next up previous contents
Next: Erstellen eigener Domänen Up: Domänen bei Struktureinheiten Previous: Domänen bei Struktureinheiten   Contents

Integration in einen Domänenbaum

Beim Betrieb eines Domänenbaums, in den eine weitere Domäne integriert werden soll, muss im Rahmen des Integrationsprozesses bedacht werden, dass einer der Schritte der Eintrag der Subdomäne in das Active Directory der hierarchisch übergeordneten Domäne ist, was Rechte des Administrators dieser Domäne erfordert.
Standardmäßig gibt es mehrere Administrator-Rollen in einer Domäne, etwa der Konten-Operator oder der Organisations-Admin. Im Rahmen der Tests wurde versucht, mit einer solchen gegenüber dem regulären Administrator eingeschränkten Rolle eine Integration einer Subdomäne vorzunehmen, was leider misslang. Somit ist im Rahmen der Propagierung eines Windows-Server zum ersten Domaincontroller einer neuen Subdomäne der Eingriff beziehungsweise die Berechtigung des Administrators der darüber angesiedelten Domäne nötig. Prinzipiell wäre es möglich, dem Administrator der Subdomäne durch Bereitstellung eines entsprechend berechtigten Nutzeraccounts die Fähigkeit dazu zu geben, doch wird es in den wenigsten Anwendungsfällen gewünscht und sinnvoll sein.
Die Lösungen, die sich im Falle dieses Problemes anböten, sind einerseits die grundlegende Installation und Integration durch einen Administrator der Stammdomäne und erst danach folgenden Auslieferung und Übergabe an den Administrator der Subdomäne beziehungsweise andererseits wäre denkbar, die Grundinstallation durch den zukünftigen Subdomänen-Administrator durchführen zu lassen, ihn mit der Einrichtung eines qualifizierten Admin-Kontos für den Administrator der Stammdomäne und den Remotezugriff beispielsweise via RDP einzurichten, so dass dieser Stamm-Administrator in der Folge der Grundinstallation die Propagierung auch aus der Ferne vornehmen kann. Danach ist die Löschung des Stamm-Admin-Kontos durch den Subdomänen-Administrator wieder möglich, um die administrative Hoheit zu wahren. Gleiches Vorgehen wäre beim Löschen einer Domäne zu beachten. Die Integration einer neuen Substruktur zeigt Abbildung 6.7.
Figure: Einbindung einer neuen Subdomäne
\resizebox*{0.45\textwidth}{0.25\textheight}{\includegraphics{images/DCsubDomain}} \resizebox*{0.45\textwidth}{0.25\textheight}{\includegraphics{images/DCsubDomain.eps}}

Die Integration eines neuen Domaincontrollers in eine bestehende Domäne hingegen ist unproblematisch, da dazu nur Eintragungen in das Active Directory der eigenen Domäne erfolgen, dies also durch jeden Domänen-Administrator der eigenen Domäne erfolgen kann.
Gleicher Aufwand entsteht bei der Einrichtung paralleler Domänen einer bestehenden Gesamtstruktur, was beispielsweise für Institutionen interessant ist, die mehrere Domänen unter einer administrativen Hoheit betreiben.

Als "`Nebeneffekt"' der Integration wird die implizite Vertrauensstellung sowohl in der Stamm- als auch Subdomäne eingetragen, was keinen weiteren Eingriff erfordert, um Benutzer der selben Gesamtstruktur für die Nutzung von Ressourcen der eigenen Domäne zu berechtigen. Einzig die Rechtevergabe auf der Ressource muss erfolgen, gegebenenfalls ist die Strukturierung der Nutzer oder Ressourcen in Gruppen notwendig.


next up previous contents
Next: Erstellen eigener Domänen Up: Domänen bei Struktureinheiten Previous: Domänen bei Struktureinheiten   Contents
Marko Damaschke 2006-03-25