Transcript Active Directory
Active Directory
Im realisierten Einsatz
Active Directory
Was ist es?
– Im Gegensatz zu WinNT 4.x
– Und dessen historischer Entwicklung – Was enthält es?
– Vordefinitionen und Möglichkeit der Eigendefinitionen Was kann genutzt werden?
Was muss genutzt werden?
Was sollte nicht genutzt werden?
Welchen Nutzen haben wir davon?
Wir: das Unternehmen Wir: die IT- Abteilung / IT-Operation Wir: die Nutzer und Administratoren Ernst Senn / Option Consulting / www.option.ch
Heutige Themenabgrenzung als Einstieg in eine Reihe von Vorträgen
Überblick über die „alten“ Möglichkeiten und Unmöglichkeiten Ausblick in
eine
mögliche Zukunft Erarbeitung der nächsten Schritte zur Realisierung Ernst Senn / Option Consulting / www.option.ch
Globaler Zusammenhang
Freiheit Kontrolle Lehre Sofware Ressource r V & F r Rechne Domäne Ernst Senn / Option Consulting / www.option.ch
Ist-Zustand
– Jede Menge Arbeitsgruppen mit vielen Problembereichen; meist durch eine echte Administration abstellbar – Viele Domänen mit Servern Teilweise für nur 3 Workstations – Wenige Domänen mit den erforderlichen Backupservern (Stichwort Arbeitssicherheit) – Kaum Domänen mit ausreichendem Administrator-Management – Nahezu alle Domänen mit überflüssigen Administratoraufgaben Ernst Senn / Option Consulting / www.option.ch
Wie kam es dazu?
Früher war Windows nur unter Netbios nutzbar – NBT ist jetzt noch Standard – Keine zentrale Administrierung vorgesehen/möglich Lieschen Müller Prinzip der Installation •
Fehlende Dokumentation
•Besonders durch Fluktuation immer wieder Neuerfindung des Rades
Fehlendes Personal
•Temporäre Delegation •Fluktuation
Fehlende Qualifikation
•kaum speziell für Administration eingestelltes Dauer-Personal Ernst Senn / Option Consulting / www.option.ch
Wie kam es dazu?
Sehr starke Strukturierung der einzelnen Bereiche in der Universität – Hohes Bedürfnis zu Eigenständigkeit – Skepsis gegenüber Anderen Zu geringes Sachwissen über Möglichkeiten und Unmöglichkeiten – Wenig Fach-Personal – Daraus resultierend teilweise Falsche Vorstellungen über Einflussmöglichkeiten Falsches Gefühl der Abhängigkeit von Anderen Ernst Senn / Option Consulting / www.option.ch
Arbeitsgruppe
Typische Anwendung in Arbeitsgruppen – Vertrauen auf kleinster Basis – 2-er Beziehung Zwischen Chef und Sekretariat möglich In auch nur geringfügig größeren Verbünden nicht mehr administrierbar Arbeitsgruppen sollen laut Definition – Nicht mehr als 15-25 Mitglieder (PC) haben – Nur in kleinen Netzen – Sind originär NETBIOS Ernst Senn / Option Consulting / www.option.ch
Gemeinsame Nutzung von Ressourcen in Arbeitsgruppen
PC1 Benutzer 1 braucht was von PC2 PC2 Benutzer 1 muss bei Passwortänderungen 2 Systeme ändern Administrator von PC2 muss die gleiche Identifikation des Benutzers 1 auch auf PC2 einrichten Eine Freigabe muss eingerichtet werden und dem Benutzer die
Zusammenfassung
Ressourcennutzung über Arbeitsgruppen – ist kaum administrierbar – Ist nicht über Router/Gateway möglich, da NETBIOS nicht geroutet wird Zufallsergebnisse bei Listen – Erzeugt unnötige Netzlast Rundrufe – Erzeugt unnötige Wartezeiten Ermitteln des momentanen Masters Ernst Senn / Option Consulting / www.option.ch
Unvollständige Liste einiger Arbeitsgruppen und Domänen
Ernst Senn / Option Consulting / www.option.ch
Einschränkungen in der Vergangenheit
Alte NT-Domänen waren flach – max 40.000 unabhängige Objekte (theoretisch) das bedeutet, dass es innerhalb einer Domäne keinerlei Vererbungsmöglichkeiten gab.
Definition für Ressource 1 konnte nicht auf Ressource 2 angewendet/vererbt werden Hoher Verwaltungsaufwand Administration nicht delegierbar – Prinzip „Alles oder Nichts“ dadurch waren alle Gruppierungen gezwungen eigene Domänen zu erstellen, wenn es nicht möglich war, einen Ober-Administrator und allgemein geltende Systemrichtlinien zu konzipieren oder zu akzeptieren.
Für ALLES war die Domäne die Grenze Ernst Senn / Option Consulting / www.option.ch
Gemeinsame Nutzung von Ressourcen in Domänen
PC1 Benutzer 1 braucht was von PC2 PC2 Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen PC2 fragt PDC und erhält Erlaubnis Administrator von PC2 muss nur eine Freigabe einrichten und Benutzer 1 eine Erlaubnis erteilen PDC Ernst Senn / Option Consulting / www.option.ch
Einfachere Nutzung von Ressourcen in Domänen
PC1 Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen Benutzer 1 braucht was von PC2 PC2 PC2 fragt PDC und erhält Erlaubnis Administrator von PC2 muss nur eine Freigabe einrichten und Benutzer
gruppe
1 eine Erlaubnis erteilen PDC Account-Manager richtet eine Benutzer
gruppe
ein und setzt
Administrationsvorteile Domänen / Arbeitsgruppe
Einmalige Einrichtung einer Benutzergruppe in der Domäne Einmalige Einrichtung einer Freigabe auf einem PC mit Bezug auf Benutzergruppe Einmalige Erlaubnisdefinition der Benutzergruppe in der Freigabe Zukünftige Änderungen über Account-Manager der Domäne, der Mitglieder zur Gruppe hinzufügt oder entfernt – schlechte Verfügbarkeit durch 1 zentrale Stelle – es fehlt auch hier eine Delegationsmöglichkeit Ernst Senn / Option Consulting / www.option.ch
Überschreitung der Domänengrenze durch eine Vertrauensstellung
Benötigt keine Benutzerdefinitionen Domäne A Wird Ressourcen-Domäne genannt Ressource Vertrauensstellung Benutzer Dieses Modell nennt Microsoft das Master Domänen-Modell Domäne B Benutzergruppe Pflegt nur Benutzerdefinitionen Ernst Senn / Option Consulting / www.option.ch
Kostenreduzierung durch Vertrauensstellung
PC2 Benutzer Domäne A PC1 Unidirektionales Vertrauen Gefahr durch konkurrierende Benutzerverwaltung Unidirektionales Vertrauen PC3 Domäne B Benutzer Damit lassen sich PC-Bestände gemeinsam nutzen.
Kein admin darf irgendetwas in der anderen Domäne Ernst Senn / Option Consulting / www.option.ch
Die Vergangenheit
Da keine Administration delegiert werden konnte, wurden Abgrenzungen durch neue Domänen erzeugt Die Vielzahl der Domänen war in keiner Weise zentral oder koordiniert administrierbar – und auch der Zusammenhang Rechte, Berechtigungen, Richtlinien, Vertrauensstellungen, gemeinsame Benutzerdefinitionen – war nicht zentral steuerbar oder koordinierbar.
Auch Administration zwischen wenigen Domänen geht nur begrenzte Zeit gut Ernst Senn / Option Consulting / www.option.ch
Domänengrenzen/Beschränkungen
Eine Domäne – ist nicht weiter unterteilbar – Ist Grenze für alles – hat nur 1 Richtlinie für alles – kennt nur gleichberechtigte Administratoren – Ist nicht überführbar in eine andere Domäne Erst zerstören, dann alle Einzelteile in die andere Domäne übernehmen absolut unflexibel!!
Ernst Senn / Option Consulting / www.option.ch
Schwierigkeit der Administration der Vertrauensstellungen
Alle Vertrauensstellungen müssen per Hand eingegeben werden Wenn Domäne
A
der
B
vertraut und umgekehrt, konnten sich die Benutzer der
A
der
B
einloggen und umgekehrt. an den Rechnern Die Besitzer einer Ressource in A konnten Benutzergruppen aus A und B – Zugriffe gestatten – oder explizit verweigern.
– Vertrauen heißt nicht Einflußnahme Ernst Senn / Option Consulting / www.option.ch
Vertrauensstellungen
Domäne A Domäne B Domäne D Domäne C Alle Vertrauensstellungen erfordern je 1 Aktion des Administrators der jeweiligen Domäne n! – Beziehungen müssen gepflegt werden Ernst Senn / Option Consulting / www.option.ch
Richtlinien-Probleme durch Domänengrenze
PC2 Die in der Domäne A erforderlichen Richtlinien der Benutzer bei Nutzung der dortigen PC müssen in Domäne B installiert werden Domäne A
Problem
: Domäne B weiss nichts von PC1 und PC2. PC1 Richtlinien der Domäne A Unidirektionales Vertrauen Domäne B Administrator der Domäne A Benutzer nichts an allen PCx ändern Sicherheitsrichtlinien wirken nur innerhalb 1 Domäne Ernst Senn / Option Consulting / www.option.ch
Probleme durch Domänengrenzen
Im Endeffekt sind diese Probleme unter NT4 bis heute nicht nur bei uns nicht gelöst (Prinzip) Gründe der Unlösbarkeit – Jeder Ressourcendomänen-Administrator hätte zum Administrator der Masterdomäne gemacht werden müssen – mit allen ungewünschten Konsequenzen – Alle Administratoren hätten 1 Definition gemeinsam nutzen und bearbeiten müssen Die Definition wäre riesig geworden Hätte zu lange Ladezeiten gehabt Wäre bei vielfachen, konkurrierenden Änderungen und gegensätzlichen Ansichten nicht mehr handhabbar gewesen Ernst Senn / Option Consulting / www.option.ch
Heute
mit
Active Directory
Erstmals hierarchische Struktur – Dadurch viele Delegationsmöglichkeiten Ober- und Unteradministratoren für viele Teilgebiete konzipierbar, aber nicht erforderlich!
Abgrenzungen sind extrem variabel – Inhalt
Container
– Können Container und Nicht-Container enthalten Nicht-Container –
Leafs
– Endknoten; enthalten typischerweise Benutzer, Computer und/oder Gruppen-Objekte Ernst Senn / Option Consulting / www.option.ch
Inhalt des Active Directory
Der meistgebräuchliche Containertyp ist die Organisationseinheit (englisch: organisational unit = OU) Alle Objekte im AD lassen sich eindeutig identifizieren durch eine Kennung Global Unique Identifier GUID -, die bei der Erzeugung zugewiesen wird.
Eine GUID ist ein 128-stelliges Zahlenmonster.
Ernst Senn / Option Consulting / www.option.ch
Objekte im Active Directory
Jedes Objekt lässt sich über Active Directory Services Interface –
ADSI
programmgesteuert scriptgesteuert ansprechen und verwalten. ADS-Pfade verwenden normalerweise die Syntax und Regeln, die das Lightweight Directory Access Protocol –
LDAP
- definiert Ernst Senn / Option Consulting / www.option.ch
Objektinhalte
Objekte können – Definitionen sein – Dokumentationen sein – Passiv sein, also durch andere Systemteile zu interpretierende Regeln sein – Aktiv sein, also selbst Programme oder Scripten sein, die auf passive Teile (Regeln) zugreifen – Dateisysteme sein, die z.B. zur Installation von Software dienen – U.s.w.
Ernst Senn / Option Consulting / www.option.ch
Speicherort – erf. Hardware
Es gibt keine explizite Trennung zwischen DC und BDC mehr – Erhöhte Sicherheit gegen Ausfall der Domäne – Weniger administrativer Aufwand im Problemfall Wird auf alle BDC repliziert Replizierung nur der geänderten Teile AD ist 1 Verzeichnis auf dem DC – Teilweise erheblicher Platzbedarf Im Prinzip keine Größengrenze mehr (40MB bei NT) – Sehr gute Plattenhardware erforderlich Raidcontroller wird dringend angeraten – Doppelprozessor wird empfohlen – Gute Netzwerkanbindung ist unabdingbar (100MB) Ernst Senn / Option Consulting / www.option.ch
Demonstration
AD Lagerort Vorschlag einer Domänenstruktur Vorschlag einer OU-Struktur Ergebnisse der Anwendung von unterschiedlichen Gruppenrichtlinien in unterschiedlichen OU am Beispiel der Pool-PC‘s Ernst Senn / Option Consulting / www.option.ch
Wunschtraum
1 zentrale Domäne ausreichender Leistung – größtenteils realisiert; Ausbau aber sinnvoll Beliebige Anzahl sog. OU – Könnten vollständig lokal administriert werden Qualifiziertes Dauerpersonal mit EDV-Kenntnissen ALLE Richtlinien lokal einrichtbar Alle Software lokal einrichtbar bzw. administrierbar – Könnten statt dessen nach einem zu definierenden Standard einmalig zentral „vor“-administriert werden Geringe lokale Dauerarbeiten Geringe lokale EDV-Kenntnis notwendig – Beliebige Anzahl lokaler Server ohne domänenseitigen Administrationsbedarf in einer OU möglich Ernst Senn / Option Consulting / www.option.ch
Wunschtraum Teil 2
Sehr begrenzte Anzahl untergeordneter Domänen – Mit vollständiger Hardware (DC+BDC) – Nur mit qualifizierten Administratoren möglich – Mit beliebiger Anzahl von eigenen OU Betrieb und Art des Betriebes von OU und Sub-Domänen sollten von Personalkapazität abhängig gemacht werden Ernst Senn / Option Consulting / www.option.ch
Was bleibt zu tun?
Viel Administratives und viel neu zu Entdeckendes Definition der zentralen Administrationsvorgaben Für voll-administrierte OU Für nicht administrierte OU – Laufende Unterstützung der Admin. Der vorhandenen Sub-Domänen und OU unabdingbar Definitionen von OU und Sub-Domänen Integration vorhandener Domänen unter möglichst vollständiger Eliminierung der NT4-Domänen Erzeugung diverser OUs und der Sub-OU der Bereiche – Integration aller PC in die OUs – Umsetzung der Struktur auf Mitarbeiter – Definition der OU-Administratorenrechte Ernst Senn / Option Consulting / www.option.ch
Was bleibt zu tun?
– Benennung „echter“ Administratoren in allen lokal gemanagten OU oder Sub-Domänen – Installation eines zentralen Grupperichtliniendienstes mit externer Unterstützung – Möglicher zentraler Softwaredienst für remote administrierbare Software (z.B. Windows 2000 oder MS-Office) dadurch z.B. geringere Personalkosten Gesicherte Verteilung und Installation von Updates, Service Packs und ganz wichtig!! Hot-Fixes Vermeidung lokaler Probleme in den zentral administrierten Teilen, da defekte bzw. fehlende Softwareteile automatisch vom Betriebssystem aus dem zentralen Pool nachinstalliert werden Ernst Senn / Option Consulting / www.option.ch
Realisierbare Wünsche
Sichere Datenübertragung – Weitgehende Eliminierung des NETBIOS – Alles auf reiner TCP/IP-Basis Unter Domänenstruktur remote einstellbar Unter Windows 2000 nur 2 Doppelklicks und 8 Klicks Unter ME auch lokal einstellbar Unter anderen Win9x-Systemen durch Nachinstallation und lokales Einstellen Win 3.xy und DOS können hier nicht mehr genutzt werden Unterbindung bekannter Hackermethoden z.B. „Man in the middle attack“ Durch zentral ?
erzwungenen ?
Einsatz der betriebssystemseitig vorhandenen Mechanismen (Software Update-Service) Ernst Senn / Option Consulting / www.option.ch
Realisierbare Wünsche
Installation lokaler Zuständigkeiten – reine lokale Prüfaufgaben Rechnernamen, TCP/IP-Einstellungen, Lizenzen – Zusätzliche Beratung und Überwachung Lokale Updates, muss fortgesetzt werden Ernst Senn / Option Consulting / www.option.ch