Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Thema: Active Directory
Jonas Seiler Gehalten 2006 Kontakt:
2
Active Directory AD ist ein zentraler Verzeichnungsdienst (Win 2000/03) zur Verwaltung von Druckern, Benutzern, Computern, Servern.. ist an gängige TCP/IP Standards angelehnt. Verzeichnisdienst: Verzeichnis = Sammlung von Daten einer Art mit Ordnungs- Prinzip (z.b. Telefonnummern sind in Telefonbüchern nach Namen geordnet) Bei Netzwerken dienen Verzeichnisse z.b. um Benutzerdaten zentral zu Sammeln Sammlung in Datenbanken auf die (je nach Berechtigung) zugegriffen werden kann.
3
Der Aufbau Dvt13.de (root) CPU.dvt13.de Schule.de R203.Schule.de
Lehrer.Schule.de PC01.R203.Schule.de PC252.R203.Schule.de Kenngrößen.CPU.. Kompo.CPU.. ALU.Kompo.CPU Cache.Kompon.CPU
4
Der Aufbau AD besteht immer aus ROOT – Domäne (z.b. dvt13.de)
an Root – Domäne untergeordnete Domäne gehängt werden (z.b. Halbleiterspeicher.dvt13.de) auch an diese kann man wieder eine Domäne unter ordnen (z.b. RAM.Halbleiterspeicher.dvt13.de) unter Domänen + root - Domäne = Tree soll 2. Baum von dvt13.de verwaltet werden, spricht man von einer Gesamtstruktur oder auch Forest
5
Erweiteter Aufbau Schule.net ROOT FG.Schule.net SUB FG.Schule.net/DVT
OU FG.Schule.net/WL Drucker Objekt Scanner WinSim.exe
6
Objekte u. Attribute Objekttypen (z.B. Drucker) wird durch ein Schema definiert. Schema besteht aus Attributen (Eigenschaft) u. Klassen Klassen = Mehrere Attribute (Windows enthält sehr viele voreingestellte Klassen) Objekte = Mehrere Klassen = viele Attribute Objekte können z.B. Benutzer, Computer, Drucker, Programme Ordnerfreigaben sein...
7
Gruppen nur Lokalen Gruppen werden Berechtigungen u. Ressourcen
zugeteilt Benutzerkonten Herr X Muster Lehrer Schüler Globale Grp. Drucker Office Master-Eye Speicher Lokale Grp. Word Excel.. Festpallten- kapazität Ressourcen Drucker Master-Eye
8
Globale Gruppen dienen zur Zusammenfassung mehrer Benutzer mit
ähnlichen Aufgaben o. Standort z.B alle im Raum 203 o. alle Lehrer Globalen Grp. werden Lokale Grp. Zugewiesen sind zur Administration der Domäne zuständig
9
Aufbau.Namen - Der Zugriff bzw. die Benennung erfolgt über UNC/URL und
LDAP-URL-Namen. (LDAP = Protokoll um auch Speicherbereichen zu Adressieren und die Abfrage und die Modi – fikation von Informationen eines Verzeichnisdienstes ermöglicht) Jedes Objekt bekommt einen Common Name (CN) z.b. Scanner01 Objekte kann man in Organisationseinheiten (OU) unterordnen z.b Sekretariat diese werden an Domäne Komponenten (DC) gehangen. Z.b. schule.net wobei net wieder eine (DC) ist. (dc´s werden durch Punkte getrennt.)
10
Aufbau.Namen Der darausfolgende vollqualifizierten Namen (distinguished name, DN) wäre damit schule.net/Sekretariat/Scanner01 Unter Verwendung v. Subdomains = Sekretariat.schule.net/Scanner01 d.h. Domäne und Pfad sind in AD und der Gesamtstruktur eindeutig
11
Weitere Namensklassen
relative distinguished names (RDNs) - zum Ansprechen von Objekten in Containern - Bsp: Container: ‚User‘ (Verzeichnis, mit RDN User) untergeordnet Benutzerobjekt: ‚M.Muster‘ globally unique identifier, (GUID) - ein 128 – Bit Wert, Hexadezimal dargestellt - dient zur Identifizierung im Forest - kann nicht geändert werden UPN-Notation user principal name, (UPN) - weitere Möglichkeit Objekte anzusprechen - bestehend aus Anmeldenamen und dem DNS-Namen der Domäne - z.b.
12
Global Catalog Die Aufgabe des GC liegt darin, gesamtstrukturweite
Suchvorgänge durchzuführen und die Anmeldung am Netzwerk überhaupt erst zu ermöglichen. Verwaltet Attribute von Objekten im Forest Der Admin legt fest, welche das sind. Z.B Vor u. Nachnachname um eine Anmeldung zu ermöglichen. min. 1 GC benötig mehrere GCs sorgen für Sicherheit, falls ein GC ausfällt. Je mehr GC desto hör die Netzwerklast, aufgrund der Replikation
13
Replikation Verzeichnisdaten werden an verschiedenen Orten gespeichert, damit jeder Benutzer gleichermaßen schnell auf sie zugreifen kann. AD verwendet ein Multimaster Replikationsmodell, mit dem Sie Verzeichnisänderungen auf jedem Domaincontroler (DC) durchführen kann. Das nennt man dann eine Replikation. Speicherung zw. d den Domaincontrollern kann Uni/ Biderektional sein
14
Replikation
15
Benutzerkonten Arten: - Administratorkonto - Gastkonto
- Benutzerkonto für lokalen Computer / Domäne Können zugriffsrechte auf Ressourcen besitzen jedes Konto bedarf einer Dokumentierung und Planung (Namenskonventionen, Kennwortbedingungen, Anmeldezeiten..)
16
Admin u. Gästekonto beinhaltet alle rechte
kann berechtigjungen vergeben , Benutzerkonten erstellen oder Verändern - wird bei d. Installation angelegt Gästekonto: für Gelegenheitsbenutzer ist nach d. Installation gesperrt, muss freigeschaltet werden Ressourcen müssen freigeschaltet werden vom Admin, sollte dies nicht der fall sein, so steht dem Gast keine Ressourcen zu verfügjung
17
Lokale- Domänekonten lokales Benutzerkonto berechtigt nicht Ressourcen der Domäne zu nutzen und umgekehrt gilt das auch für Domänekonten Ausnahme , der Admin vergibt sonderrechte an Gruppen oder einzelne Personen.
18
Regeln d. Namengebung Max. 20 Zeichen
Groß und Kleinschreibung wird berücksichtigt „ / \ [ ] | : ; = , + * ? < > dürfen nicht verwendet werden um doppelbenunnugen zu vermeiden benutzt man Anfangsbuchstaben d. Vornamens + Nachnamen (M.Muster)
19
Sicherheitsbestimmungen
um Sicherheit zu erhöhen kann die Zugriffszeit eingeschränkt werden (z.b. Mo. – Fr. von 8 Uhr – 16 Uhr) Kennwörter sollten sorgfältig gewallt werden. - Standartprotokoll Kerberos -> vergibt Tickets zur Authentifizierung zugriff erfolgt über SSPI (Security Service Provider Interface ) SSPI definiert eine Schnittstelle zwischen Protokollen, die Sicherheitsfunktionen nutzen, liefert damit ein isoliertes Protokoll
20
Anpassungsmöglichkeiten
Anmeldescripte: Automatische Ausführung nach Anmeldung Einstellung der Arbeitsumgebung kann Netzwerkverbindungen herstellen, Programme starten Servergespeicherte Benutzerprofile wirkt sich auch alle Computer aus, mit denen man sich Anmeldet sind schreibgeschützt und nicht veränderbar sind auf einem Domain Controller gespeichert
21
Berechtigungen Freigabe mit Berechtigungseinstellung - Vollzugriff
- ändern - Lesen Verweigern -> höhere Priorität als Zulassen d.h Benutzer hat Lese Berechtigung (Zugelassen) , doch seine Gruppe (Verweigert) nicht so darf er die Datei nicht lesen. Sicherheitseinstellungen = NTFS – Berechtigung Vollzugriff, Ändern, Ausführen, Auflisten, Lesen, Schreiben Vererbung -> Unterordner erhalten Auto. die selbe Freigabe
22
Quellen www.wikipedia.de
computing/windows/grundlagen/ad.php Google Vernetzte IT - Systeme
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.