(0) exportieren Drucken
Alle erweitern

Active Directory-Domänendienste: Übersicht

Veröffentlicht: Februar 2012

Letzte Aktualisierung: November 2012

Betrifft: Windows Server 2012

Mithilfe der AD DS-Serverrolle (Active Directory® Domain Services, Active Directory-Domänendienste) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur für die Benutzer- und Ressourcenverwaltung erstellen und die Unterstützung für verzeichnisfähige Anwendungen (z. B. Microsoft® Exchange Server) bereitstellen.

Dieses Thema enthält einen allgemeinen Überblick über die AD DS-Serverrolle. Weitere Informationen zu den neuen Funktionen in AD DS in Windows Server 2012 finden Sie unter Neues in den Active Directory-Domänendiensten (AD DS).

Mit AD DS wird eine verteilte Datenbank bereitgestellt, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus verzeichnisfähigen Anwendungen gespeichert und verwaltet werden. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um die Elemente eines Netzwerks (z. B. Benutzer, Computer und andere Geräte) in einer hierarchischen Struktur aus Einschlussbeziehungen zu organisieren. Diese hierarchische Struktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten in den einzelnen Domänen.

Das Verwalten von Netzwerkelementen in einer solchen Struktur bietet die folgenden Vorteile:

  • Die Gesamtstruktur fungiert als Sicherheitsbegrenzung für eine Organisation und definiert die Reichweite der Befugnisse von Administratoren. Standardmäßig enthält eine Gesamtstruktur eine einzige Domäne, die als Gesamtstruktur-Stammdomäne bezeichnet wird.

  • In der Gesamtstruktur können zusätzliche Domänen erstellt werden, damit die Partitionierung von AD DS-Daten möglich ist. Damit haben Organisationen die Möglichkeit, Daten ausschließlich bei Bedarf zu replizieren. Dies ermöglicht für AD DS die globale Skalierung in einem Netzwerk, für das die verfügbare Bandbreite begrenzt ist. In einer Active Directory-Domäne werden außerdem zahlreiche weitere Hauptfunktionen unterstützt, die sich auf die Verwaltung beziehen. Dazu zählen beispielsweise netzwerkweite Benutzeridentitäten, Authentifizierung und Vertrauensstellungen.

  • Mit Organisationseinheiten wird die Delegierung von Befugnissen vereinfacht, sodass die Verwaltung einer großen Anzahl von Objekten erleichtert wird. Durch die Delegierung können Besitzer die vollständige oder eingeschränkte Zuständigkeit für Objekte auf andere Benutzer oder Gruppen übertragen. Delegierung ist wichtig, da mit ihrer Hilfe die Verwaltung einer großen Anzahl von Objekten auf mehrere Personen verteilt werden kann, die zum Ausführen von Verwaltungsaufgaben berechtigt sind.

Die Sicherheit ist in AD DS über die Anmeldeauthentifizierung und Steuerung des Zugriffs auf Ressourcen im Verzeichnis integriert. Mit einer einzigen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch mit einer einzigen Netzwerkanmeldung auf Ressourcen an einer beliebigen Stelle im Netzwerk zugreifen. Durch die richtlinienbasierte Verwaltung wird selbst die Verwaltung der komplexesten Netzwerke erleichtert.

Im Folgenden werden einige weitere AD DS-Features aufgeführt:

  • Ein Satz von Regeln, das Schema, mit dem die Klassen der Objekte und Attribute definiert werden, die im Verzeichnis enthalten sind, die Einschränkungen und Begrenzungen für Instanzen dieser Objekte und das Format ihrer Namen

  • Ein globaler Katalog, der Informationen zu jedem Objekt im Verzeichnis enthält. Benutzer und Administratoren können mithilfe des globalen Katalogs Verzeichnisinformationen suchen, unabhängig davon, welche Domäne im Verzeichnis die Daten tatsächlich enthält.

  • Ein Abfrage- und Indexmechanismus, sodass Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern bzw. Anwendungen gefunden werden können.

  • Ein Replikationsdienst, mit dem Verzeichnisdaten in einem Netzwerk verteilt werden. Alle beschreibbaren Domänencontroller in einer Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisinformationen für ihre Domäne. Jede Änderung an den Verzeichnisdaten wird zu allen Domänencontrollern in der Domäne repliziert.

  • Betriebsmasterrollen (auch als Flexible Single Master Operations bzw. FSMO bezeichnet): Domänencontroller, die Betriebsmasterrollen enthalten, sind für die Ausführung bestimmter Aufgaben vorgesehen, um Konsistenz sicherzustellen und widersprüchliche Einträge im Verzeichnis auszuschließen.

Welche Hardware-, Software- oder Einstellungskonfigurationen sind erforderlich, um dieses Feature auszuführen? Welche Voraussetzungen müssen für die Ausführung der Rolle erfüllt sein? Ist für die Rolle/das Feature spezielle Hardware erforderlich?

 

Anforderung Beschreibung

TCP/IP

Konfigurieren Sie geeignete TCP/IP- und DNS-Serveradressen.

NTFS

Die Laufwerke, auf denen die Datenbank, die Protokolldateien und der Ordner SYSVOL für die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert sind, müssen sich auf einem lokalen festen Volume befinden. SYSVOL muss sich auf einem Volume befinden, das mit dem NTFS-Dateisystem formatiert ist. Aus Sicherheitsgründen sollten die Active Directory-Datenbank und -Protokolldateien auf einem Volume gespeichert sein, das mit NTFS formatiert ist.

Anmeldeinformationen

Zum Installieren einer neuen AD DS-Gesamtstruktur müssen Sie der lokale Administrator des Servers sein. Zum Installieren eines zusätzlichen Domänencontrollers in einer vorhandenen Domäne müssen Sie ein Mitglied der Gruppe der Domänenadministratoren sein.

DNS-Infrastruktur (Domain Name System)

Stellen Sie sicher, dass eine DNS-Infrastruktur vorhanden ist. Wenn Sie AD DS installieren, können Sie bei Bedarf eine DNS-Serverinstallation einschließen.

Beim Erstellen einer neuen Domäne wird während des Installationsvorgangs automatisch eine DNS-Delegierung erstellt. Zum Erstellen einer DNS-Delegierung sind Anmeldeinformationen erforderlich, die über die Berechtigungen zum Aktualisieren der übergeordneten DNS-Zonen verfügen.

Weitere Informationen finden Sie im Thema zur Assistentenseite mit den DNS-Optionen.

Adprep

Um den ersten Domänencontroller, auf dem Windows Server 2012 ausgeführt wird, einer vorhandenen Active Directory-Umgebung hinzuzufügen, werden die Befehle "adprep.exe" bei Bedarf automatisch ausgeführt. Für diese Befehle gelten zusätzliche Anforderungen im Hinblick auf Anmeldeinformationen und Konnektivität.

Weitere Informationen finden Sie unter Ausführen von "Adprep.exe".

Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODCs)

Zusätzliche Anforderungen für die Installation von RODCs:

  • Die Funktionsebene der Gesamtstruktur muss mindestens Windows Server 2003 entsprechen.

  • In der gleichen Domäne muss mindestens ein beschreibbarer Domänencontroller unter Windows Server 2008 oder höher installiert sein.

Weitere Informationen finden Sie unter Voraussetzungen zum Bereitstellen eines RODC.

noteHinweis
Mit Ausnahme des DNS-Servers sollten Domänencontroller üblicherweise keine anderen Serverrollen hosten.

Ausführliche Anweisungen zur Installation und Konfiguration von AD DS mithilfe des AD DS-Bereitstellungsmoduls für die Windows PowerShell®-Befehlszeilenschnittstelle finden Sie im Bereitstellungshandbuch für Active Directory-Domänendienste (http://go.microsoft.com/fwlink/?LinkId=222597).

AD DS ist ein verteilter Dienst, der für die Ausführung auf mehreren Domänencontrollern ausgelegt ist. Ausführliche Anweisungen zur Installation und Konfiguration von AD DS auf mehreren Domänencontrollern finden Sie im Bereitstellungshandbuch für Active Directory-Domänendienste (http://go.microsoft.com/fwlink/?LinkId=222597).

AD DS hat unter Windows Server 2012 Schutzvorrichtungen zur Ausführung auf virtuellen Computern, damit die Sicherheit und Konsistenz von virtualisierten AD DS-Umgebungen gewährleistet ist. Weitere Informationen zum Ausführen von AD DS auf virtuellen Computern finden Sie unter Ausführen von Domänencontrollern in Hyper-V (http://go.microsoft.com/fwlink/?LinkID=213293).

AD DS ist nach der Installation standardmäßig sicher. Weitere Informationen zu den Standardsicherheitseinstellungen für Domänencontroller, zu Risiken und zum sicheren Betrieb von Domänencontrollern finden Sie unter Leitfaden mit bewährten Methoden zum Absichern von Active Directory-Installationen.

Installieren Sie die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT), um AD DS per Remotezugriff zu verwalten. Es gibt eine 32-Bit- und eine 64-Bit-Version von RSAT. Weitere Informationen finden Sie unter Remoteserver-Verwaltungstools (http://go.microsoft.com/fwlink/?LinkId=222628).

AD DS kann auf einer Server Core-Installation installiert werden und wird für Umgebungen wie beispielsweise schreibgeschützte Domänencontroller in Filialen empfohlen. Die Möglichkeit, ein Upgrade einer früheren Version des Windows Server-Betriebssystems auf eine Server Core-Installation durchzuführen, besteht nicht. Eine Upgrade einer vollständigen Installation auf eine Server Core-Installation und umgekehrt ein Upgrade einer Server Core-Installation auf eine vollständige Installation ist nicht möglich. Lediglich Neuinstallationen sind möglich. Weitere Informationen finden Sie im Thema zur Server Core-Installationsoption im Handbuch für die ersten Schritte (http://go.microsoft.com/fwlink/?LinkId=222675).

Beim Identity Management für UNIX handelt es sich um einen Rollendienst von AD DS, der nur auf Domänencontrollern installiert werden kann. Mit zwei Technologien des Identity Management für UNIX, Server für NIS und Kennwortsynchronisierung, wird die Integration von Computern unter Windows® in Ihre vorhandene UNIX-Umgebung erleichtert. AD DS-Administratoren können Server für NIS zum Verwalten von NIS-Domänen (Network Information Service, Netzwerkinformationsdienst) verwenden. Mit der Kennwortsynchronisierung werden Kennwörter zwischen den Betriebssystemen Windows und UNIX automatisch synchronisiert.

 

Rollendiensttechnologien Rollendienstbeschreibung

Server für NIS

Ermöglicht die Verwaltung von UNIX-NIS-Netzwerken mithilfe eines Microsoft Windows-basierten Active Directory-Domänencontrollers. Weitere Informationen finden Sie in der Übersicht zu Server für NIS (http://go.microsoft.com/fwlink/?LinkId=222677).

Kennwortsynchronisierung

Hilft bei der Integration von Windows- und UNIX-Netzwerken, indem der Prozess zur Verwaltung sicherer Kennwörter in beiden Umgebungen vereinfacht wird. Weitere Informationen finden Sie in der Übersicht über die Kennwortsynchronisierung (http://go.microsoft.com/fwlink/?LinkId=222676).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft