Upload
sven-reckenthaeler
View
228
Download
0
Embed Size (px)
Citation preview
8/18/2019 RBG Seminar ActiveDirectory
1/29
8/18/2019 RBG Seminar ActiveDirectory
2/29
Physische vs. logische Struktur Standorte, Dienste und Replikation
Vertrauensstellun en
Active Directory-Objekte
anagement un m n strat onswer zeuge
© 2011 Stefan Berge 07.06.2011 2
8/18/2019 RBG Seminar ActiveDirectory
3/29
=
◦ Spezielle Rolle eines Windows Servers
◦ Es kann mehrere (gleichberechtigte) Domänencontroller geben
Verzeichnisdienst: Organisation verschiedenster Objekte, wieBenutzer, Gruppen, Computer,…
Möglichkeit der Zugriffskontrolle und berwachung 4 Hauptmerkmale:
◦ Lig tweig t Directory Access Protoco LDAP
◦ Kerberos-Protokoll
◦ Domain Name System (DNS)
© 2011 Stefan Berge 07.06.2011 3
8/18/2019 RBG Seminar ActiveDirectory
4/29
Verzeichnisdatenspeicher
◦ Datenbank ntds.dit
Standardpfad: %Systemroot%\NTDS
Kopiervorlage: %Systemroot%\System32, wird beim dcpromo in Standardpfad kopiert undggf. durch Replikation aktualisiert
◦ Transaktionsprotokolle
◦ Aufteilung sinnvoll um Performance zu erhöhen
Globaler Katalog
◦ Pro Gesamtstruktur genau 1 Globaler Katalog, aber mehrere Globale Katalog Servermöglich (Ausfallsicherheit!!!)
◦ - anderen Domänen der gleichen Gesamtstruktur
◦ Eigene AD-Partition (Port 3268 TCP)
◦ Schreibgeschützt: Kann nur vom System verändert werden
◦ GC und Infrastructure Master nicht auf der gleichen Maschine, außer alleDomänencontroller der Domäne sind GCs
© 2011 Stefan Berge 07.06.2011 4
8/18/2019 RBG Seminar ActiveDirectory
5/29
Betriebsmaster
Betriebsmaster sind spezielle Domänencontroller für bestimmte
Schreibvorgänge in die Verzeichnis-Datenbank. Die einzelnen Funktionenwerden als Rolle definiert FSMO = Flexible Sin le-Master O eration .
Gesamtstrukturrollen:
◦ Schemamaster
Schreibrechte für das AD-Schema Administrator muss Mitglied der Sicherheitsgruppe „Schema-Admins“ sein
◦
Hinzufügen und Entfernen sämtlicher Verzeichnispartitionen in der Gesamtstruktur
Hinzufügen/Entfernen von Domänen Hinzufügen/Entfernen von Anwendungsverzeichnispartitionen
© 2011 Stefan Berge 07.06.2011 5
8/18/2019 RBG Seminar ActiveDirectory
6/29
Betriebsmaster
Domänenrollen:◦ - aster
Verwaltung des RID-Pools (Relative Identifier) und Vergabe von RIDs anDomänencontroller
RID = SID + Domänen ennung
◦ PDC-Emulator
Primärer Domänencontroller für Betriebssysteme vor Windows 2000
Entfällt, da Server 2008 nicht mit Windows 2000 Server kompatibel ist
◦ Infrastrukturmaster
Gruppen
Objektänderungen werden in Gruppenmitgliedschaftslisten aktualisiert
© 2011 Stefan Berge 07.06.2011 6
8/18/2019 RBG Seminar ActiveDirectory
7/29
◦
Definiert Klassen und Attribute, die in der AD DS
◦ Jedes AD-Objekt ist eine Instanz einer Klasse
◦ as c ema gew r e s e , ass a e e e n erGesamtstruktur einheitlich erstellt und damit vonallen Domänencontrollern verwaltet werdenkönnen.
© 2011 Stefan Berge 07.06.2011 7
8/18/2019 RBG Seminar ActiveDirectory
8/29
AD DS-Partitionen
Die in der Verzeichnisdatenbank gespeicherten Informationen werden in mehrerelogische Partitionen unterteilt, die jeweils unterschiedliche Informationstypen
speichern. Die AD DS-Partitionen werden auch als Namenskontexte (NamingContexts, NC) bezeichnet.
◦ Folgende Kontexte:
Domain enthält die Domänenobjekte, Gruppen, Users, Computers, usw.
Configuration enthält die Konfiguration der Domäne / Forest und ihre OU Struktur
RootDSE LDAP Standardeinstiegspunkt
Schema hält das Schema der AD Datenbank
NDNC - ,
Tools: LDP.exe, ADSIedit.msc, repadmin.exe, nltest.exe
© 2011 Stefan Berge 07.06.2011 8
8/18/2019 RBG Seminar ActiveDirectory
9/29
◦
Eine Gesamtstruktur ist eine integrierte Einheit mit
Gemeinsames Schema
eme nsame on gura onsverze c n spar on
Gemeinsamer Globaler Katalog
Gemeinsamer Satz von gesamtstrukturweitenBetriebsmastern und Administratoren
eme nsame on gura on vonVertrauensstellungen
© 2011 Stefan Berge 07.06.2011 9
8/18/2019 RBG Seminar ActiveDirectory
10/29
Unterteilung einer Gesamtstruktur in kleinere Komponenten
◦ Stamm-, untergeordnete und nebengeordnete Domäne
◦ Domänengrenzen sind Replikationsgrenzen fürDomänenverzeichnispartition und Domäneninformationen im OrdnerSYSVOL
◦
Einfachere Verwaltbarkeit durch Delegation◦ Domänen bieten besseren Zugriffsschutz auf Ressourcen
(Vertrauensstellungen, Policies)
Gründe für mehrere Domänen:
◦ Eigener Namensraum
◦ Eingeschränkter Zugriff auf bestimmte Ressourcen
© 2011 Stefan Berge 07.06.2011 10
8/18/2019 RBG Seminar ActiveDirectory
11/29
-o Abwärtskompatibilität vs. neue Features
o Domänenfunktionsebene:
o Unterstützun der DFS-Re likation (Distributed File S stem) für SYSVOL
o Unterstützung für AES 128 und 256 (Advanced Encryption Services) für dasKerberos Protokoll
,Computername, Anzahl fehlgeschlagener Anmeldeversuche)
o
Detaillierte Kennwortrichtlinien
© 2011 Stefan Berge 07.06.2011 11
8/18/2019 RBG Seminar ActiveDirectory
12/29
-o Abwärtskompatibilität vs. neue Features
o Gesamtstrukturebene:
o Vertrauensstellun mit einer anderen Gesamtstruktur
o Domänenumbenennungo Replikation verknüpfter Werte (Es werden nur noch die Änderungen
o Möglichkeit der Bereitstellung von RODCs (Read-Only Domänencontroller)
o Deaktivieren und Umdefinieren von Attributen und Klassen im Schema
© 2011 Stefan Berge 07.06.2011 12
8/18/2019 RBG Seminar ActiveDirectory
13/29
Verbindun en zwischen mehreren Domänen oder Gesamtstrukturen
Unidirektional (eingehend, ausgehend), bidirektional, transitiv
Externe Vertrauensstellung:
◦ Uni- oder bidirektional; NICHT transitiv!
◦ Wird gewählt bei Zugriff auf Ressourcen einer bestimmten Domäne
Gesamtstrukturvertrauensstellung
◦ Bidirektional und transitiv
◦ Kerberos-Authentifizierung
◦
Zugriff auf Ressourcen von jeder Domäne in jede Domäne◦ Domänenweite und selektive Authentifizierung möglich
© 2011 Stefan Berge 07.06.2011 13
8/18/2019 RBG Seminar ActiveDirectory
14/29
Komponenten
◦ eines Unternehmens
“„
Verwaltung des Netzwerkverkehrs
◦ Topologie, in der jede Domäne mit jeder anderen
Domäne innerhalb einer Gesamtstruktur eineVerbindung herstellt und regelmäßig überprüft
© 2011 Stefan Berge 07.06.2011 14
8/18/2019 RBG Seminar ActiveDirectory
15/29
Kleine Bandbreite: Die Replikation zwischen Standorten-
zu sparen. Außerdem kann die Replikation zeitlichgeplant werden.
Unzuverlässige Anbindung: Der Datenverkehr zurClientanmeldung verbleibt innerhalb eines Standorts,wenn der lokale Domänencontroller erreichbar ist.
AD DS-fähige Anwendungen, wie Distributed File System
(DFS) oder Exchange, können mithilfe von Standorten dena enver e r es en zugr s egrenzen o er asMessagerouting basierend auf der Standortkonfigurationverwalten.
© 2011 Stefan Berge 07.06.2011 15
8/18/2019 RBG Seminar ActiveDirectory
16/29
zwischen Domänencontrollern repliziert.
AD Replikation◦ Replikation der Daten des Active Directory: Benutzer, Computer und
Gruppen. Diese Replikation wird als Multimasterreplikation bezeichnet.Betreibt man die DNS-Zone Active Directory integriert, wird diese ebenfallsrepliziert.
Sysvol Replikation
◦ ,den „Dateireplikationsdienst“ bzw. DFS-R. Hier wird der im Filesystemangesiedelte Teil des AD repliziert.
ep a on er an or n orma onen
◦ Diese Aufgabe übernimmt der KCC (Knowledge Consistency Checker).
© 2011 Stefan Berge 07.06.2011 16
8/18/2019 RBG Seminar ActiveDirectory
17/29
◦ Replikation der wichtigsten Attribute in den Globalen Katalog. Wird nichts
konfiguriert repliziert das AD per Multimasterreplikation (RPC) innerhalb. .Diese Einstellungen gelten primär für WAN Strecken. SMTP ist nur dann zuempfehlen, wenn „unsichere“ WAN Strecken eingesetzt werden. „Unsicher“heißt für Microsoft in diesem Fall, dass die Strecken des Öfterenunterbrochen sein könnten.
◦ Beim Hinzufügen von neuen Attributen zum GC muss beachtet werden,dass diese ebenfalls auf alle anderen GCs im Forest repliziert werden undzusätz ic e Last au WAN-Strec en erzeugen ann.
DNS Replikation
- .
© 2011 Stefan Berge 07.06.2011 17
8/18/2019 RBG Seminar ActiveDirectory
18/29
◦
Hierarchische Struktur◦ r e c tert e m n strat on
◦ Delegation möglich auf OU-Ebene
◦
Keine Standard-Container verwenden Organisationsstruktur immer neu abbilden
Standard-OUs nicht verändern
© 2011 Stefan Berge 07.06.2011 18
8/18/2019 RBG Seminar ActiveDirectory
19/29
Aufgaben:
◦
◦ Gruppenobjekte
© 2011 Stefan Berge 07.06.2011 19
8/18/2019 RBG Seminar ActiveDirectory
20/29
◦ Drei unterschiedliche Objekttypen:
enutzero e te c er e tspr nc pa
inetOrgPerson (Sicherheitsprincipal)
Kontaktobjekt (Kommunikation)
-
CN Administrator
instanceType 0x4 = (WRITE)
objectCategory CN=Person,CN=Schema,CN=Configuration,DC=…
objectClass Top; person; organizationalPerson; user
objectSid S-1-5-21-678375784-9234653470-…
sAMAccountName Administrator
© 2011 Stefan Berge 07.06.2011 20
8/18/2019 RBG Seminar ActiveDirectory
21/29
◦ 2 Gruppentypen:
c er e tsgruppe
Dient zur Zuweisung von Berechtigungen auf Netzwerk-
Verteilergruppe
, . .mit Microsoft Exchange
© 2011 Stefan Berge 07.06.2011 21
8/18/2019 RBG Seminar ActiveDirectory
22/29
◦ Gruppenbereiche:
o a n omäneZum Zuweisen von Rechten auf Ressourcen der lokalen Domäne(ab Windows 2000)
GlobalZum Zuweisen von Rechten auf Ressourcen in allen Domänen
(ab NT4.0)
UniversalZum Zuweisen von Rec ten au Ressourcen in a en Domänender Gesamtstruktur und zwischen vertrauten Gesamtstrukturen(ab Windows 2000)
© 2011 Stefan Berge 07.06.2011 22
8/18/2019 RBG Seminar ActiveDirectory
23/29
◦ Benutzerkonten von jeder beliebigen Domäne in der
◦ Globale oder universelle Gruppen von jeder
◦ Benutzerkonten oder globale oder universelleGru en von eder beliebi en Domäne in derGesamtstruktur
◦ Verschachtelte domänenlokale Gru en von derlokalen Domäne
© 2011 Stefan Berge 07.06.2011 23
8/18/2019 RBG Seminar ActiveDirectory
24/29
◦ Benutzerkonten von der Domäne, in der die Gruppe
◦ Verschachtelte globale Gruppen von der gleichen
© 2011 Stefan Berge 07.06.2011 24
8/18/2019 RBG Seminar ActiveDirectory
25/29
◦ Benutzerkonten von jeder beliebigen Domäne in der
◦ Globale Gruppen von jeder beliebigen Domäne in
◦ Verschachtelte universelle Gruppen von jederbeliebi en Domäne in der Gesamtstruktur
© 2011 Stefan Berge 07.06.2011 25
8/18/2019 RBG Seminar ActiveDirectory
26/29
- – - -
◦ A(ccounts) go in
G◦ Go a roups neste n
◦ (U(niveral Groups) nested in)
◦
D(omain Local Groups) that are granted◦ P(ermissions).
© 2011 Stefan Berge 07.06.2011 26
8/18/2019 RBG Seminar ActiveDirectory
27/29
◦ Computerkonto wird beim erstmaligen Eintritt in
über Name, Betriebssystem, Sicherheitsrichtlinien,GUID
◦ Computer muss sich genauso authentifizieren, wieBenutzer (Authentifizierung erfolgt beimRechnerstart)
◦ GUID wird bei jedem Neustart an DC übertragenun e e asc nen erzeugen e nen er erosverschlüsselten Kanal (Secure Channel) mit
© 2011 Stefan Berge 07.06.2011 27
8/18/2019 RBG Seminar ActiveDirectory
28/29
◦ Active Directory Benutzer und Computer
◦ Active Directory Standorte und Dienste
Systemtools
◦ t.msc
◦ Ldp.exe
◦ t sut .exe
07.06.2011© 2011 Stefan Berge 28
8/18/2019 RBG Seminar ActiveDirectory
29/29
Stefan Bergetefan Berge
Hochschulrechenzentrumochschulrechenzentrum
49 521 10649 521 106-126102610
[email protected]@uni-bielefeld.deielefeld.de
07.06.2011© 2011 Stefan Berge 29