Grundlegendes zum logischen Active Directory-Modell

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Beim Entwerfen Ihrer logischen Struktur für Active Directory Domain Services (AD DS) werden die Beziehungen zwischen den Containern in Ihrem Verzeichnis definiert. Diese Beziehungen können auf Verwaltungsanforderungen basieren, z. B. der Delegierung von Berechtigungen, oder sie können durch betriebliche Anforderungen definiert sein, z. B. die Notwendigkeit, die Replikation zu steuern.

Bevor Sie die logische Active Directory-Struktur entwerfen, ist es wichtig, das logische Active Directory-Modell zu verstehen. AD DS ist eine verteilte Datenbank, in der Informationen zu Netzwerkressourcen sowie anwendungsspezifische Daten aus verzeichnisfähigen Anwendungen gespeichert und verwaltet werden. Mit AD DS können Administratoren die Elemente eines Netzwerks (z. B. Benutzer, Computer und Geräte) in einer hierarchischen Containerstruktur organisieren. Der Container der obersten Ebene ist die Gesamtstruktur. Innerhalb von Gesamtstrukturen befinden sich Domänen, und innerhalb von Domänen befinden sich Organisationseinheiten. Dies wird als logisches Modell bezeichnet, da es unabhängig von den physischen Aspekten der Bereitstellung ist, z. B. der Anzahl der Domänencontroller, die innerhalb jeder Domäne und Netzwerktopologie erforderlich sind.

Active Directory-Gesamtstruktur

Eine Gesamtstruktur ist eine Sammlung von mindestens einer Active Directory-Domäne, die eine gemeinsame logische Struktur, ein Verzeichnisschema (Klassen- und Attributdefinitionen), eine Verzeichniskonfiguration (Standort- und Replikationsinformationen) sowie einen globalen Katalog (gesamtstrukturweite Suchfunktionen) nutzen. Domänen in derselben Gesamtstruktur werden automatisch mit bidirektionalen, transitiven Vertrauensstellungen verknüpft.

Azure Active Directory-Domäne

Eine Domäne ist eine Partition in einer Active Directory-Gesamtstruktur. Die Partitionierung von Daten ermöglicht es Organisationen, Daten nur dort zu replizieren, wo sie benötigt werden. Auf diese Weise kann das Verzeichnis global über ein Netzwerk mit begrenzter verfügbarer Bandbreite skaliert werden. Darüber hinaus unterstützt die Domäne eine Reihe weiterer Kernfunktionen im Zusammenhang mit der Verwaltung. Dazu gehören:

  • Netzwerkweite Benutzeridentität. Domänen ermöglichen das einmalige Erstellen von Benutzeridentitäten und das Verweisen darauf auf jedem Computer, der mit der Gesamtstruktur verbunden ist, in dem sich die Domäne befindet. Domänencontroller, die eine Domäne bilden, werden zum sicheren Speichern von Benutzerkonten und Benutzeranmeldeinformationen (z. B. Kennwörter oder Zertifikate) verwendet.

  • Authentifizierung Domänencontroller bieten Authentifizierungsdienste für Benutzer und stellen zusätzliche Autorisierungsdaten wie Gruppenmitgliedschaften von Benutzern bereit, die zum Steuern des Zugriffs auf Ressourcen im Netzwerk verwendet werden können.

  • Vertrauensstellungen. Mithilfe von Vertrauensstellungen können Domänen Authentifizierungsdienste auf Benutzer in Domänen außerhalb der eigenen Gesamtstruktur ausweiten.

  • Replikation. Die Domäne definiert eine Partition des Verzeichnisses, die genügend Daten zum Bereitstellen von Domänendiensten enthält, und repliziert sie dann zwischen den Domänencontrollern. Auf diese Weise sind alle Domänencontroller Peers in einer Domäne und werden als Einheit verwaltet.

Active Directory-Organisationseinheiten

Mithilfe von Organisationseinheiten kann eine Hierarchie von Containern innerhalb einer Domäne gebildet werden. Organisationseinheiten werden verwendet, um Objekte zu Verwaltungszwecken wie der Anwendung von Gruppenrichtlinien oder der Delegierung von Berechtigungen zu gruppieren. Die Steuerung (einer Organisationseinheit und der darin enthaltenen Objekte) wird durch die Zugriffssteuerungslisten (ACLs) für die Organisationseinheit und die Objekte in der Organisationseinheit bestimmt. Zur vereinfachten Verwaltung einer großen Anzahl von Objekten unterstützt AD DS das Konzept der Delegierung von Berechtigungen. Mithilfe der Delegierung können Besitzer die vollständige oder eingeschränkte administrative Kontrolle über Objekte auf andere Benutzer oder Gruppen übertragen. Delegierung ist wichtig, da mit ihrer Hilfe die Verwaltung einer großen Anzahl von Objekten auf mehrere Personen verteilt werden kann, die zum Ausführen von Verwaltungsaufgaben berechtigt sind.