Home       Servicebereich  Projekte  Kontakt  

Logo LWsystems LWsystems berät und betreut Sie in allen Fragen Ihrer IT.
Rufen Sie einfach an!

05451 - 9363 845 oder 05403 - 55 56

Domänenstrukturen



Nächste Seite: Active Directory Aufwärts: Einführung in Windows 2000 Vorherige Seite: Windows 2000 im Netzwerk   Index


Unterabschnitte

Domänenstrukturen

Organisation in Domänen

Die Domäne ist die zentrale Organisationsform eines Windows NT Netzwerks. Mit Hilfe der Domäne werden logisch zusammengehörige Objekte wie Benutzer, Gruppen und Computer zusammengefaßt. Die enthaltenen Objekte werden in administrativer wie auch in sicherheitstechnischer Sicht zusammengefaßt. Administrative Berechtigungen oder Sicherheitsrichtlinien, die in einer Domäne gelten wirken sich nicht auf andere Domänen aus. Die Informationen über Securityprincipals werden in der Verzeichnisdatenbank Active Directory abgelegt. Bei Erstellung von Objekten im Active Directory ist zu beachten, daß der Name jedes Objektes innerhalb vom AD eindeutig sein muß. Ein Computerobjekt darf also z.B. nicht den gleichen Namen besitzen wie ein Benutzerobjekt.

Die Erstellung der Domäne erfolgt automatisch mit Installation des darin enthaltenen Domänencontrollers. Sie steht für einen gemeinsamen DNS-Namespace, der über einen DNS-Namen eindeutig identifiziert wird. Innerhalb einer Domäne sind alle Domänencontroller gleichberechtigt. Das heißt daß die Verwaltung der Domänen an jedem beliebigen Domänencontroller durchgeführt werden kann. Hiermit entfällt das aus NT4 bekannte Schema der Domänencontroller mit untergeordneten Backup- Domänencontrollern.


Vertrauensstellungen

Falls im Netzwerk mehrere Domänen existieren, die hierin erhaltenen User oder Ressourcen aber gemeinsam verwaltet werden sollen, lassen sich die Domänen miteinander verbinden. Dieses erfolgt über die Vertrauensstellungen . Alle Domänen in diesem Verbund vertrauen einander und lassen sich daher auch gemeinsam verwalten. Die Vertrauensstellungen sind bidirektional und transitiv. Das heißt, das das Vertrauen nicht gerichtet ist (bidirektional). Jede Domäne traut zudem jeder anderen im Verbund (transitiv), so daß auch einer Domäne vertraut wird, die zwar im Verbund steht, aber zu der keine direkten Beziehungen bestehen. Bei Bedarf kann jedoch auch eine unidirektionale oder nicht vererbbare Vertrauensstellung eingerichtet werden.

Die Vertrauensstellungen können unter

Verwaltung - Active Directory Domänen und Vertrauensstellungen
konfiguriert werden. Die Einrichtung von manuellen (auch verknüpfte Vertrauensstellungen genannt) Vertrauensstellungen ist auch möglich, so daß eine Domäne einer anderen im Forest direkt vertraut. Hierfür ist allerdings notwendig, daß eine physische Verbindung zwischen den beiden Domänen besteht. Diese Art der Vertrauensstellung ist wie in der Domänenstruktur unter NT4 unidirektional und nicht transitiv.


Dömanenstruktur (Tree) und Gesamtstruktur (Forest)

In einer Gruppen von Domänen wird die erste Domäne, die erstellt wurde als Stammdomäne (Root Domain) bezeichnet. Die Stammdomäne legt sozusagen den kürzesten DNS-Namen im Namensraum fest. Alle weiteren Domänen, die dieser zugeordnet werden, bezeichnet man auch als untergeordnete Domänen. Der DNS-Name der untergeordneten Domänen setzt sich aus dem DNS-Namen untergordneten Domäne und dem mit einem Punkt abgetrennten Namen der der Stammdomäne zusammen (z.B. marketing.oreilly.com).

Da die einzelnen Domänen hinsichtlich der Verwaltung administrative Grenzen ziehen lassen sich mit Hilfe einer Domänenstruktur administrative Bereiche wie z.B. Abteilungen einfach im Netzwerk abbilden. Ein Administrator einer übergeordneten Domäne kann die untergeordneten Domänen per default nicht verwalten.

Zur Zusammenfassung von mehreren Domänenstrukturen mit jeweils einem eigenen Namensraum wird eine Gesamtstruktur (Forest) gebildet. Die Root-Domains der der einzelnen Domänenstrukturen werden hier miteinander verbunden. Die einzelnen Strukturen der Gesamtstruktur besitzen keinen gemeinsamen Namespace.

Bei Installation enthält die Stammdomäne der Gesamtstruktur zwei die gesamte Struktur umfassende vordefinierte Gruppen, die nur in der Stammdomäne dieser Gesamtstruktur vorhanden sind.

Organisations-Admins
Mitglieder dieser Gruppe dürfen Änderungen an der gesamten Struktur vornehmen, wie z.B. Domänen hinzufügen und entfernen. Per default wird hier nur das Administratorenkonto des Administrators für die Stammdomäne der Gesamtstruktur eingefügt.
Schema-Admins
Diese Gruppe ermöglicht es ihren Mitgliedern, änderungen am Schema des Active Directory durchzuführen. In der Standardeinstellung ist hier auch nur das Administratorenkonto der Stammdomäne der Gesamtstruktur eingetragen.

Im einheitlichen Modus werden diese Gruppen in universelle Gruppen gewandelt.


Installation einer neuen Gesamtstruktur

Die Erstellung einer Gesamtstruktur erfolgt mit Hilfe des Tools dcpromo.exe, das auch zur Installation von AD verwendet wird. Hier können per Wizard Strukturen und Gesamtstrukturen erstellt werden, einer vorhandenen Struktur beigetreten, oder mehrere Strukturen miteinander verbunden werden.

Rollen von Servern in Domänen

Ein W2K-Server kann verschiedene Rollen einnehmen. Wird er als Domänen-Controller eingesetzt, verwaltete er die Verzeichnisdienste (Active Directory) und somit die gemeinsamen Ressourcen der Domäne. Hierzu gehören auch die Benutzerkonten, die im AD abgelegt sind so daß die Anmeldung an der Domäne mit Hilfe des Domänen-Controllers abgewickelt wird. Jede Domäne im AD muß mindestens einen Domänen-Controller enthalten. Es können jedoch auch mehrere Domänen-Controller in der Domäne stehen, wobei diese als gleichrangig angesehen werden. Sie können alle lesen und schreibend auf das AD zugreifen.

Wird ein W2K-Server in die Domäne eingebunden, so muß er allerdings nicht als Domänen-Controller fungieren. In diesem Fall wird er als Mitglieds-Server (Member-Server ) eingestuft. Ein Member-Server hat keinerlei Verwaltungsfunktionen am AD woraus folgt, daß er den Zugriff auf Domänenressourcen nicht steuern kann. Beispielsweise muß die Anmeldung an der Domäne immer über einen Domänencontroller erfolgen. Der Member-Server führt, obwohl er in die Domäne eingebunden ist jedoch eine zusätzliche lokale Benutzerkonten-Datenbank.

Um einen Member-Server zum Domänencontroller hochzustufen, bzw. einen Domänen-Controller zum Member-Server herabzustufen kann das Programm dcpromo genutzt werden.

Falls ein W2K-Server nicht in eine Domäne eingebunden werden soll und auch nicht als DC fungieren soll, kann er als eigenständiger Server (Stand-alone Server) genutzt werden. In diesem Falle besitzt er keinen Verzeichnisdienst, so daß die Ressourcenverwaltung mittels Freigaben gesteuert wird. Er verfügt über eine vollkommen eigene lokale Userdatenbank.


Organisatorische Einheiten

Die einzelne Domäne kann mit Hilfe von Organisatorischen Einheiten (OU), die im Active Directory angesiedelt sind, weiter strukturiert werden. Die OUs sind Containerobjekte, die andere OUs und Blattobjekte wie

enthalten können.

Die Gruppierung in Organisationseinheiten erfolgt primär aus administrativen Erwägungen wie z.B. die Delegation von Verwaltungsaufgaben (Passwort-Vergabe) an einen User oder für die Verknüpfung von Gruppenrichtlinien.

Eine Organisationseinheit können allerdings keine Berechtigungen zugewiesen werden!

Verknüpfungen von OUs mit Gruppenrichtlinien


Benutzerkonten

Für den Zugriff auf Lokale- und Domänenressourcen werden Benutzerkonten benötigt. Es werden drei Typen von Benutzerkonten unterschieden:

Lokales Benutzerkonto
Ermöglicht einem Benutzer die Anmeldung an einem Rechner um Zugriff auf diesen zu erhalten. Für den Zugriff auf die Ressourcen eines anderen Rechners muß der User auch auf diesem Rechner über ein Konto verfügen. Die lokalen Benutzerkonten befinden sich im SAM Security Accounts Manager des Rechners. Auf einem Rechner, der Teil einer Domäne ist sollte kein lokales Benutzerkonto erstellt werden, da die Domäne keine lokalen Benutzerkonten erkennt, und dieses Konto daher nur Zugriff auf die lokalen Ressourcen erhalten würde.

Auf einem Domänencontroller können keine lokalen Benutzer angelegt werden.

Domänenbenutzerkonto
Das Domänenbenutzerkonto ermöglicht einem Benutzer die Anmeldung an einer Domäne. Hierdurch kann er mit Hilfe eines einzigen Benutzerkonots Zugriff auf Netzwerkressourcen erhalten. Die Domänenbenutzerkonten befinden sich im Active Directory.

Der Domänenuser kann auf Ressourcen in anderen Domänen zugreifen, wenn zwischen den Domänen eine Vertrauensstellung besteht.

Vordefiniertes Benutzerkonto
Es werden bei der Installation automatisch zwei vordefinierte Benutzerkonten eingerichtet. Dieses sind die Konten Administrator und Gast. Sie ermöglichen die Ausführung von Managementaufgaben bzw. sind für den temporären Zugriff erstellt worden. Lokale Benutzerkonten befinden sich wieder im SAM, bzw. im Active Directory.

Das lokale Administratorenkonto ist für eine lokale Anmeldung notwendig, falls kein Zugang zum Domänencontroller besteht (TCP/IP-Stack defekt).

Ein User darf sich nicht lokal an einem Domänencontroller anmelden. Um dieses einzustellen muß der User (bzw. die Gruppe aller User für die lokale Anmeldung freigegeben werden).


Lokale Benutzerkonten

Ein lokales Benutzerkonto wird nur auf alleinstehenden Workstations oder in Arbeitsgruppen verwandt. Es kann auch nur auf Maschinen unter W2K Professional (Workstation) oder auf alleinstehenden Servern oder Mitgliedsservern erstellt werden.

Die Erstellung des Kontos wird in der Computerverwaltung unter der Erweiterung Lokale Benutzer und Gruppen durchgeführt.


Domänenbenutzerkonten

Der Anmeldename eines Benutzers muß im gesamten Active Directory eindeutig sein. Hierbei ist zu beachten, daß die ersten 20 Zeichen des Anmeldenamens ausgewertet werden, so daß der Anmeldename in diesem Bereich AD-weit eindeutig ist. Der vollständige Name für das Domänenbenutzerkonto muß dagegen nur innerhalb der Domäne eindeutig sein.

Bei Vergabe der Anmeldenamen sollte darauf geachtet werden, daß nach einer einheitlichen Vergabekonvention vorgegangen wird (z.B. Vorname + 1. Buchstabe des Nachnamens).

Jedes Benutzerkonto sollte mit einem Kennwort geschützt werden. Dieses sollte mindestens 8 Zeichen lang sein und möglichst aus Sonderzeichen, Zahlen und Groß- und Kleinbuchstaben bestehen um einen Brute-Force17.1 Angriff auf die Password-Datenbank zu erschweren. Auf keinen Fall sollten Daten, Initialien etc aus dem persönlichen Bereich genommen werden, da diese leicht zu erraten sind (sog. social engineering).

Ein Domänenbenutzerkonto befindet sich auf dem Domänencontroller (im Active Directory) und wird automatisch auf alle anderen Domänencontroller repliziert.

Zum Benutzerkonto können die Eigenschaften dieses Kontos eingestellt werden. Hierzu gehören:

Allgemein
Name des Benutzers, allgemeine Beschreibung des Arbeitsplatzes, Telefonnummer, Email-Alias und Homepageadresse.
Adresse
Erweiterte Adressangaben wie: Straße, Postfach, Stadt, Bundesland, PLZ und Land.
Konto
Auf das Konto bezogene Einstellungen wie: Anmeldename, Kontooptionen wie Anmeldezeiten und Ablaufdatum des Kontos. Hier kann unter Anmelden eingerichtet werden, von welchen Computern aus sich ein User an der Domäne anmelden kann.
Profil
Einstellung von Profilpfad und Basisverzeichnis (Homeverzeichnis) des Users,
Rufnummern
Weitere (private) Rufnummern des Users, IP-Adresse und Anmerkungen.
Organisation
Anrede, Abteilung, Vorgesetzte(r) und direkte Mitarbeiter.
Mitglied von
Gruppen, denen der Benutzer angehört,
Umgebung
Einstellung von Anmeldescripten und Verbindungen zu Netzwerkgeräten bei Anmeldung.
Sitzungen
Einstellungen für die Terminaldienste.
Remoteüberwachung
Remoteüberwachungseinstellungen für Terminaldienste.
Terminaldienstprofile
Legt das Terminaldienstprofil des Users fest.


Erstellen von Domänenbenutzerkonten

Ein Domänenbenutzerkonto kann unter Verwaltung - Active Directory Benutzer und Computer erstellt werden. Hier muß dann die Domäne ausgewählt werden in der der Benutzer erstellt werden soll. Mit RM - Neu - User kann der User dann im passenden Unterverzeichnis erstellt werden. In der Regel wird das Konto im Standardverzeichnis ``Users'' oder in einem anderen extra hierfür vorgesehenem Verzeichnis erstellt. Auch hier gelten die Konventionen für Anmeldenamen (s. Kap. 17.2).

Zur Vereinfachung bei der Erstellung eines neuen Users kann einfach ein schon bestehendes Konto kopiert werden17.2. Hierbei werden einige Informationen aus dem schon bestehenden Konto in das neue übernommen. Die Rechte und Berechtigungen, die einem einzelnen Benutzerkonto zugeteilt wurden, werden nicht übernommen.

Zur Definition einer Benutzerkontenvorlage sollte ein Dummy-Konto erstellt werden, daß als Kopiervorlage dient. Dieses Konto sollte dann in den Kennwortanforderungen deaktiviert werden , da es nur als Vorlage dienen soll. Es sollte jeweils eine Vorlage für bestimmte Benutzergruppen erstellt werden wie z.B. Vertriebsmitarbeiter, Buchhalter etc. Für Mitarbeiter, die das Netzwerk nur temporär oder nur Kurz benutzen sollte eine Vorlage mit entsprechendne voreingestellten Beschränkungen erstellt werden.

Übernahme von Einträgen beim Kopieren

Allgemein
kein Eintrag wird übernommen.
Adresse
Alle Einträge außer Straße.
Konto
Alle außer Anmeldename.
Profil
Hier werden der Profilpfad und der Basisordner geändert.
Rufnummern
keine
Organisation
Alle außer Anrede.
Miglied von
Übernahme aller Einträge.
Einwählen
Keine Übernahme. Das neue Konto erhält Standardeinstellungen.
Umgebung
Keine Übernahme. Das neue Konto erhält Standardeinstellungen.
Sitzungen
Keine Übernahme. Das neue Konto erhält Standardeinstellungen.
Remoteüberwachung
Keine Übernahme. Das neue Konto erhält Standardeinstellungen.
Terminaldienstprofile
Keine Übernahme. Das neue Konto erhält Standardeinstellungen.


Standard- Benutzergruppen

Die Benutzer können beliebigen (Benutzer-) Gruppen angehören, für die Sicherheitsrichtlinien definiert wurden. Auf einem neu installierten System sind schon einige Standardsicherheisteinstellungen für spezielle Gruppen definert.

Den Sondergruppen wird ein Benutzer automatisch hinzugefügt, sobald er sich am System anmeldet oder auf dieses zugreift. Ein manueller Eingriff in diese Gruppen ist nicht unbedingt möglich.


Administratoren

Ein Mitglied der (lokalen) Gruppe der Administratoren ist in der Lage den (lokalen) Rechner komplett zu verwalten. Innerhalb einer Domänenstruktur ist die globale Gruppe der Domänen- Admins in der Standardeinstellung Mitglied der lokalen Gruppe der Administratoren, so daß ein Mitglied dieser globalen Gruppe auf jeder Maschine in der Domäne Administratorrechte besitzt. Die Domänen- Admins besitzen also die volle Kontrolle über alle Objekte dieser Domäne. Zu beachten ist allerdings, daß die Domänen Admins natürlich aus diese Gruppe entfernt werden können und somit auf den lokalen Maschinen keine Administratorrechte mehr besitzen.


Hauptbenutzer

Der Hauptbenutzer (Poweruser) hat gegenüber dem normalen User erweiterte Rechte. Er darf z.B.

alle Anwendungen ausführen
Neben für Windows 2000 zertifizierten Anwendungen darf er auch Anwendungen ür frühere Betriebssysteme ausführen.
Programme einrichten
Er darf Programme einrichten. Diese dürfen aber keine Systemdienste einrichten und auch keine Betriebssytemdateien modifizieren.
Ressourcen verwalten
Anpassung von systemweiten Ressourcen wie Datum/Uhrzeit, Energieoptionen und andere Ressourcen der Systemsteuerung.
Drucker einrichten
Einrichtung von lokalen Druckern.
lokale Benutzerkonten verwalten
Erstellung und Verwaltung von lokalen Benutzerkonten und Gruppen.
manuell Dienste aktivieren
Aktivierung von Diensten, die manuell gestartet und beendet werden können.


Sicherungsoperatoren

Die Gruppe Sicherungsoperatoren (Backupoperators) verfügt über Berechtigungen, Dateien auf dem Rechner zu sichern und wiederherzustellen. Dieses wird unabhängig von den sonstigen Berechtigungen zum Schutz der Dateien gehandhabt. Daneben sind die Sicherungsoperatoren dazu berechtigt, den Computer herunterzufahren.

Da die Mitglieder dieser Gruppe über die Berechtigungen verfügen, Dateien zu lesen und zu schreiben stellt dieses eine eventuelle Sicherheitslücke dar. Um dieses weitergehend abzusichern, kann eine lokale Sicherheitsrichtlinie erstellt werden, die den Desktop der Sicherungsoperatoren so einschränkt, daß sie nur die für ihre Arbeit benötigten Programme aufrufen dürfen.


Benutzer

Ein Benutzer gehört bei Erstellung automatisch zur Gruppe der Benutzer. Die Standardberechtigungen dieser Gruppe ermöglichen das Ausführen von Programmen, das Erstellen von Dateien und Verzeichnissen und das Nutzen von Druckern. Die Installation von kleineren Applikationen die nicht tiefer ins System eingreift ist diesr Gruppe von Usern auch möglich. Ein Benutzer der dieser Gruppe angehört, darf die lokalen Einstellungen für Offline-Folder so setzen, daß diese Offline verfügbar sind (vorausgesetzt diese Möglichkeit ist auch auf dem Server aktiviert).


Interaktive Gruppe

Ein am System angemeldeter Benutzer ist automatisch Mitglied in dieser Gruppe. Wird ein NT 4 System auf W2K aktualisiert, werden die Benutzer dieser Gruppe auf dem NT 4 System zudem automatisch der Gruppe Hauptbenutzer hinzugefügt, so daß auch nicht für W2K speziell berechtigte Anwendungen wie vorher funktionieren.


Netzwerk

Diese Gruppe umfaßt alle User, die zur Zeit über das Netzwerk auf das lokale System zugreifen.


Gruppen


Gruppentypen

Eine Gruppe kann je nach ihrer Typzugehörigkeit zur Verwaltung von Rechten dienen oder nur als Gruppierungseinheit unabhängig von der Rechteverwaltung.

Verteilergruppen
Eine Verteilergruppe kann nur als Gruppierungseinheit ohne Rechte verwandt werden. Hiermit kann z.B. eine Gruppe für die Mailverteilung an eine Gruppe von Usern implementiert werden.

Verteilergruppen können nicht zur Verteilung (Weitergabe) von Rechten genutzt werden.

Sicherheitsgruppen
Eine Sicherheitsgruppe kann sowohl zur Verteilung von Rechten als auch als Mailverteilerliste verwandt werden.


Gruppenbereiche

Die Verwaltung der Domäne(n) sollte aus Gründen der Übersichtlichkeit und der Vereinfachung von Rechtezuweisungen generell mit Hilfe von Gruppen erfolgen. Aufgrund der Einschränkung, daß an Organisatorische Einheiten keine Rechte vergeben werden können, dienen die Gruppen auch als Hilfskonstrukte zur Rechtevergabe. Einzelne User, Computer oder andere Gruppen können zu Gruppen zusammengefaßt werden.

In erster Linie werden die globalen Gruppen und lokalen Gruppen zur Verwaltung der Berechtigungen genutzt. Die Begriffe lokal und global beziehen sich hier auf lokalisation der Ressourcen, die mit Hilfe einer Gruppe dieses Bereichs verwaltet werden. Die Ressourcen der lokalen Domäne werden mit einer Gruppe verwaltet, die in diser Domäne erstellt wurde und zum lokalen Gruppenbereich gehört. Gruppen des globalen Bereichs dienen dagegen zur domänenübergreifenden Verwaltung mit Hilfe von Gruppen.


Globale Gruppen

Die globale Gruppe kann Domänengrenzen überschreiten. Sie dienen dazu, Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zusammenzufassen. Einer globalen Gruppe können Berechtigungen an Ressourcen zugewiesen werden, die sich in einer beliebigen (global) Domäne befinden. Globale Gruppen weisen die folgenden Eigenschaften auf:

Globale Gruppen dienen also zur Verschachtelung von Gruppen um die Weitergabe von Berechtigungen steuern zu können. Die Mitgliedschaft an globalen Gruppen ist allerdings auf Objekte beschränkt, die sich in der gleichen Domäne befinden.


Lokale Gruppe oder Domänenlokalegruppe

Dieser Gruppenbereich wird zur Vergabe von Berechtigungen an Domänenressourcen (innerhalb der Domäne) genutzt, die sich in der gleichen Domäne befinden.18.1 Die jeweilige Ressource, an der diese Berechtigungen erteilt werden, muß sich nicht auf einem Domänencontroller befinden, kann sich also z.B. auf einem Memberserver befinden, der als Fileserver dient. Für domänenlokale Gruppen gelten die folgenden Eigenschaften:

Die Domänenlokale Gruppe wird auf allen Domänencontrollern (der Domäne zu der sie gehört) repliziert.


universelle Gruppe

18.2

Die universellen Gruppen werden genutzt um ähnlichen Ressourcen Treeübergreifend Berechtigungen zu erteilen. Zu beachten ist jedoch, daß die universellen Gruppen im globalen Katalog geführt werden und dieser daher durch intensive Nutzung der universellen Gruppen stark anwachsen kann.

Die universellen Gruppen sind mit folgenden Eigenschaften ausgestattet:


Integrierte und vordefinierte Gruppen

Die integrierten Gruppen der lokalen Domäne erteilen den Benutzern vordefinierte Rechte und Berechtigungen, damit diese spezielle Aufgaben durchführen können.

Der erste Administrator, der in der Domäne erstellt wird, wird automatisch Mitglied in allen Gruppen, die für die vollständige Administration wichtig sind.

vordefinierte Gruppen

Jeder
Jeder, der Zugriff auf die Domäne hat.
Besitzer/Ersteller
der jeweilige Besitzer/Ersteller des Objektes.
Netzwerk
Mitglieder dieser Gruppe sind die User, die sich über das Netzwerk angemeldet haben. (?),
Interaktiv
jeder, der sich interaktiv am System angemeldet hat, gehört automatisch zu dieser Gruppe.
System
die Gruppe System braucht nicht konfiguriert zu werden. In der Gruppe System ist z.B. das System vertreten.

Ein User wird einer ``besonderen'' Gruppe automatisch zugewiesen. Zu dieser Gruppe kann niemand manuell hinzugefügt bzw. entfernt werden.


Strategien zur Erstellung von Gruppen

Die Hierarchische Ordnung der Gruppen und die Zuweisung an User sollte nach der sogenannten AGDLP-Strategie erfolgen.

AG
User (Accounts) mit gemeinsamen Verantwortungen (und somit Rechten) werden mit Hilfe einer globalen Gruppe zusammengefaßt.

DL
Die globalen Gruppen mit gleichen Anforderungen an ein Zugriffsprofil werden in Gruppen der lokalen Domäne zusammengefaßt. So lassen sich die Zugriffsberechtigungen für alle untergeordneten Gruppen und User mit Hilfe diese Gruppe einstellen.

P
Die einzelnen Berechtigungen (Permissions) werden schließlich an die Gruppen der lokalen Domäne auf dem Domänencontroller vergeben.


Berechtigungen

Berechtigungen können für alle Objekte im Windows 2000 System eingestellt werden. Der Begriff Objekt umfaßt hier alle Einträge im Actvive Diretory sowie auch Verzeichnisse und Dateien im NTFS Filesystem. Die Berechtigungen sind nicht mit den Benutzerrechten einer lokalen Richtlinie zu verwechseln. Die Berechtigungen beziehen sich auf eine Domäne oder das NT-Filesystem, während Benutzerrechte den lokalen Rechner selbst betreffen. Mit Hilfe der Berechtigungen wird der Zugriff auf das Objekt selbst und der Zugriff auf die Attribute des Objekts gesteuert.


Hierarchie der Berechtigungen

Berechtigungen werden innerhalb des Filesystems vom Rootdirectory zu allen darunterliegenden Verzeichnissen und Dateien vererbt. Eine Vererbungshierarchie läßt sich auf Ebene eines Verzeichnisses blockieren. Allerdings läßt sich für jedes Recht einzeln wiederum einstellen, daß die Vererbung erzwungen wird. Diese Einstellung erfolgt mit dem Feld:

Berechtigungen in allen untergeordneten Objekten zurücksetzen und die Verbreitung vererbbarer Berechtigungen aktivieren.
Nachdem der Vorgang bestätigt wurde, werden in den untergeordneten Verzeichnissen die Berechtigungseinträge der Vererbungshierarchie neu gesetzt. Die ``alten'' Berechtigungseinträge werden dann u.U. gelöscht. Jedes Objekt erbt standardmäßig die Berechtigungen des darüberliegenden Objektes. Auch neu hinzugefügte Objekte übernehmen diese Berechtigungshierarchie.

Tritt der Fall ein, daß sich die (ererbten) Berechtigungen an einem Objekt wiedersprechen, so besitzen die einer Datei oder einem Verzeichnis direkt(er) zugewiesenen Berechtigungen eine höhere Priorität als Berechtigungen, die in der Hierarchie weiter entfernt vom Objekt zugewiesen wurden. Das heißt, daß dem Objekt direkt zugewiesene Berechtigungen immer die höchste Priorität besitzen. In der Praxis sollte die direkte Zuweisung von Berechtigungen an ein Objekt jedoch vermieden werden, da die Struktur des Gesamten Berechtigungssystems hierdurch sehr schnell extrem kompliziert wird. Bei in der gleicher Ebene zugewiesenen Rechten besitzt eine verweigerte Berechtigung eine höhere Priorität als eine erlaubende Berechtigung.

Einstellungen für Berechtigungen

Die Einstellung von Berechtigungen sowie der Vererbungsmöglichkeiten erfolgt mit Hilfe des ACL-Editors, der über die Registerkarte Sicherheit im Eigenschaftsfeld eines Objektes zu erreichen ist. Im oberen Fenster des ACL-Editors werden die User und Gruppen angezeigt, für die Berechtigungen an diesem Objekt gelten. Der untere Teil zeigt die Berechtigungen des jeweiligen Users bzw. der Gruppe am jeweiligen Objekt. Hier können die insgesamt 6 Verzeichnisberechtigungen bzw. Dateiberechtigungen zugelassen oder verweigert werden. Das Recht die Attribute und Berechtigungen einer Datei zu ändern erhält nur der, der die Rechte für Vollzugriff besitzt.

Ein grau hinterlegtes Kästchen zeigt an, daß die jeweiligen Berechtigungen von darüberliegenden Objekten geerbt wurden. Wenn keines der Kästchen markiert oder grau hinterlegt ist heißt dieses allerdings nicht, daß das im oberen Fenster markierte Objekt keinerlei Berechtigungen besitzt. Die Dateiberechtigungen dieses Fensters stellen eine vorgefertigte Zusammenfassung der sogenannten beschränkten Berechtigungen eines Objektes dar. Mit Markieren eines dieser Kästchen werden mehrere der über die Schaltfläche Erweitert zu erreichenden beschränkten Berechtigungen gesetzt.

beschränkte Berechtigungen

Die im Eigenschaftsfenster eines Objektes angezeigten Datei- oder Verzeichisberechtigungen werden auf den beschränkten Berechtigungen abgebildet. Sie stellen immer eine Zusammenfassung von mehreren beschränkten Berechtigungen dar:

Vollzugriff
Alle Rechte, daß Objekt oder untergeordnete Objekte zu lesen, schreiben, löschen, modifizieren oder zu löschen. Auch die Übernahme des Besitzes ist erlaubt.

Ändern
Am Objekt selbst dürfen Änderungen einschließlich der Löschung desselben vorgenommen werden. Die Übernahme des Besitzes oder das Ändern von Berechtigungen ist nicht erlaubt. Des Weiteren dürfen keine untergordneten Objekte gelöscht werden. Alle Optionen an den Objekten dürfen gelesen werden.

Lesen, Ausführen
Änderungen am Objekt oder untergeordneten Objekten sind nicht erlaubt. Leseberechtigungen bestehen für alle Attribute und Inhalte.

Ordnerinhalt auflisten
Gleiche Berechtigungen wie Lesen und Ausführen, allerdings auf Verzeichnisse bezogen. Das Verzeichnis und Unterverzeichnisse dürfen gelesen und durchsucht werden. Auch die Attribute dürfen für alle Objekte gelesen werden.

Lesen
Nur Leserechte. Das Ausführen von Dateien oder das Durchsuchen von Verzeichnissen ist nicht erlaubt.

Schreiben
Es darf nur schreibend zugegriffen werden. Das Durchsuchen von Verzeichnissen und das Ausführen von Dateien ist nicht erlaubt. Die Attribute einer Datei oder eines Verzeichnisses dürfen gesetzt werden. Die Berechtigungen von Dateien oder Verzeichnissen dürfen allerdings nur gelesen werden.

Neben den Einstellungen für die Berechtigungen eines Objektes können hier weitere Eigenschaften wie die Überwachung (s.a. unter 6) von Zugriffen auf das Objekt und die Besitzeinstellungen konfiguriert werden.


Vorgänge beim Zugriff auf ein Objekt

Wenn ein Benuter einen beliebigen Zugriff auf ein Objekt durchführen möchte, untersucht das System die Sicherheitsbeschreibung (Security Descriptor) für dieses Objekt um festzustellen ob der Zugreifende berechtigt ist, in der gewünschten Art und Weise auf das Objekt zuzugreifen. Die Sicherheitsbeschreibung des einzelnen Objektes umfaßt dabei zwei Zugriffslisten, die DACL (Discretional Access Controll List, die ACL für diskrete (einzelne) Zugriffe) und die die SACL (System Access Control List).

DACL
Die DACL gibt an,
  • wer der Besitzer des Objektes ist und daher über die Besitzrechte verfügt,
  • welchen Usern oder Gruppen Berechtigungen zum Zugriff auf das Objekt erteilt wurden und welchen sie verwehrt wurden,
  • Wie die innerhalb eines Containers enthaltenen Objekte Berechtigungen des Containers erben dürfen.

Die Einstellungen an der DACL werden mit den Einstellungen unter den Menüpunkten Berechtigungen vorgenommen.

SACL
In der SACL ist hingegen festgehalten welche Zugriffsereignisse von welchen Benutzern oder Gruppen auf dieses Objekt überwacht werden sollen.

Die Einstellungen für die Systemzugriffe werden unter den Menüpunkten für die Überwachung vorgenommen.


Freigaben

Eine W2K Maschine kann Ressourcen wie Drucker oder Dateien Netzwerkweit freigeben. Freigaben können für Verzeichnisse und Drucker auf einem Rechner installiert werden. Zusätzlich besteht die Möglichkeit eine Freigabe im AD zu installieren. Hierfür muß das entsprechende freigegebene Objekt nicht unbedingt bzw. nur temporär existieren.

Die Netzwerkfreigabe an einem Verzeichnis wird entfernt, falls dieses verschoben oder unbenannt wird. Das System gibt in diesem Fall eine Warung aus. Nach dem Vorgang muß das Verzeichnis wieder neu freigegeben werden.

Die Berechtigungen sind im System Üblicherweise so organisiert, daß die Rechte kummuliert (addiert) werden. Beim Zugriff auf eine Freigabe über das Netz gilt dagegen, daß nur das am meisten einschränkende Recht (the most restricive right) wirksam wird (s.a. 4.1).


Defaultberechtigungen einer Freigabe

Neu erstellte Freigaben erhalten als Defaulteinstellung die Berechtigung Vollzugriff für die Gruppe Jeder (Everyone). Wie oben erwähnt gelten zusätzlich die Filesytemberechtigungen an den Dateien der Freigabe.

Std-Berechtigungen an neu erstellten Verzeichnissen. freigegebene Verzeichnisse: Std: Vollzugriff für Everyone, bei Verschieben auf einen anderen Datenträger erhält es die Standardfreigabe, Wenn er umbenannt oder (lokal) verschoben wird, wird die Freigabe entfernt, d.h. es ist ein ``normales'' Verzeichnis.


Lokale Zwischenspeicherung mit Offline-Dateien

Um mit Freigaben auch ohne Netzzugang arbeiten zu können (z.B. bei Laptops), müssen die Daten lokal auf der Maschine zur Verfügung stehen. Der Zugriff auf die Daten erfolgt für den Benutzer vollkommen transparent. Aus seiner Sicht stellt sich der Zugriff auf einen Zugriff auf eine Freigabe im Netzwerk dar.

Für ein im Netz freigegebenens Verzeichnis wird per Defaulteinstellung die Option zum Offline-Zwischenspeichern der Datei aktiviert. Die Konfiguration dieser Optionen erfolgt auf der Karte mit den Einstellungen für die Freigabe unter dem Punkt Zwischenspeichern.

Die grundlegende Aktivierung für die Nutzung der Offlinedateien erfolgt in der Systemsteuerung unter dem Icon Ordneroptionen. Die Unterschiede zwischen der Workstation-Version und der Serververision von W2K ist hier, daß die Nutzung von Offlinedateien in der Workstation-Version (W2K Professional) standardmäßig aktiviert ist, während sie auf der Serverversion per default deaktiviert ist. Weiter Optionen für die lokale Zwischenspeicherung ist .z.B. die maximale Größe von Dateien, die noch lokal zwischengespeichert werden und die Angabe des maximalen Speicherplatzes, der für Offline-Dateien zur Verfügung gestellt werden soll. Ein Server, der als Terminalserver fungiert ist die Zurverfügungstellung von Offlinedateien nicht möglich.

Das Zwischenspeichern (Caching) von freigegebenen Dateien kann nur auf Verzeichnisebene gesteuert werden. Die Defaulteinstellung ist das manuelle Zwischenspeichern der Dateien, bei der die Benutzer für jede Datei einzeln angeben müssen, ob diese lokal Zwischengespeichert werden soll. Die automatisierte Auswahl sieht zwei mögliche Einstellungen vor:

Automatisches Zwischenspeichern für Programme
Hier werden Dateien, die vom Client auf dem Server geöffnet werden zum Client übertragen und hier zwischengespeichert. Danach wird die Datei auf dem Server wieder geschlossen. Weiter Zugriffe des Clients erfolgen nur auf lokal zwischengespeciherte Datei. Einem anderen Nutzer ist es möglich ist die Datei auf dem Server mit einer geänderten Version zu überschreiben. Daher ist diese Einstellung nur für Dateien in einer schreibgeschützten Freigabe zu empfehlen. Als Nebeneffekt vermindert diese Einstellung die Netzwerklast.

Automatisches Zwischenspeichern für Dokumente
Hier wird die auf dem Server geöffnete Datei zum Client übertragen, aber auf dem Server weiterhin offen gehalten so daß andere User diese nicht verändern können. Die Datei auf dem Server wird geschlossen, wenn sich der Client (z.B. ein Notebook) vom Server abmeldet.(?) Das Problem der Versionsverwaltung ist hiermit allerdings auch nicht zufriedenstellend gelöst, da die Datei jetzt von einem Dritten mit einer geänderten Version überschrieben werden kann.

Bei Abmelden des Users werden Server und Client beidseitig synchronisiert, so daß auf beiden Maschinen der gleiche Stand der Dateien vorliegt. Bei der nächsten Anmeldung des Users wird der Server einseitig mit der Usermaschine synchronisiert, indem die geänderten Dateien der Usermaschine auf den Server kopiert werden. Die Einstellungen für die Synchronisierung erfolgen unter Zubehör - Synchronisieren.


Benutzerprofile und Gruppenrichtlinien

Die Arbeitsumgebung eines Benutzers läßt sich mit Hilfe von Gruppenrichtlinien und Benutzerprofilen konfigurieren. Diese Konstrukte können so eingestellt werden, daß sie ein sogenanntes Roaming Profile bilden, das dem User bei Anmeldung an jedem beliebigen Computer in der Domäne zur Verfügung steht. Voraussetzung für die Nutzung von Gruppenrichtlinien ist ein Domänen-Controller, auf dem Active Directory installiert ist.


Benutzerprofile

Unter W2K ist neben der Einrichtung von Gruppenrichtlinien auch noch die Konfiguration der aus NT 4 bekannten Benutzerprofile möglich. Für jeden Benuter wird spätestens bei der ersten lokalen Anmeldung an einer Workstation ein Benutzerprofil erstellt. Der Administrator kann die Einstellungen des Benutzerprofils zentral im MMC-Snap-In Active Directory- Benutzer und -Computer auf der Registerkarte Profile verwalten. Hier erfolgt auch die Einstellung des (UNC-) Pfades zum Profil, das eingentlich nur aus einer Verzeichnisstruktur mit einigen notwendigen Dateien besteht.21.1 Die Einstellungen, die ein Benutzerprofil beinhaltet sind also komplett im Dateisystem hinterlegt. Einige Einstellungen sind in einem Teilzweig der Registry gespeichert, die im Profil in der Datei ntuser.dat abgelegt sind. Aus diesem Grunde kann ein Profil auch nicht einfach mit Hilfe des Filemanagers kopiert werden, wie es zur Vereinfachung der Verwaltung notwendig ist. Das Kopieren muß daher in der Systemsteuerung unter System - Benutzerprofile erfolgen.

Ein Benutzer ist in der Lage sein Benutzerprofil zu ändern falls es sich nicht um ein servergespeichertes Profil handelt, daß auf dem Server read only abgelegt ist. In dieser Hinsicht unterscheidet sich das Benutzerprofil von der Gruppenrichtlinie, die in der Verzeichnisdatenbank hinterlegt wird.


Gruppenrichtlinien

Alle Konfigurationseinstellungen des Benutzerprofils, wie z.B. die Verwaltung der Favoriten können auch mit Hilfe einer Gruppenrichtlinie durchgeführt werden. Die hier gemachten Einstellungen überschreiben dabei immer anderslautende Einstellungen in Benutzerprofilen, so daß letztendlich immer die Gruppenrichtlinie zum Tragen kommt. Der Benutzer kann an den ihm zugewiesenen Einstellungen nichts ändern.

Mit Hilfe der Gruppenrichlinen erfolgt die Verwaltung der kompletten Umgebung der Benutzer. Die Profile sind jetzt vor allem für das zentrale Speichern von benutzerspezifischen Verzeichnissen wie z.B. Dokumente und Einstellungen notwendig.


Systemrichtlinien (Policies)

Mit Hilfe von Systemrichtlinien (Policies) lassen sich alle Bereiche im System einstellen. Eine Policy hat einen genau definierten Geltungsbereich.

Die Konfiguration der Policies erfolgt in den Eigenschaften der einzelnen Komponente. Die Kontorichlinien, also die Policies, die die Benutzerkonten (User Accounts) betreffen, werden nur wirksam, wenn sie auf Domänenebene definiert werden. Dieses Verhalten dient zur Verhinderung von unterschiedlichen Kontorichtlinien für ein und dasselbe Benutzerkonto auf verschiedenen Rechnern. Dieses würde die Administration extrem unübersichlich werden lassen. Policies für Benutzerkonten die auf anderen Ebenen definiert werden, werden vom System immer ignoriert ((?)oder nur wenn einen Richtlinie auf Domänenebene definiert wurde?(?)).


Refresh der Richtlinieneinstellungen

Das System liest die Systemrichtlinien beim Start des Systems ein, wobei die Computerspezifischen Einstellungen beim Booten, die userspezifischen Einstellungen beim Anmelden des Users geladen werden. Wenn die Einstellung Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren (Disable background refresh of group policy) nicht aktiviert ist (default), werden die User- und Computerspezifischen Einstellungen in einem zufällig gewählten Zeitraum im Invervall von 90 bis 120 Minuten neu eingelesen. Hier kann die Fixzeit (hier 90 min) eingestellt werden und die variable zufällige Totzeit (default 30 min) deaktiviert werden. Diese Einstellung sollte beibehalten werden, um eine gleichzeitige Aktualisierung aller Rechner im Netzwerk zu vermeiden.


Vererbung von Policies

Innerhalb der AD Hierarchie werden die Policies von übergeordneten Containern in die darunterliegenden vererbt. Um dieses zu verhindern kann die Option Block Policy inheritance gesetzt werden. Zum Erzwingen der Vererbung kann am Gruppenrichtlinienobjekt die Option No Override gesetzt werden.


Policies für NT4 Clients

Die sich im Netzwerk befindlichen NT4 Clients unterstützen keine W2K Policies. Mit Hilfe des System Policy Editors können auf administrativen Schablonen basierende NT4 Policies erstellt werden. Die hiermit erstellte Systemrichtlinie sollte im Verzeichnis %systemroot%SYSVOL\sysvol\Domänenname\scripts gespeichert unter dem Namen NTConfig.pol werden. Diese Datei wird dann im Zuge der Replikationsvorgänge auf alle anderen Domänencontroller verteilt.

Sicherheitsrichtlinien

Zur Implementierung der Sicherheit wird auf einer nicht zu einer Domäne gehörenden Maschine eine lokale Sicherheitsrichtlinie konfiguriert. Diese wird im Menü Verwaltung unter Lokale Sicherheitsrichtlinie konfiguriert. Alternativ ist auf der Aufruf des Befehls gpedit.msc möglich. In AD Netzwerken können zur Vereinfachung der Administration Gruppenrichtlinien in der Computerconfiguration oder der Benutzerkonfiguration eingerichtet.

Zuerst wird die lokale Sicherheitsrichtlinie abgearbeitet. Die folgenden Gruppensicherheitsrichlinien werden in der folgenden Reihenfolge berücksichtigt:

  1. Standort
  2. Domäne
  3. Organisatorische Einheit (OU)

Bei sich wiedersprechenden Einstellungen überschreibt die jeweils nachfolgende Richtlinie die vorhergehenden Einstellungen. Eine ``näher'' am Objekt definierte Richtlinie hat wiederum Vorrang vor einer in der Hierarchie entferntere Einstellung.


Vordefinierte Sicherheitsrichtlinien

W2K hat verschiedene Sicherheitsrichtlinienpakete vordefiniert. Diese können aus dem Verzeichnis %SystemRoot%/security/templates importiert werden. Die jeweiligen Vorlagen sind mit folgenden Dateien assoziiert. Dabei setzt sich der Name aus Sicherheitsstufe (BASIC, COMPATibel, SECURE, HISECure) und der Art des Systems (WorKstation, StandardserVer, DomänenController) zusammen.

Basis
In der Datei basic??.inf sind die Standardeinstellungen der Sicherheitsrichtlinien von Windows 2000 z.B. hinsichtlich der Rechte des Hauptbenuters, Administratoren etc. hinterlegt. Sie können von hier aus einfach installiert werden. Diese Schablone sollte auf Rechnern genutzt werden, die von NT4 auf W2K upgegraded werden.
  • Basicwk.inf
  • Basicsv.inf
  • Basicdc.inf
Kompatibel
Die Compatws.inf Richtiline ermöglicht ein erfolgreiches Ausführen der meisten Anwendungen im Benutzerkontext, indem die Sicherheitsstufen bei bestimmten Dateien, Verzeichnissen und Registrierungsschlüsseln herabgesetzt wird.
Sicher
Die Anwendung von secure??.inf Policies setzt viele Registry-Einstellungen auf höhere Sicherheitsstufen.
  • Securews.inf
  • Securedc.inf
Sehr Sicher
Bei Anwendung der hisec??.inf Policies findet jegliche Netzwerkkommunikation verschlüsselt über IPSec statt. Mit dieser Maßnahme ist keinerlei Kommunikation mehr mit Microsoft-Rechnern mehr möglich, die nicht mindestens mit Windows 2000 laufen, da alle vorherigen MS-Betriebssyteme noch kein IPSec unterstützen.
  • Hisecws.inf
  • Hisecdc.inf

Das Tool secedit ermöglicht die automatisierte Konfiguration von Sicherheitsrichtlinien mittels der Console. Hiermit lassen sich aus dem GUI-Tool exportierte Sicherheitsrichtlinien automatisch anlegen.


Anmeldeversuch und Anmeldeereignis

Eine Amneldung wird dort aufgezeichnet wo sie stattfindet (Domäne oder Lokal). Die Anmeldung eines Users kann an der Domäne erfolgen, obwohl sich dieser gemäß einer lokalen Richtlinie an der lokalen Maschine nicht anmelden kann.

Hinsichtlich der zu überwachenden Ereignisse unterscheidet MS unter Anmeldeversuchen und Anmeldeereignissen. Im oben beschriebenen Fall wird der Anmeldeversuch auf dem Domänecontroller protokolliert, das Anmeldeereignis auf der lokalen Maschine.

Das Anmeldeereignis ist ein erfolgreich oder nicht erfolgreich zuendegeführter Anmeldeversuch.


Hierarchie der Sicherheitsrichtlinien

Die Sicherheitsrichtlininen unterliegen einer Vererbungshierarchie mit der Möglichkeit die Vererbung zu blocken. Eine Ausnahme unter den User-Account Einstellungen bilden hier allerdings die für die Passwort-Eigenschaften, die nicht blockiert werden können.



Fußnoten

... Brute-Force17.1
auch Wörterbuchangriff genannt, Versuch das Password durch (automatisiertes) ausprobieren zu erraten. Wird oft mit Hilfe eines Wörterbuches durchgeführt, indem die am häufigsten für Passwörter genutzten Wörter zuerst getestet werden.
... werden17.2
Diese kann allerdings nur auf Domänencontrollern erfolgen.
... befinden.18.1
Nicht zu verwechseln mit der lokalen Gruppe, die nur auf einem einzelnen Rechner erstellt werden und zur Verwaltung dieses einzelnen Systems dient. Eine lokale Gruppe kann nicht auf einem Domänencontroller erstellt werden.
... 18.2
Universelle Gruppen können nur dann als Sicherheitsgruppen erstellt werden, wenn sich die Domäne im einheitlichen (nur W2k-) Modus befindet.
... besteht.21.1
Bei Pfadangaben ist hier die Nutzung der Umgebungsvariable %username% sehr zu empfehlen.


Nächste Seite: Active Directory Aufwärts: Einführung in Windows 2000 Vorherige Seite: Windows 2000 im Netzwerk   Index



Copyright © 2001 Martin Werthmöller

Der Text darf nicht verändert, allerdings frei kopiert werden falls dieser Copyright-Hinweis erhalten bleibt. Anregungen, Korrekturen und Beiträge zu diesem Dokument sind jederzeit willkommen. Bitte senden Sie diese per Email an: doku@werthmoeller.de