Kapitel 9 Verzeichnis- und Zugriffskonzepte

Active Directory bringt neue Gesichtspunkte in die Überlegungen bezüglich der Verwaltung von Benutzern, aber auch bezüglich der Steuerung von Ressourcen. Das Verzeichnissystem ermöglicht dem Administrator eine gründlichere Steuerung der Benutzerumgebung und der Präsentation der Ressourcen.

Microsofts Verwendung des Active Directory ist im Wesentlichen ein Schritt hin zu einem auf Normen basierenden Tool, das es schon seit Jahren gibt. Bei dieser Norm handelt es sich um die X.500-Verzeichnisstruktur. X.500 ist eine ISO-Norm (ISO = International Standard Organization), die definiert, wie globale Verzeichnisse aufgebaut sein sollten. Die hierarchische Struktur des Active Directory hat viele Dinge mit NetWare (ab Version 4.x) und vielen anderen Verzeichnissen gemein, da diese alle einer Norm entsprechen wollen. Diese Norm sorgt für Interoperabilität und leichte Erlernbarkeit. Wenn Sie ein NetWare-Administrator sind, werden Sie in diesem Kapitel und im gesamten Buch einige alte Bekannte wieder treffen.

In diesem Kapitel wird einiges aus Kapitel 5 wiederholt. Im Gegensatz zu Kapitel 5 soll hier jedoch die eigentliche Erstellung dieser einzelnen Komponenten ausführlich beschrieben werden. In den bisherigen Kapiteln ging es um Konzepte; hier geht es darum, wie und warum etwas getan wird.

9.1 Sicherheitskonzept

Wenn Benutzer versuchen, auf eine Ressource zuzugreifen, müssen sie zuerst von der Domäne, die für die jeweilige Ressource verantwortlich ist, authentifiziert werden. Die Authentifizierung kann einfach nur darin bestehen, dass geprüft wird, ob der Benutzer wirklich der ist, der er zu sein vorgibt. Die Authentifizierung kann jedoch auch sehr komplex sein, d.h., diese Referenzen werden über mehrere Server oder Domänen geleitet. In jedem Fall muss für diese Authentifizierung ein Protokoll eingerichtet werden.

Die Authentifizierung in Windows 2000 hat sich insofern geändert, als dieses Betriebssystem sowohl mit dem alten Protokoll, dem NTLM-Protokoll (Windows NT LAN Manager), als auch mit dem Sicherheitsprotokoll Kerberos ausgestattet ist. Beide Protokolle werden beim Starten von Windows 2000 geladen, um die große Anzahl an Windows NT- und 95/98-Clients zu berücksichtigen, die in einer Umgebung existieren können. In einer reinen Windows 2000-Umgebung ist Kerberos das einzige erforderliche Sicherheitsprotokoll. In diesem Kapitel werden die beiden Protokolle sowie die Beziehung zwischen diesen beiden Protokollen näher betrachtet.

9.1.1 Kerberos

Microsoft hat eine größere Änderung im Sicherheitsprotokoll, d.h. dem in Windows 2000 verwendeten Standardprotokoll, vorgenommen. Man hat sich für das Protokoll Kerberos entschieden. Ebenso wenig wie TCP/IP ist auch Kerberos eine neue Idee oder eine Innovation von Microsoft. Es gibt Windows jedoch eine sehr sichere Operationsgrundlage in einem Standard, der in der Host-Welt schon seit über zehn Jahren verwendet wird.

Kerberos ist eigentlich der Name des aus der griechischen Mythologie stammenden dreiköpfigen Hundes Zerberus, der die Tore zum Hades, also der Unterwelt, bewacht. Dieser Name wurde für das Protokoll aufgrund des dreistufigen, für die Verwaltung von sicheren Verbindungen zwischen Systemen erforderlichen Ansatzes gewählt. Das Protokoll wurde in den 80er-Jahren beim MIT entwickelt. Die Widerhaken und Pfeile, die über die Windows NT-Sicherheit auf Microsoft abgeschossen wurden, erforderten einen dreiköpfigen Wachhund, und das war Kerberos.

Bevor wir damit beginnen, das Protokoll Kerberos vorzustellen und seinen Platz in Windows 2000 zu beschreiben, möchte ich darauf hinweisen, dass Microsoft das Protokoll nur in reinen Windows 2000-Anwendungen standardmäßig verwendet. Das bedeutet nicht, dass dieses Protokoll sonst nicht verwendet wird. Das heißt nur, dass Windows 2000 Kerberos standardmäßig nur bei der Kommunikation mit anderen Windows 2000-Systemen verwendet. Windows NT-, Windows 95/98-, Windows für Workgroups- und andere Windows-Clients können nicht mit Kerberos auf Windows 2000 zugreifen. Sie verwenden für die Kommunikation das alte NTLM-Protokoll (Windows NT LAN Manager).

Da es sich bei Kerberos um ein öffentliches Standardsicherheitsprotokoll handelt, kann Windows 2000 Teil eines Kerberos-Sicherheitssystems werden, ohne von Windows 2000 gesteuert zu werden. Das System kann sowohl ein Host als auch ein Client für Nicht-Windows-2000- Systeme sein.

Man könnte sich vorstellen, dass Überlegungen getroffen werden, für ältere Betriebssysteme einen Kerberos-Client zu erstellen.

Der Kommunikationsprozess

Wenn zwei Systeme im Geheimen miteinander kommunizieren möchten, müssen diese dafür eine Vorgehensweise finden, bevor sie mit der Kommunikation beginnen können. Wenn beispielsweise Thomas eine verschlüsselte Nachricht an Renate senden möchte, müssen sich die beiden auf einen Verschlüsselungsschlüssel einigen, bevor die Nachricht gesendet wird.

Sie können einen einfachen Verschlüsselungsschlüssel verwenden, bei dem jeweils ein Buchstabe durch eine Zahl ersetzt wird wie z.B. 1 = a, 2 = b, 3 = c usw. Wenn Renate dann die Nachricht (20-8-15-13-1-19 12-9-5-2-20 18-5-14-1-20-5) empfängt, übersetzt sie diese mit dem vereinbarten Verschlüsselungsschlüssel. Diese Nachricht kann jedoch einfach entschlüsselt werden.

Die beiden müssen sich jedoch bewusst sein, dass ihre Nachricht abgefangen und ausgeklügelte Formen des Codeknackens angewendet werden können. Das Internet und andere öffentliche Netzwerke haben es erforderlich gemacht, dass ein Großteil unserer Verbindungen öffentlich gemacht werden. Daher muss die Verschlüsselung auf einer sehr komplexen Ebene erfolgen.

Der erste Schritt in diesem Prozess ist es, einfach eine Möglichkeit für den Empfänger zu finden, damit dieser weiß, dass die Nachricht vom Absender kommt. Dabei spricht man von einem gemeinsamen Geheimnis.

Authentifizierung kann realisiert werden, indem man sich vor der Kommunikation auf ein Kennwort einigt. Dann muss der Benutzer einfach vor der Kommunikation das Kennwort eingeben. Das Problem bei diesem Verfahren in der Vergangenheit war, dass das Signal abgefangen und rückübertragen werden konnte. Dieser Vorgang wird als Spoofing (engl. für »schwindeln«) bezeichnet, weil der »Schwindler« das abgefangene Netzwerksignal verwendet, um vorzugeben, er sei nun der echte Benutzer. Er zeichnet einfach die ursprüngliche Nachricht auf und leitet sie weiter, wenn er vorgeben möchte, der echte Absender zu sein. Das ist in etwa so ähnlich, als würde man jemanden auf Band aufnehmen, der das Geheimwort an der Eingangstür zum Clubhaus sagt, und das Aufgenommene abspielen, wenn man selbst Zutritt zum Clubhaus haben möchte.

Dies lässt sich umgehen, wenn man diese beiden Lösungen (Verschlüsselung und Kennwörter) miteinander kombiniert. Die Idee dabei ist, dass das Kennwort verschlüsselt werden soll. Wenn der Server die Verschlüsselung versteht, kann das Kennwort wie jede andere Nachricht auch verschlüsselt werden. Aber auch verschlüsselte Nachrichten können abgefangen und rückübertragen werden, als wären es die ursprünglichen Nachrichten. Der Empfänger sieht sich in diesem Fall nur das Ergebnis an. Derjenige, der die Nachricht abfängt, spiegelt einfach Bit für Bit die verschlüsselte Nachricht, die das Kennwort enthält. Wie im obigen Beispiel werden Sie Zutritt bekommen, wenn Sie das aufgenommene Kennwort exakt so wiedergeben, wie es ursprünglich gesagt wurde.

Können Sie eine Computernachricht abfangen?

Nachrichten, die zwischen Computern ausgetauscht werden, sind nicht ganz, aber fast so einfach abzufangen wie Gespräche unter Menschen. Leute, die diese Nachrichten abfangen möchten, können sich Programme zu Nutze machen, die unter der Bezeichnung Packet Sniffer bzw. Analyzer bekannt sind. »Sniffer« ist ein umgangssprachlicher Ausdruck für eine sehr robuste Version des Hauptprodukts.

