Next: Erstellen eigener Domänen
Up: Domänen bei Struktureinheiten
Previous: Domänen bei Struktureinheiten
  Contents
Beim Betrieb eines Domänenbaums, in den eine weitere Domäne integriert
werden soll, muss im Rahmen des Integrationsprozesses bedacht werden,
dass einer der Schritte der Eintrag der Subdomäne in das Active
Directory der hierarchisch übergeordneten Domäne ist, was Rechte des
Administrators dieser Domäne erfordert.
Standardmäßig gibt es mehrere Administrator-Rollen in einer Domäne,
etwa der Konten-Operator oder der Organisations-Admin. Im Rahmen der
Tests wurde versucht, mit einer solchen gegenüber dem regulären
Administrator eingeschränkten Rolle eine Integration einer Subdomäne
vorzunehmen, was leider misslang. Somit ist im Rahmen der Propagierung
eines Windows-Server zum ersten Domaincontroller einer neuen Subdomäne
der Eingriff beziehungsweise die Berechtigung des Administrators der
darüber angesiedelten Domäne nötig. Prinzipiell wäre es möglich,
dem Administrator der Subdomäne durch Bereitstellung eines
entsprechend berechtigten Nutzeraccounts die Fähigkeit dazu zu geben,
doch wird es in den wenigsten Anwendungsfällen gewünscht und sinnvoll
sein.
Die Lösungen, die sich im Falle dieses Problemes anböten, sind
einerseits die grundlegende Installation und Integration durch einen
Administrator der Stammdomäne und erst danach folgenden Auslieferung
und Übergabe an den Administrator der Subdomäne beziehungsweise
andererseits wäre denkbar, die Grundinstallation durch den zukünftigen
Subdomänen-Administrator durchführen zu lassen, ihn mit der
Einrichtung eines qualifizierten Admin-Kontos für den Administrator
der Stammdomäne und den Remotezugriff beispielsweise via RDP
einzurichten, so dass dieser Stamm-Administrator in der Folge der
Grundinstallation die Propagierung auch aus der Ferne vornehmen kann.
Danach ist die Löschung des Stamm-Admin-Kontos durch den
Subdomänen-Administrator wieder möglich, um die administrative Hoheit
zu wahren. Gleiches Vorgehen wäre beim Löschen einer Domäne zu
beachten. Die Integration einer neuen Substruktur zeigt Abbildung
6.7.
Figure:
Einbindung einer neuen Subdomäne
|
Die Integration eines neuen Domaincontrollers in eine bestehende
Domäne hingegen ist unproblematisch, da dazu nur Eintragungen in das
Active Directory der eigenen Domäne erfolgen, dies also durch jeden
Domänen-Administrator der eigenen Domäne erfolgen kann.
Gleicher Aufwand entsteht bei der Einrichtung paralleler Domänen einer
bestehenden Gesamtstruktur, was beispielsweise für Institutionen
interessant ist, die mehrere Domänen unter einer administrativen Hoheit
betreiben.
Als "`Nebeneffekt"' der Integration wird die implizite
Vertrauensstellung sowohl in der Stamm- als auch Subdomäne
eingetragen, was keinen weiteren Eingriff erfordert, um Benutzer der
selben Gesamtstruktur für die Nutzung von Ressourcen der eigenen
Domäne zu berechtigen. Einzig die Rechtevergabe auf der Ressource muss
erfolgen, gegebenenfalls ist die Strukturierung der Nutzer oder
Ressourcen in Gruppen notwendig.
Next: Erstellen eigener Domänen
Up: Domänen bei Struktureinheiten
Previous: Domänen bei Struktureinheiten
  Contents
Marko Damaschke
2006-03-25