(0) exportieren Drucken
Alle erweitern

Active Directory-Domänendienste (Übersicht)

Letzte Aktualisierung: April 2007

Betrifft: Windows Server 2008

Mithilfe der AD DS-Serverrolle (Active Directory® Domain Services, Active Directory-Domänendienste) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur für die Benutzer- und Ressourcenverwaltung erstellen und die Unterstützung für verzeichnisfähige Anwendungen (z. B. Microsoft® Exchange Server) bereitstellen.

In den folgenden Abschnitten erfahren Sie mehr über AD DS, Features in AD DS und Software- sowie Hardwareanforderungen. Weitere Informationen zum Planen, Bereitstellen und Verwenden der AD DS-Serverrolle finden Sie im Abschnitt zu den Active Directory-Domänendiensten unter http://go.microsoft.com/fwlink/?LinkID=48547 (möglicherweise in englischer Sprache).

Was ist die "AD DS"-Serverrolle?

Mit AD DS wird eine verteilte Datenbank bereitgestellt, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus AD-fähigen Anwendungen gespeichert und verwaltet werden. Administratoren können AD DS zum Verwalten der Elemente eines Netzwerks (z. B. Benutzer, Computer und andere Geräte) in einer hierarchischen Containerstruktur verwenden. Die hierarchische Containerstruktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten (Organizational Units, OUs) in den einzelnen Domänen. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.

Das Verwalten von Netzwerkelementen in einer hierarchischen Containerstruktur bietet die folgenden Vorteile:

  • Die Gesamtstruktur fungiert als Sicherheitsbegrenzung für eine Organisation und definiert den Autoritätsumfang für Administratoren. Standardmäßig enthält eine Gesamtstruktur eine einzelne Domäne, die als Stammdomäne der Gesamtstruktur bezeichnet wird.

  • In der Gesamtstruktur können zusätzliche Domänen erstellt werden, damit die Partitionierung von AD DS-Daten möglich ist. Damit haben Organisationen die Möglichkeit, Daten ausschließlich bei Bedarf zu replizieren. Dadurch können Skalierungsvorgänge von AD DS global in einem Netzwerk ausgeführt werden, für das die verfügbare Bandbreite eingeschränkt ist. In einer Active Directory-Domäne werden außerdem zahlreiche weitere Hauptfunktionen unterstützt, die sich auf die Verwaltung beziehen. Dazu zählen beispielsweise die netzwerkweite Benutzeridentität, Authentifizierung und Vertrauensstellungen.

  • Mit Organisationseinheiten wird die Delegierung von Autorität vereinfacht, sodass die Verwaltung einer großen Anzahl von Objekten erleichtert wird. Durch die Delegierung können Besitzer die vollständige oder eingeschränkte Autorität über Objekte auf andere Benutzer oder Gruppen übertragen. Delegierung ist wichtig, da damit die Verwaltung einer großen Anzahl von Objekten auf mehrere Personen verteilt werden kann, die zum Ausführen von Verwaltungsaufgaben berechtigt sind.

Features in AD DS

Sicherheit ist in AD DS über Anmeldeauthentifizierung und Zugriffssteuerung für Ressourcen im Verzeichnis integriert. Mit einer einzigen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch mit einer einzigen Netzwerkanmeldung auf Ressourcen an einer beliebigen Stelle im Netzwerk zugreifen. Durch die richtlinienbasierte Verwaltung wird selbst die Verwaltung der komplexesten Netzwerke erleichtert.

Im Folgenden werden einige zusätzliche AD DS-Features aufgeführt:

  • Eine Gruppe von Regeln, das Schema, mit dem die Klassen der Objekte und Attribute definiert werden, die im Verzeichnis enthalten sind, die Einschränkungen und Begrenzungen für Instanzen dieser Objekte und das Format ihrer Namen

  • Ein globaler Katalog, der Informationen zu jedem Objekt im Verzeichnis enthält. Benutzer und Administratoren können mithilfe des globalen Katalogs Verzeichnisinformationen suchen, unabhängig davon, welche Domäne im Verzeichnis die Daten tatsächlich enthält.

  • Ein Abfrage- und Indexmechanismus, sodass Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern bzw. Anwendungen gesucht werden können.

  • Ein Replikationsdienst, mit dem Verzeichnisdaten in einem Netzwerk verteilt werden. Alle beschreibbaren Domänencontroller in einer Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisinformationen für ihre Domäne. Jede Änderung an den Verzeichnisdaten wird zu allen Domänencontrollern in der Domäne repliziert.

  • Betriebsmasterrollen (auch als Flexible Single Master Operations bzw. FSMO bezeichnet): Domänencontroller, die Betriebsmasterrollen enthalten, sind für die Ausführung bestimmter Aufgaben vorgesehen, um damit Konsistenz sicherzustellen und in Konflikt stehende Einträge im Verzeichnis auszuschließen.

Identitätsverwaltung für UNIX

Bei der Identitätsverwaltung für UNIX handelt es sich um einen Rollendienst von AD DS, der nur auf Domänencontrollern installiert werden kann. Mit zwei Technologien der Identitätsverwaltung für UNIX, Server für NIS und Kennwortsynchronisierung, wird die Integration von Computern unter Microsoft Windows® in Ihre vorhandene UNIX-Umgebung erleichtert. AD DS-Administratoren können Server für NIS zum Verwalten von NIS-Domänen (Network Information Service, Netzwerkinformationsdienst) verwenden. Mit Kennwortsynchronisierung werden Kennwörter zwischen den Betriebssystemen Windows und UNIX automatisch synchronisiert.

Neue AD DS-Features in dieser Version von Windows Server 2008

Diese Version von Windows Server umfasst die neuen AD DS-Features, die in der folgenden Tabelle beschrieben werden.

 

Feature Beschreibung

Active Directory-Verwaltungscenter

Das Active Directory-Verwaltungscenter bietet Benutzern und Netzwerkadministratoren verbesserte Möglichkeiten für die Datenverwaltung und eine reichhaltige grafische Benutzeroberfläche (GUI), um gängige Aufgaben im Rahmen der Active Directory-Objektverwaltung durchzuführen. Aufbauend auf der Windows PowerShell™-Technologie ermöglicht es das Active Directory-Verwaltungscenter Benutzern und Netzwerkadministratoren, Verzeichnisdienstobjekte sowohl über die datengesteuerte Navigation als auch über die aufgabenorientierte Navigation zu verwalten.

Active Directory-Modul für Windows PowerShell

Active Directory-Modul für Windows PowerShell ist eine Befehlszeilenschnittstelle, mit deren Hilfe Administratoren alle Instanzen der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) und der Active Directory Lightweight-Verzeichnisdienste (Active Directory Lightweight Directory Services, AD LDS) in einer Umgebung konfigurieren und diagnostizieren können.

Dieses Feature umfasst eine Sammlung aus Windows PowerShell-Cmdlets und einen Anbieter. Der Anbieter stellt die Active Directory-Datenbank über ein hierarchisches Navigationssystem, ähnlich dem Dateisystem, zur Verfügung. Wie die Laufwerke eines Dateisystems (z. B. C: oder D:) können Sie Windows PowerShell-Laufwerke mit Active Directory-Domänen und AD LDS-Instanzen sowie mit Active Directory-Snapshots verbinden.

Active Directory-Papierkorb

Mit dem Active Directory-Papierkorb wird die Downtime für Verzeichnisdienste minimiert, indem die Möglichkeiten verbessert werden, versehentlich gelöschte Active Directory-Objekte zu erhalten oder wiederherzustellen, ohne Active Directory-Daten aus Sicherungen wiederherstellen, AD DS neu starten oder Domänencontroller neu starten zu müssen. Wenn der Active Directory-Papierkorb aktiviert ist, werden alle Attribute, egal ob mit verknüpften Werten und ohne verknüpfte Werte, der gelöschten Objekte beibehalten, und die Objekte werden vollständig in demselben konsistenten logischen Zustand wiederhergestellt, den sie unmittelbar vor dem Löschen aufwiesen. So erhalten z. B. wiederhergestellte Benutzerkonten automatisch alle Gruppemitgliedschaften und entsprechende Zugriffsrechte zurück, die sie unmittelbar vor dem Löschen innerhalb der Domäne und domänenübergreifend besaßen. Der Active Directory-Papierkorb kann in AD DS- und in AD LDS-Umgebungen verwendet werden.

