Inhaltsverzeichnis         

© TRAC Optische Computer Sensorik, Stuttgart 2002 , em@il: trac@n.zgs.de


Active Directory

Inhalt

  1. Active Directory: Was ist das ?

  2. Netzwerkorganisation mittels AD

    1. Benutzerverwaltung

      1. Benutzerkonten

      2. Gruppen

    2. Standardgruppen

    3. Gruppenklassen

      1. Domänenlokale Gruppen

      2. Globale Gruppen

      3. Universale Gruppen

    4. Gruppenrichtlinien für Benutzer

  3. Computerverwaltung

    1. Computerkonten

    2. Gruppenrichtlinien für Computer

  4. Mengen von AD- Objekten und Objektmengen verwalten

    1. Domäne

    2. Organisationseinheiten

    3. Subdomänen

  5. Softwarearchitektur

  6. Domänecontroller und Replikation

    1. Physische Struktur

  7. Gruppenrichtlinien

    1. Aufbau von Gruppenrichtlinien

    2. Aktualisieren von Gruppenrichtlinien

  8. Testumgebung

    1. 1. Aufteilen der Resourcen jeder Domäne in lokale Sicherheitsgruppen

    2. 2. Aufteilen der Benutzer in jeder Domäne in globale Sicherheitsgruppen

    3. 3. Allgemeines Zugriffssystem auf die Resourcen definieren

    4. 4. Definieren universaler Gruppen

    5. 5. Veröffentlichen von Resourcen im Verzeichnis

    6. 6. Testen der Zugriffe

  9. Technik: Aufbau von AD

    1. Identifikation von AD- Objekten

      1. AdsPfade

      2. Globally Unique Identifier(GUID)

      3. OID- der X500 Namensraum

    2. Klassen und Objekte

      1. Liste der AD- Datentypen (Syntax) für Attributklassendeklarationen

    3. AD ist erweiterbar

    4. Erweitern der Klasse User um ein Attribut zur Aufnahme des Gehaltes

      1. 1.Schritt: Attribut userGehalt anlegen

      2. 2.Schritt: Klasse user mit Attribut userGehalt erweitern

      3. 3.Schritt: Schreiben von Zugriffsscripten für neue Eigenschaft

  10. TTT: Tips, Tools, Tricks

    1. Programm im Sicherheitskontext eines anderen Benutzers starten

    2. Lokal anmelden am DC

    3. Snap Ins für AD- Verwaltung

Active Directory: Was ist das ?

Active Directory, oder kurz AD, ist vereinfacht ausgedrückt eine Datenbank, in der organisatorische Informationen zu Teilnehmern, Daten und Geräten aus einem Windows 2000 Computernetzwerk abgespeichert werden.




Netzwerkorganisation mittels AD

Benutzerverwaltung

Benutzerkonten

Jeder, der mit einem AD- verwalteten Netzwerk arbeiten möchte, muß über ein Benutzerkonte im AD verfügen. Neben einer SID für jeden Benutzer sind in einem Token zusätzlich gespeichert:

  1. Persönliche Daten wie email- Adresse und Telefonnummern,

  2. Identifikationsdaten wie Passwort und userid

  3. die individuelle Konfiguration der Arbeitsumgebung und Benutzeroberfläche,

  4. die Zugehörigkeit zu bestimmten AD- Objekten für die Verwaltung von Mengen, genannt Domänen und Organisationseinheiten






Gruppen

Gruppen sind ein Instrument zur Verwaltung von Zugriffsrechten für ein Menge von Benutzern. Fassen eine Menge von Teilnehmern unter einem sog. Gruppennamen zusammen.


Die Zuweisung eines Benutzers zu einer Gruppe wir Mitgliedschaft genannt. Benutzer, die einer Benutzergruppe zugewiesen sind, erben von diesen die Zugriffsrechte wie Berechtigungen und Verbote. Dadurch wird die Verwaltung einer Vielzahl von Benutzern vereinfacht: Änderungen an den Zugriffsrechten einer Gruppe wirken sich sofort auf alle Gruppenmitglieder aus.

Standardgruppen

Gruppe

Rechte

Administratoren

Alle

Benutzer

  • zertifizierte W2k Programme ausführen

  • Selbst definierte lokale Gruppen verwalten

  • Vollzugriff auf eigene Datendateien

  • Zugriff auf Registrierung mit HKEY_CURRENT_USER

Hauptbenutzer

Dient zur Kompatibilität mit NT. Kann zusätzlich zu Benutzer

  • nicht zertifizierte Programme ausführen

  • Programme installieren, die weder Systemdateien ändern, noch Dienste installieren

  • Lokale Benutzerkonten erstellen und Verwalten

  • manuell Dienste starten und beenden

Sicherungsadministratoren

Sichern aller Daten auf Band



Gruppenklassen

 

Universale Gruppen

Globale Gruppen

Domänenlokale Gruppen

Teilnehmer

Aus der Gesamtstruktur

  • Benutzer

  • globale Gruppen

  • universale Gruppen

Benutzer und globale Gruppen der eigenen Domäne

  • Domänenlokale Gruppen der eigenen Domäne

  • Benutzer, globale und universale Gruppen

Wirkungsradius

Beliebige Resource in beliebiger Domäne der Gesamtstruktur

Beliebige Resource in beliebiger Domäne der Gesamtstruktur

Beliebige Resource in der eigenen Domäne

Domänenlokale Gruppen

Für Benutzer und Gruppen aus verschiedenen Domänen können Zugriffrechte auf Resourcen innerhalb der Domäne ermöglicht werden, in der die Gruppe definiert wird.

Bsp.: Zugriff auf Ordner

Globale Gruppen

Für Benutzern und Gruppen aus einer Domäne können Zugriffsrechte auf Ressourcen aus anderen Domänen ermöglicht werden.

Universale Gruppen

Für Benutzer und Gruppen aus beliebigen Domänen können Zugriffsrechte auf Ressourcen aus beliebigen Domänen erteilt werden.




Gruppenrichtlinien für Benutzer

Gruppenrichtlinien für Benutzer sind Konfigurationsanweisungen, die ausgeführt werden, wenn sich ein Benutzer an einer Datenstation anmeldet. Die Konfigurationsanweisungen werden zentral im AD gespeichert. Meldet sich der Benutzer von der Datenstation wieder ab, dann werden die Konfigurationsanweisungen zurückgenommen. Mit den benutzerspezifischen Konfigurationsanweisungen können folgende Aufgaben erledigt werden:

Computerverwaltung

Computerkonten

Durch Computerkonten werden alle zum Netz gehörigen Arbeitsstationen und Domäne- Controller verwaltet. Ein Computerkonto speichert:

  1. DNS- Name der Arbeitsstation

  2. Verweis auf Domäne oder Organisationseinheit, innerhalb der das Computerkonto verwaltet wird

  3. Daten über den lokalen Administrator des Systems

  4. Mitgliedschaft in einer der beiden Gruppen: Domäne- Computer oder Domäne- Controller

Gruppenrichtlinien für Computer

Gruppenrichtlinien für Computer sind Konfigurationsanweisungen, die ausgeführt werden, wenn ein Computer im Netz hochfährt. Die Konfigurationsanweisungen werden zentral im AD gespeichert. Mit den computerspezifischen Konfigurationsanweisungen können folgende Aufgaben erledigt werden:

  1. Remote- Installationen: Definieren, welches Betriebssystem und welche Anwendungssoftware auf einem neuen Computer zu installieren ist.

  2. Start/Herunterfahren: Definition von Scripten, die beim Start und Herunterfahren eines Computers auszuführen sind

  3. Restriktionen für alle Benutzer: Definition von generellen Datenträgerkontigenten, allgemeine Zugriffsbeschränkungen auf Verzeichnisse

Mengen von AD- Objekten und Objektmengen verwalten

Mit AD startet man nicht auf der grünen Wiese. Die von den Microsoft- Entwicklern vordefinierten Container ermöglichen die Speicherung organisatorischer Informationen zu einem Computernetzwerk in sog. Domänen. Die Folgende Abbildung zeigt die Containerhierarchie, durch welche die Domänen realisiert werden:

                                        
  olymp.loc
Gesamtstruktur -----------+-------------------------------------+--------
(Forest)                  |                                     |
                          |                                     |
Domänestruktur          olymp.loc                          walhalla.loc
(Domain Tree)             |                                     |
                          |                                     |
                +---------+----------+                  +-------+---------------+
                |                    |                  |                       |
Domänen   feuer.olymp.loc    wasser.olymp.loc    odin.walhalla.loc      thor.walhalla.loc
                                     |
                              +------+-- - -         
                              |          
Organisationseinheiten    nixen.wasser.olymp   

Domäne

Eine Domäne ist ein Container mit folgenden Eigenschaften:

  1. Er besitzt einen eindeutigen DNS- Namen.

  2. Er enthält eine spezielle Hierarchie von Containern und Endknoten, mittels der Benutzer, Computer und Serverdienste in einem Netzwerk verzeichnet werden

  3. Er ist mit einer oder mehreren Gruppenrichtlinienobjekten verbunden, über welche die Arbeit von Computern oder Benutzer innerhalb der Domäne eingeschränkt wird.

  4. Für jede Domäne ist mindestens ein Administrator verantwortlich

Eine Domäne kann mit einem Verein verglichen werden. Dem Vereinsvorsitzenden entspricht in der Domäne der Administrator. Die Benutzer entsprechen dem Vereinsmitgliedern. Die von den Vereinsmitgliedern nutzbare Infrastruktur (z.B. Schießanlage eines Schützenvereins) entspricht den in der Domäne verzeichneten Computern.

Die Macht des Administrators in einer Domäne übersteigt jedoch bei weitem die Macht vieler Vereinsvorsitzender: einzig und allein der Administrator kann Benutzerkonten eröffnen und schließen sowie Spielregeln (= Gruppenrichtlinien) in der Domäne festlegen.

In einer Domäne können im Container user bis zu 10 Mio. Benutzerkonten verwaltet werden. In der Praxis wird diese Obergrenze auf 2 Mio Benutzer zurückgenommen.

Organisationseinheiten

Die Verwaltung einer Domäne lastet auf den Schultern des Administrators. Seine Arbeitsgeschwindigkeit ist nicht beliebig zu steigern. Deshalb muss die Verwaltungsarbeit bei großen eine Domäne auf mehrere Schultern aufgeteilt werden. Schließlich kann eine Domäne bis zu 10 Mio. Benutzer fassen !

Das Mittel zur Arbeitsaufteilung sind die Organisationseinheiten. Organisationseinheiten sind spezielle Container innerhalb einer Domäne, in denen neue Benutzerkonten angelegt bzw. bereits bestehende hineinverschoben werden können.

Wird eine Organisationseinheit neu angelegt, dann ist für ihren Inhalt zunächst der Administrator verantwortlich. Er kann diese Verantwortung dann an einen von ihm bestimmten Domänen- Benutzer delegieren. Dieser kann jetzt in der Organisationseinheit neue Benutzerkonten anlegen und bestehende verwalten. Der Administrator verliert dadurch nicht an Macht: er kann nach wie vor die ganze Domäne einschließlich Organisationseinheit verwalten und jederzeit die Delegierungen widerufen.

Subdomänen

Es gibt zwei Gründe, Sub- Domänen einzurichten:

  1. Eine Gruppe von Benutzern soll unter einem eigenständigen DNS- Namen zusammengefasst werden (So wie im obigen Beispiel aller Mitarbeiter der Hölle unter dem Namen feuer.olymp)

  2. Datentransfers durch Replikation über schmalbandige Netze (z.B. Telefonleitung) sollen vermieden werden

Jede Subdomäne erhält einen eigenen DNS- Namen. Die Namen aller Computer, die zur Subdomäne gehören, bekommen einen DNS- Namen, der sich vom DNS- Namen der Domäne ableitet (z.B. computer1.feuer.olymp). Möchte ein Unternehmen einzelnen Abteilungen im WWW mit jeweils eigenem DNS- Namen auftreten lassen, dann muss für jede Abteilung eine Subdomäne angelegt werden.

Ist z.B. die EDV einer Filiale über eine schmalbandige Telefonleitung mit dem Netz der Unternehmenszentrale verbunden, dann können die durch Replikation bedingten Datentransfers zwischen den DC's der Zentrale und der Filiale die verfügbare Bandbreite fast vollständig aufzehren. Die Telefonleitung ist dann de facto blockiert und kann nicht mehr von Anwendungen genutzt werden. Hier kann nur durch Anlegen einer Subdomäne in der Filiale Abhilfe geschaffen werden, denn zwischen den DC's verschiedener Domänen finden keine Replikationen statt.

Softwarearchitektur

AD ist eine verteilte Datenbank. Die Aufgaben werden wie folgt verteilt:




Domäne Controller und Replikation

Die Verwaltungsdaten einer Domäne werden mittels Active Directory auf speziellen Servern gespeichert, genannt Domäne Controler (kurz DC). Im allgemeinen werden für eine Domäne immer mehrere DC's betrieben, um die Ausfallsicherheit zu erhöhen. AD unterstützt den Betrieb mehrere Server zwecks Ausfallsicherheit durch den Mechanismus der Replikation. Dabei werden in regelmäßigen Abständen alle eingetretenen Änderungen innerhalb der AD- Datenbank eines DC's an alle anderen DC's versendet. Die Empfänger nehmen dann die Änderungen ebenfalls vor, so daß im Mittel auf allen verfügbaren DC's die gleichen Verwaltungsdatensätze vorliegen.

Für jede Domäne muß ein DC eingerichtet werden. Dazu muß auf einem Win2000- Server das Programm dcpromo.exe gestartet werden. Mit einem Assistenten (Wizzard) wird die AD- Datenbank auf dem Server eingerichtet.

Achtung:

Ein Win2000 Server kann nur als DC einer Domäne eingerichtet werden ! Mehrere Domänen (auch Sub- Domänen) erfordern mehrere Win2000 Server.

Physische Struktur

Definition

Standort

Ein Standort ist eine Menge von Subnetzen mit hoher Bandbreite. Die Subnetze müssen durch Router direkt miteinander verbunden sein.

Verwaltet werden die Standorte mittels einer MMC- Konsole:

Start/Programme/Verwaltung/Active Directory Standorte und Dienste

Definition

Verbindungsobjekt

Ein Verbindungsobjekt definiert für einen Domäne Controller einen zweiten Domäne Controller im Standort, von dem er die Replikationsdaten bezieht.

Die Verbindungsobjekte werden pro Serverobjekt im Ordner NTDS- Settings angelegt und gespeichert.

Pfad:
Active Directory Standorte und Dienste/<Standortname>/Servers/<Servername>/NTDS Settings

Definition

Standortverknüpfung

Eine Standortverknüpfung definiert die Verbindung zwischen zwei Standorten

Die Standortverknüpfungen werden mittels der MMC- Konsole „Active Directory Standorte und Dienste“ verwaltet:

Active Directory Standorte und Dienste/Inter Site Transports




Definition

Replikationstopologie

Eine Replikationstopologie ist die Menge aller Verbindungsobjekte und Standortverküpfungen für aktives Active Directory.

Die Verbindungsobjekte und Standortverknüpfungen können als gerichtete Kante zwischen Knoten dargestellt werden, die entweder Server oder Standorte sind. So entstehen graphische Darstellungen der Replikationstopologie.

Gruppenrichtlinien

Gruppenrichtlinien sind Vorschriften, die z.B. benutzerspezifische Konfigurationen beim An- und Abmelden an Arbeitsstationen oder den Zugriff auf Drucker regeln.

Gruppenrichtlinien werden in AD genauso wie Domänen und Benutzerkonten gespeichert. Man kann analog zu den Benutzerkonten sich beliebig viele neue Gruppenrichtlinien erzeugen. Diese werden im Container Group- policies abgespeichert, der jedoch i.a. nicht sichtbar ist.

Jede neue Gruppenrichtlinie, die vom Administrator angelegt wird, erhält einen eindeutigen Namen. Die neu angelegte Gruppenrichtlinie listet alle Schalter auf, über die eine Domäne zentral gesteuert werden kann. Jeder dieser Schalter kennt drei Grundstellungen:

Durch setzen der Schalter wird die Gruppenrichtlinie formuliert. Danach muss sie einem Container zugewiesen werden, innerhalb dessen sie gelten soll. Das Zuweisen einer Gruppenrichtlinie beschränkt sich dabei auf folgende Containerklassen:

Um eine Gruppenrichtlinie zuzuweisen, muss das Kontext- Menü des jeweiligen Containers aufgerufen werden, und auf der Seite Gruppenrichtlinien mittels Hinzufügen die Gruppenrichtlinie hinzugefügt werden. Ebenfalls kann auf dieser Seite mittels Neu eine neue Gruppenrichtlinie angelegt werden.

Aufbau von Gruppenrichtlinien

Eine Gruppenrichtlinie listet alle Schalter auf, über die eine Domäne zentral gesteuert werden kann. Die Schalter sind in zwei Gruppen aufgeteilt:

Jede dieser Gruppen gliedert sich wiederum in drei Untergruppen:

Aktualisieren von Gruppenrichtlinien

Die Gruppenrichtlinien werden von den Arbeitsstationen beim Hochfahren oder bei der An- und Abmeldung eines Benutzers vom DC geladen. Wenn man als Admin neue Gruppenrichtlinien erlässt, und diese auf einer Arbeitsstation sofort durchsetzen möchte, dann kann das Kommandozeilentool gpupdate.exe eingesetzt werden:

Alle Gruppenrichtlinien erneut vom DC laden:

c:> gpupdate /force

Testumgebung

Die Testumgebung bildet die Struktur der fiktiven Software- Firma Fantasy.com auf ein Windows 2000 Domänemodell ab. Fantasy.com ist in die drei Abteilungen Leitung, Vertrieb und Entwicklung gegliedert.




Abteilung

Zugeordnete Domäne

Leitung

olymp.loc

Vertrieb

walhalla.loc

Entwicklung

wasser.olymp.loc



1. Aufteilen der Resourcen jeder Domäne in lokale Sicherheitsgruppen

In jeder Domäne werden domänenlokale Sicherheitsgruppen definiert. Über diese wird der Zugriff auf die Resourcen einer Domäne gesteuert.

Lokale Sicherheitsgruppen in olymp.loc

Name

Regelt Zugriff auf

res-Personal

Verzeichnisse und Dateien, die Personaldaten enthalten

res-Strategie

Verzeichnisse und Resourcen, die Dokumente mit strategischen Informationen enthalten

res-Drucker-Sekretariat

Alle Drucker, die dem Sekretariat unterstellt sind

res-Drucker-Chef

Alle Drucker auf der Chefetage

res-Monatsberichte-Sekretariat

Verzeichnisse und Dateien mit Monatsberichten vom Abteilungsleiter des Sekretariats



Lokale Sicherheitsgruppen in walhalla.loc

Name

Regelt Zugriff auf

res-Angebote

Verzeichnisse und Dateien mit Infos über Angebote und Anfragen

res-Kunden

Verzeichnisse und Dateien mit Kundendaten

res-Monatsberichte

Verzeichnisse und Dateien mit Monatsberichten der Abteilungsleiter von Vertrieb

Lokale Sicherheitsgruppen in wasser.olymp.loc

Name

Regelt Zugriff auf

res-Planung

Verzeichnisse und Dateien mit Daten aus der aktiven Planungsphase

res-Planung-fertig

Planungsdokumente, die zur Implementierung freigegeben sind

res-Implementierung

Verzeichnisse und Dateien mit Quelltexten und Modulen aus der Implementierungsphase

res-Implementierung-fertig

Module, die für den Test freigegeben sind

res-Test

Verzeichnisse und Dateien mit Daten aus der Testphase

res-Drucker

Drucker aus der Entwicklungsabteilung

res-Monatsberichte

Verzeichnisse und Dateien mit Maonatsberichten von Entwicklung

2. Aufteilen der Benutzer in jeder Domäne in globale Sicherheitsgruppen

Globale Sicherheitsgruppen in olymp.loc

Name

Enthält Benutzer

user-Chef

Mitglieder der Firmenleitung

user-Chef-Assi

Assistenten der Führungskräfte

user-Abteilungsleiter-Sekretariat

Abteilungsleiter vom Sekretariat

user-Sekretariat

Mitarbeiter des Sekretariats



Globale Sicherheitsgruppen in walhalla.loc

Name

Enthält Benutzer

user-Abteilungsleiter

Abteilungsleiter von Vertrieb

user-Vertrieb

Mitarbeiter der Vertriebsabteilung

Globale Sicherheitsgruppen in wasser.olymp.loc

Name

Enthält Benutzer

user-Abteilungsleiter

Abteilungsleiter von Entwicklung

user-Programmierer

Programmierer

user-Plan-und-Test

Mitarbeiter, die den Softwareentwurf + Test durchführen

3. Allgemeines Zugriffssystem auf die Ressourcen definieren

Durch Mitgliedschaften von globalen Benutzergruppen in lokalen Ressourcen- Gruppen wird ein allgemeines Zugriffssystem in der Firma Fantasy.com definiert.

Mitglieder der Firmenleitung erhalten Zugriff auf die Kundendaten und die Angebote

lokale Resourcengruppe

enthält globale Benutzergruppe

res-Angebote@walhalla.loc

user-Chef@olymp.loc

res-Kunden@walhalla.loc

user-Chef@olymp.loc



Alle Abteilungsleiter erhalten Zugriff auf die Personaldaten

lokale Resourcengruppe

enthält globale Benutzergruppen



res-Personal@olymp.loc

Programmierer dürfen auf fertige Planungsdokumente zugreifen, und Tester auf fertige Module

lokale Resourcengruppe

enthält globale Benutzergruppen

res-Planung-fertig@wasser.olymp.loc

user-Programmierer

res-Implementierung-fertig@wasser.olymp.loc

user-Plan-und-Test

4. Definieren universaler Gruppen

Ein Abteilungsleiter aus dem Vertrieb, und eine Führungskraft aus der Leitung werten die Monatsberichte der Abteilungsleiter aller Abteilungen aus. Dazu wird eine universale Gruppe angelegt, genannt Berichtsauswertung. Dieser werden Zugriffe auf die Monatsberichte aus allen Abteilungen eingeräumt, und die beiden user als Mitglieder zugeordnet.

5. Veröffentlichen von Ressourcen im Verzeichnis

6. Testen der Zugriffe

Achtung: Beim Anmelden erhält jeder Benutzer ein Sicherheitstoken, das seine SID + die SID's der Gruppen enthält, von denen er Mitglied ist. Wenn die Mitgliedschaft eines Benutzers sich ändert, während er angemeldet ist, dann muss das System sein Sicherheitstoken ändern. Dies geschieht jedoch nicht sofort, sondern kann sehr lange dauern. Aus diesem Grunde ist es beim Testen der Zugriffe sinnvoll, nach der Änderungen von Gruppenmitgliedschaften die betroffenen Benutzer ab- und wieder anzumelden. Sie erhalten beim Anmelden ein neues Sicherheitstoken mit den aktualisierten Mitgliedschaften.

Technik: Aufbau von AD

Identifikation von AD- Objekten

ADsPfade

Dateien und Ordner können mittels absoluter und relativer Pfadangaben in einem Dateisystem adressiert werden. Ähnlich funktioniert es auch im hierarchisch organisierten AD mittels sogenannter ADsPfade.

Die ADsPfade werden dabei in einer Schreibweise (Syntax) angegeben, die durch den LDAP (Leightweight Directory Access Protocol) definiert wurde. Dazu ein Beispiel:

Im Netzwerk ist die Domäne olymp eingerichtet. In dieser Domäne gibt es ein Benutzerkontos für den Administrator und den Benutzer Freddy.

Beim Anlegen der Domäne wird für diese automatisch in AD ein Container erzeugt, der die Container user, computer, ... enthält. Im Container user sind alle Benutzerkonten der Domäne als Endknoten abgelegt. Die folgende Abbildung visualisiert diese hierarchische Struktur.

 |
 + olymp +
 |       |
 :       +- computer +
         |           |
         |           +- platz01 
         |           |
         |           +- platz02
         :           :
         :
         |
         +- users +
                  |
                  +- Administrator
                  |
                  +- Freddy 
                  :



Die Benutzerkonten von Administrator und Freddy können mittels ADsPfade wie folgt beschrieben werden:

Die Schreibweise ist ähnlich der von URL's a la DNS. Der Unterschied besteht darin, das jede Komponente des Pfades mittels eines Präfixes und Gleichheitszeichen einer Namensklasse zugewiesen wird. Folgende Namensklassen sind definiert:

Prefix

Namensklasse

CN

Common Name (gewöhnlicher Name): wird immer benutzt, wenn die Pfadkomponente keiner anderen Namensklasse zugeordnet werden kann

C

Country Name

DC

Domain Component: Der Name ist Teil eines Domäne- Namens

L

Locality Name

O

Organisation Name

OU

Organisational Unit Name: Bezeichnet einen allgemeinen AD- Container

ST

State or Province Name

STREET

Street Adress

Globally Unique Identifier(GUID)

Jedes AD- Objekt, egal ob Endknoten oder Container, besitzt neben dem ADsPfad noch eine weltweit eindeutige Kennung. Diese wird erzeugt, wenn das Objekt erstellt wird. Es handelt sich hierbei um eine 128 bit große Zahl, genannt Globally Unique Identifier oder kurz GUID.

AD ist hierarchisch aufgebaut wie ein Dateisystem. Den Ordnern und Dateien im Dateisystem entsprechen Container und Endknoten im AD.

OID- der X500 Namensraum

Eine weltweit eindeutiges Namenssystem, das im X500 Standard der ISO-ITU beschrieben wird. Die Namen sind hierarchisch aufgebaut analog DNS. Jeder Teil aus dem Namensbaum wird durch eine Nummer aus dem Bereich 1 bis 228 – 1 dargestellt.

Siehe http://www.iana.org/assignments/enterprise-numbers

1.3.6.1.4.1.311 ist zum Beispiel der OID- Namensstamm für alle Objekte von Microsoft.

Klassen und Objekte

Container und Endknoten sind Objekte. Der Aufbau der Objekte wird durch Klassendeklarationen definiert. Die Klassendeklarationen sind bei weitem nicht so umfassend wie in objektorientierten Programmiersprachen (C++). Im wesentlichen enthalten die Klassendeklarationen:

  1. Vererbungsbeziehungen

  2. Attributmengen

Methoden (objektspezifische Unterprogramme) können nicht definiert werden.

Jedes Attribut einer Klasse muss einem Typ zugeordnet sein. Die Menge der verfügbaren Typen wird Attributklasse genannt, und ist erweiterbar.

Definition

Attributklasse

Eine Attributklasse definiert eine Menge von Attributen, die alle den gleichen Aufbau haben. In einer Attributklasse wir dabei definiert:

  1. OID: Eine weltweit eindeutiger Namen nach dem X500 Standard der ISO-ITU für die Attributklasse (z.B.:1.2.3.4.5.6.7.8.9.2.99)

  2. RDN: relativer Name im LDAP- Namensbaum

  3. Syntax: Das was in Programmiersprachen gewöhnlich Datentyp genannt wird, bezeichnet Microsoft als Syntax. Die Syntax (Datentyp) wird wiederum durch einen OID und einer OM- Nr



Liste der AD- Datentypen (Syntax) für Attributklassendeklarationen

Syntax (Datentyp)

OID

OM- Syntax

Beschreibung

undefined

2.5.5.0

-

 

Distinguished Name

2.5.5.1

127

Der voll qualifizierte Domain- Name eines Objektes in AD

Object ID

2.5.5.2

6

OID

Case sensitive String

2.5.5.3

20

Zeichenkette, bei der Groß/Kleinschreibung relevant ist

Case insensitive String

2.5.5.4

20

Zeichenkette, bei der Groß/Kleinschreibung unbedeutend ist

Numeric String

2.5.5.6

18

Zeichenkette, die ausschließlich aus Ziffern besteht

Boolean

2.5.5.8

1

Wahrheitswert, true oder false

Integer

2.5.5.9

2

32- Bit Festkommazahl

Time

2.5.5.11

23

Zeit im Unix- Zeitformat (Anzahl der Sekunden seit 1.1.1970)



Die notwendigen Klassen für die Verwaltung von Domänen sind in AD bereits vordefiniert.

Ordner und Dateien besitzen in einem Win2000 System eine Vielzahl von Eigenschaften wie z.B. Name, Schreibschutz, Freigabe und Besitzer. Diese Eigenschaften sind vom verwendeten Dateisystem (z.B. NTFS) fest vorgegeben.

Auch die Container und Endknoten im AD besitzen Eigenschaften, welche den gespeicherten organisatorischen Daten entsprechen. Beispielsweise sind Benutzerkonten Endknoten, deren Eigenschaften die Benutzerkennung, das Passwort u.s.w. beschreiben. Der Container user enthält alle Endknoten, die Benutzerkonten sind.

AD ist erweiterbar

Im Gegensatz zum Dateiverzeichnis ist man bei AD nicht auf Container und Endknoten mit fest vorgegebenen Eigenschaften beschränkt: alle im AD verwendeten Objekte sind im sog. Schema definiert, einer speziellen Partition in der AD- Datenbank. In dieser kann der Administrator mittels Scripte oder spezieller Werkzeuge eigene Einträge vornehmen, und so Container und Endknoten mit selbst definierten Eigenschaften erzeugen.

Werkzeuge:
ADSI- Edit, befindet sich auf der Win2000- Server CD unter support/tools
Active Directory Schema- Verwaltungs- Snapin, ist verfügbar, wenn unter systemsteuerung/software alle Win2000 Verwaltungsprogramme installiert werden

Erweitern der Klasse User um ein Attribut zur Aufnahme des Gehaltes

  1. Schritt: Attribut userGehalt anlegen

    1. ActiveDirectory Schema SnapIn/Attribute->Neu

    2. Gemeinsamer Name = userGehalt; LDAP Anzeigename = userGehalt; X500-OID = 1.2.3.4.5.6.7.8.9.1.1

    3. Syntax (Datentyp) = Nummerisch

  2. Schritt: Klasse user mit Attribut userGehalt erweitern

    1. ActiveDirectory Schema SnapIn/Klassen/user/Eigenschaften/Attribute ->Hinzufügen (userGehalt)

  3. Schritt: Schreiben von Zugriffsscripten für neue Eigenschaft

    1. Script zum schreiben

      ' mko
      ' Schreiben der neuen Eigenschaft userGehalt eines Benutzerkontos
      Dim userName
      userName = InputBox(„Bitte geben Sie den Benutzername ein:“)
      Dim user
      Set user = GetObject(„cn=“ & userName & „,cn=users,dc=olymp,dc=loc“)
      ' Eigenschaften aus AD in den Eigenschaftszwischenspeicher übertragen
      user.GetInfo
      user.Put „userGehalt“, gehalt
      ' Daten aus Eigenschaftszwischenspeicher in AD zurückschreiben
      user.SetInfo
      user = Nothing
    2. Script zum Lesen

      'mko
      ' Lesen der neuen Eigenschaft userGehalt eines Benutzerkontos
      Dim userName
      userName = IputBox(„Bitte geben Sie den Benutzername ein:“)
      Dim user
      Set user = GetObject(„cn=“ & userName & „,cn=users,dc=olymp,dc=loc“)
      ' Eigenschaften aus AD in den Eigenschaftszwischenspeicher übertragen
      user.GetInfo
      Dim gehalt
      gehalt = user.Get(„userGehalt“)
      MsgBox "Der Benutzer " & userName & " vedient monatlich " & gehalt & " Euro."
      user = Nothing        
              
              



TTT: Tips, Tools, Tricks

Programm im Sicherheitskontext eines anderen Benutzers starten

start/programme/... <programm> mit [strg]+[shift]+klick re Maustaste und dann „Ausführen als“

Lokal anmelden am DC

start/programme/verwaltung/sicherheitsrichtline für dc/lokale richtlinie/lokal anmelden

Snap Ins für AD- Verwaltung

<Systemlaufwerk>:/WinNT/system32/admin-pack