Mit Hilfe von Analyzern können Nachrichten im Netzwerk in Form von reinen Paketen (daher »Packet« Sniffer) abgefangen werden. Denken Sie daran, dass sämtliche Computer im Netzwerk sämtliche Pakete erhalten, die über das Netzwerk gesendet werden. Auch wenn die Computer nicht mit dem Netzwerk interagieren, sie empfangen dennoch sämtliche Nachrichten. In Reinform kann ein Paket, wenn es nicht verschlüsselt ist, so einfach gelesen werden wie eine Geburtstagskarte. Der Großteil des Inhalts eines Pakets besteht aus Klartext. Sogar Windows 2000 ist mit einem einfachen Netzwerk-Analyzer, dem Netzwerkmonitor ausgestattet. Sie finden ihn unter der Rubrik Verwaltung.

Der nächste Schritt in diesem Prozess besteht darin, sicherzustellen, dass die Übertragungen unmittelbar nacheinander vom ursprünglichen Absender erfolgen und dass die Antwort vom ursprünglichen Ziel gesendet wird. Hier wird nun deutlich, wie nützlich Kerberos ist.

Bei Kerberos geschieht dies mittels einer Echtheitsbestätigung. Der Teil der Nachricht, der die Echtheitsbestätigung umfasst, ist das Stück Information, das an die Nachricht angefügt wird und das sich in der Folge der Nachrichten ändert. Die beiden miteinander kommunizierenden Systeme müssen sich auf eine gemeinsame Echtheitsbestätigung einigen. Dabei muss es sich um eine Variable handeln, die beiden Seiten bekannt ist, sich aber im Laufe der Zeit ändert. Das kann einigermaßen verwirrend sein. Die Zeit selbst ist ein Beispiel dafür. Die Zeit ist niemals dieselbe. Sie ändert sich von einem Augenblick zum nächsten. Aber wir können uns auf den Verlauf der Zeit einigen und darauf, welche Zeit es zu einem bestimmten Moment gerade ist.

Wenn ich Ihnen eine Nachricht sende und die Uhrzeit anfüge, weiß nur ich, zu welcher Uhrzeit ich die Nachricht gesendet habe. Kerberos verwendet in der Regel die Uhrzeit, zu der die Nachricht gesendet wird, für die Echtheitsbestätigung. Damit können dieselben Pakete nicht noch einmal gesendet werden, denn wenn die Übertragung entschlüsselt wird, gibt diese zu erkennen, dass sie bereits empfangen worden ist. Die Uhrzeit sowie weitere statische client-spezifische Angaben (Benutzername, Computername usw.) werden am häufigsten für die Echtheitsbestätigung verwendet.

Um die Übertragung fortzusetzen, sendet der Server einen Teil der Echtheitsbestätigung mit der Rückmeldung zurück. Damit wird bestätigt, dass die Nachricht vom gleichen Server stammt, an die der Client eine Nachricht gesendet hat.

Die Übertragungen könnten nun folgendermaßen aussehen:

Abbildung 9.1:  Authentifizierung und Bestätigung

Durch die Rücksendung der Uhrzeit sendet der Server eine Information, die nur das System mit dem richtigen Verschlüsselungsschlüssel (der Client) kennen kann. Dadurch, dass die Uhrzeit in den gesendeten Nachrichten ständig geändert wird, wird verhindert, dass die Nachricht abgefangen und später zum Eindringen in das System verwendet wird. Mit Hilfe der Echtheitsbestätigung ist es darüber hinaus für den Server möglich, sicherzustellen, dass es sich bei dem Client um den richtigen Antwortenden handelt.

Der Schlüssel

Zwei Köpfe hat unser Hund (Kerberos) schon. Der dritte Kopf ist derjenige, der ihn einzigartig macht. Bei vielen Übertragungsformen werden einfache Verschlüsselungsschlüssel verwendet. Der Trick liegt jedoch darin begründet, woher der Schlüssel kommt.

Es wäre einfach genug, jedem System manuell einen Schlüssel zur Verfügung zu stellen. Das wäre jedoch unglaublich zeitaufwändig. Sie könnten einfach eine zentrale Stelle einrichten und allen Rechnern mitteilen, dass sie ihre Schlüssel von dort bekommen. Das würde jedoch bedeuten, dass der Schlüssel nicht chiffriert wäre. Kerberos in Windows 2000 richtet eine zentrale Stelle für die Vergabe von Verschlüsselungsschlüsseln ein. Diese wird als KDC (Key Distribution Center = Schlüsselverteilungscenter) bezeichnet.

Bei Windows 2000 wird das KDC auch als Domänencontroller bezeichnet. Domänencontroller (DCs) enthalten eine vollständige Informationsbasis der in der Domäne befindlichen Objekte. Jedem Objekt wird ein eindeutiger anfänglicher Verschlüsselungsschlüssel, ein so genannter Langzeitschlüssel, zugewiesen. Das bedeutet, dass der DC einzig für die Überwachung der Transaktionen eingesetzt wird. Aber wie gelangen die Schlüssel ohne Verletzung der Sicherheit zu den Clients und Servern?

Verteilen von Schlüsseln

Beim Verteilen von Schlüsseln geschieht im Prinzip Folgendes (siehe Abbildung 9.2 sowie die unten beschriebenen Schritte). Achten Sie darauf, dass es einen Unterschied zwischen einem Sitzungsschlüssel und einem Sitzungsticket gibt.

Abbildung 9.2:  Erstellen und Verteilen von Schlüsseln

1. Der Client sendet eine Anforderung einer Server-Ressource an den Domänencontroller. Diese Anforderung ist mit dem Langzeitschlüssel des Client verschlüsselt.
2. Das veranlasst den Domänencontroller dazu, zwei eindeutige Schlüssel, so genannte Sitzungsschlüssel, zu erstellen: einen für den Server und einen für den Client.
3. Der Sitzungsschlüssel des Servers wird zusammen mit Informationen über den Client gepackt und mit dem Langzeitschlüssel des Servers verschlüsselt. Dieses Paket wird als Sitzungsticket bezeichnet.
4. Die Kopie des Clients des Sitzungsschlüssels und das Sitzungsticket werden mit dem Langzeitschlüssel des Client verschlüsselt und dann an den Client gesendet.
5. Der Client entschlüsselt seinen Teil des Sitzungsschlüssels. Der Sitzungsschlüssel enthält das Sitzungsticket. Der Client kann dieses jedoch nicht lesen, da es mit dem Langzeitschlüssel des Servers verschlüsselt ist.
6. Der Client packt dann das Sitzungsticket zusammen mit einer Echtheitsbestätigung (Uhrzeit) und sendet dieses Paket an den Server, um die Kommunikation zu beginnen.
7. Der Server empfängt das Sitzungsticket und die Echtheitsbestätigung, die beide mit dem Langzeitschlüssel des Servers verschlüsselt sind. Der Server entschlüsselt dieses Paket.
8. Der Server antwortet mit der Echtheitsbestätigung des Client.

Aufgrund dieser Art der Schlüsselverteilung können sowohl der Server als auch der Domänencontroller ihre Informationen senden und müssen nicht die Schlüssel von Benutzern verfolgen, die die Kommunikation mit ihnen irgendwann begonnen haben. Da der Schlüssel vom Client verwaltet wird und der Client den Schlüssel für eine bestimmte Sitzung verwaltet, antwortet der Server einfach auf das Ticket. Tickets können während ihrer gesamten Gültigkeitsdauer (in der Regel acht Stunden) wiederverwendet werden, sodass der Domänencontroller nicht ständig durch Herausgabe neuer Sitzungstickets an diesem Vorgang beteiligt sein muss.

Sogar das Sitzungsticket erhält man über ein spezielles Sitzungsticket, das erstellt wird, wenn der Client zum ersten Mal auf den DC zugreift. Da der DC immer noch ein Server ist, muss es eine Möglichkeit geben, wie der Client innerhalb des Kerberos-Schemas mit dem DC kommunizieren kann. Dieses Ticket wird als Ticket-genehmigendes Ticket (TGT) bezeichnet.

9.1.2 NTLM

NTLM (Windows NT LAN Manager) ist möglicherweise sogar denjenigen nicht bekannt, die bereits Windows NT verwaltet haben. Aber NT Challenge Response sollte ein vertrauter Begriff sein.

Für die Echtheitsbestätigung mittels NTLM sind drei Informationen erforderlich:

SID

Die Domäne in diesem Protokoll ist die für die Echtheitsbestätigung zuständige Autorität. In der Domäne sind Angaben über die Benutzer und deren Berechtigungen zu finden. Die Angaben über die Benutzer sind in einem Paket enthalten, das als SID (Sicherheits-ID) bezeichnet wird. Die SID ist aus folgenden Elementen zusammengesetzt:

Eine SID wird jeweils einem Benutzerkonto zugewiesen und wird niemals für einen anderen Benutzer neu generiert. Auch dann, wenn der Benutzer gelöscht und neu erstellt wird, wird die SID dieses Benutzers niemals einem anderen Benutzerkonto zugewiesen. Daher werden Sie, wenn Sie einen Benutzer in Windows NT löschen, darauf hingewiesen, dass der Benutzer nicht mehr völlig identisch erstellt werden kann.

Anfordern einer Ressource

Das Wichtigste ist, dass das Kennwort des Benutzers während der Echtheitsbestätigung niemals in Klartext übertragen wird. Das ist die Stärke (in Bezug auf die Sicherheit), zugleich aber auch die Schwäche von NTLM. Wenn eine Client-Anwendung eine SID zur Verfügung stellt, beginnt folgende Ereigniskette:

Es wird eine verschlüsselte Antwort, nicht jedoch das eigentliche Kennwort gesendet. Da der Server nie wirklich das Kennwort empfängt, gibt es für den Server keine Möglichkeit, das Kennwort für den Zugriff auf andere Ressourcen zu nutzen, auf die der Benutzer Zugriff hat. Dies können Netzwerkressourcen (Dateien, Datenbanken usw.) sein, auf die der Benutzer normalerweise zugreifen kann. Das ist eine Schwachstelle von NTLMSP, die die möglichen Aufgaben, die der Server für den Client übernehmen kann, deutlich einschränken.

9.1.3 Zugriffssteuerungsliste (ACL = Access Control List)

Um einen Platz für ein Objekt im Sicherheitssystem einzurichten, wird diesem eine Sicherheitsbeschreibung zugewiesen, die die Informationen enthält, die für die Kommunikation mit Benutzern und Gruppen erforderlich sind. Wenn ein Benutzer auf ein freigegebenes Objekt zuzugreifen versucht, vergleicht das Objekt die SID des Benutzers mit seiner Zugriffssteuerungsliste.

Eine Zugriffssteuerungsliste ist eine Liste mit Berechtigungen, die mit einem Objekt verknüpft sind. In dieser Liste ist festgelegt, wer Berechtigungen für das Objekt hat und über welche Berechtigungen jeder Benutzer bzw. jede Gruppe verfügt. Die Zugriffssteuerungsliste besteht aus einer Liste von Einträgen, den so genannten ACE-Einträgen (Access Control Entries). Ein Eintrag kann beispielsweise besagen, dass Ben die Dateifreigabe lesen darf und dass die Gruppe Buchführung sowohl Lese- als auch Schreibzugriff auf die Freigabe hat. Dieses Beispiel erfordert zwei ACE-Einträge in der Zugriffssteuerungsliste.

Die ACE-Einträge geben entweder an: Zugriff erlaubt oder Zugriff verweigert. Sie enthalten eine Zugriffsberechtigung oder Zugriffsverweigerung für bestimmte Berechtigungen (lesen, schreiben usw.) und den entsprechenden Benutzer bzw. die entsprechende Gruppe.

Somit können Sie sich eine Zugriffssteuerungsliste wie eine Liste mit Einladungen zu einer exklusiven Versammlung vorstellen. Der Benutzer kommt an der Tür der Ressource an und ihm wird dann mitgeteilt, ob er über die gewünschte Berechtigung verfügt: »Ja, Sie dürfen reinkommen, aber nicht essen.«

9.2 Active Directory-Steuerung

Die Steuerung von Ressourcen und die Echtheitsbestätigung müssen natürlich auf eine bestimmte Art von Informationen zurückgreifen können. Kerberos und NTLM benötigen beide eine gemeinsame Liste mit Informationen über Benutzer, Gruppen und Objekten. Sie haben bereits erfahren, dass das Active Directory diese Informationsbasis darstellt. Lassen Sie uns jetzt die einzelnen Bereiche noch einmal etwas näher betrachten und sehen, wie sich diese in das Sicherheitsschema einfügen.

9.2.1 Arbeitsgruppen und Domänen

Domänen und Arbeitsgruppen sind die elementarsten Grundbestandteile der Windows 2000-Sicherheit. Das Domänenmodell ist die Basis für das Active Directory und die Unternehmenssicherheit. Das Arbeitsgruppenmodell ist im Wesentlichen auf die Installation zu Hause und in kleinen Büros beschränkt.

Wenn Sie an den Punkt gelangen, an dem Sie über eine hierarchische Verzeichnisstruktur für die Verwaltung von Benutzern und Gruppen nachdenken, sollten Sie keine Arbeitsgruppen mehr verwenden. Ich möchte die Arbeitsgruppen hier dennoch als Ausgangspunkt erwähnt haben.

Arbeitsgruppen

Arbeitsgruppen werden in Peer-to-Peer-Netzwerken verwendet, in denen fünf bis zehn Benutzer auf Ressourcen zugreifen. Das kommt daher, wie in Arbeitsgruppen Benutzer und Gruppen verwaltet werden.

Der Ausdruck Peer-to-Peer kommt daher, weil keiner der Rechner in einem solchen Netzwerk als Server oder Client dient. Sämtliche Rechner sind sowohl Server als auch Client. Daher werden sie als Peers (engl. Gleichrangiger) bezeichnet.

Das Arbeitsgruppenmodell, seine Erstellung und Verwaltung werden in Kapitel 5 ausführlich beschrieben. Hier reicht es, wenn Sie wissen, dass eine Arbeitsgruppe im Prinzip aus Windows-Rechnern (Windows 2000, 95/98 und/oder NT) besteht, die bestimmte Ressourcen gemeinsam nutzen. Diese Rechner sind miteinander verbunden, wobei jedoch jeder Rechner für die Verwaltung seines eigenen Sicherheitsschemas und seiner eigenen Freigaben selbst verantwortlich ist.

Wenn ein Rechner erst einmal ein Mitglied einer Arbeitsgruppe ist, ist es relativ einfach, die Arbeitsgruppe, der er angehört, zu ändern oder den Rechner zu einer Domäne hinzuzufügen.

Um die Arbeitsgruppenmitgliedschaft eines Rechners zu ändern oder um einen Rechner zu einer Domäne hinzuzufügen, gehen Sie wie folgt vor:

Abbildung 9.3:  Die Registerkarte Netzwerkidentifikation

Wenn Sie einen Rechner zu einer Domäne hinzufügen, müssen Sie das Kennwort des Domänenadministrators kennen oder ein Administrator muss das Domänenkonto des Rechners zur Domäne hinzufügen, bevor Sie diesen Prozess beginnen.

Domänen

Innerhalb von Windows 2000 wurde das Domänenmodell Teil eines weitaus umfassenderen Schemas, nämlich des Active Directory. Hier soll es jedoch nur um den kleineren Teil gehen. Bevor Sie damit beginnen, Domänen als ein Werkzeug in dieser Version zu verwenden, sollten Sie wissen, dass diese Teil der Active Directory-Installation sind.

Wenn das Netzwerk aus einer großen Anzahl von Ressourcen und Benutzern besteht, ist das Domänenmodell zur Verwaltung besser geeignet als das Arbeitsgruppenmodell. Eine Domäne besteht aus Benutzerkonten und Gruppen von Benutzerkonten, die von mehreren Servern gemeinsam verwendet werden (siehe Abbildung 9.4). Damit ist es möglich, diese Rechner von einem Standort aus zentral zu verwalten. Administratoren können somit eine Vielzahl von verwaltungstechnischen Aufgaben auf die Domänen übertragen, anstatt umgekehrt. Das Domänenmodell ist für große Unternehmen und Universitäten weitaus attraktiver als das Arbeitsgruppenmodell.

Abbildung 9.4:  Der Aufbau einer Domäne

Der Domäne wird ein Name zugewiesen, der Ihnen bekannt sein wird, wenn Sie schon einmal im Internet waren. Bei Windows 2000 werden die Domänen nämlich mit dem DNS-Namenssystem nach den im Internet geltenden Benennungsrichtlinien für Domänen benannt.

Beim DNS gibt es sechs Top-Level-Domänen, d.h. übergreifende Namenskategorien, für Domänen in den USA sowie Länderkürzel für Domänen in allen übrigen Ländern, wie z.B. .de für Deutschland oder .fr für Frankreich, denen alle weiteren Domänen untergeordnet sind. Diese Top-Level-Domänen und Länderkürzel sind den Domänennamen als Suffixe angehängt. Aus diesem Schema resultieren Domänennamen wie microsoft.com oder yahoo.de. Es gibt die folgenden Top-Level-Domänen:

Dadurch, dass in Windows 2000 nun das DNS-Benennungssystem zur Benennung von Domänen verwendet wird, steht ein globales Standardbenennungsschema zur Verfügung. Windows 2000-Server lassen sich damit global an jedem beliebigen Standort einsetzen, wenn der DNS-Server registriert und mit dem Internet verbunden ist. Einzelheiten zur Registrierung des Domänennamens bei InterNIC finden Sie in Kapitel 8 und Kapitel 21. In diesem Kapitel brauchen Sie nur zu wissen, woher die Benennungskonvention stammt.

Domänen werden bei der Installation eines Servers erstellt. Dabei werden Sie gefragt, ob der Rechner Mitglied einer Domäne werden soll. Wenn keine Domäne vorhanden ist, müssen Sie eine Domäne erstellen, um den Rechner zu einer Domäne hinzufügen zu können.

Sie werden darauf hingewiesen, dass Sie eine ungültige Domäne angegeben haben, und Sie werden gefragt, ob Sie dennoch fortfahren möchten. Um eine neue Domäne zu erstellen, klicken Sie einfach auf Ja.

Wenn Windows 2000 zum ersten Mal startet, öffnet sich ein Fenster, mit dessen Hilfe die Domänensituation geklärt werden soll (siehe Abbildung 9.5).

Abbildung 9.5:  Das Eröffnungsfenster einer neuen Installation

Um mit dem Erstellen einer Domäne fortzufahren, gehen Sie wie folgt vor:

1. Klicken Sie auf Das ist der einzige Server im Netzwerk. Klicken Sie auf Weiter.
2. Lesen Sie, falls erforderlich, die Informationsseite und klicken Sie dann auf Weiter.
3. Geben Sie entsprechend der Richtlinien für die Benennung von Domänen den Namen Ihrer Domäne in das erste Textfeld ein und drücken Sie dann die (Tab)-Taste.
4. Wenn Sie Ihren Domänenamen beim InterNIC registriert haben, geben Sie diesen Namen (z.B. mcp.com, indiana.edu usw.) in das zweite Textfeld ein. Drücken Sie anschließend wieder die (Tab)-Taste, um eine Vorschau Ihres Domänennamens aufzurufen. Wenn Sie Ihre Domäne nicht registriert haben, geben Sie einfach local ein und drücken dann die Tabulatortaste.
5. Beobachten Sie die Vorschau Ihres Domänennamens (siehe Abbildung 9.6) und klicken Sie dann in diesem und dem folgenden Dialogfeld auf Weiter sowie schließlich auf Fertig stellen.

Abbildung 9.6:  Domänenname und Vorschau

Bei älteren Versionen von Windows war die Entscheidung für eine Domäne eine Entscheidung für immer. Wenn ein Server als Domänencontroller installiert wurde, blieb er ein Domänencontroller, bis er entfernt oder neu installiert wurde. Bei Windows 2000 ist das anders. Das ist ein äußerst wichtiger Punkt, da aufgrund dessen eine größere Flexibilität ermöglicht wird. (Viele Windows NT-Administratoren werden dies zwei Mal lesen müssen, da dies eine derart unglaubliche Veränderung darstellt.)

Wenn Sie sich für eine Domäne oder Arbeitsgruppe entschieden haben und der Server läuft, haben Sie viele Möglichkeiten, diese Entscheidung zu ändern. Die einfachste Änderung besteht darin, einen Domänencontroller zu erstellen, wo zuvor keiner war, oder einen Domänencontroller von seiner Funktion als solchem zu entbinden.

Dies alles können Sie mit dem Assistenten zum Installieren von Active Directory tun. Um diesen Assistenten aufzurufen, klicken Sie auf Start und dann auf Ausführen. Geben Sie nun dcpromo ein und klicken Sie anschließend auf OK.

Um nach der Installation einen Domänencontroller hinzuzufügen, gehen Sie wie folgt vor:

1. Lesen Sie den Eröffnungsbildschirm und stellen Sie sicher, dass Sie die richtige Option gewählt haben.
2. Klicken Sie auf Domänencontroller für eine neue Domäne und dann auf Weiter.
3. Klicken Sie auf Eine neue Domänenstruktur erstellen und dann auf Weiter.
4. Klicken Sie auf Neue Gesamtstruktur aus Domänenstrukturen erstellen und dann auf Weiter.
5. Geben Sie den Namen der Domäne, die Sie erstellen, zusammen mit dem Namen der Top-Level-Domäne (wenn Sie registriert sind) in das Textfeld ein und klicken Sie dann auf Weiter (siehe Abbildung 9.7).

Abbildung 9.7:  Fenster für die Eingabe des Domänennamens

Dies ist etwas Einmaliges bei der Erstellung einer Domäne. Wenn Sie den Assistenten verwenden, müssen Sie einen drei Ebenen bezeichnenden Domänennamen eingeben (z.B. sams.mcp.com oder cs.purdue.edu). Wenn Sie mit dem Programm DCPROMO arbeiten, können Sie einen zwei Ebenen bezeichnenden Domänennamen eingeben.
6. Geben Sie den NetBIOS-Namen der Domäne in das Textfeld ein und klicken Sie auf Weiter.
7. Bei den nächsten beiden Fenstern geht es um den Speicherort von Dateien. Sie können hier Änderungen vornehmen. Diese sind jedoch relativ nutzlos und können beim Suchen von Dateien und bei der Fehlersuche zu Problemen führen. Wenn Sie möchten, nehmen Sie Änderungen vor und klicken dann auf Weiter.
8. Wenn Sie für den Server, auf dem Sie Active Directory installieren, keinen DNS-Server haben, werden Sie aufgefordert, einen DNS-Server zu installieren (siehe Abbildung 9.8). Wenn Sie keinen bevorzugten DNS-Server haben, sollten Sie auf Ja klicken und die Installation beginnen. Wenn Sie für Ihre Domäne bereits einen DNS-Server haben, sollten Sie auf Nein klicken und prüfen, warum dieser Server den aktuellen Server für die Domäne nicht erkennt. Klicken Sie auf Weiter.

Abbildung 9.8:  Es kann sein, dass Sie Angaben zum DNS-Server machen müssen.

Von nun an können die Optionen, abhängig davon, was auf Ihrem Server vor dem Hinzufügen des Domänencontrollers installiert worden ist, recht unterschiedlich sein. Wenn Sie sich von den Assistenten führen lassen, werden die meisten Ihrer Fragen beantwortet werden.

Um einen Domänencontroller von einem Server zu entfernen, rufen Sie wie zuvor das Programm DCPROMO auf und gehen dann wie folgt vor:

1. Lesen Sie den Eröffnungsbildschirm und stellen Sie sicher, dass Sie die richtige Option gewählt haben.
2. Wenn dieser Server der letzte bzw. einzige Server in der Domäne ist, klicken Sie auf das entsprechende Kontrollkästchen und dann auf Weiter (siehe Abbildung 9.9). Damit wird es möglich, dass das Betriebssystem die Domäne vollständig entfernen kann.
3. Geben Sie den Benutzernamen und das Kennwort des Administrators sowie den vollständigen Domänennamen (wird automatisch angezeigt) ein und klicken Sie dann auf Weiter.
4. Da der Server von nun an ein alleinstehender Server sein wird, müssen Sie das Kennwort des Administrators eingeben und bestätigen sowie anschließend auf Weiter klicken.
5. Zum Abschluss erscheint eine Zusammenfassung der von Ihnen gewählten Optionen. Wenn Sie auf Weiter klicken, wird der Server aus der Domäne entfernt. Wenn Sie alle Dialogfelder des Assistenten durchlaufen haben, klicken Sie auf Fertig stellen.

Abbildung 9.9:  Das Fenster für das Entfernen des einzigen Servers in der Domäne

Gesamtstrukturen und Strukturen

Eine Domänenstruktur ist eine Sammlung von Domänen, die weitere Domänen und untergeordnete Domänen in einer DNS-Hierarchie enthalten. Die Stammdomäne in einer Domänenstruktur kann einen DNS-Namen wie z.B. yahoo.de, indiana.edu oder mcp.com tragen. Der Name der untergeordneten Domänen wird auf der Basis der Domänenstruktur gebildet. Das heißt, der Name der untergeordneten Domäne wird dem der Stammdomäne vorangestellt, wie z.B. bei den Domänen sams.mcp.com und architecture.indiana.edu.

Die einzelnen Domänenstrukturen lassen sich zu übergeordneten Strukturen, so genannten Gesamtstrukturen, zusammenfassen, wobei diese keinen gemeinsamen Domänennamen benutzen müssen. Die Domäne mcp.com kann z.B. mit der Domäne indiana.edu zu einer Gesamtstruktur verknüpft werden. Die Stammdomäne kann dann z.B. bellind.com heißen. Der Name der Stammdomäne muss also nichts mit den Namen der einzelnen Domänenstämme zu tun haben.

Die meisten Unternehmen werden niemals eine Größe erreichen, bei der es nötig wäre, solche Gesamtstrukturen mit Stammdomänen einzurichten. Bei dem momentanen Trend zur Globalisierung von Unternehmen wird diese jedoch zukünftig öfter erforderlich sein. Dank des neuen Domänenmodells und Benennungsschemas ist dies auch problemlos möglich.

Eine Struktur wird in dem Moment erstellt, in dem die erste Domäne erstellt wird. Dabei können Sie sich entscheiden, ob Sie eine neue Struktur erstellen oder einer bestehenden Struktur beitreten möchten. Die dritte Option, die Sie bei der Installation einer neuen Domäne haben, ist die Möglichkeit einer bestehenden Struktur beizutreten oder eine neue Gesamtstruktur zu erstellen.

Gesamtstrukturen werden im weitesten Sinne ebenfalls erstellt. Um jedoch zwei Strukturen mit unterschiedlichen Domänenkontextnamen zusammenzufügen, muss eine Gesamtstruktur manuell verbunden oder während der Installation von Strukturen erstellt werden. Einfach ausgedrückt bedeutet das, dass Gesamtstrukturen erstellt werden, indem Strukturen mit unterschiedlichen Namenskonventionen zusammengefügt werden.

Um Gesamtstrukturen zu erstellen, gehen Sie wie folgt vor:

1. Öffnen Sie die Konsole Active Directory-Standorte und -Dienste.
2. Klicken Sie mit der rechten Maustaste auf Active Directory-Standorte und -Dienste und klicken Sie dann auf Struktur ändern.
3. Geben Sie im Textfeld Stammdomäne die Stammdomäne der Gesamtstruktur ein. Dies ist die Stammdomäne der ersten in der Gesamtstruktur erstellten Domänenstruktur.

Organisationseinheiten

Die Domänen sind größer geworden und sie lassen sich außerdem in kleinere Einheiten aufteilen. Diese Einheiten heißen Organisationseinheiten (abgekürzt OE bzw. im Englischen OU für »Organizational Units«). Wenn Sie mit der Welt von NetWare NDS vertraut sind, werden Sie hier etwas Altbekanntes wiedererkennen, das bereits seit Jahren existiert.

Es ist noch immer so, dass die Überwachung innerhalb der Domänengrenzen erfolgt. Aus diesem Grund wurde das Domänenmodell häufig kritisiert. Ein Domänenadministrator hatte alle Macht und es gab wenig Möglichkeiten, das Modell feiner zu gliedern.

Der Administrator einer Domäne kann nun aber Container (Organisationseinheiten) einrichten, Objekte in diesen Containern erstellen und verschiedenen Administratoren die Verantwortung für diese Container übertragen (siehe Abbildung 9.10). Der Administrator kann jedoch weiterhin den Domänenstamm überwachen. Dies verleiht dem Domänenmodell erheblich mehr Flexibilität als bisher und lässt auch ein Wachstum zu.

Durch die Aufteilung der Verwaltung kann die Arbeitslast von einem einzelnen Administrator genommen werden. Die Flexibilität der Informationsnetzwerke innerhalb von Unternehmen lässt sich so erhöhen.

Abbildung 9.10:  Domäne mit Organisationseinheiten

Eine Organisationseinheit erstellen Sie in der Konsole Active Directory-Benutzer und -Computer. Da eine Organisationseinheit Teil einer Domäne ist, wird sie innerhalb einer Domäne erstellt. Wie Sie eine Organisationseinheit erstellen, erfahren Sie weiter hinten in diesem Kapitel.

Domänenkontrolle

An dieser Stelle werden die Änderungen in Windows 2000 ganz offensichtlich und sie entsprechen auch dem, was sich schon lange jeder wünscht. Domänen sind nun, was die Anpassung der Größe und die sonstigen Möglichkeiten betrifft, erheblich flexibler. Aufgrund dieser Änderungen sind Administratoren nun in der Lage, Domänen in Bereiche auszuweiten, wie dies zuvor nicht möglich war.

Die Domänenkontrolle beinhaltet die Verwaltung und die Verteilung von Domäneninformationen auf den Servern im Netzwerk. Wenn an der Definition eines Benutzers oder einer Gruppe eine Veränderung vorgenommen werden muss, muss eine Autorität eingerichtet werden, damit dieses System funktioniert. Um Wachstum zuzulassen, muss ein Weg gefunden werden, die Veränderungen auf mehr als einem Computer zu speichern und den Zugriff auf diese Informationen zu erleichtern. Dies ist mit der Domänenkontrolle möglich.

Domänencontroller

Domänencontroller werden wie Betriebsmaster (siehe Kapitel 5) eingerichtet, wenn der erste Server in der Domäne installiert wird. Zu den Funktionen von Domänencontrollern gehören die Verwaltung der Benutzer- und Gruppenkonten sowie die Verwaltung des Zugriffs auf Verzeichnisse und auf freigegebene Ressourcen. Um die Fehlertoleranz zu erhöhen, sollte ein Verzeichnis mindestens zwei Domänencontroller enthalten (siehe Abbildung 9.11).

Abbildung 9.11:  Auswahl eines Servers als Domänencontroller

Nachdem der erste Server installiert wurde, können andere Server in der Domäne installiert werden und an der Domänenkontrolle teilnehmen. Der Computer ist dann Bestandteil einer Multimaster-Systemdomäne. Dies stellt eine starke Veränderung gegenüber dem NT-Modell des allein stehenden Servers oder des primären Domänencontrollers dar.

Wenn der primäre Domänencontroller unter Windows NT heruntergefahren war, konnte kein Benutzer sein Kennwort ändern. Bei einem Multimastermodell kann ein Domänencontroller die Änderungen annehmen und Replikate an die anderen Domänencontroller in der Domäne verschicken.

Vertrauensstellungen

Eine Vertrauensstellung wird zwischen Domänen eingerichtet, damit die Benutzer und Gruppen aus einer Domäne auf Ressourcen einer anderen Domäne zugreifen können. In Windows 2000 gibt es zwei neue Formen von Vertrauensstellungen und das Konzept der Vertrauensstellungen wurde sehr stark verbessert.

Explizite Vertrauensstellungen (Klassische Vertrauensstellungen)

Domänen wurden bisher über so genannte Vertrauensstellungen miteinander verbunden. Diese werden nun als explizite Vertrauensstellungen bezeichnet. Eine explizite Vertrauensstellung ist eine einseitige Beziehung, mit der eine Verbindung zwischen den Ressourcen einer Domäne und den Benutzern und Gruppen einer anderen Domäne hergestellt wird. Die Bezeichnung »explizite Vertrauensstellung« stammt daher, dass die Vertrauensstellung von den Administratoren der teilnehmenden Domänen explizit eingerichtet werden muss.

Wenn z.B. der Administrator von Domäne A eine Vertrauensstellung für Domäne B einrichtet, erhalten die Benutzer und Gruppen aus Domäne B Zugriff auf die Ressourcen in Domäne A. Es handelt sich um eine unidirektionale Vertrauensstellung, die explizit eingerichtet wurde.

Wenn die Administratoren in den beiden Domänen A und B für die jeweils andere Domäne eine Vertrauensstellung erstellen, spricht man von einer bidirektionalen oder vollständigen Vertrauensstellung. In diesem Fall wird den Benutzern von beiden Domänen der Zugriff auf Ressourcen der jeweils anderen Domäne gewährt. In beiden Fällen muss die Vertrauensstellung, die eine explizite ist, manuell erstellt werden.

Klassische Vertrauensstellungen werden in Kapitel 5 ausführlicher beschrieben.

Nichttransitive Vertrauensstellungen

Eine nichttransitive Vertrauensstellung ist eine Vertrauensstellung zwischen zwei Domänen, die nicht in derselben Domänenstruktur enthalten sind oder bei denen eine teilnehmende Domäne keine Windows 2000-Domäne ist. Diese Vertrauensstellungen können unidirektional und bidirektional, nicht aber transitiv sein (siehe hierzu den nächsten Abschnitt).

Hier einige Beispiele für nichttransitive Vertrauensstellungen:

  • Zwischen Windows 2000-Domänen und Windows NT-Domänen.
  • Zwischen zwei Windows 2000-Domänen, die sich in unterschiedlichen Gesamtstrukturen befinden.
Transitive Vertrauensstellungen

Eine transitive Vertrauensstellung ist eine Vertrauensstellung zwischen zwei Domänen innerhalb einer Domänenstruktur oder einer Gesamtstruktur. Wenn untergeordnete Domänen in einer Domänenstruktur erstellt werden, besteht zwischen der untergeordneten und der übergeordneten Domäne automatisch eine transitive Vertrauensstellung. Diese ist immer bidirektional und wird automatisch eingerichtet.

Domänenmodus

Domänen werden bei Windows 2000 im so genannten gemischten Modus installiert. Das bedeutet, dass die Domäne versuchen wird, sowohl mit Windows NT- als auch mit Windows 2000-Domänen zu kommunizieren. Das ist wichtig, weil viele Domänen, in denen Windows 2000 installiert wird, in Vertrauensstellungen beide Domänentypen adressieren werden. Dieser Modus ist zumindest für alle Aktualisierungsumgebungen erforderlich.

Das Gegenstück zum gemischten Modus ist der native Modus. Im nativen Modus kann eine Domäne sämtliche neuen Verzeichnisfunktionen von Windows 2000 nutzen. Für Features wie verschachtelte Gruppen ist der native Modus erforderlich.

Im gemischten Modus können Sie aus Gründen der Abwärtskompatibilität einige Funktionen von Windows 2000 nicht nutzen. Das ist ein bisschen so, als müssten Sie Ihren kleinen Bruder zum Einkaufsbummel mitnehmen. Sie müssen sich an sein Tempo anpassen. Features wie verschachtelte Gruppen oder universelle Gruppen sind in alten Domänen und somit auch für Sie nicht verfügbar.

Bevor Sie den Modus wechseln, sollten Sie daran denken, dass Sie diesen Vorgang nicht mehr rückgängig machen können. Wenn Sie den Modus gewechselt haben, bleibt dieser Modus dauerhaft so. Ich kann nicht oft genug darauf hinweisen: Sie können in keinem schlimmeren Dilemma stecken, als wenn Sie an einer Stelle ankommen, an der es kein Zurück mehr gibt.

Den Modus zu wechseln ist sehr einfach, aber überlegen Sie sich das genau. Gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf das Domänenobjekt und klicken Sie dann auf Eigenschaften.
2. Klicken Sie auf die Schaltfläche Modus wechseln (siehe Abbildung 9.12).
3. Starten Sie den Domänencontroller neu.

Abbildung 9.12:  Die erste Registerkarte im Dialogfeld Eigenschaften von Domäne

Wenn Sie das Dialogfeld Eigenschaften von Domäne das nächste Mal öffnen, werden Sie sehen, dass die Domäne im nativen (ursprünglichen) Modus ist.

UPN (User Principal Name)

Wenn ein Benutzer auf die Domäne zugreift, kann er einen zugewiesenen Benutzernamen und ein Kennwort verwenden und in einer Umgebung mit nur einer Domäne problemlos eine Verbindung herstellen. In einer Umgebung mit mehreren Domänen oder über eine DFÜ-Verbindung ist es dagegen erforderlich, dass der Benutzer einen vollständigen Benutzernamen angibt, um eine Verbindung herstellen zu können. In diesem Fall sollte der Benutzer einen vollständigen Anmeldenamen zusammen mit dem Domänennamen eingeben. Dieser sieht ähnlich wie eine E-Mail-Adresse aus (z.B. zeus@olympus.org). Daher kann es sein, dass der Benutzer aufgefordert wird, sich mit seiner E-Mail-Adresse anzumelden. Dies ist jedoch nicht so offensichtlich, wie die Benutzer denken mögen.

Einige Unternehmen unterhalten aus vielen guten und berechtigten Gründen für denselben E-Mail-Server mehrere registrierte Domänennamen. Aus diesem Grund kann es vorkommen, dass es einige Benutzer gibt, die sich in einer Domäne befinden, deren E-Mail-Adresse nicht mit dem Domänennamen übereinstimmt, in der sich das Benutzerobjekt befindet.

Nehmen wir beispielsweise einmal an, Pluto ist ein Mitglied der Domäne olympus.org. Aus politischen oder marktstrategischen Gründen möchte er seine E-Mails jedoch lieber unter hades.com empfangen. Die MX-Einträge beider Domänen so zu registrieren, dass die E-Mails an derselben Stelle ankommen, ist in Ordnung und zulässig (in Kapitel 8 erfahren Sie mehr über MX-Einträge). Da beide Domänennamen bei derselben Domäne registriert sind und ankommen, führt dies zu keinen Problemen. Aber wie kann sich Pluto bei der Domäne olympus.org anmelden?

Dieses Problem lässt sich mit einem UPN (User Principal Name) in der Active Directory-Domäne lösen. Damit können die Benutzer in dieser Domäne auf zahlreiche unterschiedliche @DOMÄNENNAME-Einträge zugreifen. Wenn Sie einen Benutzer erstellen, wählen Sie einfach den UPN, den Sie an den Anmeldenamen des Benutzers anfügen möchten. Wenn sich der Benutzer dann anmeldet, kann er seine normale E-Mail-Adresse verwenden und kommt dennoch in der Domäne an, die Sie festgelegt haben. Ich bin sicher, dass Pluto eine kleine Schwindelei zu seinen Gunsten verstehen wird.

UPNs werden auf der Registerkarte Eigenschaften der Domäne in der Konsole Active Directory-Domänen und -Vertrauensstellungen definiert. Klicken Sie dazu einfach mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen und klicken Sie dann auf Eigenschaften. Hier können Sie alternative UPN-Suffixe eingeben (siehe Abbildung 9.13). Weiter hinten in diesem Kapitel erfahren Sie, wie Sie den UPN zum Konto eines Benutzers hinzufügen.

Abbildung 9.13:  UPN-Suffixe

9.3 Active Directory- bzw. Domänenobjekte

Wenn eine Domäne erst einmal erstellt ist, kann sie mit Objekten gefüllt werden, weshalb sie ja schließlich erstellt worden ist. Benutzer, Gruppen und andere Objekte werden innerhalb der Konsole Active Directory-Benutzer und -Computer erstellt.

Zu den Objekten, die erstellt werden können, zählen folgende:

  • Benutzer. Der Kontenname, der für den Zugriff auf die Domäne verwendet wird. Dies ist das Basisobjekt, dem Berechtigungen auf Ressourcen und Richtlinien gewährt werden.
  • Computer. Das Konto, das für die Steuerung der Computerobjekte erstellt wird.
  • Gruppe. Eine Reihe von Benutzerkonten und andere Gruppen, deren Benutzerberechtigungen und Richtlinien gemeinsam verwaltet werden, womit erreicht wird, dass nicht jedes Benutzerkonto einzeln geändert werden muss.
  • Kontakt. Ein Verwaltungsobjekt, das erstellt wird, damit das System auf E-Mail-Konten außerhalb des Systems zugreifen kann.
  • Organisationseinheit. Ein administrativer Teil einer Domäne, der verwendet wird, um Domänenobjekte in verwendbare und einzeln verwaltete Bereiche zu gliedern.
  • Freigegebene Ordner. Ein Active Directory-Objekt, das von Dateifreigaben erstellt wird, sodass die Freigabe als Teil des Verzeichnisses verwaltet werden kann.
  • Freigegebene Drucker. Ein Active Directory-Objekt, das von Druckerfreigaben älterer Windows-Versionen (Windows NT, 95/98 und WFW) erstellt wird, sodass die Freigabe als Teil des Verzeichnisses verwaltet werden kann.

Eine ausführlichere Beschreibung der Benutzer- und Gruppenobjekte finden Sie in Kapitel 11.

9.4 Was kommt zuerst: Die Benutzer oder die Gruppen?

Für die Frage der Erstellung von Benutzer- und Gruppenkonten und welche Konten zuerst erstellt werden müssen, müssen wir uns etwas Zeit nehmen und zunächst einmal klären, wie sich die einzelnen Konten jeweils verzweigen.

Benutzerkonten werden für den Zugriff auf Domänen verwendet. Sie sind die Stammobjekte, denen Berechtigungen für Ressourcen und Richtlinien zugewiesen werden. Sie sind nicht wesentlich komplexer als hier beschrieben. Gruppen können dagegen deutlich komplexer aufgebaut sein.

Im Gegensatz zu Windows NT können Sie in Windows 2000 Gruppen, die Domänengrenzen überschreiten, sowie Gruppen, die in andere Gruppen verschachtelt sind, erstellen. Sie können dies nicht im gemischten, wohl aber im einheitlichen Modus tun.

Bei Windows 2000 gibt es drei Kategorien von Gruppen:

  • Universelle Gruppen. Gruppen mit dem Bereich »Universal« können als Mitglieder beliebige Gruppen und Konten von beliebigen Windows 2000-Domänen in der Domänenstruktur bzw. in der Gesamtstruktur enthalten und ihnen können Berechtigungen in jeder Domäne in der Domänenstruktur bzw. in der Gesamtstruktur zugewiesen werden. Universelle Gruppen sind in Domänen im gemischten Modus nicht zulässig.
  • Globale Gruppen. Gruppen mit dem Bereich »Global« können als Mitglieder beliebige Gruppen und Konten nur von der Domäne enthalten, in der die Gruppen definiert sind; ihnen können Berechtigungen in jeder Domäne in der Domänenstruktur bzw. in der Gesamtstruktur zugewiesen werden.
  • Gruppe der lokalen Domäne. Gruppen mit dem Bereich »Lokale Domäne« können als Mitglieder beliebige Gruppen und Konten von einer Windows 2000- oder Windows NT-Domäne enthalten und sie können verwendet werden, um Berechtigungen nur innerhalb einer Domäne zuzuweisen.

Ob Sie nun Benutzer- oder Gruppenkonten zuerst erstellen, hängt von Ihrer Sichtweise zu Beginn ab. Microsoft empfiehlt, immer zuerst Gruppen zu erstellen, bevor Berechtigungen für eine Ressource zugewiesen werden. Es ist weniger wahrscheinlich, dass Ressourcen entfernt oder geändert werden, als Benutzer. Darüber hinaus werden Benutzer fast immer zu der Liste der für eine Ressource zulässigen Benutzer hinzugefügt.

