Active Directory


Aufbau – Funktion – Objekte

Active Directory – Was ist das?

  • Hierarchischer Verzeichnisdienst
  • Datenbank (gleiche DB wie Exchange)
  • Schema (1 Schema pro Forest)
  • Replikationsmechanismus (Multiple Master DB)
  • Abfragemechanismus (LDAP auf ADS)
  • Integrierte Sicherheitsmechanismen (Kerberos)

Active Directory – Was ist das?

  • Hierarchischer Windows Verzeichnisdienst
  • Dient zur zentralen Verwaltung von Objekten in Domänen
Active Directory Objekte

Active Directory Objekte

Active Directory – Bezeichnungen

  • Server 2000, 2003, 2008:
    • Active Directory (AD)
  • Server 2008R2, 2012R2:
    • Active Directory Domain Services (ADDS)

Active Directory – Hierarchische Struktur

  • Forest (Gesamtstruktur): einheitliches Schema, mindestens einen Tree
  • Tree (Baum): einheitlicher Namensraum, mindestens eine Domäne und evtl. Subdomänen
  • Domain (Domäne): mindestens einen Domaincontroller und folgende Objekte:
    • Organizational Unit (Organisationseinheit): OU Container für Objekte
    • Domänencontroller DC
    • Memberserver: kein DC, sonstige Dienste
    • PC´s
    • Benutzer
    • Gruppen

Logischer Aufbau einer Gesamtstruktur (Forest)

Gesamtstruktur

Gesamtstruktur

 

Physischer Aufbau einer Gesamtstruktur (Forest)

Physischer Aufbau einer Gesamtstruktur

Physischer Aufbau einer Gesamtstruktur

 

Active Directory – Replikation + Schema

Replikation

  • Synchronisation der Daten zwischen mehreren Domänencontrollern

Schema

  • Datenbankstruktur des AD
  • Definiert Klassen von Objekten (z.B. Benutzer) und die Attribute der Objekte (z.b. E-Mail-Adresse)
  • Alle Domänen innerhalb einer Gesamtstruktur (Forest) verwenden das selbe Schema

 

Betriebsmasterrollen- FSMO (Flexible single master operations)

Betriebsmasterrollen

Betriebsmasterrollen

 

Betriebsmasterrollen- FSMO (Flexible single master operations)

Das Active Directory kennt 5 versch. Betriebsmasterrollen

Einmalig auf einem Domänen-Controller der Gesamtstruktur

  • Schema-Master
    …zuständig für die Verwaltung der Schemattribute
  • Domänennamen-Master / Domain-Naming-Master
    …zuständig für Domänennamen, Einordnung in Gesamtstruktur
  • PDC-Emulator
    …zuständig für Zeitsynchronisation, Gruppenrichtlinien, Kennwortänderungen, Anmeldeversuche und Kennwortsperrungen
  • Infrastruktur-Master / Infrastructure-Master
    …Verwaltung der Gruppenzugehörigkeiten
  • RID-Master
    …zuständig für Verwaltung des SID-Pool

 

Aufbau einer Gesamtstruktur (Forest)

Aufbau einer Gesamtstruktur

Aufbau einer Gesamtstruktur

 

Active Directory – Standort (Site)

  • wird durch ein oder mehrere IP-Netze definiert
  • Verwaltung: „Active Directory -Standorte und -Dienste“
  • Verknüpfung: Name – IP-Subnet
Domäne

Domäne

Active Directory – Protokolle

Verwendete Protokolle

Verwendete Protokolle

Struktur einer Domäne

LDAP

LDAP

mmc-Snap-In

mmc-Snap-In

LDAP (Lightweight Directory Access Protocol)

Eingesetzte Objektklassen zur Abfrage und Modifikation der Verzeichnisdaten einer Baumstruktur

DC-OU-CN

DC-OU-CN

Namen von Objekten

LDAP-Name:
Distinguished Name (DN)
kanonischer Name Anmeldename:
User Principal Name (UPN)
cn=Panzer,ou=Schueler,dc=panzer,dc=local panzer.local/Schueler/panzer panzer@panzer.local
cn=Anna,ou=FISI14,ou=Schüler,dc=panzer,dc=local panzer.local/Schüler/FISI14/Anna anna@panzer.local

Da im UPN keine OUs vorkommen, müssen Benutzernamen innerhalb einer Domäne einmalig sein!

 

Namen von Objekten

LDAP (Lightweight Directory Access Protocol)

Protokoll zur Abfrage und Modifikation der Verzeichnisdaten einer Baumstruktur.

Objektklassen:

  • Domain Component (DC)
  • Organizational Unit (OU)
  • Common Name (CN)

Dienen der

  • Eindeutigen Identifizierung Jedes Objekts durch Distinguished Name (DN)
  • Jedes Objekt besitzt kanonischen Namen
  • Jeder Benutzer besitzt User Principal Name (UPN)

Kerberos Authentifizierungsprotokoll

  1. Client schickt Anmeldedaten und fordert TGT (Ticket Granting Ticket) an.
  2. DC überprüft Anmeldedaten sendet TGT an Client => Client ist authentifiziert.
  3. Client fordert mit seinem TGT ein ST (Service Ticket) speziell für den Zugriff auf sonstigen Server an.
  4. Domaincontroller überprüft Anmeldedaten und sendet ST.
  5. Client sendet das vom Domaincontroller zertifizierte ST an den sonstigen Server => sonstiger Server weiß nun ,dass der DC bestätigt hat, dass der Client derjenige ist, der er
    behauptet zu sein.
  6. Die eigentliche Kommunikation zwischen Client und sonstigem Server kann beginnen
Kerberos Authentifizierungsprotokoll

Kerberos Authentifizierungsprotokoll