Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: [email protected].
-
Upload
waldobert-adelsperger -
Category
Documents
-
view
113 -
download
1
Transcript of Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: [email protected].
![Page 2: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/2.jpg)
Active Directory- AD ist ein zentraler Verzeichnungsdienst (Win 2000/03) zur Verwaltung von Druckern, Benutzern, Computern, Servern..
- ist an gängige TCP/IP Standards angelehnt.- Verzeichnisdienst: Verzeichnis = Sammlung von Daten einer Art mit Ordnungs- Prinzip (z.b. Telefonnummern sind in Telefonbüchern nach Namen geordnet) Bei Netzwerken dienen Verzeichnisse z.b. um Benutzerdaten zentral zu Sammeln Sammlung in Datenbanken auf die (je nach Berechtigung) zugegriffen werden kann.
![Page 3: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/3.jpg)
ALU.Kompo.CPU
Cache.Kompon.CPU
Der AufbauDvt13.de (root)
CPU.dvt13.de
Kenngrößen.CPU..
Kompo.CPU..
Schule.de
R203.Schule.de Lehrer.Schule.de
PC01.R203.Schule.de
PC252.R203.Schule.de
![Page 4: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/4.jpg)
Der Aufbau
- AD besteht immer aus ROOT – Domäne (z.b. dvt13.de)- an Root – Domäne untergeordnete Domäne gehängt werden (z.b. Halbleiterspeicher.dvt13.de)- auch an diese kann man wieder eine Domäne unter ordnen (z.b. RAM.Halbleiterspeicher.dvt13.de)
- unter Domänen + root - Domäne = Tree
- soll 2. Baum von dvt13.de verwaltet werden, spricht man von einer Gesamtstruktur oder auch Forest
![Page 5: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/5.jpg)
Erweiteter Aufbau
Schule.netROOT
FG.Schule.netSUB
FG.Schule.net/DVTOU
FG.Schule.net/WLOU
DruckerObjekt
ScannerObjekt
WinSim.exeObjekt
![Page 6: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/6.jpg)
Objekte u. Attribute
- Objekttypen (z.B. Drucker) wird durch ein Schema definiert.- Schema besteht aus Attributen (Eigenschaft) u. Klassen Klassen = Mehrere Attribute (Windows enthält sehr viele voreingestellte Klassen)- Objekte = Mehrere Klassen = viele Attribute- Objekte können z.B. Benutzer, Computer, Drucker, Programme Ordnerfreigaben sein...
![Page 7: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/7.jpg)
Gruppen
- nur Lokalen Gruppen werden Berechtigungen u. Ressourcen zugeteilt
Herr X Muster
Lehrer
Drucker Office Master-Eye
Schüler
Speicher
DruckerWordExcel.. Master-Eye
Festpallten-kapazität
Benutzerkonten
Globale Grp.
Lokale Grp.
Ressourcen
![Page 8: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/8.jpg)
Globale Gruppen
- dienen zur Zusammenfassung mehrer Benutzer mit ähnlichen Aufgaben o. Standort z.B alle im Raum 203 o. alle Lehrer
- Globalen Grp. werden Lokale Grp. Zugewiesen
- sind zur Administration der Domäne zuständig
![Page 9: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/9.jpg)
Aufbau.Namen- Der Zugriff bzw. die Benennung erfolgt über UNC/URL und LDAP-URL-Namen. (LDAP = Protokoll um auch Speicherbereichen zu Adressieren und die Abfrage und die Modi – fikation von Informationen eines Verzeichnisdienstes ermöglicht)
- Jedes Objekt bekommt einen Common Name (CN) z.b. Scanner01- Objekte kann man in Organisationseinheiten (OU) unterordnen z.b Sekretariat- diese werden an Domäne Komponenten (DC) gehangen. Z.b. schule.net wobei net wieder eine (DC) ist. (dc´s werden durch Punkte getrennt.)
![Page 10: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/10.jpg)
Aufbau.Namen- Der darausfolgende vollqualifizierten Namen (distinguished
name, DN) wäre damit schule.net/Sekretariat/Scanner01
- Unter Verwendung v. Subdomains
= Sekretariat.schule.net/Scanner01
d.h. Domäne und Pfad sind in AD und der Gesamtstruktur eindeutig
![Page 11: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/11.jpg)
Weitere Namensklassen
relative distinguished names (RDNs)- zum Ansprechen von Objekten in Containern- Bsp: Container: ‚User‘ (Verzeichnis, mit RDN User) untergeordnet Benutzerobjekt: ‚M.Muster‘
globally unique identifier, (GUID)- ein 128 – Bit Wert, Hexadezimal dargestellt- dient zur Identifizierung im Forest- kann nicht geändert werden
UPN-Notation user principal name, (UPN)- weitere Möglichkeit Objekte anzusprechen- bestehend aus Anmeldenamen und dem DNS-Namen der Domäne- z.b. [email protected]
![Page 12: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/12.jpg)
Global Catalog
- Die Aufgabe des GC liegt darin, gesamtstrukturweite Suchvorgänge durchzuführen und die Anmeldung am Netzwerk überhaupt erst zu ermöglichen.
- Verwaltet Attribute von Objekten im Forest- Der Admin legt fest, welche das sind. Z.B Vor u. Nachnachname um eine Anmeldung zu ermöglichen.
- min. 1 GC benötig mehrere GCs sorgen für Sicherheit, falls ein GC ausfällt. Je mehr GC desto hör die Netzwerklast, aufgrund der Replikation
![Page 13: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/13.jpg)
Replikation- Verzeichnisdaten werden an verschiedenen Orten gespeichert, damit jeder Benutzer gleichermaßen schnell auf sie zugreifen kann.
- AD verwendet ein Multimaster Replikationsmodell, mit dem Sie Verzeichnisänderungen auf jedem Domaincontroler (DC) durchführen kann. Das nennt man dann eine Replikation.
- Speicherung zw. d den Domaincontrollern kann Uni/ Biderektional sein
![Page 14: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/14.jpg)
Replikation
http://www.nickles.de/stories/images/bm/ad0206.gif
![Page 15: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/15.jpg)
Benutzerkonten
Arten: - Administratorkonto - Gastkonto
- Benutzerkonto für lokalen Computer / Domäne
- Können zugriffsrechte auf Ressourcen besitzen- jedes Konto bedarf einer Dokumentierung und Planung (Namenskonventionen, Kennwortbedingungen, Anmeldezeiten..)
![Page 16: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/16.jpg)
Admin u. Gästekonto
- beinhaltet alle rechte- kann berechtigjungen vergeben , Benutzerkonten erstellen oder Verändern- wird bei d. Installation angelegt
Gästekonto:- für Gelegenheitsbenutzer- ist nach d. Installation gesperrt, muss freigeschaltet werden- Ressourcen müssen freigeschaltet werden vom Admin, sollte dies nicht der fall sein, so steht dem Gast keine Ressourcen zu verfügjung
![Page 17: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/17.jpg)
Lokale- Domänekonten
- lokales Benutzerkonto berechtigt nicht Ressourcen der Domäne zu nutzen und umgekehrt gilt das auch für Domänekonten
- Ausnahme , der Admin vergibt sonderrechte an Gruppen oder einzelne Personen.
![Page 18: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/18.jpg)
Regeln d. Namengebung
- Max. 20 Zeichen
- Groß und Kleinschreibung wird berücksichtigt
- „ / \ [ ] | : ; = , + * ? < > dürfen nicht verwendet werden
- um doppelbenunnugen zu vermeiden benutzt man Anfangsbuchstaben d. Vornamens + Nachnamen (M.Muster)
![Page 19: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/19.jpg)
Sicherheitsbestimmungen- um Sicherheit zu erhöhen kann die Zugriffszeit eingeschränkt werden (z.b. Mo. – Fr. von 8 Uhr – 16 Uhr)- Kennwörter sollten sorgfältig gewallt werden.
- Standartprotokoll Kerberos -> vergibt Tickets zur Authentifizierung
- zugriff erfolgt über SSPI (Security Service Provider Interface )- SSPI definiert eine Schnittstelle zwischen Protokollen, die Sicherheitsfunktionen nutzen, liefert damit ein isoliertes Protokoll
![Page 20: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/20.jpg)
Anpassungsmöglichkeiten
Anmeldescripte:- Automatische Ausführung nach Anmeldung- Einstellung der Arbeitsumgebung- kann Netzwerkverbindungen herstellen, Programme starten
Servergespeicherte Benutzerprofile- wirkt sich auch alle Computer aus, mit denen man sich Anmeldet- sind schreibgeschützt und nicht veränderbar- sind auf einem Domain Controller gespeichert
![Page 21: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/21.jpg)
BerechtigungenFreigabe mit Berechtigungseinstellung
- Vollzugriff- ändern- Lesen
- Verweigern -> höhere Priorität als Zulassen- d.h Benutzer hat Lese Berechtigung (Zugelassen) , doch seine Gruppe (Verweigert) nicht so darf er die Datei nicht lesen.
Sicherheitseinstellungen- = NTFS – Berechtigung- Vollzugriff, Ändern, Ausführen, Auflisten, Lesen, Schreiben- Vererbung -> Unterordner erhalten Auto. die selbe Freigabe
![Page 22: Thema: Active Directory Jonas Seiler Gehalten 2006 Kontakt: j.seile@arcor.de.](https://reader035.fdocument.pub/reader035/viewer/2022062512/55204d6249795902118b6702/html5/thumbnails/22.jpg)
Quellen
www.wikipedia.de
www.rz.rwth-aachen.de/ computing/windows/grundlagen/ad.php
www.nickles.de/c/s/14-0022-347-1.htm
www.uni-kiel.de/studinet/AD-long.pl
Vernetzte IT - Systeme