next up previous contents
Next: Nutzung von Organisationseinheiten (OUs) Up: Strukturdebatte Previous: Aufbau einer zentralen AD-Gesamtstruktur   Contents

Aufbau von individuellen Domänen/Gesamtstrukturen

Eine Alternative zum gerade vorgestellten Konzept ist die Variante, alle Windows-Domänen in jeweils einer eigenen Gesamtstruktur zu organisieren. Somit entstehen, ähnlich der bisher vertretenen Insellösungen, autarke Domänen, die parallel betrieben werden können und die Vorteile von Vertrauensstellungen zwischen den Domänen, die jedoch explizit eingerichtet werden müssen, und voller administrativer Hoheit in den Händen der betreibenden Struktureinheiten verbinden.
Andeutungsweise soll dies in Abbildung 6.2 aufgezeigt sein.
Figure: Parallele Active Directory Domänen
\resizebox*{0.6\textwidth}{0.2\textheight}{\includegraphics{images/DomPar}} \resizebox*{0.6\textwidth}{0.18\textheight}{\includegraphics{images/DomPar.eps}}

Auch hierbei wird es für sinnvoll erachtet, eine Active Directory Domain in der Verantwortung des Universitätsrechenzentrums als Dienst anzubieten, da einerseits weiterhin denkbar ist, den bisherigen LDAP-Dienst durch diesen zu ersetzen, dies weitaus interessanter jedoch im Kontext der bereitgestellten Windows-Systeme ist. Dadurch ließe sich nicht nur eine Bereitstellung von Microsoft basierender Software vorstellen oder Windows-Serverlandschaften, die speziellen Anwendungen gerecht werden, auch die Administration und Einbindung der Windows-Arbeitsplatz-Systeme kann wahrscheinlich vereinfacht werden. Außerdem lassen sich komplexe oder wiederkehrende Anpassungen an die Voraussetzungen der umgebenden Dienststruktur bei Patches, Updates oder Upgrades der Windows-Systeme vermeiden, da durch die Bereitstellung einer Active Directory Umgebung der native Einsatz von Windows-Systemen unterstützt wird. Auch die grundsätzliche Möglichkeit des Einsatzes von Gruppenrichtlinien, um beispielsweise sicherheitsrelevante Einschränkungen auf den Arbeitsplatzsystemen durchzusetzen, ist als Argument nicht zu vernachlässigen.
Active Directory Domänen in Struktureinheiten der Universität lassen sich mit voller Entfaltung der Administrator-Rechte betreiben und haben innerhalb ihres Namensraumes die Hoheit. Somit kann jede Struktureinheit in unabhängiger Entscheidung Anpassungen am eigenen AD-Schema vornehmen, Applikationen bereitstellen und Arbeitsplatzsysteme vollständig auf die eigenen Vorgaben oder Vorstellungen anpassen. Auch bei der Installation einer neuen Domäne ist kein Domänen-Administrator einer übergeordneten Domain notwendig, um die Integration zu berechtigen. Aufwendige Installationsvorgaben lassen sich vermeiden. Dabei kann aber auch der Vorteil der Zusammenarbeit über Grenzen von Struktureinheiten hinweg durch die explizite Einrichtung von Vertrauensstellungen genutzt werden. Vielleicht verbessert sich somit der Überblick der vergebenen Rechte bei Administratoren von Struktureinheiten ebenfalls, da implizites Vertrauen nicht vorausgesetzt werden kann und muss. Auch ist es in diesem Falle, ebenso wie im vorherigen Beispiel, nicht notwendig, die Clientensysteme in den Namensraum der Domänen zu verschieben und beispielsweise eine Administration durch das URZ auch mittels CFEngine bleibt vorstellbar, auch wenn zusätzlich die Gruppenrichtlinien der Domäne und eventueller OUs ihre Wirkung entfalten. Nicht zuletzt bleibt die Möglichkeit der Auswahl der bereitgestellten und eingepflegten Nutzeraccounts. Dadurch behält der Domänenadmin die Kontrolle über die Auswahl der Nutzer, die sich überhaupt an seiner Domäne anmelden können.

Nachteilig bei dieser Variante des Einsatzes ist die dezentrale Verwaltung der Nutzeraccounts anzumerken, da bei dieser Betriebsvariante keinerlei Vertrauensweg via einer Root-Domain aufgebaut werden kann. Jede Windows-Domäne ist eine eigene Wurzel. Allerdings kann das beispielhaft angefügte VBScript auch diesem Umstand durch die Einschränkung der zu pflegenden Accounts durch die Liste in der $LOKNUTZER$-Datei gerecht werden. Andererseits bleibt dabei die Bereitstellung der Daten durch das URZ zu klären. Es wäre ja denkbar, ein entsprechendes File täglich aus dem Bestand der MoUSE zu generieren und im AFS bereitzustellen, jedoch bekommt somit jeder Administrator einer Active Directory Domain Zugriff[*]auf eine Auswahl der Daten eines jeden Nutzers im URZ. Es bliebe grundsätzlich zu klären, ob diese Datenweitergabe dem Datenschutzgesetz entspricht. Andererseits sind alle diese Daten bereits jetzt universitätsöffentlich über andere Dienste verfügbar gemacht. Trotz allem bleibt es offen, wie die Bereitstellung im Alltagsgeschäft erfolgen kann und eine Aktualisierung durch die Domänenadministratoren sichergestellt werden kann.

Ebenso ist in der Folge des eben Genannten zu beachten, dass Nutzer, die in mehreren Domänen existieren, damit faktisch mehrere Accounts haben, also auch mehrere Arbeitsplatzumgebungen pflegen müssen. Legt beispielsweise der Nutzer bei der Arbeit in der einen Domain eine Datei oder eine Verknüpfung auf seinem Desktop an, wird er diese Umgebung in einer anderen Domäne nicht so wiederfinden.

Vorteilhaft sei aber ergänzt, dass man durch diese Betriebsart den Einschränkungen, die das Heimdal-Kerberos-System derzeit gegenüber der MIT-Variante noch hat, gerecht würde.


next up previous contents
Next: Nutzung von Organisationseinheiten (OUs) Up: Strukturdebatte Previous: Aufbau einer zentralen AD-Gesamtstruktur   Contents
Marko Damaschke 2006-03-25