Active Directory - technische Übersicht

Veröffentlicht: 28. Feb 2003

Dem mit Windows 2000 eingeführten Verzeichnisdienst Active Directory wurden in der Nachfolgeversion Windows Server 2003 weitere Schlüsselfunktionen hinzugefügt. Active Directory ist damit die flexibelste Verzeichnisstruktur, die derzeit auf dem Markt erhältlich ist. Durch die stärkere Integration von Anwendungen in das Verzeichnis können Unternehmen auch die schwierigsten Netzwerkumgebungen mithilfe von Active Directory verwalten. Zusätzlich verfügt die Windows Server 2003-Familie über eine Reihe neuer Funktionen, die sie zur idealen Plattform für Entwicklung und Verteilung von verzeichnisintegrierten Anwendungen machen. Dieser Artikel stellt eine Einführung in die grundlegenden Konzepte des Active Directory dar und zeigt die neuen und verbesserten Funktionen.


Auf dieser Seite

Download

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Einführung

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Grundlagen des Active Directorys

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Der Verzeichnisspeicher

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Active Directory und Sicherheit

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Das Active Directory-Schema

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Klassen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Attribute

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Die Rolle des globalen Katalogs

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Finden von Verzeichnisinformationen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Effiziente Tools für die Suche

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Replikation des Active Directorys

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Die Rolle von Standorten bei der Replikation

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Active Directory-Clienterweiterungen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Neue Features und Verbesserungen im Bereich Active Directory

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Integration und Produktivität

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Vereinfachen der Benutzung und Verwaltung des Active Directorys

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Performance und Skalierbarkeit

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verbesserte Performance für Filialen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Administration und Konfiguration

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Konfiguration des Active Directorys mit einem neuen Installationsassistenten

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Gruppenrichtlinien

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwaltung von Gruppenrichtlinien

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Ziele der GPMC

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwalten von Windows 2000- und Windows Server 2003-Domänen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Erweiterung im Bereich der Security

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwalten von Sicherheit mit Vertrauensstellungen zwischen Forests

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Vertrauensstellungen zwischen Forests

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwaltung von Vertrauensstellungen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Namensraum und Vertrauensstellungen

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusammenfassung

Dn151166.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Weiterführende Links

Artikel im Word-Format

Dn151166.8806D110EB18CD71B1CE323B89624167(de-de,TechNet.10).png adtechover_ge.doc

Microsoft Word-Datei

Viewer für Office-Dateien downloaden


Artikel im PDF-Format

Dn151166.8B3D04996314173E7583D7C6B55A6BAC(de-de,TechNet.10).png adtechover_ge.pdf

PDF-Datei

Adobe Acrobat Reader downloaden


Einführung

Der Microsoft® Active Directory®-Dienst stellt eine zentrale Komponente der Windows®-Plattform dar. Er ermöglicht die Verwaltung von Elementen und deren Beziehung untereinander, die ihre eigentliche Netzwerkumgebung ausmachen.

Aufbauend auf den Grundlagen, die bereits im Betriebssystem Windows 2000 integriert sind, verbessert die Windows Server 2003-Familie die Verwaltbarkeit des Active Directorys und erleichtert sowohl die Migration als auch die Nutzung. Anwendungsentwickler und Independent Software Vendoren (ISVs) werden feststellen, dass das Active Directory, wie es in Windows Server 2003 implementiert ist, die beste Möglichkeit darstellt, um verzeichnisintegrierte Anwendungen zu entwickeln.

Active Directory wurde verbessert, um die Total Cost of Ownership (TCO; 'Betriebskosten') weiter zu senken, und um in großen Unternehmen besser eingesetzt werden zu können. In so gut wie allen Bereichen des Produkts wurden neue Möglichkeiten und Erweiterungen geschaffen, um die Einsatzmöglichkeiten zu verbessern, die Verwaltung zu vereinfachen und die Zuverlässigkeit zu erhöhen. Gerade mit den neuen Windows Servern 2003 können Unternehmen von einer weiteren Reduzierung der Kosten profitieren. Gleichzeitig wird die Effektivität, mit welcher einzelne Elemente innerhalb eines Unternehmens zur Verfügung gestellt und verwaltet werden können, deutlich gesteigert.

Dieser Artikel richtet sich an IT-Administratoren, Netzwerk-Architekten, aber auch alle, die wünschen, die Hauptverbesserungen und neuen Möglichkeiten des Active Directorys der Windows Server 2003 zu verstehen. Der Artikel beginnt mit einer Übersicht über die grundlegenden Konzepte des Active Directorys und wendet sich dann den neuen Möglichkeiten und Verbesserungen des Active Directorys der Windows Server 2003-Familie zu:

  • Integration und Produktivität
  • Performance und Skalierbarkeit
  • Administration und Konfiguration
  • Gruppenrichtlinien
  • Erweiterungen im Bereich der Security

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Grundlagen des Active Directorys

Active Directory ist der Verzeichnisdienst der Windows .NET Standard Server, Windows .NET Enterprise Server und Windows .NET Datacenter Server. (Active Directory kann nicht unter Windows .NET Web Server ausgeführt werden. Windows .NET Web Server können jedoch darüber verwaltet werden.) Active Directory speichert Informationen über Objekte innerhalb des Netzwerks und erleichtert es Benutzern und Administratoren, diese Information wieder zu finden und zu nutzen.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Der Verzeichnisspeicher

Dieser Verzeichnisspeicher wird - der Einfachheit halber - sehr häufig auch als 'das Verzeichnis' bezeichnet. Dieser Bezeichnung schließen wir uns für das vorliegende Dokument an. Das Verzeichnis enthält Informationen über Objekte wie z. B. Benutzer, Gruppen, Computer, Domänen, Organisationseinheiten (Organisational Units, OUs) und Sicherheitsrichtlinien. Diese Information kann für Administratoren und Benutzer bereitgestellt werden.

Das Verzeichnis wird auf Servern, die als 'Domänencontroller' bezeichnet werden, gespeichert. Über Netzwerkanwendungen und -Dienste kann auf dieses Verzeichnis zugegriffen werden. Innerhalb einer Domäne kann es einen oder mehrere Domänencontroller geben. Jeder dieser Domänencontroller verfügt über eine beschreibbare Kopie des Verzeichnisses derjenigen Domäne, welcher er zugeordnet ist. Änderungen am Verzeichnis werden von demjenigen Domänencontroller, auf welchem sie ausgeführt wurden, auf alle Domänencontroller innerhalb der Domäne, des Domänentrees oder des Forests repliziert. Durch diese Replikation und durch die Tatsache, dass jeder Domänencontroller über eine beschreibbare Kopie des Verzeichnisses verfügt, wird eine hohe Verfügbarkeit des Verzeichnisses für Administratoren und Benutzer innerhalb einer Domäne erzielt.

Die Verzeichnisdaten werden in der Datei Ntds.dit auf dem Domänencontroller abgelegt. Es wird empfohlen, diese Datei in einer NTFS-Partition abzulegen. Die Verzeichnisdaten werden zum Teil innerhalb der Verzeichnisdatenbank und - wie z. B. Anmelde-Skripte oder Gruppenrichtlinien - in einer replizierten Dateistruktur abgelegt.

Es gibt drei verschiedene Kategorien von Verzeichnisdaten, die zwischen den einzelnen Domänencontrollern repliziert werden:

  • Domänendaten. Die Domänendaten enthalten Informationen über Objekte innerhalb einer Domäne. Dabei handelt es sich um Informationen, die typischerweise auch als Verzeichnisinformationen betrachtet werden wie z. B. E-Mail-Adressen, Attribute von Benutzer- und Computerkonten und veröffentlichte Freigaben, die für Benutzer und Administratoren von Interesse sind.
    Wird z. B. ein Benutzerkonto zu Ihrem Netzwerk hinzugefügt, werden ein Benutzerkonten-Objekt und die dazugehörenden Attribute innerhalb der Domänendaten abgelegt. Werden Änderungen an Objekten Ihres Verzeichnisses vorgenommen - wie z. B. das Anlegen, Ändern, Löschen eines Objektes oder aber das Ändern von Attributen - werden diese Daten innerhalb der Domänendaten gespeichert.
  • Konfigurationsdaten. Die Konfigurationsdaten beschreiben die Topologie des Verzeichnisses. Diese Konfigurationsdaten enthalten eine Liste aller Domänen, Trees und Forests sowie die Standorte der Domänencontroller und der globale Katalog.
  • Schemadaten. Das Schema stellt die formale Definition aller Objekte und Attribute, welche innerhalb des Verzeichnisses gespeichert werden können, dar. Im Lieferumfang von Windows Server 2003 ist ein Basissatz der grundlegenden Schemaklassen und Attribute enthalten, der eine Reihe von unterschiedlichen Objekttypen wie Benutzer- und Computerkonten, Gruppen, Domänen, Organisationseinheiten und Sicherheitsrichtlinien umfasst. Administratoren und Programmierer können das Schema erweitern, indem Sie neue Objekttypen und Attribute definieren oder aber neue Attribute zu bestehenden Objekten hinzufügen. Schemaobjekte sind durch Access Control Lists (ACLs) gesichert. Hierdurch wird sichergestellt, dass nur autorisierte Benutzer das Schema ändern können.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Active Directory und Sicherheit

Sicherheit ist im Active Directory durch Benutzerauthentifizierung und Zugriffskontrolle auf die Objekte des Verzeichnisses gewährleistet. Durch eine einzige Anmeldung am Netzwerk können Administratoren die Verzeichnisdaten und Ihre Organisation netzwerkweit verwalten. Berechtigte Netzwerkbenutzer können auf die Ressourcen von einer beliebigen Stelle innerhalb des Netzwerks zugreifen. Richtlinien vereinfachen dabei die Verwaltung auch komplexer Netzwerkstrukturen.

Active Directory bietet einen geschützten Speicher für Benutzerkonten und Gruppeninformationen. Diese werden über Zugriffsrechte auf einzelne Objekte und Benutzerrechte gesichert. Da das Active Directory nicht nur Benutzerrechte, sondern auch Zugriffsrechte speichert, können Benutzer, die sich über das Netzwerk anmelden, authentifiziert werden und erhalten gleichzeitig Zugriff auf Systemressourcen. So authentifiziert das Sicherheitssystem einen Benutzer, der sich über das Netzwerk anmeldet, anhand der Information, die im Active Directory abgelegt ist. Greift der Benutzer dann auf einen Dienst innerhalb des Netzwerks zurück, kontrolliert das System die Eigenschaften, die in der für diesen Dienst abgelegten "Diskretions"-Zugriffskontroll-Liste (Discretionary Access Control List, DACL) definiert sind.

Da das Active Directory das Anlegen von Gruppen ermöglicht, wird die Verwaltung der Netzwerksicherheit für Administratoren deutlich leistungsfähiger. So kann ein Administrator durch das Anpassen der Eigenschaften einer Datei allen Benutzern einer Gruppe ermöglichen, auf diese Datei lesend zuzugreifen. Auf diese Art und Weise basiert der Zugriff auf Objekte innerhalb des Active Directorys auf Gruppenzugehörigkeit.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Das Active Directory-Schema

Das Active Directory-Schema ist eine Liste, mit der definiert wird, welche Objekttypen und welche Art von Informationen zu diesen Objekten in Active Directory gespeichert werden können. Da die Schemadefinitionen selbst als Objekte gespeichert werden, können sie mit den gleichen Funktionen verwaltet werden, wie die übrigen Active Directory-Objekte. Das Schema enthält zwei Arten von Definitionsobjekten: Attribute und Klassen. Diese werden auch als 'Schemaobjekte' oder 'Metadaten' bezeichnet.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Klassen

Klassen beschreiben die Active Directory-Objekte, die erstellt werden können. Jede Schemaklasse ist eine Sammlung von Attributen. Wenn Sie ein neues Objekt anlegen, speichern die Attribute die Informationen, mit denen das Objekt beschrieben wird. So setzt sich zum Beispiel die Benutzerklasse ('user') aus vielen Attributen zusammen. Hierzu zählen Netzwerkadresse, Basisverzeichnis usw. Jedes einzelne Objekt innerhalb des Active Directorys stellt eine Instanz eines Schemaklassenobjekts dar.

Erweitern des Schemas

Erfahrene Entwickler und Netzwerkadministratoren können das Schema durch die Definition neuer Klassen und neuer Attribute für vorhandene Klassen dynamisch erweitern.

Der Inhalt des Schemas wird durch den Domänencontroller kontrolliert, der die Rolle des Schemamasters innehat. Eine Kopie des Schemas wird auf alle Domänencontroller innerhalb des Forests repliziert. Dieses Vorgehen sichert Datenintegrität und Datenkonsistenz über den gesamten Forest.

Sie können mithilfe des Active Directory-Schema-Snap-Ins das Schema erweitern. Um das Schema ändern zu können, müssen Sie die folgenden Anforderungen erfüllen:

  • Sie müssen Mitglied der Gruppe der Schemaadministratoren sein.
  • Installieren Sie das Active Directory-Schema-Snap-In auf dem Computer, der die Rolle des Schemamasters zugewiesen bekommen hat.
  • Sie benötigen Administrator-Berechtigung, um den Schemamaster zu verändern.

Wenn Sie sich mit dem Gedanken tragen, Änderungen am Schema durchzuführen, sollten Sie sich folgende wichtige Punkte vor Augen halten:

  • Erweiterungen des Schemas gelten global. Wenn Sie das Schema erweitern, wird dieses Schema für den gesamten Forest erweitert, da jede Änderung am Schema auf jeden Domänencontroller innerhalb jeder Domäne des Forests repliziert wird.
  • Schemaklassen, die mit dem System in Zusammenhang stehen, können nicht geändert werden. Sie können keine Änderungen an den Standard-Systemklassen innerhalb des Active Directorys durchführen. Anwendungen, die dazu genutzt werden, das Schema zu ändern, können allerdings optionale Systemklassen einführen, die durch Sie dann geändert werden können.
  • Schemaerweiterungen können aufgehoben werden. Es kann notwendig sein, einige Eigenschaften von Attributen oder Klassen zu verändern, nachdem diese angelegt wurden. Wurde eine neue Klasse oder ein neues Attribut angelegt und dem Schema hinzugefügt, kann es deaktiviert, aber nicht entfernt werden. Allerdings können Sie Definitionen außer Kraft setzen, Objekt-Indentifier (OIDs) oder Anzeigenamen wiederbenutzen, so dass es Ihnen möglich ist, Schemadefinitionen aufzuheben.

Weiterführende Information über das Durchführen von Änderungen am Schema finden Sie im Microsoft Windows Resource Kit unter http://www.microsoft.com/reskit .

Active Directory unterstützt das Löschen von Schemaobjekten nicht. Objekte können jedoch als deaktiviert gekennzeichnet werden. Dies bietet viele der Vorteile, die eine Löschung mit sich bringt.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Attribute

Attribute werden losgelöst von den Klassen definiert. Jedes Attribut wird nur einmal definiert, kann jedoch in mehreren Klassen verwendet werden. So wird z. B. das Attribut Beschreibung in vielen Klassen eingesetzt, ist allerdings zur Gewährleistung der Konsistenz innerhalb des Schemas nur einmal definiert.

Attribute definieren die Objekte. Jedes Attribut verfügt über seine eigene Definition, welche die Art der Information, die für dieses Attribut angegeben werden kann, beschreibt. Jedes Attribut innerhalb des Schemas ist in der Schemaattributklasse festgelegt, die bestimmt, welche Information jede Attributdefinition beinhalten muss.

Die Liste der Attribute, über die ein einzelnes Objekt verfügt, wird durch die Klasse, von der das Objekt abgeleitet wurde, und die übergeordneten Klassen des Objekts festgelegt. Attribute werden nur ein einziges Mal definiert, können aber häufiger eingesetzt werden. Dieses Vorgehen gewährleistet Konsistenz über alle Klassen, die ein bestimmtes Attribut benutzen.

Attribute mit mehreren Werten

Attribute können nicht nur einen Wert besitzen, sondern durchaus über mehrere Werte verfügen. Die Schemadefinition eines Attributs bestimmt, ob eine Instanz eines Attributs über mehr als nur einen Wert verfügen kann. Während die Instanz eines Attributs mit nur einem Wert entweder leer sein kann oder nur einen einzigen Wert beinhalten kann, kann eine Instanz eines Attributs mit mehreren Werten leer sein, einen Wert oder aber mehrere Werte enthalten. Jeder der Werte eines solchen Attributs mit mehreren Werten muss eindeutig sein.

Indizieren von Attributen

Indizes werden über Attribute geführt, nicht über Klassen. Die Indizierung von Attributen kann dabei behilflich sein, über Abfragen schneller solche Objekte zu finden, die über dieses Attribut verfügen. Wenn Sie ein Attribut als zu indizieren markieren, werden alle Instanzen dieses Attributs in den Index aufgenommen und nicht nur die Instanzen des Attributs, welche einer bestimmten Klasse zugeordnet wurden.

Das Indizieren von Attributen kann Auswirkungen auf die Zeit, die für die Replikation des Active Directorys benötigt wird, den verfügbaren Speicherplatz und die Datenbankgröße haben. Da die Datenbank größer ist, wird auch mehr Zeit für die Replikation benötigt.

Auch Attribute mit mehreren Werten können indiziert werden. Allerdings erhöht das Indizieren von mehrwertigen Attributen die Größe des Active Directorys deutlich. Auch die Zeit, die für das Anlegen eines Objekts benötigt wird, ist deutlich länger, als bei der Indizierung von einwertigen Attributen. Wenn Sie Attribute für die Indizierung auswählen, sollten Sie sich auch immer Gedanken darüber machen, ob diese Attribute tatsächlich genutzt werden, und sicherstellen, dass ein ausgewogenes Verhältnis zwischen Kosten und Performance besteht.

Ein indiziertes Schemaattribut kann nicht nur über die gesamte Active Directory-Datenbank hinweg, sondern auch innerhalb des Containers, in welchem es gespeichert wird, gesucht werden. Dies verkürzt die Suchzeit und reduziert die für die Suche notwendigen Ressourcen.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Die Rolle des globalen Katalogs

Beim globalen Katalog handelt es sich um einen Domänencontroller, der als zentraler Speicher von Informationen zu den Objekten in einer Struktur oder Gesamtstruktur dient. Der globale Katalog speichert für alle Objekte die Attribute, die in Suchoperationen häufig eingesetzt werden. Der globale Katalog speichert für seine Hostdomäne ein vollständiges Replikat aller Objekte im Verzeichnis und ein Teilreplikat aller Objekte, die im Verzeichnis jeder Domäne der Gesamtstruktur enthalten sind. Dies ermöglicht eine effiziente Suche unter Vermeidung unnötiger Verweise auf weitere Domänencontroller.

Standardmäßig wird auf dem ersten Domänencontroller eines Forests ein globaler Katalog erstellt. Sie können weiteren Domänencontrollern die Funktion eines globalen Katalogservers oder aber die Funktion des globalen Katalogservers einem anderen Domänencontroller zuweisen.

Der globale Katalog erfüllt die folgenden Aufgaben innerhalb des Verzeichnisses:

  • Auffinden von Objekten. Ein globaler Katalog ermöglicht Benutzern die Suche nach Informationen innerhalb des Verzeichnisses und über alle Domänen innerhalb des Forests hinweg, unabhängig davon, wo diese Information gespeichert ist. Suchen über den Forest werden mit maximaler Geschwindigkeit ausgeführt, der Netzwerkverkehr dabei allerdings minimiert.
    Wenn Sie aus dem Startmenü den Menüpunkt Suchen nach Personen... wählen oder aber unter Suchen in die Option Active Directory wählen, wird eine Suche über einen globalen Katalog ausgeführt. Wurde die Suchabfrage einmal eingegeben, wird diese an den Standardport 3268 für den globalen Katalog weitergeleitet. Von hier wird sie zur Lösung an den globalen Katalog übergeben.
  • Authentifizierung mithilfe des User Principal Name (UPN). Ein globaler Katalog ermöglicht die Auflösung eines User Principal Name, wenn der Domänencontroller über keine Information zu dem Benutzerkonto verfügt. Wenn ein Benutzerkonto auf example1.microsoft.com verwaltet wird und der Benutzer entscheidet, sich mit seinem User Principal Name user1.example1.microsoft.com von einem Computer, der sich in example2.microsoft.com befindet, anzumelden, wird der Domänencontroller in example2.microsoft.com nicht in der Lage sein, das Benutzerkonto für diesen Benutzer zu finden. Er stellt in diesem Falle Kontakt zu einem globalen Katalog her, um die Anmeldeprozedur durchführen zu können.
  • Bereitstellen von Informationen über die Zugehörigkeit zu universellen Gruppen innerhalb einer Umgebung mit mehreren Domänen. Anders als die Zugehörigkeit zu globalen Gruppen, die innerhalb jeder Domäne gespeichert werden, wird die Information über die Zugehörigkeit zu universellen Gruppen nur innerhalb des globalen Katalogs abgelegt. Meldet sich beispielsweise ein Benutzer, der einer bestimmten universellen Gruppe angehört, an einer Domäne an, die sich im Windows 2000 native Mode oder einem höheren Betriebsmodus befindet, stellt der globale Katalog Informationen über die Zugehörigkeit zu universellen Gruppen für diesen Benutzer bereit.
    Ist der globale Katalog nicht erreichbar, wenn ein Benutzer sich an einer Domäne anmeldet, die sich im Windows 2000 native Mode oder einem höheren Betriebsmodus befindet, kann der Computer auf zwischengespeicherte Anmeldeinformationen für diesen Benutzer zurückgreifen, vorausgesetzt, der Benutzer hatte sich bereits zu einem früheren Zeitpunkt an dieser Domäne angemeldet. Meldet sich der Benutzer zum ersten Mal an, kann er sich nur an dem lokalen Computer anmelden.

    Hinweis: Mitglieder der Gruppe der Domänenadministratorengruppe können sich auch an das Netzwerk anmelden, wenn kein globaler Katalog verfügbar ist.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Finden von Verzeichnisinformationen

Wie bereits früher ausgeführt, ist es Aufgabe des Active Directorys, Informationen für Abfragen über die Verzeichnisobjekte für Benutzer und Programme zur Verfügung zu stellen. Administratoren und Benutzer können so z. B. über das Menü Suchen im Startmenü Information aus dem Active Directory finden. Anwendungsprogramme können auf Information aus dem Active Directory über das Active Directory Service Interface (ADSI) zugreifen.

Einer der großen Vorteile des Active Directorys ist die Möglichkeit, vielfältigste Informationen über Netzwerkobjekte darin zu speichern. Dabei stehen diese Informationen über Benutzer, Computer, Dateien und Drucker, die für die Replikation des Active Directorys benötigt werden, jedem Netzwerkbenutzer zur Verfügung. Die Sicherheit der Informationen wird über Zugriffsrechte kontrolliert.

Die tägliche Arbeit innerhalb eines Netzwerks beinhaltet auch die Kommunikation mit anderen Benutzern und die Möglichkeit, Ressourcen freizugeben. Diese Aufgaben erfordern es, Adressen und Namen z. B. für das Versenden von Mails zu finden, oder sich mit freigegebenen Ressourcen verbinden zu können. In diesem Zusammenhang funktioniert das Active Directory als gemeinsames Adressbuch für ein Unternehmen. So können Sie einen Benutzer über seinen Vornamen, seinen Nachnamen, seine E-Mail-Adresse, seinen Arbeitsbereich im Unternehmen oder weitere Eigenschaften des Benutzerkontos finden. Dabei ist die Suche - wie bereits früher erläutert - über den globalen Katalog optimiert.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Effiziente Tools für die Suche

Administratoren können den Suchendialog aus dem Snap-In Active Directory-Benutzer und
-Computer verwenden, um Verwaltungsfunktionen mit größerer Effizienz auszuführen, und Daten, die aus dem Verzeichnis abgefragt wurden, leichter anpassen oder filtern zu können.

Darüber hinaus können sich Administratoren Suchen bedienen, die ein manuelles Durchsuchen des Verzeichnisses erübrigen, um z.B. Objekten schnell Gruppen hinzuzufügen oder aber, um Mitglieder von Gruppen zu finden.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Replikation des Active Directorys

Durch Replikation werden eine hohe Verfügbarkeit der Informationen, Fehlertoleranz, Loadbalancing und Performance-Vorteile erzielt. Active Directory nutzt Multimaster-Replikation. Dadurch können Sie das Verzeichnis an jedem beliebigen Domänencontroller aktualisieren und müssen dies nicht mehr an einem bestimmten, nämlich dem primären Domänencontroller tun. Durch die Multimaster-Replikation wird auch eine höhere Fehlertoleranz erzielt, da die Replikation auch dann durchgeführt werden kann, wenn ein einzelner Domänencontroller nicht mehr funktioniert.

Ein Domänencontroller speichert und repliziert die folgenden Informationen:

  • Schemainformationen. Diese definieren die Objekte, die innerhalb des Verzeichnisses angelegt werden können, und über welche Attribute diese Objekte verfügen. Diese Informationen stehen allen Domänen innerhalb des Forests zur Verfügung. Schemadaten werden auf alle Domänencontroller innerhalb des Forests repliziert.
  • Konfigurationsinformationen. Diese beschreiben die logische Struktur Ihrer Installation. Sie beinhalten Informationen wie z. B. die Domänenstruktur oder die Replikationstopologie. Diese Informationen stehen ebenfalls allen Domänen innerhalb des Forests zur Verfügung.
  • Domäneninformationen. Diese Informationen beschreiben alle Objekte innerhalb einer Domäne. Diese Daten sind domänen-spezifisch und werden nicht an andere Domänen weitergereicht. Um Informationen innerhalb eines Domänenasts oder eines Forests zu finden, wird ein Unterset der Eigenschaften aller Objekte aller Domänen im globalen Katalog abgelegt. Die Domänendaten werden an alle Domänencontroller innerhalb der Domäne repliziert.
  • Anwendungsinformationen. Anwendungspartitionen stellen eine Möglichkeit dar, Informationen zu speichern, die nicht global, sondern gezielt repliziert werden sollen. Daten aus Anwendungspartitionen können gezielt auf Domänencontroller innerhalb des Forests weitergeleitet werden. Dabei kann der Administrator festlegen, auf welche Domänenkontroller repliziert werden soll. Hiermit wird unnötiger Replikationsverkehr vermieden. Diese Daten können aber alternativ auch auf alle Domänencontroller innerhalb der Domäne repliziert werden.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Die Rolle von Standorten bei der Replikation

Standorte rationalisieren die Replikation von Verzeichnisinformationen. Das Verzeichnisschema und die Konfigurationsinformationen werden - wie weiter oben beschrieben - über den gesamten Forest hinweg repliziert, Domänendaten werden hingegen nur auf alle Domänencontroller innerhalb einer Domäne und teilweise auf den globalen Katalog repliziert. Durch strategisch geschicktes Reduzieren der Replikation kann die Belastung des Netzwerks gleichzeitig reduziert werden.

Domänencontroller nutzen Standorte und die Überwachung von Replikations-Veränderungen zur Optimierung der Replikation wie folgt:

  • Durch das gelegentliche Neubewerten von Verbindungen kann das Active Directory die effizienteste Netzwerkverbindung für die Replikation nutzen.
  • Um Fehlertoleranz zur Verfügung zu stellen, nutzt das Active Directory mehrere unterschiedliche Routen für die Replikation von Änderungen.
  • Die Kosten für die Replikation werden dadurch minimiert, dass nur Änderungen repliziert werden.

Ist eine Installation nicht in Standorte unterteilt, kann es zu chaotischen Situationen beim Austausch von Information zwischen den Domänencontrollern und den Clients kommen. Standorte führen zu einer Optimierung der Netzwerknutzung.

Active Directory repliziert Verzeichnisinformationen innerhalb eines Standorts häufiger als zwischen einzelnen Standorten. Auf diese Art und Weise erhalten die Domänencontroller, die am besten miteinander verbunden sind - also genau diejenigen, die wahrscheinlich die Information auch am ehesten benötigen - die Replikation zuerst. Domänencontroller in anderen Standorten erhalten zwar auch alle Änderungen, welche am Verzeichnis durchgeführt wurden, jedoch seltener. Hierdurch wird die benötigte Netzwerkbandbreite minimiert. Durch Komprimieren der Daten während der Replikation zwischen einzelnen Standorten, wird die benötigte Bandbreite weiter reduziert. Um die Replikation effizient zu halten, sollten Aktualisierungen des Verzeichnisses nur auf Zeiten, in denen neue Verzeichnisinformationen hinzugefügt wurden oder aber bestehende Informationen geändert wurden, beschränkt werden.

Wenn Verzeichnisaktualisierungen durchgehend auf alle Domänencontroller innerhalb einer Domäne verteilt werden, werden entsprechende Netzwerkressourcen benötigt. Auch wenn Sie manuell Verbindungen hinzufügen oder konfigurieren können oder auch die Replikation über eine bestimmte Verbindung erzwingen können, wird die Replikation durch das Active Directory automatisch über die so genannte Konsistenzprüfung (Knowledge Consistency Checker, KCC) in Verbindung mit den Informationen optimiert, die Sie bei der Konfiguration im Verwaltungstool Active Directory-Standorte und -Dienste festgelegt haben. Die Konsistenzprüfung ist verantwortlich für die Anlage und Unterhaltung der Replikationstopologie des Active Directorys. Genauer gesagt entscheidet die Konsistenzprüfung, wann eine Replikation stattfindet, und trifft die Auswahl der Server, mit denen sich jeder Server replizieren muss.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Active Directory-Clienterweiterungen

Durch die Active Directory-Clienterweiterungen werden viele Funktionen des Active Directorys, die unter Windows 2000 Professional oder Windows XP Professional verfügbar sind, auch unter den Betriebssystemen Windows 95, Windows 98 und Windows NT® verfügbar.

  • Erkennen von Standorten. Über diese Funktion können Sie sich an dem Domänencontroller anmelden, der dem Client-Computer innerhalb des Netzwerks am nächsten ist.
  • Active Directory Service Interfaces (ADSI). Stellt Skripting für das Active Directory zur Verfügung. ADSI stellt auch eine Programmbibliothek (API) für das Active Directory zur Verfügung.
  • Fehlertoleranter Client für das Distributed File System (DFS). Sie können auf DFS fehlertolerante und failover Dateifreigaben von Windows 2000 Servern und Windows Servern 2003 zugreifen, die im Active Directory spezifiziert sind.
  • NTLM Version 2 Authentifizierung. Sie können die verbesserten Authentifizierungsmöglichkeiten der NT LanMan (NTLM) Version 2 nutzen. Weiterführende Informationen über NTML Version 2 finden Sie in Artikel Q239869 "How to enable NTLM 2 Authentication" in der Microsoft Knowledgebase unter http://support.microsoft.com.
  • Active Directory Windows Adressbuch (WAB)-Eigenschaften-Seite. Sie können Eigenschaften, wie z. B. die Telefonnummer und Adresse auf der Eigenschaftenseite eines Benutzerobjekts ändern.
  • Suchmöglichkeiten innerhalb des Active Directorys. Sie können in der Suche des Startmenüs nach Benutzern und Druckern auf Windows 2000- oder Windows .NET-Domänen suchen. Weiterführende Informationen über die Veröffentlichung von Druckern im Active Directory finden Sie in Artikel Q234619 "Publishing a Printer in Windws 2000 Active Directory" in der Microsoft Knowledgebase unter http://support.microsoft.com.

Windows 2000 Professional und Windows XP Professional bieten darüber hinaus weitergehende Möglichkeiten, die in den Clienterweiterungen von Windows 95, Windows 98 und Windows NT 4.0 nicht integriert sind. Dabei handelt es sich z. B. um die Unterstützung von Kerberos Version 5, Unterstützung für Gruppenrichtlinen- und IntelliMirror®-Verwaltung, Dienste wie die Authentifizierung über den User Principal Name und wechselseitige Authentifizierung. Sie können die Vorteile dieser weiteren Features nutzen, wenn Sie Ihre Clients auf Windows 2000 Professional oder Windows XP Professional aktualisieren. Weiterführende Informationen finden Sie unter:

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Neue Features und Verbesserungen im Bereich Active Directory

Der weitere Teil dieses Artikels fasst die neue Features sowie die Verbesserungen im Bereich des Active Directorys in der Windows Server 2003-Familie unter den folgenden Abschnitten zusammen:

  • Integration und Produktivität
  • Performance und Skalierbarkeit
  • Administration und Konfiguration
  • Gruppenrichtlinien
  • Erweiterung im Bereich der Security

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Integration und Produktivität

Mit dem Ziel, die unternehmensweiten Identities, Objekte und Beziehungen zu verwalten, wurde die Schnittstelle zum Active Directory (sowohl das Entwickler- als auch das Benutzerinterface) verbessert. Hiermit wird eine effizientere Verwaltung und deutlich höhere Integrationsmöglichkeit erzielt.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Vereinfachen der Benutzung und Verwaltung des Active Directorys

Das Active Directory erhielt eine Reihe von Erweiterungen, welche die Nutzung vereinfachen. So gab es Verbesserungen innerhalb des MMC-Snap-Ins und der Objektauswahl-Komponente. Das MMC-Plug-In kann die Verwaltung von vielen Objekten nun vereinfachen. Administratoren können:

  • Mehrere Benutzer-Objekte gleichzeitig bearbeiten. Dies bietet die Möglichkeit, mehrere Objekte auszuwählen und die Eigenschaften zu bearbeiten.
  • Abfragen speichern. Abspeichern von Abfragen über das Active Directory hinweg für die spätere Benutzung. Ergebnisse können in XML exportiert werden.
  • Schnelle Auswahl von Objekten durch die Nutzung der verbesserten Objektauswahlkomponente. Diese Komponente wurde komplett überarbeitet und erweitert, um den Workflow zu verbessern, die Effizienz bei der Suche von Objekten gerade in großen Verzeichnissen zu erhöhen und um flexiblere Abfragemöglichkeiten zur Verfügung zu stellen. Sie wird in einer Vielzahl von Benutzerschnittstellen eingesetzt und steht Third-Party-Entwicklern zur Verfügung.

Weitere Verbesserungen im Bereich Integration und Produktivität

Feature

Beschreibung

Änderungen in der Benutzerschnittstelle für ACL-Listen

Die Benutzerschnittstelle für den Zugriff auf ACL-Berechtigungen wurde erweitert, um die Nutzbarkeit zu erhöhen. So kann z. B. angezeigt werden, ob Berechtigungen vererbt oder objektspezifisch sind.

"Extensibility" Erweiterungen

Ein Administrator, der ein Gerät eines Independent Software Vendors (ISV) oder eines Original Equipment Manufacturers (OEM) einsetzt, welches die Möglichkeiten des Active Directorys nutzt, hat nun weitergehende Verwaltungsmöglichkeiten und kann beliebige Klassen und Objekte als Mitglieder zu Gruppen hinzufügen.

Benutzerobjekte aus anderen LDAP-Verzeichnissen

Active Directory unterstützt die Definition von Benutzerobjekten, die auf der in RFC 2798 definierten inetOrgPerson-Klasse basieren. Dieses Feature umfasst die Unterstützung von Attributen im Basisschema für diese Benutzerobjekte. Das Benutzerinterface für das Active Directory ist nun in der Lage, mit inetOrgPerson-Objekten umzugehen. Somit kann nun auch jeder Kunde oder jede Anwendung, die die Verwendung der inetOrgPerson-Klasse benötigen, dies einfach nutzen.

Windows Live™ ID-Integration (über IIS)

Windows Server 2003 integriert Windows Live ID (ehemals Microsoft Passport) als unterstützenden Authentifizierungsmechanismus für IIS 6.0. Er ermöglicht es, Active Directory-Benutzer-Objekte mit der korrespondierenden Windows Live ID-Kennung (soweit existent) zu verbinden. Dabei wird durch das lokale Sicherheitssystem (LSA) ein Token für den Benutzer erstellt und durch IIS 6.0 für den HTTP-Request gesetzt. Internetbenutzer mit einer korrespondierenden Windows Live ID-Kennung können nun ihre Windows Live ID-Kennung für den Zugriff auf Ressourcen so benutzen, als würden Sie ihre Active Directory-Credentials benutzen.

Benutzung von Terminal-Server über ADSI

Benutzerspezifische Einstellungen für den Zugriff auf Terminal-Server können nun über das Active Directory Services Interface (ADSI) geskriptet werden. Die Möglichkeit, sowohl manuell als auch über ADSI die Eigenschaft setzen zu können, ist ein Vorteil, der es einfach macht, größere Änderungen über mehrere Konten hinweg (Bulk-Operation) oder aber durch Programme ausgeführt, vorzunehmen.

WMI-Anbieter für die Überwachung von Replikation und Vertrauensstellungen

Windows Verwaltungsinstrumentations (WMI)-Klassen ermöglichen die Überwachung der erfolgreichen Replikation von Active Directory-Informationen zwischen Domänencontrollern. Da viele Windows 2000-Komponenten, wie z. B. die Active Directory-Replikation, auf Vertrauensstellungen zwischen Domänen basieren, stellt dieses Feature ebenfalls eine Methode bereit, um die einwandfreie Funktionsweise von Vertrauensstellungen zu überwachen.

Administratoren oder andere Personen, die für die Verwaltung der Server zuständig sind, können auf diese Art und Weise leicht über eventuell auftretende Replikationsprobleme mittels WMI unterrichtet werden.

MSMQ-Verteilerlisten

Message Queuing (MSMQ) bietet nun die Unterstützung für das Senden von Nachrichten an Verteilerlisten, die im Active Directory abgelegt sind. MSMQ-Benutzer können diese Verteilerlisten einfach innerhalb des Active Directorys verwalten.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Performance und Skalierbarkeit

Die Art und Weise, wie Windows Server 2003 die Replikation und Synchronisation von Active Directory-Informationen handhabt, wurde entscheidend geändert. Sowohl für die Installation, die Migration als auch den laufenden Betrieb wurden neue Features integriert, die das Active Directory flexibler, robuster und gleichzeitig effizienter machen.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verbesserte Performance für Filialen

In Filial-Installationen findet man normalerweise eine Reihe von externen Büros mit eigenen Domänencontrollern, die allerdings über langsame Verbindungen an die Firmenzentrale angeschlossen sind. Windows Server 2003 verbessert die Anmeldung für diese Filialen. Sie benötigen nun keinen Zugriff auf einen zentralen globalen Katalogserver bei der Anmeldung der Benutzer. Damit benötigen sie auch keine eigenen globalen Katalogserver mehr.

Anstatt bei jeder Anmeldung eines Benutzers den globalen Katalogserver abzufragen, speichert der Domänencontroller nun die Zugehörigkeit zu universellen Gruppen von Benutzern, die sich bereits einmal angemeldet haben. Damit sind Benutzer nun auch in der Lage, sich anzumelden, ohne dass der Domänencontroller für die Anmeldung auf einen globalen Katalogserver zugreifen muss. Dieses Vorgehen beschleunigt die Anmeldeanforderung über langsame Verbindungen.

Weitere Features im Bereich Performance und Verbesserungen

Feature

Beschreibung

Deaktivieren der Komprimierung der Replikation zwischen Standorten

Die Komprimierung der Replikation zwischen Domänencontrollern in verschiedenen Standorten kann deaktiviert werden. Dies führt zu einer Reduzierung der CPU-Auslastung auf den Domänencontrollern und zu einer höheren Verfügbarkeit.

Virtuelles Computerobjekt für Clusteranwendungen

Servercluster unter Windows .NET Enterprise Server oder Datacenter Server sind in den Microsoft Active Directory-Dienst integriert. Diese Integration stellt sicher, dass ein 'virtuelles' Computerobjekt in Active Directory registriert ist. Dies ermöglicht es Anwendungen, die in der Lage sind, mit Clustern oder mit Active Directory umzugehen, ihre eigenen Konfigurationsinformationen an ein definiertes Computerobjekt im Active Directory zu binden.

Wiederverwendung von LDAP-Verbindungen:

Eine Anwendung kann für mehrere Lightweight Directory Access Protocol (LDAP)-Abfragen im Namen verschiedener Benutzer auch eine Anfangsverbindung zum Verzeichnis wieder verwenden. Dies führt zu einer höheren Leistung, da die Anwendung nicht für jede Abfrage eine neue Verbindung herstellen muss.

Verhindern der Überlastung von Domänencontrollern

Dieses Feature verhindert eine Überlastung des ersten Active Directory-Domänencontrollers, der in eine Domäne eingefügt wird, die bereits eine Vielzahl von aktualisierten Domänenmitgliedern unter Windows 2000 und der Windows Server 2003-Familie enthält.

Dieses Feature ist von Nutzen, wenn eine Windows NT 4.0-Domäne Domänenmitglieder unter Windows 2000, Windows XP Professional und der Windows Server 2003-Familie enthält. Wenn ein primärer Domänencontroller (PDC) auf Windows 2000 Service Pack 2 oder die Windows Server 2003-Familie aktualisiert wird, kann er so konfiguriert werden, dass das Verhalten eines Windows NT 4.0-Domänencontrollers emuliert wird. Die Domänenmitglieder unter Windows 2000 und der Windows Server 2003-Familie unterscheiden nicht zwischen aktualisierten Domänencontrollern und Windows NT 4.0-Domänencontrollern. Um spezielle Anforderungen von IT-Administratoren zu berücksichtigen, können die Domänenmitglieder unter Windows 2000 Service Pack 2 und der Windows Server 2003-Familie so konfiguriert werden, dass ein Domänencontroller unter Windows 2000 Service Pack 2 und der Windows Server 2003-Familie beim Antworten auf solche Domänenmitglieder nicht das Verhalten eines Windows NT 4.0-Domänencontrollers emuliert. Diese Konfiguration wird im Registrierungseditor durchgeführt.

Verbessertes Synchronisationsfeature für den globalen Katalog

Dieses Feature stellt einen Mechanismus bereit, um den Synchronisationsstatus des globalen Katalogs zu erhalten (anstatt ihn zurückzusetzen), und minimiert Aufwand und replizierte Daten bei der Übermittlung eines erweiterten Partial Attribut Set (PAS) über das Netzwerk, da nur die neu hinzugefügten Attribute übertragen werden. Der Vorteil ist ein deutlich reduzierter Datenverkehr bei der Replikation und eine effizientere Aktualisierung des PAS.

Verbesserte Replikation der Gruppenmitgliedschaft

Wenn eine Gesamtstruktur in den gesamtstruktureinheitlichen Modus der Windows Server 2003-Familie überführt wird, wird die Gruppenmitgliedschaft so geändert, dass die Werte einzelner Mitglieder gespeichert und repliziert werden, anstatt die gesamte Mitgliedschaft als einzelne Einheit zu behandeln.

Hieraus resultieren ein deutlich geringerer Bandbreitenverbauch sowie eine geringere Belastung der CPU während einer Replikation. Gleichzeitig wird die Gefahr von Datenverlusten bei gleichzeitigen Aktualisierungen vermindert.

Erweiterung von LDAP, um Time-to-Live (TTL) für dynamische Einträge zu unterstützen

Active Directory kann dynamische Einträge gemäß dem IETF-Standardprotokoll RFC 2589 speichern. Einträgen im Verzeichnis kann ein Wert für die Gültigkeitsdauer (TTL) zugewiesen werden. Der Benutzer kann diesen Eintrag ändern, um damit eine Verlängerung der Gültigkeitsdauer zu erzielen. Die LDAP API für die Programmiersprache C wurde erweitert, um dieses neue Feature zu unterstützen. Damit sind Anwendungsentwickler in der Lage, Einträge vorzunehmen, die nicht über längere Zeiträume gespeichert werden müssen und automatisch durch das Active Directory gelöscht werden, sobald die Gültigkeitsdauer abgelaufen ist.

Bereitstellung von 64-Bit-Software

Die 64-Bit-Softwarerichtlinie bietet Unterstützung für die Bereitstellung von 64-Bit-Software mit Gruppenrichtlinien. Neue Optionen im Anwendungsbereitstellungs-Editor helfen bei der Ermittlung, ob 32-Bit-Anwendungen auf 64-Bit-Clients bereitgestellt werden sollen. Gruppenrichtlinien können nun auch eingesetzt werden, um sicherzustellen, dass nur die richtigen Anwendungen auf 64-Bit-Clientcomputern ausgeführt werden.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Administration und Konfiguration

Windows Server 2003 erweitert die Möglichkeiten für Administratoren für eine effiziente Konfiguration und Betreuung des Active Directory auch in großen Unternehmen mit mehreren Forest, Domänen und Standorten.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Konfiguration des Active Directorys mit einem neuen Installationsassistenten

Der neue Assistent für die Konfiguration des Servers vereinfacht den Prozess der Installation von Active Directory und stellt vordefinierte Einstellungen für spezifische Serverrollen zur Verfügung. Dies bietet den großen Vorteil, dass es für Administratoren einfacher wird, zu bestimmen, mit welchen Parametern ein Server bei der Grundinstallation betrieben wird.

Administratoren werden während des Setups durch Assistenten unterstützt. Diese erleichtern dem Benutzer die Installation optionaler Komponenten, die sie während der Installation auswählen können. Diese Assistenten können für folgende Aufgaben genutzt werden:

  • Installation des ersten Servers innerhalb eines Netzwerkes. Hierbei werden DHCP, DNS und Active Directory mit Standardwerten konfiguriert.
  • Unterstützung der Benutzer bei der Konfiguration von Mitgliedsservern innerhalb eines Netzwerks. Hierbei wird der Benutzer auf die Features hingewiesen, die installiert sein müssen, um einen Server als Druckserver, Web- oder Medienserver, Anwendungs- oder RAS- und Routing-Server betreiben zu können.

Ein Administrator kann diese Features dazu benutzen, im Notfall einen Server schnell wieder aufzubauen, eine Serverkonfiguration auf mehrere Computer zu übertragen, das Setup zu vervollständigen, Serverrollen einzurichten oder die Konfiguration des ersten Servers innerhalb des Netzwerks vorzunehmen.

Weitere Verbesserungen und Features im Bereich Administration

Feature


Automatisches Erstellen von DNS-Zonen

Dieses Feature ermöglicht die automatische Erstellung von DNS-Zonen (Domain Name System) und die Konfiguration von DNS-Servern, auf denen ein Betriebssystem der Windows Server 2003-Familie ausgeführt wird, im Unternehmen als Host für diese Zone. Dies reduziert die Zeit, die normalerweise für die manuelle Konfiguration der einzelnen DNS-Server in den Satellitenstandorten als Host für diese Zone anfällt.

Verbesserungen beim Inter-Site Replication-Topology Generator (ISTG; standortübergreifender Topologiegenerator)

In Windows Server 2003 wurde der standortübergreifende Topologiegenerator so aktualisiert, dass verbesserte Algorithmen verwendet werden und eine bessere Skalierung zur Unterstützung von Forests mit einer größeren Anzahl von Standorten möglich ist als in Windows 2000. Da alle Domänencontroller in der Gesamtstruktur, die die Rolle eines standortübergreifenden Topologiegenerators erfüllen, der standortübergreifenden Replikationstopologie zustimmen müssen, werden die neuen Algorithmen erst dann aktiviert, wenn die Gesamtstruktur auf den Betriebsmodus Windows .NET erweitert wurde. Der neue Topologiegenerator stellt eine deutlich verbesserte Performance bei der Replikation über Forests zur Verfügung.

Verbesserte Installation und Konfiguration von DNS

Dieses Feature vereinfacht die Fehlersuche, die Behandlung und Meldung einer fehlerhaften DNS-Konfiguration und hilft bei der richtigen Konfiguration der DNS-Infrastruktur, die für die Active Directory-Bereitstellung benötigt wird. Wenn ein Domänencontroller in einer vorhandenen Gesamtstruktur heraufgestuft wird, stellt der Installationsassistent von Active Directory eine Verbindung zu einem vorhandenen Domänencontroller her, um das Verzeichnis zu aktualisieren und die erforderlichen Teile des Verzeichnisses vom Domänencontroller zu aktualisieren. Wenn der Assistent aufgrund einer fehlerhaften DNS-Konfiguration keinen Domänencontroller finden kann oder der Domänencontroller nicht verfügbar ist, wird eine Fehlersuche durchgeführt, die Fehlerursache gemeldet und eine Korrektur des Problems aufgezeigt.Um in einem Netzwerk gefunden werden zu können, muss jeder Domänencontroller in einem DNS-Domänencontrollerlocator-Eintrag in DNS registriert sein. Der Installationsassistent von Active Directory überprüft die einwandfreie Konfiguration der DNS-Infrastruktur, damit ein neuer Domänencontroller eine dynamische Aktualisierung der DNS-Domänencontrollerlocator-Einträge durchführen kann. Wenn bei dieser Überprüfung eine falsch konfigurierte DNS-Infrastruktur erkannt wird, wird dies gemeldet und erläutert, wie das Problem behoben werden kann.

Installation von Replikaten über Medien

Anstatt eine vollständige Kopie der Active Directory-Datenbank zu replizieren, ermöglicht dieses Feature einem Administrator, eine Erstreplikation von Dateien durchzuführen, die bei der Sicherung eines vorhandenen Domänencontrollers oder globalen Katalogservers erstellt wurden. Die Sicherungsdateien, die von einem Active Directory-fähigen Sicherungsprogramm erzeugt wurden, können auf einem Medium wie einem Band, einer CD, einer DVD oder einer Dateikopie über ein Netzwerk zu dem betreffenden Domänencontroller transportiert werden.

Erweitertes Migrations-Tool

Das Active Directory-Migrationstool (ADMT) wurde erweitert. Dies umfasst die folgenden Features:

Migration von Kennwörtern: ADMT, Version 2 ermöglicht jetzt die Migration von Kennwörtern von Windows NT 4.0 nach Windows 2000 und der Windows Server 2003-Familie bzw. von Windows 2000 und der Windows Server 2003-Familie auf Windows 2000-Domänen und Domänen der Windows Server 2003-Familie.
Neue Schnittstelle für Skripte: Für die häufigsten Migrationsaufgaben, wie z. B. die Migration von Benutzern, Gruppen und Computern, wurde eine neue Skriptschnittstelle hinzugefügt. ADMT kann jetzt von jeder Sprache aus angesteuert werden und unterstützt COM-Schnittstellen, wie z. B. die Entwicklungssysteme Visual Basic® Script, Visual Basic und Visual C++®.
Unterstützung von Befehlszeilen: Die Skriptschnittstelle wurde außerdem so erweitert, dass Befehlszeilen unterstützt werden. Alle Skriptaufgaben können direkt von einer Befehlszeile oder über Stapeldateien ausgeführt werden.
Verbesserte Umsetzung der Sicherheit. Die Übertragung von Sicherheitseinstellungen, wie zum Beispiel das Übertragen von Ressourcen mit ACLs, wurde so erweitert, dass die Quell-Domäne ausgeschaltet werden kann, wenn die Übertragung angelaufen ist. ADMT ist nun auch in der Lage, eine Datei für die Übernahme der Sicherheitseinstellungen zu interpretieren.

Anwendungspartitionen

Active Directory-Dienste ermöglichen das Erstellen eines neuen Namenskontext- oder Partitionstyps, der als Anwendungspartition bezeichnet wird. Dieser Namenskontext kann eine Hierarchie beliebiger Objekttypen außer Sicherheitsprinzipalen (Benutzer, Gruppen und Computer) enthalten und so konfiguriert werden, dass beliebige Gruppen von Domänencontrollern innerhalb des Forests repliziert werden, die sich nicht unbedingt in derselben Domäne befinden müssen.Dieses Feature stellt damit die Möglichkeit zur Verfügung, dynamische Daten in Active Directory abzulegen, ohne dabei gleich deutlichen Einfluss auf die Netzwerkperformace auszuüben, da der Grad der Replikation sowie die Replikation selbst gezielt gesteuert werden kann.

Active Directory-integrierte DNS-Zonen können in Anwendungspartitionen gespeichert werden

DNS-Zonen innerhalb des Active Directorys können nun in Anwendungspartitionen gespeichert und repliziert werden. Die Verwendung von Anwendungspartitionen für das Speichern von DNS-Daten führt zu einer Verminderung der im globalen Katalog gespeicherten Objekte. Gleichzeitig werden diese DNS-Zonen dann nur auf ausgewählte Domänencontroller, welche für diese Anwendungspartition festgelegt wurden, repliziert. Standardmäßig werden DNS-Anwendungspartitionen nur auf Server repliziert, die den DNS-Server ausführen. Zudem erlaubt das Speichern der DNS-Daten in einer Anwendungspartition auch die Replikation auf DNS-Server, die in unterschiedlichen Domänen innerhalb des Forests ausgeführt werden. Durch den Einsatz von Anwendungspartitionen wird es möglich, die Bandbreitenanforderungen für einen Replikation der DNS-Daten sowie die Replikation dieser Daten zu beschränken.

Verbesserungen von DirSync-Steuerelementen

Dieses Feature verbessert die Unterstützung von Active Directory für ein LDAP-Steuerelement - das DirSync-Steuerelement -, um geänderte Informationen aus dem Verzeichnis abzurufen. Dieses Feature ermöglicht dem DirSync-Steuerelement Zugriffsüberprüfungen wie die, die bei normalen LDAP-Suchen durchgeführt werden.

Betriebsmodi

Vergleichbar zum native Mode unter Windows 2000, stellt dieses Feature die Versionierungsmöglichkeiten zur Verfügung, um festzulegen, welche Active Directory-Features auf den einzelnen Domänencontrollern innerhalb eines Forests oder einer Domäne verfügbar sein werden. Gleichzeitig wird durch Betriebsmodi verhindert, dass Domänencontroller, die noch nicht auf Windows Server 2003 aktualisiert wurden, einem Forest beitreten, in welchem der Modus für das Active Directory bereits auf reinen Windows Server 2003-Betriebsmodus gesetzt wurde.

Deaktivieren der Attribute und Klassendefinitionen im Schema

Active Directory wurde erweitert, um das Deaktivieren von Attributen und Klassendefinitionen im Active Directory-Schema zu ermöglichen. So können z. B. Attribute und Klassen umbenannt werden, wenn in der ursprünglichen Definition ein Fehler gemacht wurde. Die Deaktivierung kann dazu eingesetzt werden, die Definition eines Attributs oder einer Klasse zu steuern, nachdem Sie dem Active Directory hinzugefügt wurde. Das ist nützlich, wenn z. B. beim Anlegen einer unveränderlichen Eigenschaft ein Fehler unterlaufen ist. Die Deaktivierung kann rückgängig gemacht werden, so dass eine versehentliche Deaktivierung ohne Nebenwirkungen bleibt.

Umbenennen von Domänen

Dieses Feature unterstützt das Ändern von DNS- und/oder NetBIOS-Namen vorhandener Domänen in einer Gesamtstruktur, sodass der Aufbau der resultierenden Gesamtstruktur nicht verschlechtert wird.Die Identität einer umbenannten Domäne, die durch die GUID (Globally Unique IDentifier) der Domäne und die Sicherheitskennung (SID) der Domäne repräsentiert wird, wird nicht geändert. Außerdem wird die Domänenmitgliedschaft eines Computers nicht geändert, wenn die Domäne, in der sich der Computer befindet, umbenannt wird.Dieses Feature beinhaltet nicht das Umbenennen einer Domäne, die die Rootdomäne eines Forests darstellt. Auch wenn ein Forest umbenannt werden kann, ist es nicht möglich, eine andere Domäne als neue Rootdomäne für einen Forest zu bestimmen.Die Umbenennung von Domänen erzwingt eine Unterbrechung der Dienste, da jeder Domänencontroller neu gestartet werden muss. Jeder Mitgliedsserver der umbenannten Domäne muss zwei Mal neu gestartet werden. Obwohl dieses Feature eine unterstützende Funktion für das Umbenennen einer Domäne bereitstellt, sollte diese Funktion nicht als routinemäßiger IT-Vorgang angesehen werden.

Überwachen von Replikationen und Vertrauensstellungen

Dieses Feature erlaubt es Administratoren, Replikationen zwischen Domänencontrollern zu überwachen und festzustellen, ob die Replikation des Active Directorys zwischen Domänencontrollern erfolgreich ausgeführt wurde. Da eine Reihe von Windows .NET-Komponenten wie z. B. die Replikation des Active Directorys auf Vertrauensstellungen zwischen Domänen beruhen, bietet dieses Feature auch die Möglichkeit, zu überwachen, ob Vertrauensstellungen fehlerfrei funktionieren.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Gruppenrichtlinien

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwaltung von Gruppenrichtlinien

Die Microsoft Group Policy Management Console (GPMC) ist eine neue Lösung, um Gruppenrichtlinien zu verwalten. Sie erhalten damit die Möglichkeit, Ihr Unternehmen kosteneffizienter zu verwalten. Das Tool besteht aus einem neuen Microsoft Management Console (MMC)-Snap-In und einer Reihe von programmierbaren Schnittstellen für das Verwalten von Gruppenrichtlinien. GPMC soll voraussichtlich kurz nach der Freigabe von Windows Server 2003 auf der Microsoft Website kostenlos zur Verfügung gestellt werden.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Ziele der GPMC

GPMC wurde für folgende Einsätze konzipiert:

  • Vereinfachen der Verwaltung von Gruppenrichtlinien. Hierzu soll ein zentraler Platz für das Verwalten der grundlegenden Aspekte von Gruppenrichtlinien zur Verfügung gestellt werden. Sie können sich das GPMC wie einen großen Supermarkt vorstellen: alles, was man für die Verwaltung von Gruppenrichtlinien benötigt, aus einer Hand.
  • Ausgangspunkt für die Bereitstellung von Gruppenrichtlinien. Es werden folgende Möglichkeiten geboten:
  • Benutzerschnittstelle, die das Benutzen von Gruppenrichtlinien vereinfacht.
  • Backup/Restore von Gruppenrichtlinienobjekten (GPOs)
  • Import/Export sowie Einfügen/Kopieren von Gruppenrichtlinienobjekten und Windows
  • Verwaltungsinstrumentations (WMI)-Filter.
  • Vereinfachte Verwaltung der mit den Gruppenrichtlinien zusammenhängenden Sicherheit.
  • HTML-Berichte für Gruppenrichtlinieneinstellungen.
  • HTML-Berichte für Ergebnisse von Gruppenrichtlinien und für die Ausarbeitung von Gruppenrichtlinien (früher als Resultant Set of Policy bezeichnet).
  • Skriptverarbeitung aller GPMC-Operationen, die innerhalb des Tools zur Verfügung gestellt werden - jedoch keine Skriptverarbeitung mit einer Gruppenrichtlinie.

Früher mussten Administratoren unterschiedliche Microsoft Tools einsetzen, um Gruppenrichtlinien verwalten zu können. GPMC führt nun die Funktionalitäten dieser Tools in einer Anwendung zusammen und ergänzt diese um die oben beschriebenen Möglichkeiten.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwalten von Windows 2000- und Windows Server 2003-Domänen

GPMC ist in der Lage, sowohl Windows 2000- als auch Windows Server 2003-Domänen zu verwalten, auf denen Active Directory ausgeführt wird. Der Computer, auf welchem das Tool selbst ausgeführt wird, muss eines der folgenden Betriebssysteme ausführen:

  • Windows Server 2003
  • Windows XP Professional mit Service Pack 1 (SP1), ein zusätzliches post-SP1-Hotfix und das Microsoft .NET Framework

Weiterführende Informationen finden Sie in Enterpreise Management with the Group Policy Management Console unter http://www.microsoft.com/windows.netserver/gpmc .

Weitere Verbesserungen im Bereich Gruppenrichtlinien

Feature

Beschreibung

Umleiten von Benutzer- und Computer-Containern

In der Vergangenheit wurden Kunden oft dazu verführt, Gruppenrichtlinien einfach auf Domänenebene anzuwenden. Das macht aber in vielen Fällen so keinen Sinn. Microsoft empfiehlt, eine logische hierarchische Struktur auf der Basis von Organisationseinheiten zu erstellen, um dann neu angelegte Benutzer- und Computerobjekte darin abzuspeichern. Hierauf sollen Gruppenrichtlinien angewendet werden. Dies verhindert, dass neu angelegte Benutzer- und Computerobjekte in den Standardcontainern im Root der Domäne bleiben. Denn diese Container sind nicht dazu bestimmt, Gruppenrichtlinien zu verwenden, und Clientcomputer können von diesen Containern auch keine Gruppenrichtlinien anwenden.

Windows Server 2003 beinhaltet Tools, die es ermöglichen, neue Benutzer- und Computerobjekte automatisch in festgelegte Organisationseinheiten zu verlegen. Hier können dann spezielle Gruppenrichtlinien angewandt werden.

Administratoren stehen im Ressourcekit zwei neue Tools zur Verfügung - ReDirUsr und ReDirComp - über die für die drei Aufrufe NetUserAdd(), NetGroupAdd() und NetJoinDomain() neue alternative Standartwerte festgelegt werden können. So können Administratoren die Standardspeicherstelle für neue Objekte auf entsprechende Organisationseinheiten richten und dann Gruppenrichtlinien auf diese neuen Organisationseinheiten anwenden.

Ergebnissätze von Gruppenrichtlinien

Ergebnissätze für Gruppenrichtlinien erlauben es Administratoren, festzulegen bzw. zu analysieren, welche Gruppenrichtlinien zu einem bestimmten Zeitpunkt auf ein bestimmtes Objekt angewandt werden. Mit Richtlinienergebnissätzen können Administratoren bestehende Gruppenrichtlinien für Computer kontrollieren. Gruppenrichtlinienergebnissätze wurden früher als Resultant Set of Policy - Protokollmodus - bezeichnet.

Planen von Gruppenrichtlinien

Die Modellierung von Gruppenrichtlinien ermöglicht es Administratoren, sich auf Wachstum oder Umstrukturierungen im Unternehmen vorzubereiten. Es erlaubt einem Administrator, unterschiedliche Gruppenrichtlinien in einem "Was-wäre-Wenn-Szenario" durchzuspielen. Ist ein Administrator zu dem Ergebnis gekommen, dass eine Änderung notwendig oder nicht zu vermeiden ist, kann er in verschiedenen Tests durchspielen, welche Folgen die Änderungen auf Nutzer oder Gruppen hätten, wenn sie an eine andere Stelle verschoben würden. Diese Tests zeigen auch, welche Gruppenrichtlinien angewendet werden würden und welche Dateien automatisch geladen würden, wenn die Änderungen durchgeführt würden.

Das Planen von Gruppenrichtlinien bietet den Administratoren den Vorteil, Änderungen an Gruppenrichtlinien im Vorfeld durchtesten zu können, bevor Sie auf das gesamte Netzwerk angewendet werden.

Neue Richtliniensätze

Windows Server 2003 wurde um mehr als 150 Richtlinien erweitert. Diese Richtlinien ermöglichen es, das Verhalten des Betriebssystems für einzelne Benutzer oder Gruppen von Benutzern zu kontrollieren oder anzupassen. Sie betreffen Funktionalitäten wie Fehlerberichte, Terminal-Server, Netzwerk- und Wählverbindungen, DNS, Netzwerkanmeldungen, Gruppenrichtlinien und Roaming Profiles.

Webansicht für administrative Vorlagen

Dieses Feature erweitert das Gruppenrichtlinienerweiterungs-Snap-In für administrative Vorlagen, sodass detaillierte Informationen über die verschiedenen verfügbaren Richtlinieneinstellungen angezeigt werden können. Wenn eine Richtlinieneinstellung ausgewählt wird, werden Informationen mit Details über das Verhalten der Einstellung sowie zusätzliche Informationen über die Verwendungsmöglichkeit der Einstellung in der Benutzeroberfläche für administrative Vorlagen in einer Webansicht angezeigt. Diese Informationen stehen auch auf der Registerkarte Erklärung der Eigenschaftenseite der einzelnen Einstellungen zur Verfügung.

Verwalten von DNS mit Gruppenrichtlinien

Administratoren können DNS-Clienteinstellungen (Domain Name System) auf Computern mit einem Betriebssystem der Windows Server 2003-Familie mit Gruppenrichtlinien konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von DNS-Clienteinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Einträge durch die Clients, das Verwenden des Ablaufs des primären DNS-Suffixes und das Füllen der DNS-Suffixsuchliste.

Verbesserungen der Umleitung von "Eigenen Dateien"

Ein Administrator kann dieses Feature nutzen, um die Benutzer von dem gewohnten Umgang mit Homeverzeichnissen auf die Benutzung der "Eigenen Dateien" umzustellen und um dabei zu der alten Struktur kompatibel zu bleiben.

Vollständige Installation von Anwendungen bei der Anmeldung

Der Anwendungsbereitstellungs-Editor umfasst nun eine neue Option, welche es ermöglicht, Benutzern Anwendungen zuzuordnen, welche bei einer Anmeldung komplett und nicht nur im Bedarfsfall installiert werden. So können Administratoren sicherstellen, dass Benutzern die entsprechende Software automatisch auf ihre Computer installiert wird.

Netzanmeldung

Anmelderichtlinien bieten die Möglichkeit, die Anmeldeeinstellungen auf Computern unter der Windows Server 2003-Familie mithilfe von Gruppenrichtlinien zu konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von Anmeldeeinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Domänencontrollerlocator-Einträge durch die Domänencontroller, der zeitliche Abstand zwischen der Aktualisierung dieser Einträge, das Aktivieren und Deaktivieren der automatischen Standorterkennung und viele andere gebräuchliche Anmeldeeinstellungen.

Netzwerk- und Wählverbindungen

Das Benutzerinterface für die Konfiguration von Windows Server 2003 -Netzwerkverbindungen kann nun für bestimmte Benutzer zugängig gemacht bzw. gesperrt werden.

Verteilte Ereignis-Richtlinien

Die WMI-Ereignisstruktur wurde erweitert, um nun auch in einer verteilten Umgebung genutzt werden zu können. Diese Erweiterung besteht in Komponenten, die es z. B. ermöglichen, für WMI-Ereignisse Abonnements, Filter, Zusammenhänge, Zustände und den Transport zu konfigurieren. Ein ISV könnte so durch das Hinzufügen einer Benutzerschnittstelle und das Definieren einer Gruppenrichtlinie das Überwachen von Zuständen, Aufzeichnen von Ereignissen, Benachrichtigungen, Autorecovery oder Einblenden von Werbung ermöglichen.

Abschalten des Managers für die Anmeldeinformationen

Der Anmeldeinformations-Manager vereinfacht unter Windows Server 2003 die Verwaltung der Anmeldeinformationen der Benutzer. Dieses Gruppenrichtlinienfeature bietet die Möglichkeit, den Anmeldeinformations-Manager deaktivieren zu können.

Support-URL für Softwareinstallation

Dieses Feature bietet die Möglichkeit, einen Support-URL (Uniform Resource Locator) für das Paket zu bearbeiten und hinzuzufügen. Wenn die Anwendung auf den Zielcomputern in der Systemsteuerung unter Softwareangezeigt wird, kann der Benutzer den URL für die Supportinformationen auswählen, und wird zu einer Supportwebseite umgeleitet. Dieses Feature kann dabei helfen, die Anrufe an ein Helpdesk- oder Supportteam zu reduzieren.

Filtern von Richtlinien über WMI-Filter

Windows Management Instrumentation (WMI) stellt eine Menge von Daten, wie z. B. Informationen über installierte Hard- oder Software, Einstellungen und Konfigurationen zur Verfügung. WMI bietet Zugriff auf Daten aus der Registry, von Treibern, vom Dateisystem, vom Active Directory, vom Simple Network Management Protocol (SNMP), vom Windows Installer-Dienst, aus der structured query language (SQL), aus dem Netzwerk und von Exchange Servern. WMI-Filter unter Windows Server 2003 erlauben es Ihnen, dynamisch zu entscheiden, ob ein bestimmtes Richtlinienobjekt auf der Basis einer Abfrage über WMI-Informationen angewendet werden soll. Diese Abfragen - auch als WMI-Filter bezeichnet - legen fest, welche Benutzer und Computer die Richtlinien-Einstellungen erhalten, die in einem Gruppenrichtlinienobjekt festgelegt sind, auf das dann der Filter angewandt wird. Damit sind Sie in der Lage, Gruppenrichtlinien dynamisch abhängig von der Konfiguration der lokalen Maschine anzuwenden.

So könnte eine Richtlinie z. B. den Benutzern einer bestimmten Organisationseinheit Office XP zuweisen. Ist der Administrator nun unsicher, ob alle - also auch die älteren Computer - über ausreichend Festplattenplatz für die Installation von Office XP verfügen, können WMI-Filter eingesetzt werden, um Office XP nur auf den Computern zu installieren, die über mehr als 400 Megabytes (MB) freien Festplattenspeicher verfügen.

Terminalserver

Ein Administrator kann Gruppenrichtlinien einsetzen, um Terminalserver-Einstellungen wie Umleitungen, Passwortzugriff oder den Bildschirmhintergrund zu steuern.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Erweiterung im Bereich der Security

Innerhalb der Windows Server 2003-Familie wurde das Active Directory mit weiteren Sicherheitsfeatures ausgestattet. Dies erleichtert das Verwalten mehrerer Forests und Vertrauensstellungen zwischen einzelnen Forests. Zusätzlich bietet die neue Verwaltung für Anmeldeinformationen eine Möglichkeit, um Anmeldeinformationen und X.509-Zertifikate zu speichern.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwalten von Sicherheit mit Vertrauensstellungen zwischen Forests

Die Vertrauensstellung zwischen Forests stellt einen neuen Typus, um die Sicherheitseinstellungen zwischen zwei Forests zu verwalten.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Vertrauensstellungen zwischen Forests

  • Neuer Typ von Vertrauensstellung, der es allen Domänen eines Forests erlaubt, allen Domänen innerhalb eines weiteren Forests transitiv zu vertrauen. Diese Vertrauensstellung wird durch eine einzige Vertrauensstellung zwischen den beiden Root-Domänen der Forests ermöglicht.
  • Vertrauensstellungen zwischen mehreren Forests sind nicht transitiv. Wenn Forest A Forest B vertraut und Forest B vertraut Forest C dann besteht nicht automatisch eine Vertrauensstellung zwischen Forest A und Forest C.
  • Vertrauensstellungen zwischen Forests können ein- oder zweiseitig sein.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwaltung von Vertrauensstellungen

  • Ein neuer Assistent erleichtert die Anlage von Vertrauensstellungen, insbesondere auch von Vertrauensstellungen zwischen Forests.
  • Eine neue Eigenschaftenseite ermöglicht die Verwaltung des Namensraums bei der Verwendung von Vertrauensstellungen zwischen Forests.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Namensraum und Vertrauensstellungen

  • Vertraute Namensräume werden dazu genutzt, die Authentifizierung und Authentifizierungsanfragen für Sicherheitsprincipals, deren Konto in einem vertrauten Forest liegen, zu routen.
  • Die Domäne, der User Principal Name (UPN), der Service Principal Name (SPN) sowie der Security Identifier (SID) werden beim Anlegen einer Vertrauensstellung automatisch gesammelt und durch das Snap-In Active Directory-Domänen und
    -Vertrauensstellungen aktualisiert.
  • Einem Forest wird als für den von ihm zur Verfügung gestellten Namensraum authorisierend vertraut. Grundlage bildet hier eine Regel nach dem Motto: first come, first serve, solange der Namensraum nicht mit dem Namenraum eines Forests kollidiert, dem bereits vertraut wird. Hierdurch werden sich überlagernde Namensräume vermieden. Administratoren können manuell Vertrauensbeziehungen zu einzelnen Namensräumen abschalten.

Weitere Verbesserungen im Bereich Sicherheit

Feature

Beschreibung

Forestübergreifende Authentifizierung

Benutzer können sicher auf Ressourcen in anderen Forests zugreifen, auch wenn sich das Benutzerkonto in einem und das Computerkonto in einem anderen Forest befinden. Dieses Feature erlaubt Benutzern den sicheren Zugriff auf Ressourcen in anderen Forests unter Verwendung von Kerberos oder NTLM, ohne die Vorteile der Einzelanmeldung oder administrative Vorteile zu opfern, die durch eine Benutzer-ID und ein Kennwort in der Basisgesamtstruktur des Benutzers entstehen. Die forestübergreifende Anmeldung beinhaltet:Namensauflösung

Können Kerberos und NTLM den Principal Name nicht auflösen, wird die Anfrage an den globalen Katalog weitergeleitet.
Kann der globale Katalog den Name nicht auflösen, ruft er die neue Funktion auf, die versucht, den Namen über Forest-übergreifende Vertrauensstellung aufzulösen.
Diese Funktion vergleicht den (Principal) Name mit den Namensräumen aller Forests, zu denen eine Vertrauensstellung besteht. Wird der Name gefunden, gibt die Funktion einen Link auf den Forest zurück, zu dem die Vertrauensstellung besteht.

Routinganfragen

Kerberos und NTLM benutzen Routinghinweise, um die Authentifizierungsanfragen über die Vertrauensstellungen von der Ursprungsdomäne zu der wahrscheinlich zuständigen Domäne zu routen.
Bei Kerberos erzeugt das Key Distribution Center (KDC) Verweise, die sich an den Vertrauensstellungen orientieren. Der Client geht diesen Verweisen nach.
Bei NTLM wird die Anfrage entsprechend den Vertrauensstellungen über sichere Kanäle weitergeleitet. Hierbei wird die Authentifizierung durchgereicht.

Unterstützte Authentifzierungsmöglichkeiten

Kerberos- und NTLM-Netzwerkanmeldung für den Remote-Zugriff auf Server in einem anderen Forest.
Interaktive Kerberos- und NTLM-Anmeldung für die physikalische Anmeldung des Benutzers außerhalb seines Forests.
Kerberos-Delegierung für N-Tier-Anwendungen innerhalb eines anderen Forests.
User Principal Name(UPN)
-Benutzeranmeldeinformationen werden vollständig unterstützt.

Forestübergreifende Berechtigung

Dieses Feature erlaubt es auf einfache Art und Weise, Benutzer und Gruppen von vertrauten Forests für die Aufnahme in lokalen Gruppen oder ACLs auszuwählen. Es unterstützt damit die Integrität einer Forestsicherheitsgrenze und erlaubt gleichzeitig die Vertrauensstellung zwischen einzelnen Forests. Es ermöglicht dem vertrauenden Forest festzustellen, welchen Security Identifier (SI) er zulassen soll, wenn Benutzer von anderen vertrauten Domänen versuchen, auf gesicherte Ressourcen zuzugreifen.Verwaltung von Gruppenmitgliedschaften und ACL

Die Objektauswahlkomponente wurde erweitert, so dass nun die Auswahl von Benutzer- oder Gruppennamen eines vertrauten Forests möglich ist.
Die Namen müssen vollständig erfasst werden. Listenansichten und die Benutzung von Wildcards sind nicht möglich.

Übersetzung der SID

Die Objektauswahlkomponente und der ACL-Editor benutzen System-APIs, um SIDs in Gruppenmitglieds- und ACL-Einträgen zu speichern und um diese dann wieder in lesbare Einträge zurückübersetzen zu können.
Die dafür notwendigen APIs wurden erweitert, um Routingverweise oder die sicheren NTLM-Kanäle zwischen Domänencontrollern für die Auflösung der Sicherheitsprincipals oder SIDs vertrauter Forests benutzen zu können.

Filtern von SIDs

SIDs werden gefiltert, wenn Berechtigungsdaten von der Root-Domäne des vertrauten Forests zur Root-Domäne des vertrauenden Forests weitergeleitet werden. Der vertrauende Forest wird nur SIDs akzeptieren, die einen Bezug zu Domänen innerhalb des Forests, dem vertraut wird, haben. Alle anderen SIDs werden automatisch entfernt.

Sowohl das Filtern von SIDs als auch die Übersetzung von SIDs wird automatisch für Kerberos und NTLM-Berechtigungen genutzt.

IAS und Authentifizierung über Forests hinweg

Befindet sich das Active Directory im Modus, in welchem zweiseitige Vertrauensstellungen zwischen Forests unterstützt werden, kann der Internetauthentifizierungsdienst/RADIUS Server Benutzerkonten innerhalb des anderen Forests über dieses Feature authentifizieren. Hiermit steht Administratoren eine einfache Möglichkeit zur Verfügung, um neue Forests in bereits bestehende IAS/RADIUS-Dienste innerhalb ihres Forests zu integrieren.

Verwaltungstool für Anmeldeinformationen

Eine neue Anmeldeinformationsverwaltung stellt einen sicheren Speicher für Anmeldeinformationen und X.509-Zertifikate der Benutzer bereit. Dies vermittelt dem Benutzer das Gefühl eines durchgehenden Single-Sign-On. Greift ein Benutzer z. B. auf eine Geschäftsanwendung zu, die eine Authentifizierung benötigt, so wird der Benutzer zur Eingabe der entsprechenden Anmeldeinformationen aufgefordert. Hat der Benutzer diese Informationen einmal erfasst, werden sie mit der entsprechenden Anwendung in Verbindung gebracht. Bei späteren Zugriffen auf diese Anwendung werden die gespeicherten Informationen benutzt und der Benutzer wird nicht mehr zur Eingabe aufgefordert.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zusammenfassung

Aufbauend auf dem Fundament, welches in Windows 2000 gelegt wurde, verstärkt Windows Server 2003 die einfache Verwaltung, Vielseitigkeit und Zuverlässigkeit des Active Directorys. Damit wurde das Active Directory zu einer soliden Grundlage für den Aufbau eines unternehmensweiten Netzwerks mit seinen unübertroffenen Stärken in den Bereichen:

  • Nutzung bestehender Investitionen und Vereinfachung bei der Verwaltung von Verzeichnissen.
  • Ausbau der Kontrolle durch Administratoren bei gleichzeitiger Verminderung von sich wiederholenden Verwaltungsaufgaben.
  • Vereinfachung der Integration von Remote-Systemen und effiziente Nutzung von Netzwerkressourcen.
  • Robuste Umgebung für die Entwicklung und Ausführumgebung für Anwendungen, die auf ein Verzeichnis zugreifen können.
  • Verminderung von TCO und optimale Ausnutzung von zur Verfügung stehenden IT-Ressourcen.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Weiterführende Links

Weiterführende Informationen finden Sie unter


Die neuesten Informationen über Windows Server 2003 finden Sie auf der Windows Server 2003-Website unter http://www.microsoft.com/germany/windowsserversystem/.

Dn151166.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang


Anzeigen: