1 / 35

Active Directory

Active Directory. Im realisierten Einsatz. Option Consulting, Ernst Senn. Active Directory. Was ist es? Im Gegensatz zu WinNT 4.x Und dessen historischer Entwicklung Was enthält es? Vordefinitionen und Möglichkeit der Eigendefinitionen Was kann genutzt werden? Was muss genutzt werden?

berget
Download Presentation

Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Active Directory Im realisierten Einsatz Option Consulting, Ernst Senn

  2. Active Directory • Was ist es? • Im Gegensatz zu WinNT 4.x • Und dessen historischer Entwicklung • Was enthält es? • Vordefinitionen und Möglichkeit der Eigendefinitionen • Was kann genutzt werden? • Was muss genutzt werden? • Was sollte nicht genutzt werden? • Welchen Nutzen haben wir davon? • Wir: das Unternehmen • Wir: die IT- Abteilung / IT-Operation • Wir: die Nutzer und Administratoren Ernst Senn / Option Consulting / www.option.ch

  3. Heutige Themenabgrenzung als Einstieg in eine Reihe von Vorträgen • Überblick über die „alten“ Möglichkeiten und Unmöglichkeiten • Ausblick in eine mögliche Zukunft • Erarbeitung der nächsten Schritte zur Realisierung Ernst Senn / Option Consulting / www.option.ch

  4. Globaler Zusammenhang Kontrolle Freiheit Lehre Ressource Benutzer Sofware Active Directory Domäne V & F Rechner Ernst Senn / Option Consulting / www.option.ch

  5. Ist-Zustand • Jede Menge Arbeitsgruppen mit vielen Problembereichen; • meist durch eine echte Administration abstellbar • Viele Domänen mit Servern • Teilweise für nur 3 Workstations • Wenige Domänen mit den erforderlichen Backupservern (Stichwort Arbeitssicherheit) • Kaum Domänen mit ausreichendem Administrator-Management • Nahezu alle Domänen mit überflüssigen Administratoraufgaben Ernst Senn / Option Consulting / www.option.ch

  6. Wie kam es dazu? • Früher war Windows nur unter Netbios nutzbar • NBT ist jetzt noch Standard • Keine zentrale Administrierung vorgesehen/möglich • Lieschen Müller Prinzip der Installation • Fehlendes Personal • Temporäre Delegation • Fluktuation • Fehlende Dokumentation • Besonders durch Fluktuation immer wieder Neuerfindung des Rades • Fehlende Qualifikation • kaum speziell für Administration eingestelltes Dauer-Personal Ernst Senn / Option Consulting / www.option.ch

  7. Wie kam es dazu? • Sehr starke Strukturierung der einzelnen Bereiche in der Universität • Hohes Bedürfnis zu Eigenständigkeit • Skepsis gegenüber Anderen • Zu geringes Sachwissen über Möglichkeiten und Unmöglichkeiten • Wenig Fach-Personal • Daraus resultierend teilweise • Falsche Vorstellungen über Einflussmöglichkeiten • Falsches Gefühl der Abhängigkeit von Anderen Ernst Senn / Option Consulting / www.option.ch

  8. Arbeitsgruppe • Typische Anwendung in Arbeitsgruppen • Vertrauen auf kleinster Basis • 2-er Beziehung • Zwischen Chef und Sekretariat möglich • In auch nur geringfügig größeren Verbünden nicht mehr administrierbar • Arbeitsgruppen sollen laut Definition • Nicht mehr als 15-25 Mitglieder (PC) haben • Nur in kleinen Netzen • Sind originär NETBIOS Ernst Senn / Option Consulting / www.option.ch

  9. Gemeinsame Nutzung von Ressourcen in Arbeitsgruppen PC1 Benutzer 1 muss bei Passwortänderungen 2 Systeme ändern Benutzer 1 braucht was von PC2 PC2 Administrator von PC2 muss die gleiche Identifikation des Benutzers 1 auch auf PC2 einrichten Eine Freigabe muss eingerichtet werden und dem Benutzer die Erlaubnis erteilt werden Ernst Senn / Option Consulting / www.option.ch

  10. Zusammenfassung • Ressourcennutzung über Arbeitsgruppen • ist kaum administrierbar • Ist nicht über Router/Gateway möglich, da NETBIOS nicht geroutet wird • Zufallsergebnisse bei Listen • Erzeugt unnötige Netzlast • Rundrufe • Erzeugt unnötige Wartezeiten • Ermitteln des momentanen Masters Ernst Senn / Option Consulting / www.option.ch

  11. Unvollständige Liste einiger Arbeitsgruppen und Domänen Ernst Senn / Option Consulting / www.option.ch

  12. Einschränkungen in der Vergangenheit • Alte NT-Domänen waren flach • max 40.000 unabhängige Objekte (theoretisch) • das bedeutet, dass es innerhalb einer Domäne keinerlei Vererbungsmöglichkeiten gab. • Definition für Ressource 1 konnte nicht auf Ressource 2 angewendet/vererbt werden • Hoher Verwaltungsaufwand • Administration nicht delegierbar • Prinzip „Alles oder Nichts“ • dadurch waren alle Gruppierungen gezwungen eigene Domänen zu erstellen, wenn es nicht möglich war, einen Ober-Administrator und allgemein geltende Systemrichtlinien zu konzipieren oder zu akzeptieren. • Für ALLES war die Domäne die Grenze Ernst Senn / Option Consulting / www.option.ch

  13. Gemeinsame Nutzung von Ressourcen in Domänen PC1 Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen Benutzer 1 braucht was von PC2 PC2 PC2 fragt PDC und erhält Erlaubnis Administrator von PC2 muss nur eine Freigabe einrichten und Benutzer 1 eine Erlaubnis erteilen PDC Ernst Senn / Option Consulting / www.option.ch

  14. Einfachere Nutzung von Ressourcen in Domänen Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen PC1 Benutzer 1 braucht was von PC2 PC2 Administrator von PC2 muss nur eine Freigabe einrichten und Benutzergruppe 1 eine Erlaubnis erteilen PC2 fragt PDC und erhält Erlaubnis Account-Manager richtet eine Benutzergruppe ein und setzt Benutzer 1 als Mitglied ein PDC Ernst Senn / Option Consulting / www.option.ch

  15. Administrationsvorteile Domänen / Arbeitsgruppe • Einmalige Einrichtung einer Benutzergruppe in der Domäne • Einmalige Einrichtung einer Freigabe auf einem PC mit Bezug auf Benutzergruppe • Einmalige Erlaubnisdefinition der Benutzergruppe in der Freigabe • Zukünftige Änderungen über Account-Manager der Domäne, der Mitglieder zur Gruppe hinzufügt oder entfernt • schlechte Verfügbarkeit durch 1 zentrale Stelle • es fehlt auch hier eine Delegationsmöglichkeit Ernst Senn / Option Consulting / www.option.ch

  16. Überschreitung der Domänengrenze durch eine Vertrauensstellung Domäne A Benötigt keine Benutzerdefinitionen Wird Ressourcen-Domäne genannt Ressource Domäne B Vertrauensstellung Benutzer Dieses Modell nennt Microsoft das Master-Domänen-Modell Benutzergruppe Pflegt nur Benutzerdefinitionen Ernst Senn / Option Consulting / www.option.ch

  17. Kostenreduzierung durch Vertrauensstellung Domäne A UnidirektionalesVertrauen PC2 Benutzer Gefahr durch konkurrierende Benutzerverwaltung PC1 Domäne B PC3 UnidirektionalesVertrauen Benutzer Damit lassen sich PC-Bestände gemeinsam nutzen. Kein admin darf irgendetwas in der anderen Domäne Ernst Senn / Option Consulting / www.option.ch

  18. Die Vergangenheit • Da keine Administration delegiert werden konnte, wurden Abgrenzungen durch neue Domänen erzeugt • Die Vielzahl der Domänen war in keiner Weise zentral oder koordiniert administrierbar • und auch der Zusammenhang • Rechte, • Berechtigungen, • Richtlinien, • Vertrauensstellungen, • gemeinsame Benutzerdefinitionen • war nicht zentral steuerbar oder koordinierbar. • Auch Administration zwischen wenigen Domänen geht nur begrenzte Zeit gut Ernst Senn / Option Consulting / www.option.ch

  19. Domänengrenzen/Beschränkungen • Eine Domäne • ist nicht weiter unterteilbar • Ist Grenze für alles • hat nur 1 Richtlinie für alles • kennt nur gleichberechtigte Administratoren • Ist nicht überführbar in eine andere Domäne • Erst zerstören, dann alle Einzelteile in die andere Domäne übernehmen •  absolut unflexibel!! Ernst Senn / Option Consulting / www.option.ch

  20. Schwierigkeit der Administration der Vertrauensstellungen • Alle Vertrauensstellungen müssen per Hand eingegeben werden • Wenn Domäne A der B vertraut und umgekehrt, konnten sich die Benutzer der A an den Rechnern der B einloggen und umgekehrt. • Die Besitzer einer Ressource in A konnten Benutzergruppen aus A und B • Zugriffe gestatten • oder explizit verweigern. • Vertrauen heißt nicht Einflußnahme Ernst Senn / Option Consulting / www.option.ch

  21. Vertrauensstellungen Domäne A Domäne B Domäne D Domäne C Alle Vertrauensstellungen erfordern je 1 Aktion des Administrators der jeweiligen Domäne n! – Beziehungen müssen gepflegt werden Ernst Senn / Option Consulting / www.option.ch

  22. Richtlinien-Probleme durch Domänengrenze Die in der Domäne A erforderlichen Richtlinien der Benutzer bei Nutzung der dortigen PC müssen in Domäne B installiert werden Domäne A PC2 Problem: Domäne B weiss nichts von PC1 und PC2. Richtlinien sind nicht erstellbar PC1 Domäne B PC3 Richtlinien der Domäne A werden nicht wirksam bei Benutzern der Domäne B Administrator der Domäne A kann „seinen“ Benutzern nichts an allen PCx ändern UnidirektionalesVertrauen Benutzer Sicherheitsrichtlinien wirken nur innerhalb 1 Domäne Ernst Senn / Option Consulting / www.option.ch

  23. Probleme durch Domänengrenzen • Im Endeffekt sind diese Probleme unter NT4 bis heute nicht nur bei uns nicht gelöst (Prinzip) • Gründe der Unlösbarkeit • Jeder Ressourcendomänen-Administrator hätte zum Administrator der Masterdomäne gemacht werden müssen – mit allen ungewünschten Konsequenzen • Alle Administratoren hätten 1 Definition gemeinsam nutzen und bearbeiten müssen • Die Definition wäre riesig geworden • Hätte zu lange Ladezeiten gehabt • Wäre bei vielfachen, konkurrierenden Änderungen und gegensätzlichen Ansichten nicht mehr handhabbar gewesen Ernst Senn / Option Consulting / www.option.ch

  24. Heute mit Active Directory • Erstmals hierarchische Struktur • Dadurch viele Delegationsmöglichkeiten • Ober- und Unteradministratoren für viele Teilgebiete konzipierbar, aber nicht erforderlich! • Abgrenzungen sind extrem variabel • Inhalt • Container • Können Container und Nicht-Container enthalten • Nicht-Container • Leafs – Endknoten; enthalten typischerweise Benutzer, Computer und/oder Gruppen-Objekte Ernst Senn / Option Consulting / www.option.ch

  25. Inhalt des Active Directory • Der meistgebräuchliche Containertyp ist die Organisationseinheit (englisch: organisational unit = OU) • Alle Objekte im AD lassen sich eindeutig identifizieren durch eine Kennung - Global Unique Identifier GUID -,die bei der Erzeugung zugewiesen wird. • Eine GUID ist ein 128-stelliges Zahlenmonster. Ernst Senn / Option Consulting / www.option.ch

  26. Objekte im Active Directory • Jedes Objekt lässt sich über Active Directory Services Interface –ADSI- • programmgesteuert • scriptgesteuert • ansprechen und verwalten. • ADS-Pfade verwenden normalerweise die Syntax und Regeln, die das Lightweight Directory Access Protocol –LDAP- definiert Ernst Senn / Option Consulting / www.option.ch

  27. Objektinhalte • Objekte können • Definitionen sein • Dokumentationen sein • Passiv sein, also durch andere Systemteile zu interpretierende Regeln sein • Aktiv sein, also selbst Programme oder Scripten sein, die auf passive Teile (Regeln) zugreifen • Dateisysteme sein, die z.B. zur Installation von Software dienen • U.s.w. Ernst Senn / Option Consulting / www.option.ch

  28. Speicherort – erf. Hardware • Es gibt keine explizite Trennung zwischen DC und BDC mehr • Erhöhte Sicherheit gegen Ausfall der Domäne • Weniger administrativer Aufwand im Problemfall • Wird auf alle BDC repliziert • Replizierung nur der geänderten Teile • AD ist 1 Verzeichnis auf dem DC • Teilweise erheblicher Platzbedarf • Im Prinzip keine Größengrenze mehr (40MB bei NT) • Sehr gute Plattenhardware erforderlich • Raidcontroller wird dringend angeraten • Doppelprozessor wird empfohlen • Gute Netzwerkanbindung ist unabdingbar (100MB) Ernst Senn / Option Consulting / www.option.ch

  29. Demonstration • AD Lagerort • Vorschlag einer Domänenstruktur • Vorschlag einer OU-Struktur • Ergebnisse der Anwendung von unterschiedlichen Gruppenrichtlinien in unterschiedlichen OU am Beispiel der Pool-PC‘s Ernst Senn / Option Consulting / www.option.ch

  30. Wunschtraum • 1 zentrale Domäne ausreichender Leistung • größtenteils realisiert; Ausbau aber sinnvoll • Beliebige Anzahl sog. OU • Könnten vollständig lokal administriert werden • Qualifiziertes Dauerpersonal mit EDV-Kenntnissen • ALLE Richtlinien lokal einrichtbar • Alle Software lokal einrichtbar bzw. administrierbar • Könnten statt dessen nach einem zu definierenden Standard einmalig zentral „vor“-administriert werden • Geringe lokale Dauerarbeiten • Geringe lokale EDV-Kenntnis notwendig • Beliebige Anzahl lokaler Server ohne domänenseitigen Administrationsbedarf in einer OU möglich Ernst Senn / Option Consulting / www.option.ch

  31. Wunschtraum Teil 2 • Sehr begrenzte Anzahl untergeordneter Domänen • Mit vollständiger Hardware (DC+BDC) • Nur mit qualifizierten Administratoren möglich • Mit beliebiger Anzahl von eigenen OU • Betrieb und Art des Betriebes von OU und Sub-Domänen sollten von Personalkapazität abhängig gemacht werden Ernst Senn / Option Consulting / www.option.ch

  32. Was bleibt zu tun? • Viel Administratives und viel neu zu Entdeckendes • Definition der zentralen Administrationsvorgaben • Für voll-administrierte OU • Für nicht administrierte OU • Laufende Unterstützung der Admin. Der vorhandenen Sub-Domänen und OU unabdingbar • Definitionen von OU und Sub-Domänen • Integration vorhandener Domänen unter möglichst vollständiger Eliminierung der NT4-Domänen • Erzeugung diverser OUs und der Sub-OU der Bereiche • Integration aller PC in die OUs • Umsetzung der Struktur auf Mitarbeiter • Definition der OU-Administratorenrechte Ernst Senn / Option Consulting / www.option.ch

  33. Was bleibt zu tun? • Benennung „echter“ Administratoren in allen lokal gemanagten OU oder Sub-Domänen • Installation eines zentralen Grupperichtliniendienstes mit externer Unterstützung • Möglicher zentraler Softwaredienst für remote administrierbare Software (z.B. Windows 2000 oder MS-Office) • dadurch z.B. geringere Personalkosten • Gesicherte Verteilung und Installation von Updates, Service Packs und ganz wichtig!! Hot-Fixes • Vermeidung lokaler Probleme in den zentral administrierten Teilen, da defekte bzw. fehlende Softwareteile automatisch vom Betriebssystem aus dem zentralen Pool nachinstalliert werden Ernst Senn / Option Consulting / www.option.ch

  34. Realisierbare Wünsche • Sichere Datenübertragung • Weitgehende Eliminierung des NETBIOS • Alles auf reiner TCP/IP-Basis • Unter Domänenstruktur remote einstellbar • Unter Windows 2000 nur 2 Doppelklicks und 8 Klicks • Unter ME auch lokal einstellbar • Unter anderen Win9x-Systemen durch Nachinstallation und lokales Einstellen • Win 3.xy und DOS können hier nicht mehr genutzt werden • Unterbindung bekannter Hackermethoden • z.B. „Man in the middle attack“ • Durch zentral ?erzwungenen? Einsatz der betriebssystemseitig vorhandenen Mechanismen (Software-Update-Service) Ernst Senn / Option Consulting / www.option.ch

  35. Realisierbare Wünsche • Installation lokaler Zuständigkeiten • reine lokale Prüfaufgaben • Rechnernamen, TCP/IP-Einstellungen, Lizenzen • Zusätzliche Beratung und Überwachung • Lokale Updates, • muss fortgesetzt werden Ernst Senn / Option Consulting / www.option.ch

More Related