Wenn Sie zuerst Gruppen erstellen, die die Aufgaben und Rollen ausfüllen, die erforderlich sind, um Netzwerkaufgaben zu erfüllen, und dann diesen Gruppen die erforderlichen Berechtigungen zuweisen, haben Sie ein einfacher zu befolgendes Sicherheitsparadigma. Wenn bei einem Benutzer in der Aufgabenverantwortlichkeit oder in einer Aufgabenliste Änderungen vorgenommen werden müssen, ist es einfacher, die Gruppenzugehörigkeit dieses Benutzers zu ändern, als all die Stellen zu suchen, für die dieser Benutzer als Einzelner über Berechtigungen verfügt.

Es scheint sehr aufwändig zu sein, immer jeweils eine Gruppe zu erstellen und dann Benutzer zuzuweisen. Aber wenn das Netzwerk gewachsen ist, werden Sie sehen, dass es so besser funktioniert. Aber es gibt natürlich auch Ausnahmen.

Windows 2000-Gruppen werden noch weiter unterschieden. Jede erstellte Gruppe ist entweder eine Sicherheitsgruppe oder eine Verteilergruppe. Der Unterschied zwischen diesen Gruppen besteht darin, dass Sicherheitsgruppen für die Anwendung von Berechtigungen und Sicherheitseinstellungen in der Domäne verwendet werden. Eine Verteilergruppe ist einem Kontaktobjekt sehr ähnlich. Sie hat eher einen informativen Charakter und kann für E-Mails verwendet werden.

9.4.1 Erstellen von Objekten

Die Konsole Active Directory-Benutzer und -Computer ist ein Tool, das so ähnlich wie der Windows-Explorer funktioniert, den Windows-Benutzer bereits gut kennen. Objekte im Active Directory werden ähnlich wie neue Ordner und/oder leere Dateien im Explorer erstellt. Mit ein bisschen gesundem Menschenverstand und den Informationen in diesem Kapitel können Sie wahrscheinlich selbst herausfinden, wo Sie mit dem Erstellen beginnen. In diesem Abschnitt wird das Erstellen von Objekten Schritt für Schritt beschrieben.

Um mit dem Erstellen von Objekten zu beginnen, öffnen Sie die Konsole Active Directory-Benutzer und -Computer entweder innerhalb der Microsoft Management Console (MMC) oder über Start/Programme/Verwaltung.

Erstellen einer neuen Organisationseinheit

Es ist möglicherweise erforderlich, die Autorität oder Verwaltung von Benutzern innerhalb einer Unternehmensstruktur zu delegieren. Aus informationstechnologischer Sicht mag es aber wenig sinnvoll sein, eine neue Domäne zu erstellen. In diesem Fall ist es angebracht, eine Organisationseinheit zu erstellen. Eine Organisationseinheit ist ein administrativer Teil einer Domäne, der verwendet wird, um Domänenobjekte in verwendbare und einzeln verwaltete Bereiche zu gliedern.

Um eine Organisationseinheit zu erstellen, gehen Sie wie folgt vor:

1. Öffnen Sie die Domäne, in der Sie die Organisationseinheit erstellen möchten, indem Sie auf das Pluszeichen neben dem Domänennamen klicken.
2. Klicken Sie mit der rechten Maustaste auf die Domäne, dann auf Neu und anschließend auf Organisationseinheit.
3. Geben Sie den Namen der zu erstellenden Organisationseinheit ein und klicken Sie auf OK (siehe Abbildung 9.14).

Abbildung 9.14:  Das Dialogfeld zum Erstellen einer Organisationseinheit

Erstellen von Benutzern

Wie bereits erwähnt, sind Benutzerkonten die Basisobjekte für den Zugriff auf die Domäne in der Verzeichnisstruktur. Ein Benutzer muss authentifiziert werden und das machen die Benutzerkonten möglich. Benutzer ist der Kontoname, der verwendet wird, um auf die Domäne zuzugreifen. Dies ist das Basisobjekt, dem die Berechtigungen für Ressourcen und Richtlinien zugewiesen werden.

Um einen neuen Benutzer zu erstellen, gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, in der Sie den Benutzer erstellen möchten. Klicken Sie auf Neu und dann auf Benutzer.
2. Geben Sie den Vornamen ein und wechseln Sie in das Feld Nachname.
3. Geben Sie den Nachnamen ein und drücken Sie dann die (Tab)-Taste.
4. Das Feld Vollständiger Name wird entsprechend Ihren Angaben automatisch ausgefüllt.
5. Der Benutzeranmeldename ist der eigentliche Kontoname für den Zugriff auf die Domäne (z.B. tbraun, benutzer0129 usw.). Geben Sie den Benutzeranmeldenamen ein und drücken Sie dann die (Tab)-Taste.
6. Jetzt müssen Sie noch den Domänennamen oder das für diesen Benutzer gewählte UPN-Suffix eingeben. Drücken Sie anschließend die (Tab)-Taste.
7. Wenn Sie für den Benutzer einen anderen Benutzernamen haben möchten als den, der für ältere Systeme verwendet wird, können Sie diesen unter Benutzeranmeldename (Windows NT 3.5x/4.0) ändern. Wenn nicht, dann klicken Sie einfach auf Weiter.
8. Geben Sie das Kennwort des Benutzers ein, drücken Sie die (Tab)-Taste und bestätigen Sie dann das Kennwort.
9. Aktivieren Sie die gewünschten Optionen und klicken Sie dann auf Weiter.
10. Sehen Sie sich die Zusammenfassung an und klicken Sie auf Fertig stellen.

Erstellen von Gruppen

Damit Administratoren mehrere Benutzerkonten gleichzeitig bearbeiten können, verwendet der Verzeichnisdienst Gruppen. Unter einer Gruppe versteht man eine Reihe von Benutzerkonten und anderen Gruppen, deren Benutzerberechtigungen und Richtlinien gemeinsam verwaltet werden, womit erreicht wird, dass nicht jedes Benutzerkonto einzeln geändert werden muss.

Um eine Gruppe zu erstellen, gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, in der Sie die Gruppe erstellen möchten. Klicken Sie auf Neu und dann auf Gruppe.
2. Geben Sie den Gruppennamen ein und drücken Sie dann die (Tab)-Taste.
3. Wenn Sie einen Domänennamen haben, der mehr als 15 Zeichen umfasst, müssen Sie möglicherweise im Textfeld Gruppenname (Windows NT 3.5x/4.0) einen anderen Domänennamen eingeben. Drücken Sie dann die (Tab)-Taste.
4. Wählen Sie einen Gruppentyp aus und klicken Sie dann auf OK.

Erstellen von Computerkonten

Computer ist ein Konto, das für die Steuerung von Computerobjekten erstellt wird. Computerobjekte bieten dem Administrator die Möglichkeit, das Verhalten jedes Benutzers zu steuern, der sich an einem bestimmten Computer anmeldet. Auch wenn es sich bei dem Benutzer um einen Administrator handelt, gibt es möglicherweise bestimmte Aufgaben, für die ein Computer bestimmt ist, oder es gibt möglicherweise Sicherheitsgründe, derentwegen bestimmte Bereiche des Netzwerks für diesen Computer nicht zugänglich sind.

Um dieses Objekt zu erstellen, gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, in der Sie das Computerkonto erstellen möchten. Klicken Sie auf Neu und dann auf Computer.
2. Geben Sie den Namen des Computers ein, der Zugriff auf die Domäne haben soll.
3. Achten Sie darauf, dass Sie die Benutzer und Gruppen ändern, die Zugriff auf den Computer haben. Klicken Sie dazu auf Ändern und wählen Sie die entsprechende(n) Gruppe(n) und/oder Benutzer aus der Liste aus.
4. Klicken Sie auf OK.

Beachten Sie, dass die Standardeinstellung so ist, dass nur Mitglieder der Gruppe Domänen- Admins Zugriff haben. Das ist neu bei Windows und ein »geschlossen zu offen«-Teil des Systems. Windows-Systeme sind traditionell »offen zu geschlossen«, d.h., dass Ressourcen erstellt werden und dann zunächst für alle Benutzer offen sind.

Erstellen eines freigegebenen Ordners

Freigegebene Ordner ermöglichen Benutzern und anderen Verzeichnisobjekten über den Zugriff auf das Verzeichnis den Zugriff auf die auf dem Server freigegebenen Dateien. Ein freigegebener Ordner ist ein Active Directory-Objekt, das von Dateifreigaben erstellt wird, sodass die Freigabe als Teil des Verzeichnisses verwaltet werden kann. Das ist anders als bei der Netzwerkumgebung der Vergangenheit. Es stellt einen Fortschritt dar, da der Benutzer Ressourcen suchen kann, ohne das Netzwerk im klassischen Sinne von Microsoft tatsächlich zu durchsuchen.

Um dieses Objekt zu erstellen, gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, in der Sie das Ordnerobjekt erstellen möchten. Klicken Sie auf Neu und dann auf Freigegebener Ordner.
2. Geben Sie einen Objektnamen für den Ordner ein und drücken Sie dann die (Tab)-Taste.
3. Geben Sie die UNC-Adresse der Freigabe ein.
4. Klicken Sie auf OK.

Erstellen eines freigegebenen Druckers

Ebenso wie Ordnerobjekte Objekte sind, die Dateifreigaben über das Verzeichnis verfügbar machen, machen Druckerobjekte Druckerfreigaben verfügbar. Ein freigegebener Drucker ist ein Active Directory-Objekt, das von Druckerfreigaben älterer Windows-Versionen (Windows NT, 95/98 und WFW) erstellt wird, sodass die Freigabe als Teil des Verzeichnisses verwaltet werden kann.

Gehen Sie wie folgt vor, um ein Druckerobjekt zu erstellen:

1. Klicken Sie mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, in der Sie das Druckerobjekt erstellen möchten. Klicken Sie auf Neu und dann auf Drucker.
2. Geben Sie die UNC-Adresse der Freigabe ein.
3. Klicken Sie auf OK.

9.5 Steuern des Benutzerzugriffs auf Ressourcen

Den Benutzer- und Gruppenkonten, denen Berechtigungen für den Zugriff auf eine Ressource zugewiesen werden sollen, werden diese Berechtigungen über das Dialogfeld Eigenschaften der entsprechenden Ressource zugewiesen. Wie bei vorhergehenden Versionen von Windows sollten Sie daran denken, dass jede Freigabe nach ihrer Erstellung für die Gruppe Jeder verfügbar ist (siehe Abbildung 9.15).

Abbildung 9.15:  Anfängliche Berechtigungen

Für jede Freigabe gibt es das Dialogfeld Eigenschaften, das Sie aufrufen können, indem Sie wie bei jedem anderen Explorerobjekt zuerst mit der rechten Maustaste auf das Objekt klicken und dann die Option Eigenschaften wählen. Das trifft auch für Drucker- und Dateifreigaben zu. Dies ist allerdings die Stelle, an der viele Administratoren bei der Zuweisung von Berechtigungen Fehler machen.

9.5.1 Dateifreigabeberechtigungen

In diesem Dialogfeld gibt es zwei Bereiche, in denen Berechtigungen zugewiesen werden können. Auf der Registerkarte Freigabe befindet sich eine Schaltfläche mit der unschuldigen Aufschrift Berechtigungen (siehe Abbildung 9.16). Das ist etwas irreführend, da es eigentlich ein Überbleibsel vom alten Arbeitsgruppenmodell ist. Damit werden lediglich die Berechtigungen für den Ordner vom Netzwerk aus gesteuert. Wenn sich ein Benutzer lokal am Server anmelden kann, verwendet er die Berechtigungen auf der Registerkarte Sicherheitseinstellungen.

Am besten rufen Sie die Registerkarte Sicherheitseinstellungen auf. Dort können Sie Berechtigungen sowohl für lokale als auch für Netzwerkbenutzer definieren. Sie müssen die Berechtigungen nicht auf beiden Registerkarten ändern, da die Berechtigungen auf der Registerkarte Sicherheitseinstellungen sowohl lokal als auch für das Netzwerk gelten. Wenn Sie auf eine Ressource über das Netzwerk zugreifen und auf einer oder auf beiden Registerkarten Einschränkungen definiert sind, gelten die strengsten Einschränkungen. Wenn beispielsweise auf der einen Registerkarte der Gruppe Buchhaltung die Berechtigung Vollzugriff zugewiesen ist, auf der anderen Registerkarte der Zugriff jedoch verweigert wird, dann haben die Mitglieder der Gruppe Buchhaltung keinen Zugriff. Wenn Sie sich dafür entscheiden, Berechtigungen über die Registerkarte Sicherheitseinstellungen zuzuweisen, haben Sie sich für die vollständige Kontrolle der Ressource entschieden.

Abbildung 9.16:  Die Registerkarte Freigabe

Die Registerkarte Sicherheitseinstellungen wird nur angewendet, wenn sich die entsprechende Freigabe in einer NTFS-Partition befindet. Es empfiehlt sich nicht, dass Sie einen Bereich in einer FAT-Partition freigeben. FAT-Partitionen sind auf lokaler Ebene nicht gesichert.

Objekte in einem Container erben bei ihrer Erstellung standardmäßig die Berechtigungen dieses Containers. Wenn Sie beispielsweise den Ordner Programme erstellen, erben sämtliche in diesem Ordner erstellten untergeordneten Ordner und Dateien automatisch die Berechtigungen dieses Ordners. Somit verfügt der Ordner Programme über explizite Berechtigungen, während sämtliche untergeordneten Ordner und Dateien über vererbte Berechtigungen verfügen.

Berechtigungen für Active Directory-Objekte haben mit der Fähigkeit zu tun, auf Objekte zugreifen und Änderungen an diesen Objekten vornehmen oder Objekte innerhalb der Objekte erstellen zu können. Das alles hängt natürlich von der Art des Objekts ab.

Die Berechtigungen, die einem Ordner zugewiesen werden können, sind in Tabelle 9.1 aufgeführt.

Berechtigungen Vollzugriff Ändern Lesen und Ausführen Ordnerinhalt auflisten Lesen Schreiben
Ordner durchsuchen/Datei -
ausführen 		X X X X    
Ordner auflisten/Daten lesen X X X X X  
Attribute lesen X X X X X  
Erweiterte Attribute lesen X X X X X  
Dateien erstellen/Daten -schreiben X X       X
Ordner erstellen/Daten -anhängen X X       X
Attribute schreiben X X       X
Erweiterte Attribute schreiben X X       X
Untergeordnete Ordner und -Dateien löschen X          
Löschen X X        
Berechtigungen lesen X X X X X X
Berechtigungen ändern X          
Besitz übernehmen X          
Synchronisieren X X X X X X

Tabelle 9.1:   Ordnerberechtigungen

Es gibt zwei Arten von Berechtigungen:

  • Explizite Berechtigungen: Berechtigungen, die einem Benutzer oder einer Gruppe im Dialogfeld Eigenschaften des jeweiligen Objekts zugewiesen werden, werden als explizite Berechtigungen bezeichnet.
  • Vererbte Berechtigungen: Eine Berechtigung ist vererbt, wenn der Benutzer oder die Gruppe die Berechtigung von einem übergeordneten Container des Objekts übertragen bekommen hat.

Bevor Sie Berechtigungen von einem Benutzer für ein bestimmtes Objekt entfernen können, müssen Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen übernehmen deaktivieren (siehe Abbildung 9.17). Danach können Sie die Berechtigungen nach Belieben an Ihre Bedürfnisse anpassen. Sie werden feststellen, dass die Gruppe Jeder aus der Liste der berechtigten Benutzer verschwindet.

Um Berechtigungen hinzuzufügen bzw. zu entfernen, gehen Sie wie folgt vor:

1. Klicken Sie auf Hinzufügen.
2. Wählen Sie einen Benutzer oder eine Gruppe aus, klicken Sie auf Hinzufügen und dann auf OK.
3. Nehmen Sie die gewünschten Änderungen vor, indem Sie die entsprechenden Kontrollkästchen aktivieren bzw. deaktivieren. Klicken Sie dann auf OK.

Abbildung 9.17:  Vererbung deaktivieren

Denken Sie daran, dass Sie die Gruppe Organisations-Admins immer mit der Berechtigung Vollzugriff zur Liste der Berechtigungen hinzufügen, bevor Sie dieses Fenster schließen. Die Gruppe kann die Berechtigungen später immer noch ändern, um Zugriff zu bekommen, aber es wird sehr mühevoll sein, dies zu tun.

9.5.2 Druckerberechtigungen

Druckerberechtigungen können Sie nur über die Registerkarte Sicherheitseinstellungen zuweisen. Diese Berechtigungen sind nicht annähernd so kompliziert wie die bei den eben beschriebenen Objekten.

Mit den Druckerberechtigungen soll in der Regel eine kostspielige Ressource geschützt werden. Der neue 20.000-DM-Farbdrucker/Kopierer muss nicht unbedingt das persönliche Malbuch des neugierigen Fünfjährigen eines Angestellten (oder gar des Angestellten selbst) sein. Daher bietet Ihnen die Registerkarte Sicherheitseinstellungen die Möglichkeit zu bestimmen, wer auf dem Drucker drucken darf, wer für die Papierversorgung und Verwaltung zuständig ist und wer die Druckaufträge anderer überwachen soll.

Es gibt drei Kategorien von Druckerberechtigungen:

  • Drucken. Die Berechtigung, Druckaufträge an eine Druckerfreigabe zu senden und die eigenen Dokumente zu kontrollieren.
  • Dokumente verwalten. Die Berechtigung Drucken sowie die Berechtigung, die Dokumente anderer zu kontrollieren.
  • Drucker verwalten. Die Berechtigung Dokumente verwalten sowie die Berechtigung, Druckereigenschaften zu ändern und Druckerfreigaben zu löschen.

© Copyright Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH
Elektronische Fassung des Titels: Windows 2000 Server Kompendium, ISBN: 3-8272-5611-9 Kapitel: Verzeichnis- und Zugriffskonzepte