Bundesamt für Sicherheit in der Informationstechnik

M 4.414 Überblick über Neuerungen für Active Directory ab Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Grundsätzliches

Das mit Windows 2000 Server eingeführte Active Directory stellt unter Windows Server 2008 und Windows 7 die elementare Basis der Benutzer- und Objektverwaltung dar. Trotz der teilweise erheblichen Neuerungen, die ein Domänen-Controller unter Windows Server 2008 bietet, bleiben wesentliche Anforderungen an die Planung und Konfiguration des Active Directory erhalten (siehe M 2.230 Planung der Active Directory-Administration und M 2.231 Planung der Gruppenrichtlinien unter Windows ). Bedingt durch die grundsätzlichen Möglichkeiten, die verschiedenen Rollen des Active Directory zu trennen oder einen sogenannten Read-Only Domain Controllers (RDOC) einzusetzen, kommt der Planungsphase unter Windows Server 2008 und seinem Active Directory jedoch eine verstärkte Bedeutung zu.

Neuerungen ab Windows Server 2008

Neben dem zentralen Dienst des Active Directory, den sogenannten Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), sind vier weitere Active Directory-Dienste als Rolle installierbar:

  • Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS). In diesem Einsatzszenario dient das Active Directory der Veröffentlichung von Zertifikaten im Rahmen einer Public-Key-Infrastruktur (PKI). Die Zertifikatsdienste waren bereits in früheren Windows-Server-Versionen vorhanden, allerdings ohne den Namenszusatz Active Directory.
  • Active Directory-Verbunddienste (Active Directory Federation Services, AD FS). Dieser Dienst wurde mit Windows Server 2008 R2 eingeführt. Er sorgt für die Authentisierung von Benutzern, die nicht Mitglied des Active Directory sind. Ein gängiger Anwendungsfall ist die Authentisierung von Benutzern von Webanwendungen.
  • Active Directory Lightweight Directory Services (AD LDS), frühere Bezeichnung: Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM). Dieser Dienst stellt einen LDAP-Server als Daten-Repository für verzeichnisdienstfähige Anwendungen bereit. Dabei entfällt gegenüber den anderen Szenarien der Verwaltungsaufwand für Domänen und Gesamtstrukturen. Für jede AD LDS-Instanz wird ein eigenes Schema verwaltet.
  • Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS). Der AD-RMS-Dienst bietet Schutz von Daten und Dateien über eine zentral gesteuerte Verschlüsselung.

Diese Dienste sind jeweils als einzelne Rolle auswählbar und können auf einem dedizierten System installiert werden.

Weitere grundsätzliche Neuerungen

Eine der wesentlichen Neuerungen des Windows Server 2008 ist die Einführung des sogenannten Read-Only Domain Controllers (RODC). Dieses Server-System stellt einen Domänen-Controller dar, der ausschließlich Lesezugriff auf den Verzeichnisdienst gewährt. Geeignet ist der RODC für Systeme, auf die der physische Zugriff durch große Benutzerkreise nicht verhindert werden kann, zum Beispiel weil die Aufstellung des Systems in einer gesicherten RZ-Umgebung nicht möglich ist. Unterschiede zum normalen Domain Controller sind:

  • Manipulationen an exponierten RODC werden nicht repliziert (unidirektionale Replikation), zum Beispiel sind dies:
    • Änderungen am AD-Schema
    • Änderungen an der DNS-Datenbank
    • Die Administration des Servers ist trennbar von Domänenadministrationsrechten.
  • Allerdings birgt der Betrieb eines RODC auch potenzielle Nachteile, die beachtet werden müssen:
  • Es entsteht eine hohe Abhängigkeit von einem vollwertigen Domänen- Controller, da nur durch diesen neue Objekte im Active Directory angelegt werden können.
  • Gegebenenfalls treten bei der AD-Integration von Drittprodukten mit einem RDOC Kompatibilitätsprobleme auf. Es entsteht ein erhöhter Testaufwand.
  • Es muss eine angemessene Strategie zur lokalen Zwischenspeicherung von Benutzer-Passwörtern entwickelt werden, da grundsätzlich alle zwischengespeicherten Passwörter bei einem Verlust des Systems ausgelesen werden können. Insbesondere für die Konten von Domänen-Administratoren gilt es zu überlegen, ob die Zwischenspeicherung unterbunden wird. In diesem Fall muss für die Anmeldung dieser Gruppe an einem RODC die Verbindung zu einem vollwertigen Domänen-Controller zur Verfügung stehen.

Neu sind auch die sogenannten Verwalteten Dienstkonten, die mit Windows Server 2008 R2 eingeführt wurden. Damit ist eine zentrale Verwaltung von Dienstkonten über das Active Directory möglich (siehe M 4.284 Umgang mit Diensten ab Windows Server 2003 ).

Mit den granularen Kennwort- und Kontosperrungsrichtlinien besteht nun die Möglichkeit, abgestufte Passwort-Richtlinien innerhalb einer Domäne zu nutzen (siehe M 4.48 Passwortschutz unter Windows-Systemen ).

Weitere grundlegende Neuerungen des Active Directory ab Windows Server 2008 R2 sind:

  • Active Directory-Papierkorb: Versehentlich gelöschte Objekte innerhalb des Active Directory können durch die Funktion des Papierkorbs wiederhergestellt werden.
  • Active Directory-Verwaltungscenter: Zentrales, auf der PowerShell basierendes Management-Tool mit erweiterten Optionen zur Verwaltung des Active Directory. Es ist zu beachten, dass das Active Directory-Verwaltungscenter keinen vollständigen Ersatz des Management-Tools Active Directory-Benutzer und -Computer darstellt, da teilweise unterschiedliche Funktionen implementiert sind.
  • Active Directory Best Practice Analyzer: Tool zur Analyse der effektiven Active Directory-Einstellungen. Die Ergebnisse des Best Practice Analyzers können als Basis zur Fehlerbehebung verwendet werden.
  • Active Directory-Webdienste: Dieser neu eingeführte Dienst stellt eine Webdienst-Schnittstelle für Active Directory-Domänen dar. Er wird in der Regel von Anwendungen genutzt, die einen Zugriff auf das Active Directory über HTTP (S) ermöglichen.
  • Offline-Domänenbeitritt: Systeme können ohne Verbindung zur Domäne vorab aufgenommen werden. Die jeweiligen Computer werden dann beim ersten Starten der Domäne zugefügt.
  • Active Directory Management Pack: Dient zur Zustands-Überwachung der zentralen AD-Dienste (Active Directory Domain Services, AD DS).

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK