Forest

Logische Struktur
  • Schema und Objekte

    • Das Schema enthält die Definitionen aller in Active Directory gespeicherten Objekte (Benutzer, Computer, ...) in Form von Klassen bzw. Objektklassen. Eine Objektklasse ist eine Auflistung von Attributen, die Informationen zur Beschreibung des Objekts enthalten. Sämtliche möglichen Attribute (Name, Beschreibung, Standort, ...) werden im Schema definiert. Jedes Attribut kommt nur einmal im Schema vor, kann jedoch in mehreren Objektklassen verwendet werden. Objekte können über die Attribute gesucht werden.

    • Die Gesamtstruktur besitzt ein einziges gemeinsames Schema, das bei Änderungen auf alle Domänencontroller repliziert wird. Es ist in einer Verzeichnispartition (Replikationseinheit) der Active Directory-Datenbank gespeichert, wird als Active Directory-Objekt behandelt und hat den definierten Namen:
      CN=schema, CN=configuration, DC=Domänenname, DC=Domänenstamm

  • Organisationseinheiten (OU - Organizational Unit)

    • Containerobjekte zur logischen administrativen Organisation und Strukturierung von Objekten. Über eine verschachtelte Hierarchie von OUs kann die Organisationsstruktur und/oder die Verwaltungsstruktur des Netzwerks abgebildet werden. Jede Domäne der Gesamtstruktur kann eine eigene OU-Hierarchie implementieren.
      Die Objektverwaltung von Organisationseinheiten kann ganz oder teilweise an bestimmte Benutzer und Gruppen zugewiesen werden, indem die entsprechenden Berechtigungen für die OU erteilt werden. Innerhalb einer Domäne können Objekte beliebig zwischen OUs verschoben werden, OUs können beliebig geschachtelt und neu erstellt werden.

  • Domänen

    • Eine Auflistung von Computern, die eine gemeinsame Verzeichnisdatenbank nutzen. Alle Netzwerkobjekte existieren innerhalb einer Domäne, die die jeweiligen Informationen darüber enthält. Eine Domäne ist eine Sicherheitsgrenze, jede Domäne hat ihre eigenen Sicherheitsrichtlinien und Sicherheitsbeziehungen zu anderen Domänen. Ein Domänen-Administrator hat nur innerhalb seiner Domäne Rechte und Berechtigungen.
      Eine Domäne ist auch eine Replikationseinheit, jeder Domänencontroller repliziert im Multimasterbetrieb die vollständigen Verzeichnisinformationen für seine Domäne. Jeder DC kann Änderungen durchführen und replizieren.
      Eine Domäne kann im gemischten Modus oder im einheitlichen Modus laufen. Per Default ist der gemischte Modus aktiv und unterstützt DCs mit Windows NT. Wenn alle DCs mit Windows 2000 laufen, kann die Domäne in den einheitlichen Modus konvertiert werden. Dies ergibt insbesondere erweiterte Möglichkeiten bei der Gruppenverwaltung (Verschachtelung, universale Gruppen). Die Konvertierung kann nicht rückgängig gemacht werden; jede Domäne in der Gesamtstruktur kann unabhängig von den anderen Domänen im gemischten oder im einheitlichen Modus laufen.

  • Struktur (Tree)

    • Eine hierarchische Anordnung von Domänen mit einem gemeinsamen, hierarchisch strukturierten Namespace. Die Aufteilung in mehrere Domänen kann unter anderem in folgenden Fällen sinnvoll sein:

      • Unterschiedliche Kennwortanforderungen

      • Große Anzahl an Objekten

      • Unterschiedliche Internetdomänennamen (mehrere Strukturen)

      • Replikationssteuerung

      • Dezentralisierte Netzwerkverwaltung

      Die erste in einer Struktur erzeugte Domäne ist die Stammdomäne der Struktur. Weitere Domänen können als untergeordnete Domänen zu vorhandenen zugefügt werden.

  • Gesamtstruktur (Forest)

    • Hierarchische Anordnung mehrerer Strukturen ohne zusammenhängenden Namespace. Alle Strukturen und damit Domänen einer Gesamtstruktur haben gemeinsam:

      • Konfiguration

      • Schema

      • Globaler Katalog

      Die erste in einer neuen Gesamtstruktur erzeugte Domäne wird die Stammdomäne der Gesamtstruktur. Sie enthält das Schema und die Konfiguration.

  • Vertrauensstellungen

    • Unidirektional, nicht transitiv
      Wenn Domäne A der Domäne B vertraut, vertraut B nicht automatisch A (unidirektional). Wenn A B vertraut und B vertraut C, so vertraut A nicht automatisch C (nicht transitiv). Der Standard in Windows NT Domänen und die einzige Möglichkeit bei Verbindung mit Windows NT Domänen oder Windows 2000 Domänen einer anderen Gesamtstruktur.

    • Bidirektional, transitiv
      Wenn A B vertraut, dann vertraut B automatisch auch A (bidirektional). Wenn A B vertraut, und B vertraut C, dann vertraut A automatisch C und umgekehrt (transitiv). Die Standardeinstellung zwischen Windows 2000 Domänen in einer Gesamtstruktur und ein Feature des Kerberos-Protokolls.


Physische Struktur

Die physische Struktur wird zur Konfiguration und Verwaltung des Netzwerkverkehrs eingesetzt. Sie definiert, wo und wann Replikations- und Anmeldeverkehr stattfindet.

  • IP-Subnetz
    Computergruppierung aufgrund eines gemeinsamen IP-Adressbereichs. Wird durch die Netzwerkstrukturen vorgegeben (physikalische Anbindung, Trennung durch Router, ...), oder durch die Bereichszuordnungen der DHCP-Server. Für ein IP-Subnetz wird von einer optimalen Verbindung der Computer untereinander ausgegangen.
  • Standort
    Kombination eines oder mehrerer zuverlässig durch Hochgeschwindigkeits-Verbindungen verbundener IP-Subnetze. Ein Standort kann beliebig viele Subnetze beinhalten, ein Subnetz gehört jedoch nur zu einem Standort.
    Die Standortmitgliedschaft eines Computers wird für Clients dynamisch aufgrund ihrer IP beim Einschalten festgelegt. Domänencontroller werden bei der Active Directory-Installation einem Standort zugeordnet, können aber manuell in einen anderen Standort verschoben werden.
    Bei der Installation des ersten DCs der Domäne wird ein Standardstandort erstellt, dem alle IP-Subnetze zugewiesen werden.
    Da Domänen zur logischen Struktur gehören, müssen sich die physische Struktur und die Domänenstruktur nicht entsprechen. Ein Standort kann mehrere Domänen enthalten, eine Domäne kann mehrere Standorte enthalten. Standorte und Domäne können voneinander getrennte Namespaces haben.
  • Domänencontroller
    Computer mit Windows 2000 Server und einem Replikat der Verzeichnisdatenbank. Verwaltet die Änderungen an den Verzeichnisinformationen und repliziert sie auf die anderen DCs der Domäne. Verwaltet die Benutzeranmeldevorgänge, die Authentifizierung und die Verzeichnissuche.
    Jede Domäne muss mindestens einen DC enthalten. Mehrere DCs gewährleisten die Verfügbarkeit und die Fehlertoleranz. Jeder Standort sollte insbesondere bei geographischer Trennung über mindestens einen DC verfügen.
    DCs verwenden die Multimasterreplikation, alle DCs sind gleichberechtigt und auf allen können Änderungen am Verzeichnis vorgenommen werden. Aufgrund der Latenzzeiten bei der Replikation können dadurch jedoch kurzzeitig auf verschiedenen DCs verschiedene Informationen vorhanden sein.