Abbildung 2-9 dargestellte Contoso-Gesamtstruktur.

Reis. 2-9. Vertrauensbeziehungen in Contoso Forest

Wenn eine Sicherheitsgruppe in der Domäne „Sales.Europe.Contoso.com“ häufig auf eine Freigabe in der Domäne „Research.NAmerica.Contoso.com“ zugreift, dann gelten Benutzer in der Domäne „Sales.Europe.Contoso.com“, wenn zwischen Domänen nur transitive Vertrauensstellungen bestehen müssen sich bei jeder Domäne in der Baumstruktur authentifizieren, die sich zwischen ihnen und der Domäne befindet, die die Ressource enthält. Diese Arbeitsorganisation ist wirkungslos, wenn häufig auf diese Ressourcen zugegriffen werden muss. Verkürzte Vertrauensstellungen sind direkte, unidirektionale Vertrauensstellungen, die es Benutzern in der Domäne Sales.Europe.Contoso.com ermöglichen, sich effektiv bei der Domäne Research.NAmerica.Contoso.com zu authentifizieren, ohne die gesamte Verzeichnisstruktur durchlaufen zu müssen, um dorthin zu gelangen. Abbildung 2-10 veranschaulicht diese direkten Vertrauensbeziehungen. Wenn dieselbe Vertrauensstellung in einer anderen Richtung hergestellt werden muss, können Sie eine direkte Vertrauensstellung zwischen den beiden Domänen herstellen, indem Sie ihre Rollen vertauschen. (Solche dualen direkten Vertrauensstellungen scheinen transitive Beziehungen zu sein, aber diese exklusiven Vertrauensstellungen erstrecken sich nicht über diese beiden Domänen hinaus).

Waldvertrauensbeziehungen

Waldvertrauensbeziehungen Sind neue Funktion in Windows Server 2003. Sie stellen eine bidirektionale transitive Vertrauensbeziehung zwischen zwei separaten Gesamtstrukturen dar. Durch die Verwendung von Gekann einem Sicherheitsprinzipal, der zu einer Gesamtstruktur gehört, Zugriff auf Ressourcen in einer beliebigen Domäne in einer völlig anderen Gesamtstruktur gewährt werden. Darüber hinaus können sich Benutzer mit demselben UPN bei jeder Domäne in beiden Gesamtstrukturen anmelden.

• Gesind nicht transitiv zu anderen Gesamtstrukturen. Wenn beispielsweise Wald 1 eine Gesamtstruktur-Vertrauensstellung mit Wald2 und Wald2 eine Gesamtstruktur-Vertrauensstellung mit Wald3 hat, dann verfügt Forestl nicht über eine automatische Gesamtstruktur-Vertrauensstellung mit Wald3.
• Geermöglichen nur die gesamtstrukturübergreifende Identifizierung; sie bieten keine anderen Funktionen. Beispielsweise verfügt jede Gesamtstruktur über ein eindeutiges GC-Verzeichnis, Schema und Verzeichniskonfigurationsabschnitt. Informationen werden nicht zwischen den beiden Wäldern kopiert; Waldvertrauensstellungen ermöglichen lediglich die Zuweisung des Zugriffs auf Ressourcen zwischen Wäldern.
• In einigen Fällen müssen Sie eine Vertrauensstellung zwischen allen Domänen in einer Gesamtstruktur und allen Domänen in einer anderen Gesamtstruktur einrichten. Um dies zu erreichen, können Sie unidirektionale, nicht-transitive Vertrauensbeziehungen zwischen einzelnen Domänen in zwei separaten Gesamtstrukturen einrichten.

Abbildung 2-11 zeigt die Gevon Contoso.

Reis. 2-11. Die Contoso-Gesamtstruktur-Vertrauensbeziehung verbindet die Domänen Contoso.com und NWTraders.com, die sich in unterschiedlichen Gesamtstrukturen befinden

Vertrauensbeziehungen der Region

Die letzte Vertrauensart ist die Bereichsvertrauensstellung. (ReichVertrauen). Sie werden zwischen einer Windows Server 2003-Domäne oder -Gesamtstruktur und einer Nicht-Windows-Implementierung des Kerberos v5-Bereichs installiert. Die Kerberos-Sicherheit basiert auf einem offenen Standard, und es gibt andere Netzwerksicherheitssysteme, die auf dem Kerberos-Protokoll basieren. Bereichsvertrauensstellungen können zwischen allen Kerberos-Bereichen erstellt werden, die den Kerberos v5-Standard unterstützen. Bereichsvertrauensstellungen können unidirektional oder bidirektional sein und können als transitiv oder nicht transitiv konfiguriert werden.

Websites

Alle bisher besprochenen logischen Komponenten von Active Directory sind weitgehend unabhängig von der physischen Netzwerkinfrastruktur. Wenn Sie beispielsweise eine Domänenstruktur für ein Unternehmen entwerfen, ist der Standort der Benutzer nicht die wichtigste Frage. Alle Benutzer einer Domäne können sich in einem einzelnen Bürogebäude oder in Büros auf der ganzen Welt befinden. Die Unabhängigkeit logischer Komponenten von der Netzwerkinfrastruktur entsteht durch die Nutzung von Standorten in

Active Directory.

Sites stellen die Verbindung zwischen logischen Active Directory-Komponenten und der physischen Netzwerkinfrastruktur her. Webseite stellt einen Bereich des Netzwerks dar, in dem alle Domänencontroller über eine schnelle, kostengünstige und zuverlässige Netzwerkverbindung verbunden sind. In den meisten Fällen enthält eine Site ein oder mehrere verbundene Internet Protocol (IP)-Subnetze lokales Netzwerk(LAN) oder schnelles Weitverkehrsnetz (WAN), verbunden mit dem Rest des Netzwerks über langsamere WAN-Verbindungen.
Der Hauptgrund für die Erstellung von Websites besteht darin, den Netzwerkverkehr verwalten zu können, der langsame Netzwerkverbindungen erfordert. Sites werden verwendet, um den Netzwerkverkehr innerhalb eines Windows Server 2003-Netzwerks auf drei verschiedene Arten zu steuern.

• Reproduzieren. Eine der wichtigsten Möglichkeiten, wie Websites den Netzwerkverkehr optimieren, ist die Verwaltung des Replikationsverkehrs zwischen Domänencontrollern und GC-Servern. Innerhalb der Site werden alle am Verzeichnis vorgenommenen Änderungen innerhalb von etwa fünf Minuten kopiert. Der Replikationsplan zwischen Standorten kann so gesteuert werden, dass die Replikation außerhalb der Geschäftszeiten erfolgt. Standardmäßig wird der Replikationsverkehr zwischen Standorten komprimiert, um Netzwerkbandbreite zu sparen; der Replikationsverkehr innerhalb eines Standorts wird nicht komprimiert. (Kapitel 4 enthält weitere Einzelheiten zu den Unterschieden zwischen standortinterner und standortübergreifender Replikation.)
• Identifikation. Wenn sich ein Benutzer über einen laufenden Client bei einer Windows Server 2003-Domäne anmeldet Windows-System 2000 oder Microsoft Windows XP Professional versucht der Computer des Clients, eine Verbindung zu einem Domänencontroller herzustellen, der sich am selben Standort befindet, an dem sich der Client befindet. In Kapitel 3 wird erläutert, wie jeder Domänencontroller standortspezifische Service Locator (SRV)-Datensätze registriert. Wenn ein Clientcomputer versucht, einen Domänencontroller zu finden, fragt er immer DNS-Server nach Standorteinträgen ab. Das bedeutet, dass der Client-Anmeldeverkehr innerhalb der Site verbleibt. Wenn die Domäne auf der nativen Windows 2000- oder Windows Server 2003-Funktionsebene ausgeführt wird, versucht der Client während der Anmeldung, das GC-Verzeichnis zu finden. Wenn die Site über einen GC-Server verfügt, stellt der Client eine Verbindung zu diesem Server her. (Die Rolle von Sites bei der Suche nach Domänencontrollern wird in Kapitel 3 ausführlich besprochen.)

Notiz. Client-Computer Windows NT 4 SP6a ausgeführte Benutzer können sich bei Active Directory-Domänencontrollern registrieren, wenn sie den Directory Services Client installiert haben, der unter http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp heruntergeladen werden kann . Für Clients, die nicht von Windows 95 oder Windows 98 aktualisiert wurden, ist die Directory Services Client-Software auf der Windows Server 2000-CD verfügbar.

• Netzwerkdienste, die das Vorhandensein von Standorten berücksichtigen. Die dritte Methode, die es Websites ermöglicht, einen hohen Wert beizubehalten Durchsatz besteht darin, Clientverbindungen zu einer Site auf nur solche Anwendungen und Dienste zu beschränken, die das Vorhandensein von Sites berücksichtigen. Verwenden Sie beispielsweise verteilt Dateisystem(DFS – Distributed File System) können Sie mehrere Replikate eines Ordners an verschiedenen Standorten im Netzwerk erstellen. Da DFS auf Standorterkennung ausgelegt ist, versuchen Clientcomputer immer, auf das DFS-Replikat an ihrem eigenen Standort zuzugreifen, bevor sie WAN-Links verwenden, um auf Informationen an einem anderen Standort zuzugreifen.

Jeder Computer im Windows Server 2003-Netzwerk wird einem Standort zugewiesen. Wenn Active Directory installiert ist Windows-Umgebung Server 2003 wird eine Standardsite mit dem Namen „Standardname der ersten Site“ erstellt, und alle Computer in der Gesamtstruktur werden dieser Site zugewiesen, sofern keine weiteren Sites erstellt werden. Wenn zusätzliche Standorte erstellt werden, werden diese IP-Subnetzen zugeordnet. Wenn ein Server unter Windows Server 2003 zum Domänencontroller wird, wird er automatisch dem Standort zugewiesen, der der IP-Adresse des Computers zugewiesen ist. Bei Bedarf können Sie Domänencontroller mithilfe des Verwaltungstools für Active Directory-Standorte und -Dienste zwischen Standorten verschieben.
Clientcomputer erkennen ihre Sites beim ersten Start und treten der Domäne bei. Da der Client-Computer nicht weiß, zu welchem ​​Standort er gehört, stellt er eine Verbindung zu einem beliebigen Domänencontroller in der Domäne her. Während des Anmeldevorgangs teilt der Domänencontroller dem Client mit, zu welcher Site er gehört, und der Client speichert diese Informationen für die nächste Anmeldung zwischen.
Notiz. Wenn ein Domänencontroller oder Clientcomputer eine IP-Adresse hat, die keiner bestimmten Site zugeordnet ist, wird diesem Computer der standardmäßige erste Sitename der Site zugewiesen. Jeder Computer, der Teil einer Windows Server 2003-Domäne ist, muss zu einem Standort gehören.
Wie oben erwähnt, gibt es in Active Directory keine direkte Verbindung zwischen Sites und anderen logischen Konzepten. Eine Site kann mehr als eine Domäne enthalten und eine Domäne kann zu mehreren Sites gehören. Abbildung 2-12 zeigt, dass die Seattle-Site zwei Domänen enthält: Contoso.com und NAmerica.Contoso.com. Die NWTraders.com-Domäne ist auf mehrere Websites verteilt.

Hinweise: Websites werden in anderen Kapiteln ausführlich besprochen. Kapitel 3 beschreibt detailliert die Rolle von DNS und Client-Anmeldeseiten. In Kapitel 4 werden die Rolle von Sites bei der Replikation und die Erstellung und Konfiguration von Sites erläutert. Kapitel 5 gibt genaue Information beim Entwerfen der optimalen Standortkonfiguration für eine Active Directory-Gesamtstruktur.
Organisationseinheiten
Durch die Implementierung mehrerer Domänen in einer Gesamtstruktur als ein oder mehrere Bäume kann Windows Server 2003 Active Directory skaliert werden, um Verzeichnisdienste für Netzwerke jeder Größe bereitzustellen. Viele der Komponenten von Active Directory, wie der globale Katalog und automatische transitive Vertrauensstellungen, sind darauf ausgelegt, die Verwendung und Verwaltung eines Unternehmensverzeichnisses effizient zu gestalten, unabhängig von der Größe des Verzeichnisses.
Organisationseinheiten (OU) sollen die Verwaltung von Active Directory vereinfachen. Organisationseinheiten werden verwendet, um die Verwaltung einer einzelnen Domäne effizienter zu gestalten, anstatt sich mit der Verwaltung mehrerer Active Directory-Domänen befassen zu müssen. OUs dienen dazu, eine hierarchische Struktur innerhalb einer Domäne zu schaffen. Eine Domäne kann Hunderttausende Objekte enthalten. Es ist schwierig, so viele Objekte zu verwalten, ohne die Objekte in logischen Gruppen zu organisieren. Organisationseinheiten erfüllen genau diese Funktionen. Abbildung 2-13 zeigt ein Beispiel einer OU-Struktur in Contoso Corporation.

Reis. 2-13. Beispiel für die Struktur einer Organisationseinheit

Organisationseinheiten sind Objektcontainer, die verschiedene Arten von Verzeichnisdienstobjekten enthalten:

• Computers;
• Kontakte;
• Gruppen;
• inetOrgPerson;
• Drucker;
• Benutzer;
• öffentliche Ordner;
• Organisationseinheiten.

Organisationseinheiten dienen der Gruppierung von Objekten zu Verwaltungszwecken. Sie können administrative Rechte delegieren und eine Gruppe von Objekten als separate Einheit verwalten.
Mithilfe von Organisationseinheiten administrative Rechte delegieren
Mithilfe von Organisationseinheiten können administrative Rechte delegiert werden. Beispielsweise kann einem Benutzer das Recht erteilt werden, Verwaltungsaufgaben in einer bestimmten Organisationseinheit auszuführen. Hierbei kann es sich um hochrangige Rechte handeln, bei denen der Benutzer die volle Kontrolle über die Organisationseinheit hat, oder um sehr eingeschränkte und spezifische Rechte (z. B. nur die Möglichkeit, Benutzerkennwörter in dieser Organisationseinheit zurückzusetzen). Ein Benutzer, der über Administratorrechte für den Zugriff auf eine Organisationseinheit verfügt, verfügt standardmäßig über keine Administratorrechte außerhalb der Organisationseinheit.
Organisationseinheiten verfügen über eine flexible Struktur für die Zuweisung von Zugriffsrechten auf Objekte innerhalb der OU. In vielen Dialogen Windows-Fenster und in den Eigenschaften-Registerkarten werden sie als Berechtigungen bezeichnet. Die Organisationseinheit OU selbst verfügt über eine Zugriffskontrollliste (ACL – Access Control List), in der Sie dieser OU Zugriffsrechte zuweisen können. Jedes Objekt in einer Organisationseinheit und jedes Attribut eines Objekts verfügt über eine ACL. Dies bedeutet, dass Sie eine sehr genaue Kontrolle über die Administratorrechte haben können, die jedem in dieser Abteilung gewährt werden. Beispielsweise können Sie der Helpdesk-Gruppe das Recht erteilen, Benutzerkennwörter in einer Organisationseinheit zu ändern, ohne die Eigenschaften anderer Benutzerkonten zu ändern. Sie können der Personalabteilung das Recht einräumen, personenbezogene Daten zu jedem Benutzerkonto in jeder Organisationseinheit zu ändern, ihr jedoch keine Rechte an anderen Objekten einräumen.
Verwenden von Organisationseinheiten zur Verwaltung von Objektgruppen
Eine der Funktionen einer Organisationseinheit besteht darin, Objekte in Gruppen zu organisieren, damit diese Objekte auf die gleiche Weise verwaltet werden können. Wenn Sie alle Computer in einer Abteilung gleichermaßen verwalten möchten (z. B. indem Sie einschränken, welche Benutzer das Recht haben, sich beim Betriebssystem anzumelden), können Sie die Computer in einer Organisationseinheit (OU) gruppieren
Legen Sie die Berechtigung „Lokal anmelden“ auf OU-Ebene fest. Diese Berechtigung wird für alle Computer in dieser Organisationseinheit festgelegt. Ein weiteres Beispiel für die Gruppierung von Objekten zu Verwaltungszwecken ist, wenn eine Gruppe von Benutzern dieselbe Standard-Desktopkonfiguration und dieselben Anwendungen benötigt. In diesem Fall werden Benutzer in einer Organisationseinheit zusammengefasst und Gruppenrichtlinien werden zum Konfigurieren des Desktops und zum Verwalten von Anwendungsinstallationen verwendet.
In vielen Fällen werden Objekte in einer Organisationseinheit über Gruppenrichtlinien verwaltet. Der Gruppenrichtlinienobjekt-Editor ist ein Tool, mit dem die Arbeitsumgebung jedes Benutzers verwaltet werden kann. Gruppenrichtlinien können verwendet werden, um Benutzerdesktops zu sperren und sie so zu schützen Standard Ansicht, Bereitstellung von Anmelde- und Abmeldeskripts, Ordnerumleitung. Tabelle 2-3 gibt Auskunft Auswahlliste Die im Gruppenrichtlinienobjekt-Editor verfügbaren Einstellungstypen.
Tisch 2-3. Arten von Gruppenrichtlinieneinstellungen

Gruppenrichtlinien werden am häufigsten auf OU-Ebene zugewiesen. Dies erleichtert die Benutzerverwaltung, da Sie einer Organisationseinheit ein Gruppenrichtlinienobjekt (GPO), beispielsweise eine Softwareinstallationsrichtlinie, zuweisen können, das dann an alle Benutzer oder Computer in der Organisationseinheit verteilt wird.
Warnung. Organisationseinheiten sind keine Sicherheitsteilnehmer. Sie können nicht zum Zuweisen von Berechtigungen zu einer Ressource verwendet werden, sodass Benutzer in der gesamten Organisationseinheit diese Berechtigungen automatisch erben. Organisationseinheiten werden für Verwaltungszwecke verwendet. Sie müssen Gruppen verwenden, um Zugriff auf Ressourcen bereitzustellen.

Active Directory-Grundlagen

Service Active Directory

Erweiterbarer und skalierbarer Verzeichnisdienst Aktiv Verzeichnis ermöglicht Ihnen die effektive Verwaltung von Netzwerkressourcen.

Aktiv Ein Verzeichnis ist ein hierarchisch organisiertes Repository mit Daten über Netzwerkobjekte und bietet praktische Möglichkeiten zum Suchen und Verwenden dieser Daten. Computer läuft aktiv Verzeichnis, genannt Domänencontroller . MIT Active DirectoryFast alle Verwaltungsaufgaben hängen miteinander zusammen.

Die Active Directory-Technologie basiert auf dem Standard Internetprotokolle und hilft, die Netzwerkstruktur klar zu definieren.

Active Directory und DNS

IN Aktiv DirektorjEs wird das Domain Name System verwendet.

DomainName System (DNS) ist ein Standard-Internetdienst, der Computergruppen in Domänen organisiert.DNS-Domänen haben eine hierarchische Struktur, die die Grundlage des Internets bildet. Die verschiedenen Ebenen dieser Hierarchie identifizieren Computer, Organisationsdomänen und Domänen Höchststufe. DNS dient auch zur Auflösung von Hostnamen, z.B. z eta.webatwork.com an numerische IP-Adressen wie 192.168.19.2. Mithilfe von DNS kann die Active Directory-Domänenhierarchie in den Internetraum integriert oder unabhängig und vom externen Zugriff isoliert bleiben.

Zugriff auf Ressourcen in Die Domäne verwendet den vollständig qualifizierten Hostnamen, zum Beispiel zeta.webatwork.com. Hierzeta– der Name des einzelnen Computers, webatwork – die Domäne der Organisation und com – die Top-Level-Domäne. Top-Level-Domains bilden die Grundlage der DNS-Hierarchie und werden daher aufgerufen Root-Domänen (Root-Domänen). Sie sind geografisch organisiert, wobei die Namen auf zweibuchstabigen Ländercodes basieren (rufür Russland), nach Art der Organisation (Hunderter für kommerzielle Organisationen) und für bestimmte Zwecke ( Mil für militärische Organisationen).

Reguläre Domänen wie microsoft.com, werden genannt Eltern (übergeordnete Domäne), da sie die Grundlage der Organisationsstruktur bilden. Übergeordnete Domänen können in Unterdomänen verschiedener Zweige oder entfernter Zweige unterteilt werden. Zum Beispiel der vollständige Computername in Microsoft Office in Seattle könnte es jacob.seattle.microsoft.com sein , Wo Jacob- Computername, Sehoch - Subdomain und microsoft.com ist die übergeordnete Domain. Ein anderer Name für die Subdomain ist untergeordnete Domäne (Unterdomäne).

Komponenten Aktiv Verzeichnis

Active Directory vereint die physische und logische Struktur für Netzwerkkomponenten. Logische Active Directory-Strukturen helfen bei der Organisation von Verzeichnisobjekten und der Verwaltung von Netzwerkkonten und -freigaben. Die logische Struktur umfasst die folgenden Elemente:

Organisationseinheit - eine Untergruppe von Computern, die normalerweise die Struktur des Unternehmens widerspiegelt;

Domäne ( Domain) - eine Gruppe von Computern, die sich eine gemeinsame Katalogdatenbank teilen;

Domänenbaum (Domain Baum) – eine oder mehrere Domänen, die einen zusammenhängenden Namensraum teilen;

Domänenwald - ein oder mehrere Bäume, die Verzeichnisinformationen teilen.

Physische Elemente helfen bei der Planung der tatsächlichen Netzwerkstruktur. Basierend auf physischen Strukturen werden Netzwerkverbindungen und physische Grenzen von Netzwerkressourcen gebildet. Die physische Struktur umfasst die folgenden Elemente:

Subnetz ( Subnetz) - Netzwerkgruppe mit einem angegebenen Bereich IP-Adressen und Netzwerkmaske;

Webseite ( Website) - ein oder mehrere Subnetze. Die Site wird zum Konfigurieren des Zugriffs auf das Verzeichnis und zur Replikation verwendet.

Organisationseinheiten

Organisationseinheiten (OUs) sind Untergruppen innerhalb von Domänen, die häufig die funktionale Struktur einer Organisation widerspiegeln. Organisationseinheiten sind eine Art logische Container, in denen Konten, Freigaben und andere Organisationseinheiten untergebracht sind. Sie können beispielsweise in einer Domäne erstellen microsofT. com Abteilungen Ressourcen, ES, Marketing. Dieses Schema kann dann um untergeordnete Einheiten erweitert werden.

Es dürfen nur Objekte aus der übergeordneten Domäne im OP platziert werden. Beispielsweise enthalten Organisationseinheiten aus der Domäne Seattle.microsoft.com nur Objekte aus dieser Domäne. Fügen Sie von dort aus Objekte hinzuMj. Microsoft.com ist nicht erlaubt. OP sind sehr praktisch bei der Bildung einer funktionellen oder Unternehmensstrukturen Organisationen. Dies ist jedoch nicht der einzige Grund für ihre Verwendung.

Mit OPs können Sie Gruppenrichtlinien für eine kleine Gruppe von Ressourcen in einer Domäne definieren, ohne sie auf die gesamte Domäne anwenden zu müssen. OP erstellt kompakte und besser verwaltbare Ansichten von Verzeichnisobjekten in einer Domäne, wodurch Sie Ressourcen effizienter verwalten können.

Mit OPs können Sie Berechtigungen delegieren und den Verwaltungszugriff auf Domänenressourcen steuern, wodurch die Grenzen der Administratorberechtigungen in der Domäne festgelegt werden können. Es ist möglich, Benutzer A administrative Rechte für nur eine OU zu erteilen und gleichzeitig administrative Rechte für alle OUs in der Domäne an Benutzer B zu übertragen.

Domänen

Domain Active Directory ist eine Gruppe von Computern, die eine gemeinsame Verzeichnisdatenbank nutzen. Active Directory-Domänennamen müssen eindeutig sein. Beispielsweise kann es nicht zwei Domänen geben Microsoft.com, es kann jedoch eine übergeordnete Domäne microsoft.com mit untergeordneten Domänen Seattle.microsoft.com und geben My.microsoft.com. Wenn die Domäne Teil eines geschlossenen Netzwerks ist, darf der der neuen Domäne zugewiesene Name nicht mit vorhandenen Domänennamen in diesem Netzwerk in Konflikt stehen. Wenn die Domäne Teil ist globales Netzwerk Internet, sein Name darf nicht mit einem vorhandenen Internetdomänennamen in Konflikt stehen. Um sicherzustellen, dass Namen im Internet eindeutig sind, muss der übergeordnete Domänenname bei einer autorisierten Registrierungsorganisation registriert werden.

Jede Domäne verfügt über eigene Sicherheitsrichtlinien und Vertrauensbeziehungen zu anderen Domänen. Häufig sind Domänen über mehrere physische Standorte verteilt, das heißt, sie bestehen aus mehreren Standorten und Standorte fassen mehrere Subnetze zusammen. In der Domänenverzeichnisdatenbank werden Objekte gespeichert, die Konten für Benutzer, Gruppen und Computer sowie freigegebene Ressourcen wie Drucker und Ordner definieren.

Die Funktionen einer Domäne werden durch die Art ihrer Funktionsweise begrenzt und reguliert. Es gibt vier Domänenfunktionsmodi:

gemischter Modus Windows 2000 (gemischter Modus) - unterstützt Domänencontroller unter Windows NT 4.0, Wi dows 2000 und Windows Server 2003;

Nativer Windows 2000-Modus - unterstützt Domänencontroller unter Windows 2000 und Windows Server 2003;

Zwischenmodus Windows Server 2003 ( vorläufig Modus) - unterstützt die Ausführung von Domänencontrollern Windows NT 4,0 und Windows Server 2003;

Modus Windows Server 2003 - Unterstützt Domänencontroller unter Windows Server 2003.

Wälder und Bäume

Jede Domain Aktiv Verzeichnis hat DNS-Modellname Microsoft.com. Domänen, die Verzeichnisdaten gemeinsam nutzen, bilden eine Gesamtstruktur. Walddomänennamen in der DNS-Namenshierarchie sind nicht zusammenhängend(nicht zusammenhängend) oder benachbart(zusammenhängend).

Domänen mit einer zusammenhängenden Namensstruktur werden als Domänenbaum bezeichnet. Wenn Gesamtstrukturdomänen nicht zusammenhängende DNS-Namen haben, bilden sie separate Domänenbäume in der Gesamtstruktur. Ein Wald kann einen oder mehrere Bäume umfassen. Die Konsole dient dem Zugriff auf DomänenstrukturenAktiv Verzeichnis- Domänen und Vertrauen (AktivVerzeichnis DomänenUnd Trusts).

Die Funktionen des Waldes werden durch den Funktionsregime des Waldes begrenzt und reguliert. Es gibt drei solcher Modi:

Windows 2000 - Unterstützt Domänencontroller unter Windows NT 4.0, Windows 2000 und Windows Server 2003;

dazwischenliegend ( vorläufig) Windows Server 2003 - unterstützt Domänencontroller unter Windows NT 4.0 und Windows Server 2003;

Windows Server 2003 - Unterstützt Domänencontroller unter Windows Server 2003.

Die neuesten Active Directory-Funktionen sind verfügbar in Windows-Modus Server 2003: Wenn alle Domänen in der Gesamtstruktur in diesem Modus ausgeführt werden, profitieren Sie von einer verbesserten globalen Katalogreplikation und einer effizienteren Replikation von Active Directory-Daten. Sie können außerdem Schemaklassen und -attribute deaktivieren, dynamische Hilfsklassen verwenden, Domänen umbenennen und unidirektionale, bidirektionale und transitive Vertrauensstellungen in der Gesamtstruktur erstellen.

Sites und Subnetze

Webseite ist eine Gruppe von Computern in einem oder mehreren IP-Subnetzen, die zur Planung der physischen Struktur eines Netzwerks verwendet werden. Die Standortplanung erfolgt unabhängig von der logischen Struktur der Domain. Mit Active Directory können Sie mehrere Sites in einer Domäne oder eine Site über mehrere Domänen hinweg erstellen.

Im Gegensatz zu Sites, die sich über mehrere IP-Adressbereiche erstrecken können, verfügen Subnetze über einen bestimmten IP-Adressbereich und eine bestimmte Netzmaske. Subnetznamen werden im Format angegeben Netzwerk/Bitmaske, zum Beispiel 192.168.19.0/24, wo Netzwerkadresse 192.168.19.0 und Netzmaske 255.255.255.0 werden zum Subnetznamen 192.168.19.0/24 zusammengefasst.

Computer werden Standorten basierend auf ihrem Standort in einem Subnetz oder einer Gruppe von Subnetzen zugewiesen. Wenn Computer in Subnetzen in der Lage sind, mit ausreichend hoher Geschwindigkeit zu kommunizieren, werden sie aufgerufen gut vernetzt (gut verbunden).

Im Idealfall bestehen Standorte aus gut verbundenen Subnetzen und Computern. Wenn der Datenverkehr zwischen Subnetzen und Computern langsam ist, müssen Sie möglicherweise mehrere Standorte erstellen. Eine gute Konnektivität bietet Websites einige Vorteile.

Wenn sich ein Client bei einer Domäne anmeldet, sucht der Authentifizierungsprozess zunächst nach einem lokalen Domänencontroller am Standort des Clients. Das bedeutet, dass lokale Controller nach Möglichkeit zuerst abgefragt werden, wodurch der Netzwerkverkehr begrenzt und die Authentifizierung beschleunigt wird.

Verzeichnisinformationen werden häufiger repliziert innen Websites als zwischen Websites. Dies reduziert den durch die Replikation verursachten netzwerkübergreifenden Datenverkehr und stellt sicher, dass lokale Domänencontroller schnell aktualisierte Informationen erhalten.

Sie können die Reihenfolge konfigurieren, in der Verzeichnisdaten repliziert werden Website-Links (Site-Links). Definieren Sie beispielsweise Bridgehead-Server (Brückenkopf) für die Replikation zwischen Standorten.

Der Großteil der Last der standortübergreifenden Replikation fällt auf diesen dedizierten Server und nicht auf einen verfügbaren Standortserver. Websites und Subnetze werden in der Konsole konfiguriert Active Directory - Websites und Dienste(Active Directory-Sites und -Dienste).

Arbeiten mit Domänen Active Directory

Im Netz Windows Server Dienst 2003 AktivVerzeichnisgleichzeitig konfiguriert mitDNS. Allerdings dienen Active Directory-Domänen und DNS-Domänen unterschiedlichen Zwecken. Active Directory-Domänen helfen bei der Verwaltung von Konten, Ressourcen und Sicherheit.

Die DNS-Domänenhierarchie ist in erster Linie für die Namensauflösung konzipiert.

Computer, auf denen Windows XP Professional und Windows 2000 ausgeführt werden, können Active Directory in vollem Umfang nutzen. Sie agieren im Netzwerk als Active Directory-Clients und haben Zugriff auf transitive Vertrauensstellungen, die in einem Baum oder einer Gesamtstruktur von Domänen bestehen. Diese Beziehungen ermöglichen autorisierten Benutzern den Zugriff auf Ressourcen in jeder Domäne in der Gesamtstruktur.

System Windows Server 2003 fungiert als Domänencontroller oder als Mitgliedsserver. Mitgliedsserver werden nach der Installation von Active Directory zu Controllern; Controller werden zu Mitgliedsservern herabgestuft, nachdem Active Directory entfernt wurde.

Beide Prozesse werden durchgeführt Active Directory-Installationsassistent. In einer Domäne können mehrere Controller vorhanden sein. Sie replizieren Verzeichnisdaten untereinander mithilfe eines Multi-Master-Replikationsmodells, das es jedem Controller ermöglicht, Verzeichnisänderungen zu verarbeiten und diese dann an andere Controller weiterzugeben. Bei einer Multi-Master-Struktur tragen standardmäßig alle Controller die gleiche Verantwortung. Sie können jedoch einigen Domänencontrollern für bestimmte Aufgaben Vorrang vor anderen geben, z. B. die Erstellung eines Bridgeheadservers, der beim Replizieren von Verzeichnisdaten an andere Standorte Vorrang hat.

Darüber hinaus lassen sich einige Aufgaben besser auf einem dedizierten Server ausführen. Ein Server, der eine bestimmte Art von Aufgabe bearbeitet, wird aufgerufen Meister der Operationen (Betriebsleiter).

Konten werden für alle Windows 2000-, Windows XP Professional- und Windows Server 2003-Computer erstellt, die einer Domäne angehören, und wie andere Ressourcen auch als Active Directory-Objekte gespeichert. Computerkonten dienen der Kontrolle des Zugriffs auf das Netzwerk und seine Ressourcen. Bevor ein Computer mit seinem Konto auf eine Domäne zugreifen kann, muss er sich einem Authentifizierungsverfahren unterziehen.

Verzeichnisaufbau

Verzeichnisdaten werden Benutzern und Computern über zur Verfügung gestellt Datenspeicher (Datenspeicher) und globale Verzeichnisse (globalKataloge). Obwohl die meisten FunktionenAktivVerzeichnisObwohl sie sich auf die Datenspeicherung auswirken, sind globale Kataloge (GCs) nicht weniger wichtig, da sie für die Anmeldung am System und die Suche nach Informationen verwendet werden. Wenn der GC nicht verfügbar ist, können sich normale Benutzer nicht bei der Domäne anmelden. Die einzige Möglichkeit, diese Bedingung zu umgehen, besteht darin, die Mitgliedschaft lokal zwischenzuspeichern universelle Gruppen.

Der Zugriff und die Verteilung von Active Directory-Daten wird über bereitgestellt Verzeichniszugriffsprotokolle (Verzeichnis ZugangProtokolle) Und Reproduzieren (Reproduzieren).

Die Replikation ist erforderlich, um aktualisierte Daten an Controller zu verteilen. Die Hauptmethode zur Verteilung von Updates ist die Multi-Master-Replikation, einige Änderungen werden jedoch nur von spezialisierten Controllern verarbeitet – Meister der Operationen (Betriebsmeister).

Mit der Einführung von hat sich auch die Art und Weise geändert, wie die Multi-Master-Replikation in Windows Server 2003 durchgeführt wird Katalogabschnitte Anwendungen (AnwendungVerzeichnisPartitionen). Durch sie Systemadministratoren kann Replikationspartitionen in einer Domänengesamtstruktur erstellen. Hierbei handelt es sich um logische Strukturen, die zum Verwalten der Replikation innerhalb einer Domänengesamtstruktur verwendet werden. Sie können beispielsweise eine Partition erstellen, die die Replikation von DNS-Informationen innerhalb einer Domäne übernimmt. Andere Systeme in der Domäne dürfen keine DNS-Informationen replizieren.

Anwendungsverzeichnispartitionen können sein untergeordnetes Element Domäne, ein untergeordnetes Element einer anderen Anwendungspartition oder ein neuer Baum in einer Domänenstruktur. Replikate von Partitionen können auf jedem Active Directory-Domänencontroller gehostet werden, einschließlich globaler Kataloge. Obwohl Anwendungsverzeichnispartitionen in großen Domänen und Gesamtstrukturen nützlich sind, erhöhen sie die Planungs-, Verwaltungs- und Wartungskosten.

Datenspeicher

Das Repository enthält Informationen zu den wichtigsten Objekten des Active Directory-Verzeichnisdienstes – Konten, freigegebene Ressourcen, OP und Gruppenrichtlinien. Manchmal wird ein Data Warehouse einfach aufgerufen Katalog (Verzeichnis). Auf dem Domänencontroller wird das Verzeichnis in der Datei NTDS.DIT ​​gespeichert, deren Speicherort bei der Installation von Active Directory festgelegt wird (dies muss ein NTFS-Laufwerk sein). Einige Verzeichnisdaten können getrennt vom Hauptspeicher gespeichert werden, z. B. Gruppenrichtlinien, Skripte und andere Informationen, die in der SYSVOL-Systemfreigabe aufgezeichnet werden.

Das Teilen von Verzeichnisinformationen wird aufgerufen Veröffentlichung (veröffentlichen). Wenn beispielsweise ein Drucker zur Verwendung in einem Netzwerk geöffnet wird, wird er veröffentlicht. Informationen zu freigegebenen Ordnern werden veröffentlicht usw. Domänencontroller replizieren die meisten Änderungen am Speicher auf Multi-Master-Art. Ein Administrator in einer kleinen oder mittleren Organisation verwaltet die Speicherreplikation selten, da sie automatisch erfolgt, sie kann jedoch entsprechend den Besonderheiten der Netzwerkarchitektur konfiguriert werden.

Es werden nicht alle Verzeichnisdaten repliziert, sondern nur:

Domänendaten – Informationen über Objekte in der Domäne, einschließlich Kontoobjekten, gemeinsam genutzten Ressourcen, OP und Gruppenrichtlinien;

Konfigurationsdaten – Informationen zur Verzeichnistopologie: eine Liste aller Domänen, Bäume und Wälder sowie der Standort von Controllern und GC-Servern;

Schemadaten – Informationen zu allen Objekten und Datentypen, die im Verzeichnis gespeichert werden können; Das Standardschema von Windows Server 2003 beschreibt Kontoobjekte, gemeinsam genutzte Ressourcenobjekte usw. und kann durch die Definition neuer Objekte und Attribute oder das Hinzufügen von Attributen zu vorhandenen Objekten erweitert werden.

Globaler Katalog

Wenn lokales Mitgliedschafts-Caching Universalgruppen werden nicht durchgeführt; die Anmeldung im Netzwerk erfolgt auf Grundlage der im Bürgerlichen Gesetzbuch vorgesehenen Informationen über die Mitgliedschaft in der Universalgruppe.

Es bietet außerdem eine Verzeichnissuche in allen Domänen in der Gesamtstruktur. Regler, Rollenspiel Der GK-Server speichert eine vollständige Replik aller Verzeichnisobjekte in seiner Domäne und eine teilweise Replik von Objekten in anderen Domänen der Gesamtstruktur.

Für die Anmeldung und Suche werden nur wenige Objekteigenschaften benötigt, sodass Teilreplikate verwendet werden können. Um ein Teilreplikat zu erstellen, müssen bei der Replikation weniger Daten übertragen werden, was den Netzwerkverkehr reduziert.

Standardmäßig wird der erste Domänencontroller zum Hauptdomänencontroller. Wenn es also nur einen Controller in einer Domäne gibt, sind der Hauptdomänenserver und der Domänencontroller derselbe Server. Sie können den GC auf einem anderen Controller platzieren, um beim Anmelden die Wartezeit auf eine Antwort zu verkürzen und die Suche zu beschleunigen. Es wird empfohlen, auf jeder Domain-Site einen GC zu erstellen.

Es gibt mehrere Möglichkeiten, dieses Problem zu lösen. Natürlich können Sie einen GC-Server auf einem der Domänencontroller in einem Remote-Büro erstellen. Der Nachteil dieser Methode besteht darin, dass sie die Belastung des GK-Servers erhöht, was möglicherweise zusätzliche Ressourcen und eine sorgfältige Planung der Betriebszeit dieses Servers erfordert.

Eine weitere Problemumgehung besteht darin, universelle Gruppenmitgliedschaften lokal zwischenzuspeichern. In diesem Fall kann jeder Domänencontroller Anmeldeanfragen lokal bearbeiten, ohne den Hauptdomänenserver zu kontaktieren. Dies beschleunigt den Anmeldevorgang und erleichtert die Situation im Falle eines GK-Serverausfalls. Darüber hinaus wird dadurch der Replikationsverkehr reduziert.

Anstatt die gesamte Gruppe im gesamten Netzwerk regelmäßig zu aktualisieren, reicht es aus, die zwischengespeicherten Informationen zur universellen Gruppenmitgliedschaft zu aktualisieren. Standardmäßig erfolgt die Aktualisierung alle acht Stunden auf jedem Domänencontroller, der lokales universelles Gruppenmitgliedschafts-Caching verwendet.

Mitgliedschaft in Universalgruppe individuell für jede Site. Erinnern wir uns daran, dass ein Standort eine physische Struktur ist, die aus einem oder mehreren Subnetzen besteht, die über einen individuellen Satz von IP-Adressen und eine Netzwerkmaske verfügen. Domänencontroller Windows Server 2003 und der GC, auf den sie zugreifen, müssen sich am selben Standort befinden. Wenn mehrere Sites vorhanden sind, müssen Sie auf jeder Site lokales Caching konfigurieren. Darüber hinaus müssen Benutzer, die sich an der Site anmelden, Teil einer Windows Server 2003-Domäne sein, die im Windows Server 2003-Gesamtstrukturmodus ausgeführt wird.

Replikation im Active Directory

Das Verzeichnis speichert drei Arten von Informationen: Domänendaten, Schemadaten und Konfigurationsdaten. Domänendaten werden auf alle Domänencontroller repliziert. Alle Domänencontroller sind gleichberechtigt, d.h. Alle von einem Domänencontroller vorgenommenen Änderungen werden auf alle anderen Domänencontroller repliziert. Die Entwurfs- und Konfigurationsdaten werden auf alle Domänen in der Struktur oder Gesamtstruktur repliziert. Darüber hinaus werden alle Objekte einer einzelnen Domäne und einige Eigenschaften von Waldobjekten im GC repliziert. Dies bedeutet, dass ein Domänencontroller das Schema für einen Baum oder eine Gesamtstruktur, Konfigurationsinformationen für alle Domänen in dem Baum oder der Gesamtstruktur sowie alle Verzeichnisobjekte und Eigenschaften für seine eigene Domäne speichert und repliziert.

Der Domänencontroller, auf dem der GC gespeichert ist, enthält und repliziert Schemainformationen für die Gesamtstruktur, Konfigurationsinformationen für alle Domänen in der Gesamtstruktur und einen begrenzten Satz von Eigenschaften für alle Verzeichnisobjekte in der Gesamtstruktur (er wird nur zwischen GC-Servern repliziert). sowie alle Verzeichnisobjekte und Eigenschaften für Ihre Domain.

Um das Wesentliche der Replikation zu verstehen, betrachten Sie dieses Szenario zum Einrichten eines neuen Netzwerks.

1. In der Domäne Der erste Controller wurde installiert. Dieser Server ist der einzige Domänencontroller. Er ist auch der GK-Server. In einem solchen Netzwerk findet keine Replikation statt, da keine anderen Controller vorhanden sind.

2. In der Domäne Und ein zweiter Controller wird installiert und die Replikation beginnt. Sie können einen Controller als Infrastruktur-Master und den anderen als GC-Server festlegen. Der Infrastruktureigentümer überwacht und fordert GL-Aktualisierungen für geänderte Objekte an. Beide Controller replizieren auch Schema- und Konfigurationsdaten.

3. In der Domäne Und es ist ein dritter Controller verbaut, der über kein Hauptsteuergerät verfügt. Der Infrastrukturmaster überwacht GC-Updates, fordert sie für geänderte Objekte an und repliziert die Änderungen dann auf einen dritten Domänencontroller. Alle drei Controller replizieren auch Schema- und Konfigurationsdaten.

4. Eine neue Domäne B wird erstellt und ihr werden Controller hinzugefügt. Die GC-Server in Domäne A und Domäne B replizieren alle Schema- und Konfigurationsdaten sowie eine Teilmenge der Domänendaten aus jeder Domäne. Die Replikation in Domäne A wird wie oben beschrieben fortgesetzt, außerdem beginnt die Replikation innerhalb von Domäne B.

AktivVerzeichnis Und LDAP

Lightweight Directory Access Protocol (LDAP) ist ein Standardprotokoll für Internetverbindungen in TCP/IP-Netzwerken. LDAP wurde speziell für den Zugriff auf Verzeichnisdienste mit minimalem Overhead entwickelt. LDAP definiert auch die Vorgänge, die zum Abfragen und Ändern von Verzeichnisinformationen verwendet werden.

Kunden Active Directory verwendet LDAP für die Kommunikation mit Computern, auf denen Active Directory ausgeführt wird, wann immer diese sich am Netzwerk anmelden oder nach freigegebenen Ressourcen suchen. LDAP vereinfacht die Verzeichnisverbindung und die Migration von anderen Verzeichnisdiensten zu Active Directory. Um die Kompatibilität zu verbessern, können Sie die Active Directory Services-Schnittstellen verwenden (AktivVerzeichnis Service- Schnittstellen, ADSI).

Operations-Master-Rollen

Der Betriebsmaster übernimmt Aufgaben, die in einem Multi-Master-Replikationsmodell umständlich auszuführen sind. Es gibt fünf Betriebsmasterrollen, die einem oder mehreren Domänencontrollern zugewiesen werden können. Einige Rollen müssen auf Gesamtstrukturebene eindeutig sein, während andere auf Domänenebene eindeutig sein müssen. Die folgenden Rollen müssen in jeder Active Directory-Gesamtstruktur vorhanden sein:

Schema-Master) - verwaltet Aktualisierungen und Änderungen am Verzeichnisschema. Um ein Verzeichnisschema zu aktualisieren, müssen Sie Zugriff auf den Schema-Master haben. Um festzustellen, welcher Server derzeit Eigentümer des Schemas in der Domäne ist, öffnen Sie einfach das Fenster Befehlszeile und geben Sie ein: dsquery server -hatFsmo Schema.

Master für Domainnamen – verwaltet das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Um eine Domain hinzuzufügen oder zu entfernen, benötigen Sie Zugriff auf den Domain Naming Master. Um festzustellen, welcher Server derzeit der Domain-Benennungsmaster ist, geben Sie einfach in das Befehlszeilenfenster ein: dsquery server -hatFsmo Name.

Diese Rollen, die dem gesamten Wald gemeinsam sind, müssen für ihn einzigartig sein.

Die folgenden Rollen sind in jeder Active Directory-Domäne erforderlich.

Relativer ID-Master – weist Domänencontrollern relative Bezeichner zu. Jedes Mal, wenn Sie einen Benutzer oder ein Gruppenobjekt erstellen oder Computercontroller weisen einem Objekt eine eindeutige Sicherheitskennung zu, die aus einer Domänensicherheitskennung und einer eindeutigen Kennung besteht, die vom relativen Kennungsmaster zugewiesen wurde. Um festzustellen, welcher Server derzeit Eigentümer relativer Identifikatoren in der Domäne ist, geben Sie einfach Folgendes in das Befehlszeilenfenster ein: dsqueryServer -hatFsmoloswerden.

PDC-Emulator – Fungiert im gemischten oder mittleren Domänenmodus als Windows NT-Master-Domänencontroller. Es authentifiziert Windows NT-Anmeldungen, verarbeitet Kennwortänderungen und repliziert Aktualisierungen auf dem P DC. Um festzustellen, welcher Server derzeit der PDC-Emulator in der Domäne ist, geben Sie einfach Folgendes in das Befehlszeilenfenster ein dsquery Server - hasfsmo pdc.

Eigentümer der Infrastruktur Meister ) - Aktualisiert Objektverknüpfungen durch Vergleich seiner Katalogdaten mit den GK-Daten. Wenn die Daten veraltet sind, werden Aktualisierungen vom GC angefordert und auf die verbleibenden Controller in der Domäne repliziert. Um festzustellen, welcher Server derzeit Eigentümer der Infrastruktur in der Domäne ist, geben Sie einfach im Befehlszeilenfenster ein dsqueryserver -hasfsmo infr .

Diese Rollen, die für die gesamte Domäne gelten, müssen innerhalb der Domäne eindeutig sein. Mit anderen Worten: Sie können pro Domäne nur einen relativen Identitätsmaster, einen PDC-Emulator und einen Infrastrukturmaster konfigurieren.

Betriebsmasterrollen werden normalerweise automatisch zugewiesen, sie können jedoch neu zugewiesen werden. Wenn ein neues Netzwerk installiert wird, übernimmt der erste Domänencontroller der ersten Domäne alle Betriebsmasterrollen. Wenn später im neuen Baum eine neue untergeordnete Domäne oder Stammdomäne erstellt wird, werden die Betriebsmasterrollen automatisch auch dem ersten Domänencontroller zugewiesen. In einer neuen Domänengesamtstruktur werden dem Domänencontroller alle Betriebsmasterrollen zugewiesen. Wenn in derselben Gesamtstruktur eine neue Domäne erstellt wird, wird ihrem Controller die Rolle des Relative-ID-Masters, Emulator P, zugewiesenDC und Eigentümer der Infrastruktur. Die Rollen des Schemamasters und des Domänennamensmasters verbleiben bei der ersten Domäne in der Gesamtstruktur.

Wenn es in einer Domäne nur einen Controller gibt, übernimmt dieser alle Betriebsmasterfunktionen. Wenn es nur einen Standort im Netzwerk gibt, ist der Standardstandort der Betriebsleiter optimal. Wenn Sie jedoch Domänencontroller und Domänen hinzufügen, müssen Sie manchmal die Betriebsmasterrollen auf andere Domänencontroller verschieben.

Wenn es in einer Domäne zwei oder mehr Domänencontroller gibt, wird empfohlen, zwei Domänencontroller als Betriebsmasterrollen zu konfigurieren. Legen Sie beispielsweise einen Domänencontroller als primären Master für den Betrieb fest und den anderen als Backup, das benötigt wird, wenn der Hauptcontroller ausfällt.

Verwaltung Active Directory

CMithilfe des Active Directory-Dienstes werden Computerkonten erstellt, mit der Domäne verbunden und Computer, Domänencontroller und Organisationseinheiten (OUs) verwaltet.

Für die Verwaltung von Active Directory werden Verwaltungs- und Supporttools bereitgestellt. Die unten aufgeführten Tools sind auch als MMC-Konsolen-Snap-Ins implementiert (Microsoft ManagementKonsole):

Active Directory – Benutzer und Computer (Active Directory Benutzer Und Computers) ermöglicht Ihnen die Verwaltung von Benutzern, Gruppen, Computern und Organisationseinheiten (OU);

Aktiv Verzeichnis- Domänen und Vertrauen ( Aktiv Verzeichnis DomänenUnd Vertrauen ) dient der Arbeit mit Domänen, Domänenbäumen und Domänenwäldern;

Active Directory - Websites UndDienstleistungen (Active Directory-Sites und -Dienste) ermöglicht Ihnen die Verwaltung von Standorten und Subnetzen;

Resultierend Politik (Resultierender Richtliniensatz) Wird verwendet, um die aktuelle Richtlinie eines Benutzers oder Systems anzuzeigen und Änderungen an der Richtlinie zu planen.

IN In Microsoft Windows 2003 Server können Sie direkt über das Menü „Verwaltung“ auf diese Snap-Ins zugreifen.

Ein weiteres Verwaltungstool ist das Snap-In Planen AktivVerzeichnis (Aktiv Verzeichnis Schema) - ermöglicht Ihnen die Verwaltung und Änderung des Verzeichnisschemas.

Befehlszeilen-Dienstprogramme Aktiv Verzeichnis

Objekte verwalten Aktiv Verzeichnis Es gibt Befehlszeilentools, mit denen Sie eine Vielzahl administrativer Aufgaben ausführen können:

DSADD - ergänzt Aktiv Verzeichnis Computer, Kontakte, Gruppen, OP und Benutzer.

DSGET - Zeigt die Eigenschaften von Computern, Kontakten, Gruppen, OPs, Benutzern, Standorten, Subnetzen und Servern an, die in registriert sind Aktiv Verzeichnis.

DSMOD - Ändert die Eigenschaften von Computern, Kontakten, Gruppen, OPs, Benutzern und Servern, die registriert sind Aktiv Verzeichnis.

DSMOVE – Verschiebt ein einzelnes Objekt an eine neue Position innerhalb einer Domäne oder benennt ein Objekt um, ohne es zu verschieben.

DSQXJERY - sucht nach Computern, Kontakten, Gruppen, OPs, Benutzern, Standorten, Subnetzen und Servern in Aktiv Verzeichnis nach vorgegebenen Kriterien.

DSRM - Entfernt ein Objekt aus Aktiv Verzeichnis.

NTDSUTIL - ermöglicht es Ihnen, Informationen zu einer Site, Domäne oder einem Server anzuzeigen und zu verwalten Meister der Operationen (Operationen Meister) und pflegen Sie die DatenbankAktiv Verzeichnis.

Die Domänen- oder Gesamtstrukturfunktionsebene bestimmt die zur Verwendung verfügbare Funktionalität. Eine höhere Funktionsebene einer Domäne oder Gesamtstruktur ermöglicht Ihnen die Nutzung zusätzlicher Funktionen, die in neueren Versionen von Active Directory enthalten sind. Allerdings auch wenn Sie verwenden letzte Version Domänencontroller, aber Sie haben Ihre Domäne nicht hochgestuft, ist die neue AD-Domänenfunktionalität nicht verfügbar.
Wenn Sie beispielsweise Windows Server 2012- oder Windows Server 2016-Domänencontroller installiert haben, die Domänenfunktionsebene jedoch Windows Server 2003 ist, ist eine Option wie die Verwendung des Active Directory-Papierkorbs nicht verfügbar, da die Möglichkeit, ihn zu aktivieren, nur angezeigt wird auf der Windows Server-Domänenfunktionsebene 2008 R2 und höher.

Bestimmen Sie die aktuelle Domänen- und Gesamtstrukturfunktionsebene über die GUI
Um die aktuelle Domänen- und Gesamtstrukturfunktionsebene mithilfe der GUI zu ermitteln, müssen Sie das Snap-In „Active Directory-Domänen und -Vertrauensstellungen“ starten. Auf der Registerkarte „Allgemein“ wird die aktuelle Domänen- und Gesamtstrukturfunktionsebene angezeigt.

Aktuellen Funktionsstand per PowerShell ermitteln

So erhöhen Sie den Funktionsumfang einer Domäne über die GUI

Wählen Sie im sich öffnenden Fenster die gewünschte Funktionsebene der Domäne aus und klicken Sie auf die Schaltfläche „Erhöhen“.

So erhöhen Sie die Funktionsebene der Gesamtstruktur über die GUI

Wichtig: Erhöhungen der Domänen- und Gesamtstrukturfunktionsebene können nicht rückgängig gemacht oder herabgestuft werden. Ausnahme: Die Domänenfunktionsebene kann nur von Windows Server 2008 R2 auf Windows Server 2008 heruntergestuft werden; in allen anderen Fällen kann dieser Vorgang nicht rückgängig gemacht werden.

So erhöhen Sie die Funktionsebene einer Domäne mithilfe von PowerShell

• Windows Server 2000: 0 oder Windows2000Domäne
• Windows Server 2003 Interim Domain: 1 oder Windows2003InterimDomain
• Windows Server 2003: 2 oder Windows2003Domäne
• Windows Server 2008: 3 oder Windows2008Domäne
• Windows Server 2008 R2:4 oder Windows2008R2Domain
• Windows Server 2012: 5 oder Windows2012Domäne
• Windows Server 2012 R2:6 oder Windows2012R2Domain
• Windows Server 2016: 7 oder Windows2016Domäne

• Windows Server 2000: Windows2000Forest oder 0
• Windows Server 2003: Windows2003InterimForest oder 1
• Windows Server 2003: Windows2003Forest oder 2
• Windows Server 2008: Windows2008Forest oder 3
• Windows Server 2008 R2: Windows2008R2Forest oder 4
• Windows Server 2012: Windows2012Forest oder 5
• Windows Server 2012 R2: Windows2012R2Forest oder 6
• Windows Server 2016: Windows2016Forest oder 7