Der Active Directory-Papierkorb erfordert die Gesamtstrukturfunktionsebene von Windows Server 2008 R2 und ist standardmäßig deaktiviert. Sie können ihn mit Ldp.exe oder dem Windows PowerShell-Cmdlet Enable-ADOptionalFeature aktivieren.

Active Directory-Webdienste (Active Directory Web Services, ADWS)

ADWS ist ein Windows-Dienst, der eine Webdienstschnittstelle für AD DS- und AD LDS-Verzeichnisdienstinstanzen und für Active Directory-Snapshots bereitstellt, die auf demselben Server unter Windows Server 2008 R2 ausgeführt werden wie ADWS. ADWS wird automatisch installiert, wenn Sie die AD DS- oder die AD LDS-Serverrolle zum Server unter Windows Server 2008 R2 hinzufügen.

Authentifizierungssicherung

Mit der Authentifizierungssicherung werden Informationen zur Art der Anmeldemethode (Smartcart oder Benutzername/Kennwort), die für die Authentifizierung von Domänenbenutzern verwendet wird, innerhalb des Kerberos-Tokens jedes Benutzers gebündelt. Wenn dieses Feature in einer Netzwerkumgebung aktiviert ist, in der eine Verbund-Identitätsverwaltungsinfrastruktur, z. B. die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), bereitgestellt wurde, können die Informationen im Token extrahiert werden, sobald ein Benutzer versucht, auf eine Ansprüche unterstützende Anwendung zuzugreifen, die die Autorisierung auf Grundlage der Anmeldemethode eines Benutzers bestimmt.

Für die Authentifizierungssicherung ist die Domänenfunktionsebene von Windows Server 2008 R2 erforderlich.

Offline-Domänenbeitritt

Ein Offline-Domänenbeitritt ist ein neues Verfahren, das auf Computern unter Windows® 7 oder Windows Server 2008 R2 für den Beitritt zu einer Domäne verwendet werden kann. Mit dem Offline-Domänenbeitritt kann ein Domänenbeitrittsverfahren ohne Netzwerkverbindung abgeschlossen werden.

Installieren der "AD DS"-Serverrolle

Nach Abschluss der Installation des Betriebssystems können Sie die Aufgaben zur Erstkonfiguration oder den Server-Manager verwenden, um Serverrollen zu installieren. Klicken Sie zum Installieren der AD DS-Serverrolle auf Rollen hinzufügen, um den Assistenten zum Hinzufügen von Rollen zu starten, und klicken Sie dann auf Active Directory-Domänendienste. Führen Sie die Schritte im Assistenten zum Hinzufügen von Rollen aus, um die Dateien für die AD DS-Serverrolle zu installieren. Klicken Sie nach Abschluss des Assistenten zum Hinzufügen von Rollen auf den Link, um den Installations-Assistenten für die Active Directory-Domänendienste zu starten.

Führen Sie die Schritte im Assistenten zum Installieren von Active Directory-Domänendiensten aus, um die Installation und Konfiguration des Domänencontrollers abzuschließen. Auf den meisten Assistentenseiten ist ein Hilfelink für weitere Informationen zu den von Ihnen konfigurierten Einstellungen vorhanden.

Zum Automatisieren der Domänencontrollerinstallationen können Sie eine Antwortdatei verwenden, oder Sie können Parameter für die unbeaufsichtigte Installation an der Befehlszeile angeben. Weitere Informationen zur Installation von AD DS finden Sie in der schrittweisen Anleitung für die Installation und Deinstallation der Active Directory-Domänendienste unter http://go.microsoft.com/fwlink/?LinkId=110897 (möglicherweise in englischer Sprache).

