Active Directory ist in einem Windows 2000-Netzwerk der Verzeichnisdienst, der die zentrale Organisation und Verwaltung aller Netzwerkressourcen erlaubt. Es ermöglicht den Benutzern über eine einzige zentrale Anmeldung den Zugriff auf alle Ressourcen und den Administratoren die zentral organisierte Verwaltung, transparent von der Netzwerktopologie und den eingesetzten Netzwerkprotokollen.
Die Beschränkung von Windows NT 4.0 auf 40.000 Objekte existiert nicht mehr, Active Directory kann Millionen von Objekten verwalten.
Unterstützte Technologien:
CN=James Smith, CN=Users, DC=galad, DC=local
RDN Benutzerobjekt: James Smith
RDN übergeordnetes Objekt: Users
JSmith@galad.local
Das Schema enthält die Definitionen aller in Active Directory gespeicherten Objekte (Benutzer, Computer, ...) in Form von Klassen bzw. Objektklassen. Eine Objektklasse ist eine Auflistung von Attributen, die Informationen zur Beschreibung des Objekts enthalten. Sämtliche möglichen Attribute (Name, Beschreibung, Standort, ...) werden im Schema definiert. Jedes Attribut kommt nur einmal im Schema vor, kann jedoch in mehreren Objektklassen verwendet werden. Objekte können über die Attribute gesucht werden.
Die Gesamtstruktur besitzt ein einziges gemeinsames Schema, das bei Änderungen auf alle Domänencontroller repliziert wird. Es ist in einer Verzeichnispartition (Replikationseinheit) der Active Directory-Datenbank gespeichert, wird als Active Directory-Objekt behandelt und hat den definierten Namen:
CN=schema, CN=configuration, DC=Domänenname, DC=Domänenstamm
Containerobjekte zur logischen administrativen Organisation und Strukturierung von Objekten. Über eine verschachtelte Hierarchie von OUs kann die Organisationsstruktur und/oder die Verwaltungsstruktur des Netzwerks abgebildet werden. Jede Domäne der Gesamtstruktur kann eine eigene OU-Hierarchie implementieren.
Die Objektverwaltung von Organisationseinheiten kann ganz oder teilweise an bestimmte Benutzer und Gruppen zugewiesen werden, indem die entsprechenden Berechtigungen für die OU erteilt werden. Innerhalb einer Domäne können Objekte beliebig zwischen OUs verschoben werden, OUs können beliebig geschachtelt und neu erstellt werden.
Eine Auflistung von Computern, die eine gemeinsame Verzeichnisdatenbank nutzen. Alle Netzwerkobjekte existieren innerhalb einer Domäne, die die jeweiligen Informationen darüber enthält. Eine Domäne ist eine Sicherheitsgrenze, jede Domäne hat ihre eigenen Sicherheitsrichtlinien und Sicherheitsbeziehungen zu anderen Domänen. Ein Domänen-Administrator hat nur innerhalb seiner Domäne Rechte und Berechtigungen.
Eine Domäne ist auch eine Replikationseinheit, jeder Domänencontroller repliziert im Multimasterbetrieb die vollständigen Verzeichnisinformationen für seine Domäne. Jeder DC kann Änderungen durchführen und replizieren.
Eine Domäne kann im gemischten Modus oder im einheitlichen Modus laufen. Per Default ist der gemischte Modus aktiv und unterstützt DCs mit Windows NT. Wenn alle DCs mit Windows 2000 laufen, kann die Domäne in den einheitlichen Modus konvertiert werden. Dies ergibt insbesondere erweiterte Möglichkeiten bei der Gruppenverwaltung (Verschachtelung, universale Gruppen). Die Konvertierung kann nicht rückgängig gemacht werden; jede Domäne in der Gesamtstruktur kann unabhängig von den anderen Domänen im gemischten oder im einheitlichen Modus laufen.
Eine hierarchische Anordnung von Domänen mit einem gemeinsamen, hierarchisch strukturierten Namespace. Die Aufteilung in mehrere Domänen kann unter anderem in folgenden Fällen sinnvoll sein:
Die erste in einer Struktur erzeugte Domäne ist die Stammdomäne der Struktur. Weitere Domänen können als untergeordnete Domänen zu vorhandenen zugefügt werden.
Hierarchische Anordnung mehrerer Strukturen ohne zusammenhängenden Namespace. Alle Strukturen und damit Domänen einer Gesamtstruktur haben gemeinsam:
Die erste in einer neuen Gesamtstruktur erzeugte Domäne wird die Stammdomäne der Gesamtstruktur. Sie enthält das Schema und die Konfiguration.
Wenn Domäne A der Domäne B vertraut, vertraut B nicht automatisch A (unidirektional). Wenn A B vertraut und B vertraut C, so vertraut A nicht automatisch C (nicht transitiv). Der Standard in Windows NT Domänen und die einzige Möglichkeit bei Verbindung mit Windows NT Domänen oder Windows 2000 Domänen einer anderen Gesamtstruktur.
Wenn A B vertraut, dann vertraut B automatisch auch A (bidirektional). Wenn A B vertraut, und B vertraut C, dann vertraut A automatisch C und umgekehrt (transitiv). Die Standardeinstellung zwischen Windows 2000 Domänen in einer Gesamtstruktur und ein Feature des Kerberos-Protokolls.
Die physische Struktur wird zur Konfiguration und Verwaltung des Netzwerkverkehrs eingesetzt. Sie definiert, wo und wann Replikations- und Anmeldeverkehr stattfindet.
Computergruppierung aufgrund eines gemeinsamen IP-Adressbereichs. Wird durch die Netzwerkstrukturen vorgegeben (physikalische Anbindung, Trennung durch Router, ...), oder durch die Bereichszuordnungen der DHCP-Server. Für ein IP-Subnetz wird von einer optimalen Verbindung der Computer untereinander ausgegangen.
Kombination eines oder mehrerer zuverlässig durch Hochgeschwindigkeits-Verbindungen verbundener IP-Subnetze. Ein Standort kann beliebig viele Subnetze beinhalten, ein Subnetz gehört jedoch nur zu einem Standort.
Die Standortmitgliedschaft eines Computers wird für Clients dynamisch aufgrund ihrer IP beim Einschalten festgelegt. Domänencontroller werden bei der Active Directory-Installation einem Standort zugeordnet, können aber manuell in einen anderen Standort verschoben werden.
Bei der Installation des ersten DCs der Domäne wird ein Standardstandort erstellt, dem alle IP-Subnetze zugewiesen werden.
Da Domänen zur logischen Struktur gehören, müssen sich die physische Struktur und die Domänenstruktur nicht entsprechen. Ein Standort kann mehrere Domänen enthalten, eine Domäne kann mehrere Standorte enthalten. Standorte und Domäne können voneinander getrennte Namespaces haben.
Computer mit Windows 2000 Server und einem Replikat der Verzeichnisdatenbank. Verwaltet die Änderungen an den Verzeichnisinformationen und repliziert sie auf die anderen DCs der Domäne. Verwaltet die Benutzeranmeldevorgänge, die Authentifizierung und die Verzeichnissuche.
Jede Domäne muss mindestens einen DC enthalten. Mehrere DCs gewährleisten die Verfügbarkeit und die Fehlertoleranz. Jeder Standort sollte insbesondere bei geographischer Trennung über mindestens einen DC verfügen.
DCs verwenden die Multimasterreplikation, alle DCs sind gleichberechtigt und auf allen können Änderungen am Verzeichnis vorgenommen werden. Aufgrund der Latenzzeiten bei der Replikation können dadurch jedoch kurzzeitig auf verschiedenen DCs verschiedene Informationen vorhanden sein.
Ein Domänencontroller, der eine Kopie des globalen Katalogs verwaltet und Abfragen verarbeitet. Der globale Katalog ist ein Repository von Informationen. Er speichert die am häufigsten in Abfragen verwendeten Attribute aller Objekte in Active Directory aus der Gesamtstruktur und kann die Position dieser Objekte im Verzeichnis bestimmen. Er zentralisiert und optimiert damit Suchanfragen von Benutzern.
Er ermöglicht außerdem die Benutzeranmeldung mit dem UPN aus anderen Domänen heraus, in der das Benutzerkonto nicht bekannt ist. Bei Anmeldung an einer Domäne im einheitlichen Modus stellt der globale Katalog dem DC, der die Anmeldung verarbeitet, Mitgliedschaftsinformationen der universellen Gruppe zur Verfügung. Steht kein globaler Katalog zur Verfügung, kann sich der Benutzer anhand von zwischengespeicherten Anmeldeinformationen an der Domäne anmelden, wenn er vorher bereits angemeldet war. Ansonsten ist außer für Domänen-Admins nur eine Anmeldung am lokalen Computer möglich.
Der erste in Active Directory erstellte DC wird Server für den globalen Katalog, weitere können hinzugefügt werden.
Ein Betriebsmaster ist ein DC, der eine Einzelmaster-Betriebsfunktion ausführt. Solche Vorgänge dürfen nicht auf mehreren DCs gleichzeitig auftreten.
Der erste in der Gesamtstruktur erstellte DC übernimmt alle Einzelmaster-Funktionen der Gesamtstruktur und der Stammdomäne. Der erste in einer untergeordneten Domäne erstellte DC übernimmt die domänenbezogenen Einzelmaster-Funktionen. Alle Rollen können auf andere DCs übertragen werden.
Schemamaster
Domain Naming Master
RID-Master
PDC-Emulator
Infrastruktur-Master
Inhaltlicher Stand: 2001-11-09