Grundlegendes zum logischen Active Directory-Modell

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Das Entwerfen Ihrer logischen Struktur für Active Directory Domain Services (AD DS) umfasst das Definieren der Beziehungen zwischen den Containern in Ihrem Verzeichnis. Diese Beziehungen können auf administrativen Anforderungen basieren, z. B. der Delegierung von Autoritäten, oder sie können durch betriebliche Anforderungen definiert werden, z. B. die Notwendigkeit, die Replikation zu steuern.

Bevor Sie Ihre logische Active Directory-Struktur entwerfen, ist es wichtig, das logische Active Directory-Modell zu verstehen. AD DS ist eine verteilte Datenbank, die Informationen zu Netzwerkressourcen sowie anwendungsspezifische Daten aus verzeichnisfähigen Anwendungen speichert und verwaltet. mit AD DS können Administratoren Elemente eines Netzwerks (z. B. Benutzer, Computer und Geräte) in einer hierarchischen Einschlussstruktur organisieren. Der Container der obersten Ebene ist die Gesamtstruktur. Innerhalb von Gesamtstrukturen sind Domänen, und innerhalb von Domänen sind Organisationseinheiten (OUs). Dies wird als logisches Modell bezeichnet, da es unabhängig von den physischen Aspekten der Bereitstellung ist, z. B. der Anzahl der Domänencontroller, die in jeder Domäne und Netzwerktopologie erforderlich sind.

Active Directory-Gesamtstruktur

Eine Gesamtstruktur ist eine Sammlung von mindestens einer Active Directory-Domäne, die eine gemeinsame logische Struktur, ein Verzeichnisschema (Klassen- und Attributdefinitionen), eine Verzeichniskonfiguration (Standort- und Replikationsinformationen) und einen globalen Katalog (gesamtstrukturweite Suchfunktionen) gemeinsam nutzen. Domänen in derselben Gesamtstruktur werden automatisch mit zweistufigen, transitiven Vertrauensstellungen verknüpft.

Azure Active Directory-Domäne

Eine Domäne ist eine Partition in einer Active Directory-Gesamtstruktur. Mit der Partitionierung von Daten können Organisationen Daten nur dort replizieren, wo sie benötigt werden. Auf diese Weise kann das Verzeichnis global über ein Netzwerk skaliert werden, das über eine begrenzte verfügbare Bandbreite verfügt. Darüber hinaus unterstützt die Domäne eine Reihe anderer Kernfunktionen im Zusammenhang mit der Verwaltung, einschließlich:

  • Netzwerkweite Benutzeridentität. Domänen ermöglichen das einmalige Erstellen von Benutzeridentitäten und verweisen auf jedem Computer, der mit der Gesamtstruktur verknüpft ist, in der sich die Domäne befindet. Domänencontroller, die eine Domäne bilden, werden verwendet, um Benutzerkonten und Benutzeranmeldeinformationen (z. B. Kennwörter oder Zertifikate) sicher zu speichern.

  • Authentifizierung Domänencontroller stellen Authentifizierungsdienste für Benutzer bereit und stellen zusätzliche Autorisierungsdaten bereit, z. B. Benutzergruppenmitgliedschaften, die zum Steuern des Zugriffs auf Ressourcen im Netzwerk verwendet werden können.

  • Vertrauensstellungen. Domänen können Authentifizierungsdienste über Vertrauensstellungen auf Benutzer in Domänen außerhalb ihrer eigenen Gesamtstruktur erweitern.

  • Replikation. Die Domäne definiert eine Partition des Verzeichnisses, die genügend Daten enthält, um Domänendienste bereitzustellen, und repliziert sie dann zwischen den Domänencontrollern. Auf diese Weise sind alle Domänencontroller Peers in einer Domäne und werden als Einheit verwaltet.

Active Directory-Organisationseinheiten

Organisationseinheiten können verwendet werden, um eine Hierarchie von Containern innerhalb einer Domäne zu bilden. Organisationseinheiten werden verwendet, um Objekte zu administrativen Zwecken zu gruppieren, z. B. zur Anwendung von Gruppenrichtlinie oder Delegierung von Autoritäten. Die Steuerung (über eine Organisationseinheit und die darin enthaltenen Objekte) wird durch die Zugriffssteuerungslisten (ACLs) für die Organisationseinheit und für die Objekte in der Organisationseinheit bestimmt. Um die Verwaltung einer großen Anzahl von Objekten zu vereinfachen, unterstützt AD DS das Konzept der Delegierung von Autoritäten. Mithilfe der Delegierung können Besitzer die vollständige oder eingeschränkte administrative Kontrolle über Objekte an andere Benutzer oder Gruppen übertragen. Die Delegierung ist wichtig, da sie dabei hilft, die Verwaltung einer großen Anzahl von Objekten auf eine Reihe von Personen zu verteilen, denen die Ausführung von Verwaltungsaufgaben vertraut wird.