Verwalten der "AD DS"-Serverrolle

Serverrollen können mithilfe von MMC-Snap-Ins (Microsoft Management Console) verwaltet werden. Klicken Sie zum Verwalten eines Domänencontrollers (d. h. eines Server, auf dem AD DS ausgeführt wird) auf Start und dann auf Systemsteuerung, klicken Sie auf Verwaltung, und doppelklicken Sie dann auf das entsprechende Snap-In:

  • Klicken Sie zum Verwalten von Active Directory-Objekten mithilfe des neuesten GUI-Tools mit verbesserten Optionen zum Anzeigen und Verwalten von Active Directory-Daten auf Active Directory-Verwaltungscenter.

  • Zum Verwalten von Active Directory-Objekten mithilfe vordefinierter Windows PowerShell-Cmdlets und eines Anbieters klicken Sie auf Active Directory-Modul für Windows PowerShell .

  • Klicken Sie zum Verwalten von Benutzer- und Computerkonten auf Active Directory-Benutzer und -Computer.

  • Klicken Sie zum Verwalten von Active Directory-Vertrauensstellungen, -Funktionsebenen und Masterrollen für gesamtstrukturweite Vorgänge auf Active Directory-Domänen und -Vertrauensstellungen.

  • Klicken Sie zum Verwalten von Active Directory-Standorten und -Standortverknüpfungen auf Active Directory-Standorte und -Dienste.

Als weitere Möglichkeit können Sie auf der Seite Active Directory-Domänendienste im Server-Manager auf das entsprechende Snap-In doppelklicken.

Erfahrene Programmierer und Systemadministratoren können das Active Directory-Schema verwalten, das Snap-In für das Active Directory-Schema ist jedoch standardmäßig nicht installiert. Zudem muss die Datei Schmmgmt.dll registriert werden, bevor das Snap-In installiert werden kann.

So installieren Sie das Snap-In für das Active Directory-Schema

  1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

    Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    regsvr32 schmmgmt.dll

  3. Klicken Sie auf OK, um das Dialogfeld zu schließen, in dem bestätigt wird, dass der Vorgang erfolgreich war.

  4. Klicken Sie auf Start und dann auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

    Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  5. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  6. Klicken Sie unter Verfügbare Snap-Ins auf Active Directory-Schema, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.

  7. Klicken Sie im Menü Datei auf Speichern, um diese Konsole zu speichern.

  8. Führen Sie im Dialogfeld Speichern unter eine der folgenden Aktionen aus:

    • Geben Sie unter Dateiname den Namen für das Snap-In ein, und klicken Sie dann auf Speichern, um das Snap-In im Menü Verwaltung zu platzieren.

    • Wenn Sie das Snap-In an einem anderen Speicherort als im Ordner Verwaltung speichern möchten, wechseln Sie unter Speichern unter zu einem Speicherort für das Snap-In. Geben Sie unter Dateiname einen Namen für das Snap-In ein, und klicken Sie dann auf Speichern.

CautionVorsicht
Das Ändern des Schemas ist ein schwieriger Vorgang, der am besten von erfahrenen Programmierern und Systemadministratoren auszuführen ist. Detaillierte Informationen zum Ändern des Schemas finden Sie im Abschnitt zum Active Directory-Schema unter http://go.microsoft.com/fwlink/?LinkId=8273 (möglicherweise in englischer Sprache).

Weitere Informationen

Weitere Informationen zur AD DS-Serverrolle finden Sie in der Hilfe zu Ihrem Server. Öffnen Sie dazu eines der im vorherigen Abschnitt beschriebenen Snap-Ins, und drücken Sie dann F1, oder suchen Sie nach der entsprechenden Hilfedatei, und doppelklicken Sie darauf:

  • Informationen zum Snap-In Active Directory-Benutzer und -Computer finden Sie in der Datei Domadmin.chm.

  • Informationen zum Snap-In Active Directory-Domänen und -Vertrauensstellungen finden Sie in der Datei Dsadmin.chm.

  • Informationen zum Snap-In Active Directory-Standorte und -Dienste finden Sie in der Datei Dssite.chm.

  • Informationen zum Snap-In für das Active Directory-Schema finden Sie in der Datei Schmmgmt.chm.

Weitere Informationen zur AD DS-Serverrolle finden Sie im Internet in den Themen zu Windows Server 2008 (möglicherweise in englischer Sprache):

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft