Bundesamt für Sicherheit in der Informationstechnik

M 3.64 Einführung in Active Directory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Active Directory ist der zentrale Datenspeicher für sämtliche Verwaltungsdaten einer Domäne auf Basis der Serverbetriebssysteme Windows Server 2000 und Windows 2003 Server. Die Serverbetriebssysteme werden im Folgenden unter dem Begriff "Windows-Server" zusammengefasst. Abstrakt gesehen, bildet das Active Directory eine hierarchisch und baumartig organisierte, Objekt-basierte Datenbank. Es ist an den Verzeichnisdienst-Standard X.500 angelehnt, von dem es die interne Struktur und den internen Aufbau entliehen hat. Es ist jedoch kein X.500 kompatibler Verzeichnisdienst.

Das Windows-Server Domänenkonzept gleicht auf Domänenebene prinzipiell dem Windows NT Domänenkonzept: in einer Domäne werden Rechner und Benutzer zusammengefasst und können durch den Domänenadministrator verwaltet werden. Eine Domänengrenze bildet grundsätzlich eine administrative Grenze und begrenzt auch den Wirkungsbereich von Berechtigungen. Zusätzlich zu diesem Konzept bieten Windows-Server an, Domänen baumartig miteinander in Beziehung zu setzen, so dass Vater-Kind-Beziehungen zwischen Domänen bestehen können. Eine Kind-Domäne wird dabei auch als Sub-Domäne bezeichnet, da sich der Name der Kind-Domäne aus dem Namen der übergeordneten Domäne ableitet, indem diesem Namen der Name der Domäne durch einen Punkt getrennt angehängt wird.

Beispiel:
Name der Vater-Domäne: unternehmen.de
Name der Sub-Domäne: verwaltung.unternehmen.de

Der so aufgespannte Namensraum ist mit dem zugehörigen DNS Namensraum identisch und kann auch nicht verschieden von diesem gebildet werden. Domänen, die einen gemeinsamen Namensstamm besitzen, bilden einen Baum (englisch Tree).

Domänen, die in mehreren Bäumen angesiedelt sind - also unterschiedliche Namensräume aufspannen - können dennoch gemeinsam verwaltet werden.

Derart zusammengeschlossene Domänenbäume bilden einen Wald (englisch Forest). Insbesondere bildet eine einzige alleinstehende Domäne auch einen Baum und gleichzeitig auch einen Wald.

In einem Wald gibt es immer eine ausgezeichnete Domäne, die eine gewisse Sonderstellung besitzt. Es ist die als erstes erzeugte Domäne, die auch als Forest-Root-Domäne ( FRD , Wurzel-Domäne des Waldes) bezeichnet wird. Die Sonderstellung besteht darin, dass Administratoren der Forest-Root-Domäne im gesamten Forest weitreichende Berechtigungen besitzen. Für die Mitglieder der Gruppe Organisations-Admins stellen die Domänengrenzen keine administrativen Grenzen dar, da sie in allen Domänen Zugriffsrechte besitzen. Beim Aufbau eines Windows Domänenverbundes ist zu bedenken, dass die zuerst erzeugte Domäne immer die Forest-Root-Domäne ist. Insbesondere kann die "Rolle" der Forest-Root-Domäne nachträglich nicht auf eine andere Domäne "übertragen" werden, so dass die Domänenstruktur ggf. vollständig in der gewünschten Form neu erzeugt werden muss.

Das Active Directory besteht aus verschiedenen Objekten, den Active Directory Objekten ( ADO s). Jedes Objekt besitzt einen ausgezeichneten Typ, wie z. B. Benutzerobjekt oder Rechnerobjekt, und ist gemäß dieses Typs aus verschiedenen Attributen zusammengesetzt. Die verschiedenen Objektattribute können verschiedene Werte aufnehmen, wie z. B. Telefonnummer oder IP-Adresse. Das Active Directory kennt verschiedene vordefinierte Objekttypen:

  • Domänen-Objekt: Dieses Objekt ist die Wurzel aller Active Directory-Objekte einer Domäne und enthält Informationen über die Domäne, wie z. B. den Namen. Unterhalb eines Domänen-Objektes können andere Objekte angeordnet sein.
  • Gruppierungs-Objekte: Diese Objekte dienen dazu, andere Objekte zu gruppieren. Standardmäßig steht das Objekt Organisations-Einheit (Organizational Unit, OU) zur Verfügung. Unterhalb eines OU-Objektes können weitere OU-Objekte enthalten sein, sowie Rechner-, Benutzer- und Benutzer-Gruppen-Objekte.
  • Rechner-Objekt: Durch dieses Objekt werden Windows Client Rechner repräsentiert. Unterhalb eines Rechner-Objektes können keine weiteren Objekte mehr angeordnet sein. Das Active Directory ist nur auf die Verwaltung von Windows Rechnern ausgelegt, so dass Rechner-Objekte ausschließlich Windows Rechner repräsentieren können, die mit dem Active Directory zusammenarbeiten. Dies sind standardmäßig Rechner mit den Betriebssystemen ab Windows NT. Für andere Versionen von Windows, wie z. B. Windows 98, stehen Active Directory Anmeldekomponenten zur Verfügung.
  • Benutzer-Objekt: Durch dieses Objekt werden Domänenbenutzer repräsentiert. Unterhalb eines Benutzer-Objektes können keine weiteren Objekte mehr angeordnet sein.
  • Benutzer-Gruppen-Objekte: Durch diese so genannten Sicherheitgruppen werden Windows Gruppen repräsentiert. Es gibt verschiedene Gruppentypen, die sich im Geltungsbereich (domänen-, forestweit) und in den möglichen Gruppenmitgliedern (Domänen-, Forest-Objekte) unter-scheiden. Es wird unterschieden zwischen lokalen, domänen-lokalen, globalen und universalen Gruppen. Sicherheits-Gruppen werden dazu benutzt, Berechtigungen zu vergeben. Im Vergleich zu Windows NT ist in einem Windows-Server mit einer deutlich höheren Anzahl von Gruppen zu rechnen (mehrere zehntausend für größere Unternehmen), so dass u. U. über eine werkzeuggestützte Verwaltung nachgedacht werden muss. Diese kann sowohl über selbst geschriebene Skripte, als auch über Produkte von Drittherstellern erfolgen. Ob und welche Werkzeuge hier sinnvoll sind, muss jedoch im Einzelfall entschieden werden.

Der generelle Active Directory-Aufbau lässt sich wie folgt darstellen:

  • Das Domänen-Objekt ist die Wurzel des Active Directory-Baumes einer Domäne.
  • Unter dem Domänen-Objekt werden OU-Objekte erzeugt, um Rechner-, Benutzer- und Benutzer-Gruppen-Objekte strukturiert zusammenzufassen. Da OU-Objekte geschachtelt werden können, ergibt sich eine organisationsspezifische Baumstruktur.

Nach einer Standardinstallation existiert eine einfache und flache Active Directory-Struktur, die von einem Windows-Server angelegt wird und dann entsprechend der Active Directory-Planung verändert werden muss. Da das Active Directory primär der Verwaltung eines Windows Systems dient, sollte beim Aufbau der Active Directory-Struktur darauf geachtet werden, dass die Struktur vornehmlich auf administrative Gegebenheiten abgestimmt wird. Wenn stattdessen zwanghaft die organisatorische Struktur einer Institution bis ins Kleinste nachgebildet wird, kann dies zu Problemen in der Administration führen.

Die möglichen Anordnungen von Active Directory-Objekten, d. h. die Festlegung welches Objekt welche anderen Objekte enthalten darf, welche Attribute existieren und aus welchen Attributen Objekte zusammengesetzt werden, wird durch das so genannte Active Directory-Schema definiert. Das von Microsoft vorgegebene Active Directory-Schema kann auch verändert werden. Dies stellt jedoch einen gravierenden Eingriff in das Active Directory dar, der nur nach sorgfältiger Planung durchgeführt werden darf. Eine Schema-Änderung wirkt sich in allen gemeinsam verwalteten Domänen, d. h. im Wald bzw. Forest, aus. Da die Schemaänderung eine kritische Operation ist, kann diese nur an genau einem Rechner, dem so genannten Schema-Master, durch Mitglieder der Gruppe Schema-Admins durchgeführt werden. Schemaänderungen können zudem u. U. nicht mehr rückgängig gemacht werden. Die Mitgliedschaft in dieser Gruppe ist daher unbedingt restriktiv zu vergeben und streng zu kontrollieren.

Die Mitglieder der Gruppe "Organisations-Admins", zu der in der Voreinstellung der Administrator der Forest Root Domäne gehört, haben besondere Befugnisse in allen Domänen des Netzes.

Sie können z. B. neue Domänen in den Forest aufnehmen und haben Administratorrechte auf allen Domänen Controllern des Active Directory.

Innerhalb einer einzelnen Domäne erfolgt die Administration durch Mitglieder der jeweiligen (domänen-spezifischen) Gruppe "Domänen-Admins". Diese Gruppe verfügt innerhalb einer Domäne über unbeschränkte administrative Berechtigungen. Es ist jedoch möglich, einzelne administrative Aufgaben auch für andere Benutzerkonten zu ermöglichen und so administrative Aufgaben zu delegieren (siehe auch M 2.230 Planung der Active Directory-Administration ).

Eine Delegation administrativer Aufgaben innerhalb einer Domäne kann auch so erfolgen, dass lediglich die Administration eines Teils der Benutzerkonten und Computer einer Domäne delegiert wird. Dies ist innerhalb der Grenzen der OUs möglich, die zur Gruppierung von Benutzer- bzw. Computerkonten innerhalb der Domäne dienen.

Eine Vielzahl von Windows-Client-Konfigurationsparametern ist in den "Gruppenrichtlinien" zusammengefasst. Neben den lokalen Gruppenricht-linien auf jedem einzelnen Windows-Client-Rechner gibt es auch Gruppen-richtlinien, die im Active Directory gespeichert sind. Dies gestattet es, Rechner oder Benutzerkonten zentral zu konfigurieren. Wirkungsbereich einer solchen, im AD gespeicherten Gruppenrichtlinie, können unter anderem ganze Domänen oder OUs sein. Hier dienen OUs zur Gruppierung gleichartig konfigurierter Rechner oder Benutzerkonten. Da sich OUs schachteln lassen und mit einer einzelnen OU mehrere Gruppenrichtlinien verbunden sein können, wirken auf einen einzelnen Rechner unter Umständen viele verschiedene Gruppenrichtlinien ein (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ).

Zur Speicherung der Daten wird eine relationale, transaktionsorientierte Datenbank verwendet. Diese Datenbank wird auf speziellen Servern, den "Domänen-Controllern", verteilt. Der Domänen-Controller nutzt dabei das Active Directory, um eine zentrale Authentisierung und Autorisierung von Benutzern und Computern in einer Domäne zur Verfügung zu stellen. Folgende Protokolle werden dazu verwendet:

  • LDAP (Lightweight Directory Access Protocol) zur Abfrage von Objekten und Attributen des Active Directory
  • Kerberos zur Authentisierung von Benutzern und Computern
  • CIFS (Common Internet File System) zum Transfer von Dateien im Rechnernetz
  • DNS (Domain Name System) zur Namensauflösung der Computersysteme im Netz

Mit einigen Ausnahmen enthält jeder Domänen-Controller dabei nur die Daten seiner eigenen Domäne. Diese Ausnahmen sind:

  • Jeder Domänen-Controller enthält die Schema- und Konfigurationsdaten des gesamten Forests.
  • Mindestens ein Domänen-Controller jeder Domäne enthält zusätzlich noch den "Global Catalog".

Das Active Directory wird auf Domänen Controllern gehalten und innerhalb einer Domäne zwischen diesen durch Replikation synchronisiert. Das Active Directory einer Domäne enthält nur domänenbezogene Informationen. Um in einem Forest schnell auf Informationen aus dem gesamten Forest zugreifen zu können, wird der so genannte Global Catalog (GC) aufgebaut. Er besteht aus Teilinformationen von Active Directory-Objekten und wird im gesamten Forest repliziert, so dass über den Global Catalog in einer Domäne auch direkt auf Informationen aus anderen Domänen zugegriffen werden kann.

Neben der beschriebenen baumartigen und hierarchischen Struktur baut Windows-Server automatisch eine zusätzliche und orthogonale Struktur auf. Räumlich nahe Rechner - dies bestimmt Windows-Server über Netzlaufzeiten - werden zu so genannten Standorten (englisch Sites) zusammengefasst. Über Sites wird u. a. auch die Replikationsstruktur von Domänen Controllern gesteuert. Pro Site muss mindestens ein Rechner existieren, der eine Kopie des Global Catalogs hält. Der Global Catalog muss im Rahmen des Anmeldeprozesses eines Benutzers angefragt werden, so dass bei der Anmeldung immer ein Global Catalog-Server zugreifbar sein muss. Die von Windows-Server automatisch aufgebaute Standortstruktur sollte an die behörden- oder unternehmensinternen Gegebenheiten, wie z. B. Standorte in verschiedenen Städten oder Ländern, individuell angepasst werden. Da dies Einfluss auf die Active Directory-Replikationsbeziehungen hat, ist dazu jedoch ein Konzept zu erstellen.

Diese Rollen werden in der Windows-Server Terminologie auch als FSMO -Rollen (FSMO = Flexible Single Master Operations) bezeichnet. Bestimmte Änderungen können daher nur an dem Rechner vorgenommen werden, dem die jeweilige Rolle zugeordnet ist.

Der Abgleich der Daten zwischen den einzelnen Domänen-Controllern kann über zwei verschiedene Replikationsmechanismen erfolgen. Welcher Mechanismus verwendet wird, lässt sich ebenso konfigurieren wie die Zeitabstände, in denen die Replikation erfolgt.

Durch das Konzept der verteilten Datenbanken kann eine gewisse Ausfallsicherheit des Active Directory erreicht werden, problematisch sind dabei jedoch die Inhaber der FSMO-Rollen.

Ab Windows 2000 Server werden die Daten des Active Directory mittels Multi-Master-Replikation zwischen den Domänen-Controllern einer Organisation repliziert. Auf jedem Domänen-Controller existiert somit ein Replikat des Active Directory, das geändert und als Grundlage für zukünftige Replizierungen dienen kann. Bei der Verwendung mehrerer Domänen-Controller in einer Institution werden so redundante Kopien des Active Directory erzeugt und die Wahrscheinlichkeit eines Totalausfalls minimiert.

Stand: 11. EL Stand 2009