| Microsoft Active Directory
Active Directory (AD) ist der
Verzeichnisdienst für
Windows 2000 / 2003 Server von Microsoft. AD
speichert und verwaltet Informationen über Netzwerkobjekte und
Ressourcen. Ein oder mehrere Administratoren können Verzeichnisdaten
und Verzeichnisstruktur des gesamten Netzwerkes verwalten und
Netzwerkbenutzern die benötigten Netzwerkressourcen freischalten
oder sperren. Als Netzwerkressourcen zählen Zugriffsberechtigungen,
Nutzungsrechte für Anwendungen, Speicherplatz, Netzwerkdienste und
Netzwerk-Peripherie, wie z. B. Drucker.
Folgende Vorteile hat AD:
- Informationssicherheit
- Richtlinienbasierte Verwaltung
- Erweiterungsfähigkeit
- Skalierbarkeit
- Replikation von Informationen
-
DNS-Integration
- Zusammenarbeit mit anderen Verzeichnisdiensten
Das AD ist ein objektorientierte Datenbank bestehend
aus Klassen, Schemata und Objekten, die hierarchisch angeordnet
sind.
Benennungskonventionen
Objekte im AD müssen einen Namen haben. Es gibt nicht weniger als
fünf Möglichkeiten, Namen zu bilden, bei Verwendung von
LDAP-Namen
sogar noch mehr. Der Name ist einfach ein Pfad im Verzeichnis, mit
dessen Hilfe das Objekt sicher gefunden werden kann. Es gibt
folgende Bennenungskonventionen:
Security Principals
Security-Principal-Objekte (auf deutsch etwa 'wichtige
Sicherheitseinheiten') sind alle diejenigen Objekte, denen das OS
eine SID zuordnet, also
Benutzer,
Guppen und
Computer. Innerhalb der
Domäne müssen SIDs eindeutig sein. Die SID erlaubt das Anmelden an
der Domäne sowie den Zugriff auf Ressourcen.
NetBIOS-Namen sind zum
Beispiel Security Principals.
SIDs
Die SID identifiziert User, Gruppen und Computer.
LDAP-Namen
LDAP ist das Standard-Protokoll für den Verzeichniszugriff. Eine
Möglichkeit, ein Objekt im AD zu adressieren ist die Verwendung
einer
LDAP-URL:
LDAP://ldapsvr/CN=Topkapi,DC=DEV,DC=MSFT,DC=COM
Die Bezeichner/Wert-Paare haben folgende Bedeutung:
|
Attribut
|
Bedeutung
|
|
OU |
Organisatorische Einheit. Dieses Attribut wird
verwendet, um einen Namespace basierend auf der
organisatorischen Struktur und nicht auf dem physischen
Speicherort logisch zu unterteilen. Eine OU entspricht
normalerweise einem Active Directory-Container/Ordner. |
|
CN
|
Gemeinsamer Name. Dieses Attribut bezeichnet das Objekt
selbst innerhalb des Verzeichnisdiensts. Sie können sich
diesen Namen als "Blattknoten" im Verzeichnis
vorstellen. |
|
DC
|
Domänenkomponente. Domänenkomponenten entsprechen den
durch Punkte getrennten Teilen eines
Internet-Domänennamens. Ein DN, der DC-Attribute
verwendet, enthält eine DC für jede Domänenebene unter
dem Namensstamm.
Der DNS-Name microsoft.com würde
z.B. zu dem LDAP-Namen DC=MSFT, DC=COM werden. |
|
O |
Organisation. Diese Attribut identifiziert eine
bestimmte Organisation, z.B. Microsoft Corporation. |
|
C |
Land |
GUIDs sind 128 Bit breite weltweit eindeutige Werte, die ein Objekt
identifizieren. Sie werden statt der SID verwendet, die ja nur
domänenweit gültig ist.
Logon-Namen (UPNs und SAMs)
Ein User Principal Name (UPN) hat einfach die Form einer
E-Mail-Adresse wie zum Beispiel ‚Name@nickles.de’.
Ein SAM-Name ist einfach ein Anmeldename für eine NT4/2000/2003-Domäne, also
ein Benutzername.
|