Grundlegende Konzepte

Kapitel 4: Verzeichnisdienste

Veröffentlicht: 11. Mai 2004 | Aktualisiert : Juni 26, 2006

Verzeichnisdienste sind aus mehreren Gründen zentrale Komponenten in jeder Identitäts- und Zugriffsverwaltungsstrategie. Der wichtigste Grund ist jedoch, dass Verzeichnisdienste die am häufigsten zum Speichern von Identitäts- und Authentifizierungsinformationen für Serverbetriebssysteme verwendete Methode sind.

Ein Verzeichnisdienst speichert nicht nur Benutzerinformationen. Er speichert auch Identitätsinformationen zu Ressourcen, Computern und Anwendungen, da Sicherheitsrichtlinien auch auf diese angewendet werden müssen. Durch die Integration von Identitätsinformationen in die Authentifizierungs- und Autorisierungsfunktionen können mithilfe des Verzeichnisses die Anmeldeauthentifizierung und Autorisierung für Ressourcen verwaltet werden.

Auf dieser Seite

Active Directory
Active Directory Application Mode (ADAM)

Active Directory

Der Verzeichnisdienst Microsoft® Active Directory® ist ein eng in Windows 2000 Server und Windows Server™ 2003 integrierter sicherer, verteilter, zentraler Identitätsspeicher mit hoher Verfügbarkeit. Active Directory dient als zentraler Punkt für die Verwaltung von Benutzerkonten, der Authentifizierung, von Sicherheitsrichtlinien und der Organisationsressourcen wie Computer, Drucker und Server.

Active Directory bietet die einzigartige Fähigkeit der system- und plattformübergreifenden Verwaltung von Benutzeridentitäten und Steuerung des Benutzerzugriffs auf verschiedene Ressourcen. Diese Fähigkeit ermöglicht einer Organisation die Verwendung von Active Directory als autorisierenden Speicher für Identitäts-, Authentifizierungs- und Autorisierungsinformationen, deren Verwendung auf andere Anwendungen, Systeme und Plattformen ausgedehnt werden kann.

Verwalten von Benutzerrechten in Active Directory

Durch die Verwendung von Active Directory als Verzeichnisdienst für Benutzeridentitäten kann Ihre Organisation die Vorteile der führenden Lösung zur Verwaltung von Benutzerrechten nutzen. Diese Integration löst die folgenden zuvor genannten wichtigen Probleme der Identitäts- und Zugriffsverwaltung:

• Sicherheit. Änderungen von Benutzerzugriffsrechten können in nur einem Arbeitsschritt für das gesamte Netzwerk implementiert werden. Dadurch wird die Wahrscheinlichkeit reduziert, dass versehentlich eine Hintertür zu wichtigen Informationen geöffnet bleibt.

• Verwaltungskomplexität. Für jeden Benutzer werden Berechtigungen und Anmeldeinformationen an einem Ort verwaltet. Dieser Ansatz vereinfacht zudem den Benutzerzugriff, da nur eine Anmeldung und ein Kennwort für den Zugriff auf das Netzwerk und alle darin enthaltenen Ressourcen erforderlich sind.

• Kosteneindämmung und Produktivität. Wenn nur ein System für die Verwaltung von Gruppen und Rollen verwendet wird, müssen Netzwerkadministratoren nicht mehr auf jedem einzelnen System und für jede Anwendung Berechtigungen gewähren und überwachen.

Gruppenrichtlinien

Mithilfe der in Windows Server 2003 und Windows 2000 Server verfügbaren Gruppenrichtlinien können Benutzer- und Computerkonfigurationen für Gruppen von Benutzern und Computern definiert und erzwungen werden. Mit Gruppenrichtlinien kann Ihre Organisation Richtlinieneinstellungen für Folgendes definieren:

• Registrierungsgestützte Richtlinien für Windows-Betriebssysteme und -Komponenten

• Sicherheitsoptionen für lokale Computer-, Domänen- und Netzwerksicherheitseinstellungen wie Kennwort- und Kontorichtlinien

• Optionen für die Softwareinstallation und -wartung zur zentralen Verwaltung der Installation, Aktualisierung und Entfernung von Anwendungen.

Gruppenrichtlinien ermöglichen eine organisationsweite Steuerung von Einstellungen und verbessern so bei gleichzeitiger Reduktion des Verwaltungsaufwands und der Supportkosten die Sicherheit.

Weitere Informationen zu Gruppenrichtlinien in Windows Server 2000 und Windows Server 2003 finden Sie im Überblick über Gruppenrichtlinien in der Windows-Hilfe und auf der Seite Step-by-Step Guide to Understanding the Group Policy Feature Set (in englischer Sprache) auf der Microsoft TechNet Website.

Verwenden der Directory Services Markup Language

Die Directory Services Markup Language (DSML) bietet eine Methode zur Darstellung von strukturierten Verzeichnisinformationen und Verzeichnisoperationen als XML-Dokument. DSML soll XML-gestützten Unternehmensanwendungen die Verwendung von Profil- und Ressourceninformationen aus einem Verzeichnis in ihrer eigenen Umgebung ermöglichen. Mithilfe von DSML können XML und Verzeichnisse zusammenarbeiten, und zudem bietet diese Sprache zur besseren Nutzung von Verzeichnissen eine gemeinsame Basis für alle XML-gestützten Anwendungen.

DSML Services for Windows verbessert die Leistungsfähigkeit des Active Directory-Dienstes auf dem Windows Server 2003-Betriebssystem. Da DSML Services for Windows offene Standards wie HTTP, XML und SOAP (Simple Object Access Protocol) verwendet, ist eine umfassendere Interoperabilität möglich. Neben dem bereits standardmäßigen Lightweight Directory Access Protocol (LDAP) verfügen z. B. viele Geräte und andere Plattformen über Alternativen für die Kommunikation mit Active Directory. Dieser Ansatz bietet eine Reihe von wichtigen Vorteilen für IT-Administratoren und unabhängige Softwareanbieter, denen nun noch mehr Optionen nach offenem Standard für den Zugriff auf Active Directory zur Verfügung stehen.

DSML Services for Windows unterstützt DSML-Version 2 (DSMLv2), einen von OASIS (Organization for the Advancement of Structural Information Standards) genehmigten und von vielen Verzeichnisdienstanbietern unterstützten Standard. Die Unterstützung der DSMLv2-Spezifikation ermöglicht eine bessere Interoperabilität mit anderen Verzeichnisdienstanbietern, die diesen Standard ebenfalls unterstützen. Informationen zur DSMLv2-Spezifikation und dem DSML-Schema finden Sie auf der OASIS-Website (in englischer Sprache).

Sie erhalten DSML Services for Windows auf der Website „Microsoft.com“ im Downloadbereich Windows Server 2003 Feature Packs.

Active Directory Application Mode (ADAM)

Ein Netzwerkverzeichnis wie Active Directory ist der richtige Ort zum Speichern von relativ statischen global geltenden Daten. Wenn eine Organisation oder ein Entwickler anwendungsspezifische Identitätsinformationen speichern oder Daten lokal steuern muss, kann sie bzw. er den neuen Modus von Active Directory nutzen – Active Directory Application Mode (ADAM).

ADAM löst viele der typischen Probleme beim Entwickeln von Anwendungen, die die Struktur eines Verzeichnisses erfordern, sich aufgrund der folgenden Anforderungen jedoch nicht für die Active Directory-Umgebung eignen:

• Speichern von Personalisierungsdaten

• Speichern von Daten, die häufig aktualisiert werden müssen

• Unterstützung von verzeichnisfähigen Anwendungen, die eine Zusammenführung von Profildaten aus mehreren Gesamtstrukturen oder einer anderen Organisation erfordern, z. B. einer Organisationseinheitsstruktur

• Aktivieren der Verzeichnismigration

Weitere Informationen zur Verwendung von ADAM in diesen Szenarios finden Sie im Dokument „Intranetzugriffsverwaltung“ dieser Serie. Weitere Informationen zu ADAM finden Sie auf der Seite Windows Server 2003 Active Directory Application Mode (in englischer Sprache).

In diesem Beitrag

• Kapitel 1: Einführung
• Kapitel 2: Terminologie und Initiativen
• Kapitel 3: Microsoft-Technologien zur Identitäts- und Zugriffsverwaltung
• Kapitel 4: Verzeichnisdienste
• Kapitel 5: Verwaltung des Identitätslebenszyklus
• Kapitel 6: Zugriffsverwaltung
• Kapitel 7: Anwendungen
• Links
• Danksagung

Download

Laden Sie die vollständige Serie in englischer Sprache herunter.

Update Notifications

Lassen Sie sich automatisch über neue Veröffentlichungen zu Themen wie diesem informieren (in englischer Sprache).

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).

4 von 9