next up previous contents
Next: Struktur einer Active Directory Up: Untersuchungen zur Integration der Previous: Softwareverteilung   Contents


Active Directory im Detail

Eingehend sei zu bemerken, dass das Thema äußerst komplex ist und an dieser Stelle nicht endgültig und ausführlich besprochen werden kann. Einen ähnlichen Überblick dessen, was das Active Directory anbietet und ist, stellt der Hersteller auf [Act00] bereit. Vieles des dort Erwähnten findet sich in diesem Kapitel ebenfalls wieder, mit Betracht auf die Aufgabenstellung wird hier allerdings ein anderer Schwerpunkt gesetzt. Vertiefend sei auf die reichhaltige Literatur rund um das Thema verwiesen, welche nicht nur die Konzepte, sondern auch die Praxis sehr detailliert beschreiben. Dabei ist zu beachten, dass es Vertreter gibt, die wie [Sch03] oder [Mic03] nur randständig auf die Theorie eingehen, aber auch solche, die vom Konzept der Technologie zu klassischen Anwendungsfällen hinführen, so etwa [RA04].
[Sta03] faßt das große komplexe Thema recht oberflächlich, vielleicht auch einführend in folgenden Zeilen zusammen: "`Die Betonung liegt bei Windows 2000 auf zusätzlichen Diensten und Funktionen für die Unterstützung der verteilten Verarbeitung. Das zentrale Element der neuen Merkmale von Windows 2000 ist eine Funktion mit dem Namen Active Directory, hinter der sich ein verteilter Verzeichnisdienst verbirgt, der in der Lage ist, Namen beliebiger Objekte beliebigen Informationen über diese Objekte zuzuordnen."'

Wie bereits mehrfach erwähnt, ist das Active Directory stark in die Windows Systeme seit Windows 2000 integriert. Der Dienst wird einerseits durch jeden Domönencontroller angeboten, ist sogar die Voraussetzung für den Betrieb als solcher. Das Verzeichnis ist die zentrale Datenablage zu allen Informationen rund um die Domäne. Erwähnenswert an dieser Stelle ist noch eine Windows-typische Eigenart der Verzeichnisstruktur. So wird jedem Objekt des Verzeichnisses eine eindeutige ID zugeordnet, die so genannte SID (Secure ID), welche einem Objekt beim Anlegen zugeordnet und nur für dieses gültig ist. Das bedeutet auch, dass ein gelöschtes Objekt im Verzeichnisbaum, sollte es gelöscht und mit selbem Namen und Attributen erneut angelegt werden, eine neue SID erhält, welche nicht mit der bisherigen übereinstimmt.
Doch auch als Dienstnutzer ist Active Directory tief im Betriebssystem verankert. Einführend aber detaillierter zeigt dies [KT04], wobei sie klar stellt, dass es 2 zentrale Punkte gibt, in die Active Directory als Dienst auf den Windows-Clienten eingreift. Davon befindet sich einer im Benutzermodus und einer im Kernelmodus. Das Sicherheitsteilsystem im Benutzermodus überprüft die Überwachung der Systemressourcen und der Anmeldeauthentifizierung und überwacht selbst die Benutzerkonten und die diesen zugeteilten Zugriffsrechten. Außerdem wird die Wiederherstellungsrichtlinie durch AD durchgesetzt und abgesichert. Im Kernelmodus ist es der Sicherheitsreferenzmonitor, welcher die Durchsetzung der zugewiesenen Sicherheitsrichtlinien sicherstellen soll.
Intern besteht das Active Directory aus 3 Schichten, die der Sicherung der Datenbankdatei $NTDS.DIT$ dienen, welche die eigentliche Datenablage des Active Directorys darstellt. Den direkten Zugriff auf die Datenbank hat ausschließlich die ESE (Extensible Storage Engine). Über dieser liegt die Datenbankschicht, die als Puffer und Abschirmung des Direktzugriffs dient. Die Schnittstelle zur Anwendung bildet dann der im Benutzermodus laufende DSA (Directory System Agent), der 4 verschiedene Zugriffsmechanismen bereitstellt. Diese Mechanismen dienen der Kommunikation von Applikationen mit der Active Directory Datenbank. Es sind

  1. LDAP,
  2. REPL (Replikation),
  3. MAPI (Message API) und
  4. SAM (Security Accounts Manager).
Letzterer dient der Kommunikation mit WinNT-Clienten und wird im gemischten Modus auch zur Replikation auf WinNT-BDCs genutzt. MAPI wird von Exchange-Applikationen genutzt, beispielsweise wird Outlook darüber der Zugriff auf Adressbuchfunktionalitäten gewährleistet. REPL ist eine proprietäre Schnittstelle, die der Kommunikation mehrerer DSAs miteinander dient, dabei explizit der Replikation von Active Directorys über Protokolle wie SMTP und IP. LDAP ist das primäre Zugriffsprotokoll für Active Directory und alle AD-Applikationen oder nativen LDAP-Clienten nutzen diesen Zugang.

Auch wenn LDAP der primäre Zugang zum Active Directory ist, nennt doch [MR99] X.500 den Paten des eigentlichen Verzeichnisdienstes. So sind das Verzeichnismodell, das Verzeichnisschema und die Namenskonvention nach X.500 gestaltet worden. Die Notwendigkeit der Konzentration auf Internetprotokolle hat aber die Wahl des Zugriffsprotokolls auf LDAP fallen lassen. Allerdings läßt auch X.500 als Vorbild der SLAP-Server diesen Umstand der X.500-Nähe erklären.
Hinsichtlich der Namenskonventionen bietet Active Directory neben der Vorgaben nach X.500 mit Distinguished Names weitere Namensformate, um Objekte im Verzeichnis zu bestimmen. So nennt [MR99]:

Das Format nach RFC1779 entspricht dem Attributed Naming nach X.500, wobei im Gegensatz dazu die Nennung des Pfades durch den DIT vom Blatt zur Wurzel benannt wird. Das LDAP-URL-Format ist relativ klar, da dort nach der URL-typischen Nennung des Protokolls der Servername gefolgt wird vom DN des Objekts. Beim HTTP-URL-Format ist es ähnlich, nur dass die Trennung der Stufen im DIT durch Slashes geschieht. Das bekannte Format des UNCs ist der Windows-typische Aufbau mittels Backslashes, die dann URL-ähnlich strukturiert sind. Das letztgenannte Format des User Principal Name (UPN) ist sehr stark an das bekannte Format nach RFC822 angelehnt, welches bei SMTP E-Mail genutzt wird. Ein Beispiel ist dabei $Nutzer@Dom''ane.de$.
Alle diese Formate werden zeitgleich unterstützt und mittels des DSA interpretiert. Dadurch wird die Abwärtskompatibilität, aber auch die Neuausrichtung an offenen Standards gewährleistet.



Subsections
next up previous contents
Next: Struktur einer Active Directory Up: Untersuchungen zur Integration der Previous: Softwareverteilung   Contents
Marko Damaschke 2006-03-25