©
TRAC Optische Computer Sensorik, Stuttgart 2002
,
em@il:
trac@n.zgs.de
Active Directory
Inhalt
Active
Directory: Was ist das ?
Netzwerkorganisation
mittels AD
Benutzerverwaltung
Benutzerkonten
Gruppen
Standardgruppen
Gruppenklassen
Domänenlokale
Gruppen
Globale
Gruppen
Universale
Gruppen
Gruppenrichtlinien
für Benutzer
Computerverwaltung
Computerkonten
Gruppenrichtlinien
für Computer
Mengen
von AD- Objekten und Objektmengen verwalten
Domäne
Organisationseinheiten
Subdomänen
Softwarearchitektur
Domänecontroller
und Replikation
Physische
Struktur
Gruppenrichtlinien
Aufbau
von Gruppenrichtlinien
Aktualisieren
von Gruppenrichtlinien
Testumgebung
1.
Aufteilen der Resourcen jeder Domäne in lokale
Sicherheitsgruppen
2.
Aufteilen der Benutzer in jeder Domäne in globale
Sicherheitsgruppen
3.
Allgemeines Zugriffssystem auf die Resourcen definieren
4.
Definieren universaler Gruppen
5.
Veröffentlichen von Resourcen im Verzeichnis
6.
Testen der Zugriffe
Technik:
Aufbau von AD
Identifikation
von AD- Objekten
AdsPfade
Globally
Unique Identifier(GUID)
OID-
der X500 Namensraum
Klassen
und Objekte
Liste
der AD- Datentypen (Syntax) für Attributklassendeklarationen
AD
ist erweiterbar
Erweitern
der Klasse User um ein Attribut zur Aufnahme des Gehaltes
1.Schritt:
Attribut userGehalt anlegen
2.Schritt:
Klasse user mit Attribut userGehalt erweitern
3.Schritt:
Schreiben von Zugriffsscripten für neue Eigenschaft
TTT:
Tips, Tools, Tricks
Programm
im Sicherheitskontext eines anderen Benutzers starten
Lokal
anmelden am DC
Snap
Ins für AD- Verwaltung
Active Directory: Was ist das ?
Active Directory, oder kurz AD, ist vereinfacht ausgedrückt
eine Datenbank, in der organisatorische Informationen zu Teilnehmern,
Daten und Geräten aus einem Windows 2000 Computernetzwerk
abgespeichert werden.
Netzwerkorganisation
mittels AD
Benutzerverwaltung
Benutzerkonten
Jeder, der mit einem AD- verwalteten Netzwerk arbeiten möchte,
muß über ein Benutzerkonte im AD verfügen. Neben
einer SID für jeden Benutzer sind in einem Token zusätzlich
gespeichert:
Persönliche Daten wie email- Adresse und Telefonnummern,
Identifikationsdaten wie Passwort und userid
die individuelle Konfiguration der Arbeitsumgebung und
Benutzeroberfläche,
die Zugehörigkeit zu bestimmten AD- Objekten für
die Verwaltung von Mengen, genannt Domänen und
Organisationseinheiten
Gruppen
Gruppen sind ein Instrument zur Verwaltung von Zugriffsrechten für
ein Menge von Benutzern. Fassen eine Menge von Teilnehmern unter
einem sog. Gruppennamen zusammen.
Die
Zuweisung eines Benutzers zu einer Gruppe wir Mitgliedschaft
genannt. Benutzer, die einer Benutzergruppe zugewiesen sind,
erben von diesen die Zugriffsrechte wie Berechtigungen und Verbote.
Dadurch wird die Verwaltung einer Vielzahl von Benutzern vereinfacht:
Änderungen an den Zugriffsrechten einer Gruppe wirken sich
sofort auf alle Gruppenmitglieder aus.
Standardgruppen
|
Gruppe
|
Rechte
|
|
Administratoren
|
Alle
|
|
Benutzer
|
zertifizierte W2k Programme ausführen
Selbst definierte lokale Gruppen verwalten
Vollzugriff auf eigene Datendateien
Zugriff auf Registrierung mit HKEY_CURRENT_USER
|
|
Hauptbenutzer
|
Dient zur Kompatibilität mit NT. Kann zusätzlich zu
Benutzer
nicht zertifizierte Programme ausführen
Programme installieren, die weder Systemdateien ändern,
noch Dienste installieren
Lokale Benutzerkonten erstellen und Verwalten
manuell Dienste starten und beenden
|
|
Sicherungsadministratoren
|
Sichern aller Daten auf Band
|
Gruppenklassen
|
|
Universale Gruppen
|
Globale Gruppen
|
Domänenlokale Gruppen
|
|
Teilnehmer
|
Aus der Gesamtstruktur
Benutzer
globale Gruppen
universale Gruppen
|
Benutzer und globale Gruppen der eigenen Domäne
|
|
|
Wirkungsradius
|
Beliebige Resource in beliebiger Domäne der
Gesamtstruktur
|
Beliebige Resource in beliebiger Domäne der
Gesamtstruktur
|
Beliebige Resource in der eigenen Domäne
|
Domänenlokale
Gruppen
Für Benutzer und Gruppen aus verschiedenen Domänen
können Zugriffrechte auf Resourcen innerhalb der Domäne
ermöglicht werden, in der die Gruppe definiert wird.
Bsp.: Zugriff auf Ordner
Globale
Gruppen
Für Benutzern und Gruppen aus einer Domäne können
Zugriffsrechte auf Ressourcen aus anderen Domänen ermöglicht
werden.
Universale
Gruppen
Für Benutzer und Gruppen aus beliebigen Domänen können
Zugriffsrechte auf Ressourcen aus beliebigen Domänen erteilt
werden.
Gruppenrichtlinien für Benutzer
Gruppenrichtlinien für Benutzer sind
Konfigurationsanweisungen, die ausgeführt werden, wenn sich ein
Benutzer an einer Datenstation anmeldet. Die
Konfigurationsanweisungen werden zentral im AD gespeichert. Meldet
sich der Benutzer von der Datenstation wieder ab, dann werden die
Konfigurationsanweisungen zurückgenommen. Mit den
benutzerspezifischen Konfigurationsanweisungen können folgende
Aufgaben erledigt werden:
Kontorichtlinien: Syntaxregeln für Passwörter
usw.
Ordnerumleitungen: Der Speicherort für Ordner wie
Eigene Dateien können auf einem Fileserver definiert
werden
Funktionsumfang der
Arbeitsoberfläche einschränken: Ordner wie die
Systemsteuerung können für bestimmte Benutzer ausgeblendet
werden
Arbeitsumgebung aufbauen: Bei
der Anmeldung können für einen Benutzer spezielle
Programme installiert werden. Mittels Scripte können
Netzlaufwerke angebunden werden.
Computerverwaltung
Computerkonten
Durch Computerkonten werden alle zum Netz gehörigen
Arbeitsstationen und Domäne- Controller verwaltet. Ein
Computerkonto speichert:
DNS- Name der Arbeitsstation
Verweis auf Domäne oder Organisationseinheit, innerhalb
der das Computerkonto verwaltet wird
Daten über den lokalen Administrator des Systems
Mitgliedschaft in einer der beiden Gruppen: Domäne-
Computer oder Domäne- Controller
Gruppenrichtlinien für Computer
Gruppenrichtlinien für Computer sind
Konfigurationsanweisungen, die ausgeführt werden, wenn ein
Computer im Netz hochfährt. Die Konfigurationsanweisungen werden
zentral im AD gespeichert. Mit den computerspezifischen
Konfigurationsanweisungen können folgende Aufgaben erledigt
werden:
Remote- Installationen: Definieren, welches
Betriebssystem und welche Anwendungssoftware auf einem neuen
Computer zu installieren ist.
Start/Herunterfahren: Definition von Scripten, die
beim Start und Herunterfahren eines Computers auszuführen sind
Restriktionen für alle Benutzer: Definition von
generellen Datenträgerkontigenten, allgemeine
Zugriffsbeschränkungen auf Verzeichnisse
Mengen von AD- Objekten und Objektmengen verwalten
Mit AD startet man nicht auf der grünen Wiese. Die von den
Microsoft- Entwicklern vordefinierten Container ermöglichen die
Speicherung organisatorischer Informationen zu einem Computernetzwerk
in sog. Domänen. Die Folgende Abbildung zeigt die
Containerhierarchie, durch welche die Domänen realisiert werden:
olymp.loc
Gesamtstruktur -----------+-------------------------------------+--------
(Forest) | |
| |
Domänestruktur olymp.loc walhalla.loc
(Domain Tree) | |
| |
+---------+----------+ +-------+---------------+
| | | |
Domänen feuer.olymp.loc wasser.olymp.loc odin.walhalla.loc thor.walhalla.loc
|
+------+-- - -
|
Organisationseinheiten nixen.wasser.olymp
Domäne
Eine Domäne ist ein Container mit folgenden Eigenschaften:
Er besitzt einen eindeutigen DNS- Namen.
Er enthält eine spezielle Hierarchie von Containern und
Endknoten, mittels der Benutzer, Computer und Serverdienste in einem
Netzwerk verzeichnet werden
Er ist mit einer oder mehreren Gruppenrichtlinienobjekten
verbunden, über welche die Arbeit von Computern oder Benutzer
innerhalb der Domäne eingeschränkt wird.
Für jede Domäne ist mindestens ein Administrator
verantwortlich
Eine Domäne kann mit einem Verein verglichen werden. Dem
Vereinsvorsitzenden entspricht in der Domäne der Administrator.
Die Benutzer entsprechen dem Vereinsmitgliedern. Die von den
Vereinsmitgliedern nutzbare Infrastruktur (z.B. Schießanlage
eines Schützenvereins) entspricht den in der Domäne
verzeichneten Computern.
Die Macht des Administrators in einer Domäne übersteigt
jedoch bei weitem die Macht vieler Vereinsvorsitzender: einzig und
allein der Administrator kann Benutzerkonten eröffnen und
schließen sowie Spielregeln (= Gruppenrichtlinien) in der
Domäne festlegen.
In einer Domäne können im Container user bis zu
10 Mio. Benutzerkonten verwaltet werden. In der Praxis wird diese
Obergrenze auf 2 Mio Benutzer zurückgenommen.
Organisationseinheiten
Die Verwaltung einer Domäne lastet auf den Schultern des
Administrators. Seine Arbeitsgeschwindigkeit ist nicht beliebig zu
steigern. Deshalb muss die Verwaltungsarbeit bei großen eine
Domäne auf mehrere Schultern aufgeteilt werden. Schließlich
kann eine Domäne bis zu 10 Mio. Benutzer fassen !
Das Mittel zur Arbeitsaufteilung sind die Organisationseinheiten.
Organisationseinheiten sind spezielle Container innerhalb einer
Domäne, in denen neue Benutzerkonten angelegt bzw. bereits
bestehende hineinverschoben werden können.
Wird eine Organisationseinheit neu
angelegt, dann ist für ihren Inhalt zunächst der
Administrator verantwortlich. Er kann diese Verantwortung dann an
einen von ihm bestimmten Domänen- Benutzer delegieren. Dieser
kann jetzt in der Organisationseinheit neue Benutzerkonten anlegen
und bestehende verwalten. Der Administrator verliert dadurch nicht an
Macht: er kann nach wie vor die ganze Domäne einschließlich
Organisationseinheit verwalten und jederzeit die Delegierungen
widerufen.
Subdomänen
Es gibt zwei Gründe, Sub- Domänen einzurichten:
Eine Gruppe von Benutzern soll unter einem eigenständigen
DNS- Namen zusammengefasst werden (So wie im obigen Beispiel aller
Mitarbeiter der Hölle unter dem Namen feuer.olymp)
Datentransfers durch Replikation über schmalbandige
Netze (z.B. Telefonleitung) sollen vermieden werden
Jede Subdomäne erhält einen eigenen DNS- Namen. Die
Namen aller Computer, die zur Subdomäne gehören, bekommen
einen DNS- Namen, der sich vom DNS- Namen der Domäne ableitet
(z.B. computer1.feuer.olymp). Möchte ein Unternehmen einzelnen
Abteilungen im WWW mit jeweils eigenem DNS- Namen auftreten lassen,
dann muss für jede Abteilung eine Subdomäne angelegt
werden.
Ist z.B. die EDV einer Filiale über eine schmalbandige
Telefonleitung mit dem Netz der Unternehmenszentrale verbunden, dann
können die durch Replikation bedingten Datentransfers zwischen
den DC's der Zentrale und der Filiale die verfügbare Bandbreite
fast vollständig aufzehren. Die Telefonleitung ist dann de facto
blockiert und kann nicht mehr von Anwendungen genutzt werden. Hier
kann nur durch Anlegen einer Subdomäne in der Filiale Abhilfe
geschaffen werden, denn zwischen den DC's verschiedener Domänen
finden keine Replikationen statt.
Softwarearchitektur
AD ist eine verteilte Datenbank. Die Aufgaben werden wie folgt
verteilt:
Domäne Controller und Replikation
Die Verwaltungsdaten einer Domäne werden mittels Active
Directory auf speziellen Servern gespeichert, genannt Domäne
Controler (kurz DC). Im allgemeinen werden für eine Domäne
immer mehrere DC's betrieben, um die Ausfallsicherheit zu erhöhen.
AD unterstützt den Betrieb mehrere Server zwecks
Ausfallsicherheit durch den Mechanismus der Replikation. Dabei
werden in regelmäßigen Abständen alle eingetretenen
Änderungen innerhalb der AD- Datenbank eines DC's an alle
anderen DC's versendet. Die Empfänger nehmen dann die Änderungen
ebenfalls vor, so daß im Mittel auf allen verfügbaren DC's
die gleichen Verwaltungsdatensätze vorliegen.
Für jede Domäne muß ein
DC eingerichtet werden. Dazu muß auf einem Win2000- Server das
Programm dcpromo.exe gestartet werden. Mit einem Assistenten
(Wizzard) wird die AD- Datenbank auf dem Server eingerichtet.
|
Achtung:
|
Ein Win2000
Server kann nur als DC einer
Domäne eingerichtet werden ! Mehrere Domänen (auch Sub-
Domänen) erfordern mehrere Win2000 Server.
|
Physische Struktur
|
Definition
|
|
Standort
|
Ein Standort ist eine Menge von Subnetzen mit hoher
Bandbreite. Die Subnetze müssen durch Router direkt
miteinander verbunden sein.
|
Verwaltet werden die Standorte mittels einer MMC- Konsole:
Start/Programme/Verwaltung/Active Directory Standorte und Dienste
|
Definition
|
|
Verbindungsobjekt
|
Ein Verbindungsobjekt definiert für einen Domäne
Controller einen zweiten Domäne Controller im Standort, von
dem er die Replikationsdaten bezieht.
|
Die Verbindungsobjekte werden pro Serverobjekt im Ordner NTDS-
Settings angelegt und gespeichert.
Pfad:
Active Directory Standorte und Dienste/<Standortname>/Servers/<Servername>/NTDS Settings
|
Definition
|
|
Standortverknüpfung
|
Eine Standortverknüpfung definiert die Verbindung
zwischen zwei Standorten
|
Die Standortverknüpfungen werden
mittels der MMC- Konsole „Active Directory Standorte und
Dienste“ verwaltet:
Active Directory Standorte und Dienste/Inter Site Transports
|
Definition
|
|
Replikationstopologie
|
Eine Replikationstopologie ist die Menge aller
Verbindungsobjekte und Standortverküpfungen für aktives
Active Directory.
|
Die Verbindungsobjekte und Standortverknüpfungen können
als gerichtete Kante zwischen Knoten dargestellt werden, die entweder
Server oder Standorte sind. So entstehen graphische Darstellungen der
Replikationstopologie.
Gruppenrichtlinien
Gruppenrichtlinien sind Vorschriften,
die z.B. benutzerspezifische Konfigurationen beim An- und Abmelden an
Arbeitsstationen oder den Zugriff auf Drucker regeln.
Gruppenrichtlinien werden in AD
genauso wie Domänen und Benutzerkonten gespeichert. Man kann
analog zu den Benutzerkonten sich beliebig viele neue
Gruppenrichtlinien erzeugen. Diese werden im Container Group-
policies abgespeichert, der jedoch i.a. nicht sichtbar ist.
Jede neue Gruppenrichtlinie, die vom
Administrator angelegt wird, erhält einen eindeutigen Namen. Die
neu angelegte Gruppenrichtlinie listet alle Schalter auf, über
die eine Domäne zentral gesteuert werden kann. Jeder dieser
Schalter kennt drei Grundstellungen:
nicht konfiguriert: Der Schalter
ist außer Betrieb. Die durch ihn steuerbaren
Einstellmöglichkeiten sind außer Betrieb
deaktiviert: Der Schalter steht
auf aus.
aktiviert: Der Schalter steht auf
an.
Durch setzen der Schalter wird die
Gruppenrichtlinie formuliert. Danach muss sie einem Container
zugewiesen werden, innerhalb dessen sie gelten soll. Das Zuweisen
einer Gruppenrichtlinie beschränkt sich dabei auf folgende
Containerklassen:
Um eine Gruppenrichtlinie zuzuweisen,
muss das Kontext- Menü des jeweiligen Containers aufgerufen
werden, und auf der Seite Gruppenrichtlinien mittels
Hinzufügen die Gruppenrichtlinie hinzugefügt werden.
Ebenfalls kann auf dieser Seite mittels Neu eine neue
Gruppenrichtlinie angelegt werden.
Aufbau
von Gruppenrichtlinien
Eine Gruppenrichtlinie listet alle Schalter auf, über die
eine Domäne zentral gesteuert werden kann. Die Schalter sind in
zwei Gruppen aufgeteilt:
Computer: Beinhaltet alle Schalter, über die Computer
innerhalb einer Domäne zentral vom Administrator gesteuert
werden können.
Benutzer: Beinhaltet alle Schalter, über die Sitzungen
von Benutzergruppen in der Domäne zentral von Administrator
gesteuert werden können
Jede dieser Gruppen gliedert sich wiederum in drei Untergruppen:
Software- Einstellungen
Windows- Einstellungen
Administrative Vorlage
Aktualisieren
von Gruppenrichtlinien
Die Gruppenrichtlinien werden von den Arbeitsstationen beim
Hochfahren oder bei der An- und Abmeldung eines Benutzers vom DC
geladen. Wenn man als Admin neue Gruppenrichtlinien erlässt, und
diese auf einer Arbeitsstation sofort durchsetzen möchte, dann
kann das Kommandozeilentool gpupdate.exe
eingesetzt werden:
Alle Gruppenrichtlinien erneut
vom DC laden:
c:> gpupdate /force
Testumgebung
Die Testumgebung bildet die Struktur der fiktiven Software- Firma
Fantasy.com auf ein Windows 2000 Domänemodell ab.
Fantasy.com ist in die drei Abteilungen Leitung, Vertrieb
und Entwicklung gegliedert.
|
Abteilung
|
Zugeordnete Domäne
|
|
Leitung
|
olymp.loc
|
|
Vertrieb
|
walhalla.loc
|
|
Entwicklung
|
wasser.olymp.loc
|
1. Aufteilen der Resourcen jeder Domäne in lokale
Sicherheitsgruppen
In jeder Domäne werden domänenlokale Sicherheitsgruppen
definiert. Über diese wird der Zugriff auf die Resourcen einer
Domäne gesteuert.
Lokale Sicherheitsgruppen in olymp.loc
|
Name
|
Regelt Zugriff auf
|
|
res-Personal
|
Verzeichnisse und Dateien, die Personaldaten enthalten
|
|
res-Strategie
|
Verzeichnisse und Resourcen, die Dokumente mit strategischen
Informationen enthalten
|
|
res-Drucker-Sekretariat
|
Alle Drucker, die dem Sekretariat unterstellt sind
|
|
res-Drucker-Chef
|
Alle Drucker auf der Chefetage
|
|
res-Monatsberichte-Sekretariat
|
Verzeichnisse und Dateien mit Monatsberichten vom
Abteilungsleiter des Sekretariats
|
Lokale Sicherheitsgruppen in walhalla.loc
|
Name
|
Regelt Zugriff auf
|
|
res-Angebote
|
Verzeichnisse und Dateien mit Infos über Angebote und
Anfragen
|
|
res-Kunden
|
Verzeichnisse und Dateien mit Kundendaten
|
|
res-Monatsberichte
|
Verzeichnisse und Dateien mit Monatsberichten der
Abteilungsleiter von Vertrieb
|
Lokale Sicherheitsgruppen in wasser.olymp.loc
|
Name
|
Regelt Zugriff auf
|
|
res-Planung
|
Verzeichnisse und Dateien mit Daten aus der aktiven
Planungsphase
|
|
res-Planung-fertig
|
Planungsdokumente, die zur Implementierung freigegeben sind
|
|
res-Implementierung
|
Verzeichnisse und Dateien mit Quelltexten und Modulen aus der
Implementierungsphase
|
|
res-Implementierung-fertig
|
Module, die für den Test freigegeben sind
|
|
res-Test
|
Verzeichnisse und Dateien mit Daten aus der Testphase
|
|
res-Drucker
|
Drucker aus der Entwicklungsabteilung
|
|
res-Monatsberichte
|
Verzeichnisse und Dateien mit Maonatsberichten von Entwicklung
|
2. Aufteilen der Benutzer in jeder Domäne in globale
Sicherheitsgruppen
Globale Sicherheitsgruppen in olymp.loc
|
Name
|
Enthält Benutzer
|
|
user-Chef
|
Mitglieder der Firmenleitung
|
|
user-Chef-Assi
|
Assistenten der Führungskräfte
|
|
user-Abteilungsleiter-Sekretariat
|
Abteilungsleiter vom Sekretariat
|
|
user-Sekretariat
|
Mitarbeiter des Sekretariats
|
Globale Sicherheitsgruppen in walhalla.loc
|
Name
|
Enthält Benutzer
|
|
user-Abteilungsleiter
|
Abteilungsleiter von Vertrieb
|
|
user-Vertrieb
|
Mitarbeiter der Vertriebsabteilung
|
Globale Sicherheitsgruppen in wasser.olymp.loc
|
Name
|
Enthält Benutzer
|
|
user-Abteilungsleiter
|
Abteilungsleiter von Entwicklung
|
|
user-Programmierer
|
Programmierer
|
|
user-Plan-und-Test
|
Mitarbeiter, die den Softwareentwurf + Test durchführen
|
3. Allgemeines Zugriffssystem auf die Ressourcen definieren
Durch Mitgliedschaften von globalen Benutzergruppen in lokalen
Ressourcen- Gruppen wird ein allgemeines Zugriffssystem in der Firma
Fantasy.com definiert.
Mitglieder der Firmenleitung erhalten Zugriff auf die Kundendaten
und die Angebote
Alle Abteilungsleiter erhalten Zugriff auf die Personaldaten
|
lokale Resourcengruppe
|
enthält globale Benutzergruppen
|
|
res-Personal@olymp.loc
|
|
Programmierer dürfen auf fertige Planungsdokumente
zugreifen, und Tester auf fertige Module
|
lokale Resourcengruppe
|
enthält globale Benutzergruppen
|
|
res-Planung-fertig@wasser.olymp.loc
|
user-Programmierer
|
|
res-Implementierung-fertig@wasser.olymp.loc
|
user-Plan-und-Test
|
4. Definieren universaler Gruppen
Ein Abteilungsleiter aus dem Vertrieb, und eine Führungskraft
aus der Leitung werten die Monatsberichte der Abteilungsleiter aller
Abteilungen aus. Dazu wird eine universale Gruppe angelegt, genannt
Berichtsauswertung. Dieser werden Zugriffe auf die
Monatsberichte aus allen Abteilungen eingeräumt, und die beiden
user als Mitglieder zugeordnet.
5. Veröffentlichen von Ressourcen im Verzeichnis
6. Testen der Zugriffe
Achtung: Beim Anmelden erhält jeder Benutzer ein
Sicherheitstoken, das seine SID + die SID's der Gruppen enthält,
von denen er Mitglied ist. Wenn die Mitgliedschaft eines Benutzers
sich ändert, während er angemeldet ist, dann muss das
System sein Sicherheitstoken ändern. Dies geschieht jedoch nicht
sofort, sondern kann sehr lange dauern. Aus diesem Grunde ist es beim
Testen der Zugriffe sinnvoll, nach der Änderungen von
Gruppenmitgliedschaften die betroffenen Benutzer ab- und wieder
anzumelden. Sie erhalten beim Anmelden ein neues Sicherheitstoken mit
den aktualisierten Mitgliedschaften.
Technik: Aufbau
von AD
Identifikation
von AD- Objekten
ADsPfade
Dateien und Ordner können mittels absoluter und relativer
Pfadangaben in einem Dateisystem adressiert werden. Ähnlich
funktioniert es auch im hierarchisch organisierten AD mittels
sogenannter ADsPfade.
Die ADsPfade werden dabei in einer Schreibweise (Syntax)
angegeben, die durch den LDAP (Leightweight Directory Access
Protocol) definiert wurde. Dazu ein Beispiel:
Im Netzwerk ist die Domäne olymp
eingerichtet. In dieser Domäne gibt es ein Benutzerkontos für
den Administrator und den Benutzer Freddy.
Beim Anlegen der Domäne wird für
diese automatisch in AD ein Container erzeugt, der die Container
user, computer, ... enthält. Im Container user
sind alle Benutzerkonten der Domäne als Endknoten abgelegt. Die
folgende Abbildung visualisiert diese hierarchische Struktur.
|
+ olymp +
| |
: +- computer +
| |
| +- platz01
| |
| +- platz02
: :
:
|
+- users +
|
+- Administrator
|
+- Freddy
:
Die Benutzerkonten von Administrator
und Freddy können mittels ADsPfade wie folgt beschrieben werden:
Administratorkonto:
LDAP://cn=Administrator, cn=users, dc=olymp
Freddys Konto: LDAP://cn=Freddy,
cn=users, dc=olymp
Computer platz01: LDAP:// cn=platz01, cn=computers, dc=olymp
Die Schreibweise ist ähnlich der
von URL's a la DNS. Der Unterschied besteht darin, das jede
Komponente des Pfades mittels eines Präfixes und
Gleichheitszeichen einer Namensklasse zugewiesen wird. Folgende
Namensklassen sind definiert:
|
Prefix
|
Namensklasse
|
|
CN
|
Common Name (gewöhnlicher Name): wird immer
benutzt, wenn die Pfadkomponente keiner anderen Namensklasse
zugeordnet werden kann
|
|
C
|
Country Name
|
|
DC
|
Domain Component: Der Name ist Teil eines Domäne-
Namens
|
|
L
|
Locality Name
|
|
O
|
Organisation Name
|
|
OU
|
Organisational Unit Name: Bezeichnet einen
allgemeinen AD- Container
|
|
ST
|
State or Province Name
|
|
STREET
|
Street Adress
|
Globally
Unique Identifier(GUID)
Jedes AD- Objekt, egal ob Endknoten oder Container, besitzt neben
dem ADsPfad noch eine weltweit eindeutige Kennung. Diese wird
erzeugt, wenn das Objekt erstellt wird. Es handelt sich hierbei um
eine 128 bit große Zahl, genannt Globally Unique Identifier
oder kurz GUID.
AD ist hierarchisch aufgebaut wie ein Dateisystem. Den Ordnern und
Dateien im Dateisystem entsprechen Container und Endknoten
im AD.
OID- der
X500 Namensraum
Eine weltweit eindeutiges
Namenssystem, das im X500 Standard der ISO-ITU beschrieben wird. Die
Namen sind hierarchisch aufgebaut analog DNS. Jeder Teil aus dem
Namensbaum wird durch eine Nummer aus dem Bereich 1 bis 228
– 1 dargestellt.
Siehe
http://www.iana.org/assignments/enterprise-numbers
1.3.6.1.4.1.311 ist zum Beispiel der
OID- Namensstamm für alle Objekte von Microsoft.
Klassen und
Objekte
Container und Endknoten sind Objekte.
Der Aufbau der Objekte wird durch Klassendeklarationen definiert. Die
Klassendeklarationen sind bei weitem nicht so umfassend wie in
objektorientierten Programmiersprachen (C++). Im wesentlichen
enthalten die Klassendeklarationen:
Vererbungsbeziehungen
Attributmengen
Methoden (objektspezifische
Unterprogramme) können nicht definiert werden.
Jedes Attribut einer Klasse muss einem
Typ zugeordnet sein. Die Menge der verfügbaren Typen wird
Attributklasse genannt, und ist erweiterbar.
|
Definition
|
|
Attributklasse
|
Eine Attributklasse definiert eine Menge von Attributen, die
alle den gleichen Aufbau haben. In einer Attributklasse wir dabei
definiert:
OID: Eine weltweit eindeutiger Namen nach dem X500
Standard der ISO-ITU für die Attributklasse
(z.B.:1.2.3.4.5.6.7.8.9.2.99)
RDN: relativer Name im
LDAP- Namensbaum
Syntax: Das was in
Programmiersprachen gewöhnlich Datentyp genannt wird,
bezeichnet Microsoft als Syntax. Die Syntax (Datentyp) wird
wiederum durch einen OID und einer OM- Nr
|
Liste der AD- Datentypen (Syntax) für
Attributklassendeklarationen
|
Syntax (Datentyp)
|
OID
|
OM- Syntax
|
Beschreibung
|
|
undefined
|
2.5.5.0
|
-
|
|
|
Distinguished Name
|
2.5.5.1
|
127
|
Der voll qualifizierte Domain- Name eines Objektes in AD
|
|
Object ID
|
2.5.5.2
|
6
|
OID
|
|
Case sensitive String
|
2.5.5.3
|
20
|
Zeichenkette, bei der Groß/Kleinschreibung relevant ist
|
|
Case insensitive String
|
2.5.5.4
|
20
|
Zeichenkette, bei der Groß/Kleinschreibung unbedeutend
ist
|
|
Numeric String
|
2.5.5.6
|
18
|
Zeichenkette, die ausschließlich aus Ziffern besteht
|
|
Boolean
|
2.5.5.8
|
1
|
Wahrheitswert, true oder false
|
|
Integer
|
2.5.5.9
|
2
|
32- Bit Festkommazahl
|
|
Time
|
2.5.5.11
|
23
|
Zeit im Unix- Zeitformat (Anzahl der Sekunden seit 1.1.1970)
|
Die notwendigen Klassen für die
Verwaltung von Domänen sind in AD bereits vordefiniert.
Ordner und Dateien besitzen in einem Win2000 System eine Vielzahl
von Eigenschaften wie z.B. Name, Schreibschutz,
Freigabe und Besitzer. Diese Eigenschaften sind vom
verwendeten Dateisystem (z.B. NTFS) fest vorgegeben.
Auch die Container und Endknoten im AD besitzen Eigenschaften,
welche den gespeicherten organisatorischen Daten entsprechen.
Beispielsweise sind Benutzerkonten Endknoten, deren Eigenschaften die
Benutzerkennung, das Passwort u.s.w. beschreiben. Der
Container user enthält alle Endknoten, die Benutzerkonten
sind.
AD ist erweiterbar
Im Gegensatz zum Dateiverzeichnis ist
man bei AD nicht auf Container und Endknoten mit fest vorgegebenen
Eigenschaften beschränkt: alle im AD verwendeten Objekte sind im
sog. Schema definiert, einer speziellen Partition in der AD-
Datenbank. In dieser kann der Administrator mittels Scripte oder
spezieller Werkzeuge eigene Einträge vornehmen, und so Container
und Endknoten mit selbst definierten Eigenschaften erzeugen.
Werkzeuge:
ADSI- Edit, befindet sich auf der Win2000- Server CD unter support/tools
Active Directory Schema- Verwaltungs- Snapin, ist verfügbar, wenn unter systemsteuerung/software alle Win2000 Verwaltungsprogramme installiert werden
Erweitern der Klasse User um ein Attribut zur Aufnahme des Gehaltes
Schritt: Attribut userGehalt anlegen
ActiveDirectory Schema
SnapIn/Attribute->Neu
Gemeinsamer Name = userGehalt;
LDAP Anzeigename = userGehalt; X500-OID = 1.2.3.4.5.6.7.8.9.1.1
Syntax (Datentyp) = Nummerisch
Schritt: Klasse user mit Attribut userGehalt
erweitern
ActiveDirectory Schema
SnapIn/Klassen/user/Eigenschaften/Attribute ->Hinzufügen
(userGehalt)
Schritt: Schreiben von Zugriffsscripten für neue
Eigenschaft
Script zum schreiben
' mko
' Schreiben der neuen Eigenschaft userGehalt eines Benutzerkontos
Dim userName
userName = InputBox(„Bitte geben Sie den Benutzername ein:“)
Dim user
Set user = GetObject(„cn=“ & userName & „,cn=users,dc=olymp,dc=loc“)
' Eigenschaften aus AD in den Eigenschaftszwischenspeicher übertragen
user.GetInfo
user.Put „userGehalt“, gehalt
' Daten aus Eigenschaftszwischenspeicher in AD zurückschreiben
user.SetInfo
user = Nothing
Script zum Lesen
'mko
' Lesen der neuen Eigenschaft userGehalt eines Benutzerkontos
Dim userName
userName = IputBox(„Bitte geben Sie den Benutzername ein:“)
Dim user
Set user = GetObject(„cn=“ & userName & „,cn=users,dc=olymp,dc=loc“)
' Eigenschaften aus AD in den Eigenschaftszwischenspeicher übertragen
user.GetInfo
Dim gehalt
gehalt = user.Get(„userGehalt“)
MsgBox "Der Benutzer " & userName & " vedient monatlich " & gehalt & " Euro."
user = Nothing
TTT: Tips,
Tools, Tricks
Programm im Sicherheitskontext eines anderen Benutzers starten
start/programme/... <programm> mit [strg]+[shift]+klick re Maustaste und dann „Ausführen als“
Lokal anmelden am DC
start/programme/verwaltung/sicherheitsrichtline für dc/lokale richtlinie/lokal anmelden
Snap Ins
für AD- Verwaltung
<Systemlaufwerk>:/WinNT/system32/admin-pack