Next: Struktur einer Active Directory
Up: Untersuchungen zur Integration der
Previous: Softwareverteilung
  Contents
Active Directory im Detail
Eingehend sei zu bemerken, dass das Thema äußerst komplex ist und
an dieser Stelle nicht endgültig und ausführlich besprochen werden
kann. Einen ähnlichen Überblick dessen, was das Active Directory
anbietet und ist, stellt der Hersteller auf [Act00] bereit.
Vieles des dort Erwähnten findet sich in diesem Kapitel ebenfalls
wieder, mit Betracht auf die Aufgabenstellung wird hier allerdings ein
anderer Schwerpunkt gesetzt. Vertiefend sei auf die reichhaltige
Literatur rund um das Thema verwiesen, welche nicht nur die Konzepte,
sondern auch die Praxis sehr detailliert beschreiben. Dabei ist zu
beachten, dass es Vertreter gibt, die wie [Sch03] oder
[Mic03] nur randständig auf die Theorie eingehen, aber auch
solche, die vom Konzept der Technologie zu klassischen
Anwendungsfällen hinführen, so etwa [RA04].
[Sta03] faßt das große komplexe Thema recht oberflächlich,
vielleicht auch einführend in folgenden Zeilen zusammen: "`Die
Betonung liegt bei Windows 2000 auf zusätzlichen Diensten und
Funktionen für die Unterstützung der verteilten Verarbeitung. Das
zentrale Element der neuen Merkmale von Windows 2000 ist eine Funktion
mit dem Namen Active Directory, hinter der sich ein verteilter
Verzeichnisdienst verbirgt, der in der Lage ist, Namen beliebiger
Objekte beliebigen Informationen über diese Objekte zuzuordnen."'
Wie bereits mehrfach erwähnt, ist das Active Directory stark in die
Windows Systeme seit Windows 2000 integriert. Der Dienst wird
einerseits durch jeden Domönencontroller angeboten, ist sogar die
Voraussetzung für den Betrieb als solcher. Das Verzeichnis ist die
zentrale Datenablage zu allen Informationen rund um die Domäne.
Erwähnenswert an dieser Stelle ist noch eine Windows-typische Eigenart
der Verzeichnisstruktur. So wird jedem Objekt des Verzeichnisses eine
eindeutige ID zugeordnet, die so genannte SID (Secure ID), welche
einem Objekt beim Anlegen zugeordnet und nur für dieses gültig ist.
Das bedeutet auch, dass ein gelöschtes Objekt im Verzeichnisbaum,
sollte es gelöscht und mit selbem Namen und Attributen erneut angelegt
werden, eine neue SID erhält, welche nicht mit der bisherigen
übereinstimmt.
Doch auch als Dienstnutzer ist Active Directory tief im Betriebssystem
verankert. Einführend aber detaillierter zeigt dies [KT04],
wobei sie klar stellt, dass es 2 zentrale Punkte gibt, in die Active
Directory als Dienst auf den Windows-Clienten eingreift. Davon
befindet sich einer im Benutzermodus und einer im Kernelmodus. Das
Sicherheitsteilsystem im Benutzermodus überprüft die Überwachung der
Systemressourcen und der Anmeldeauthentifizierung und überwacht selbst
die Benutzerkonten und die diesen zugeteilten Zugriffsrechten.
Außerdem wird die Wiederherstellungsrichtlinie durch AD durchgesetzt
und abgesichert.
Im Kernelmodus ist es der Sicherheitsreferenzmonitor, welcher die
Durchsetzung der zugewiesenen Sicherheitsrichtlinien sicherstellen
soll.
Intern besteht das Active Directory aus 3 Schichten, die der Sicherung
der Datenbankdatei
dienen, welche die eigentliche
Datenablage des Active Directorys darstellt. Den direkten Zugriff auf
die Datenbank hat ausschließlich die ESE (Extensible Storage Engine).
Über dieser liegt die Datenbankschicht, die als Puffer und Abschirmung
des Direktzugriffs dient. Die Schnittstelle zur Anwendung bildet dann
der im Benutzermodus laufende DSA (Directory System Agent), der 4
verschiedene Zugriffsmechanismen bereitstellt. Diese Mechanismen
dienen der Kommunikation von Applikationen mit der Active Directory
Datenbank. Es sind
- LDAP,
- REPL (Replikation),
- MAPI (Message API) und
- SAM (Security Accounts Manager).
Letzterer dient der Kommunikation mit WinNT-Clienten und wird im
gemischten Modus auch zur Replikation auf WinNT-BDCs genutzt. MAPI
wird von Exchange-Applikationen genutzt, beispielsweise wird Outlook
darüber der Zugriff auf Adressbuchfunktionalitäten gewährleistet. REPL
ist eine proprietäre Schnittstelle, die der Kommunikation mehrerer DSAs
miteinander dient, dabei explizit der Replikation von Active Directorys
über Protokolle wie SMTP und IP. LDAP ist das primäre
Zugriffsprotokoll für Active Directory und alle AD-Applikationen oder
nativen LDAP-Clienten nutzen diesen Zugang.
Auch wenn LDAP der primäre Zugang zum Active Directory ist, nennt doch
[MR99] X.500 den Paten des eigentlichen Verzeichnisdienstes.
So sind das Verzeichnismodell, das Verzeichnisschema und die
Namenskonvention nach X.500 gestaltet worden. Die Notwendigkeit der
Konzentration auf Internetprotokolle hat aber die Wahl des
Zugriffsprotokolls auf LDAP fallen lassen. Allerdings läßt auch X.500
als Vorbild der SLAP-Server diesen Umstand der X.500-Nähe erklären.
Hinsichtlich der Namenskonventionen bietet Active Directory neben der
Vorgaben nach X.500 mit Distinguished Names weitere Namensformate, um
Objekte im Verzeichnis zu bestimmen. So nennt
[MR99]:
- Namensformat nach RFC1779,
- das LDAP-URL-Format,
- Zugriff mittels HTTP-URL,
- das Windows-typische UNC-Format und
- das UPN-Format.
Das Format nach RFC1779 entspricht dem Attributed Naming nach X.500,
wobei im Gegensatz dazu die Nennung des Pfades durch den DIT vom Blatt
zur Wurzel benannt wird. Das LDAP-URL-Format ist relativ klar, da dort
nach der URL-typischen Nennung des Protokolls der Servername gefolgt
wird vom DN des Objekts. Beim HTTP-URL-Format ist es ähnlich, nur dass
die Trennung der Stufen im DIT durch Slashes geschieht. Das bekannte
Format des UNCs ist der Windows-typische Aufbau mittels Backslashes,
die dann URL-ähnlich strukturiert sind. Das letztgenannte Format des
User Principal Name (UPN) ist sehr stark an das bekannte Format nach
RFC822 angelehnt, welches bei SMTP E-Mail genutzt wird. Ein Beispiel
ist dabei
.
Alle diese Formate werden zeitgleich unterstützt und mittels des DSA
interpretiert. Dadurch wird die Abwärtskompatibilität, aber auch die
Neuausrichtung an offenen Standards gewährleistet.
Subsections
Next: Struktur einer Active Directory
Up: Untersuchungen zur Integration der
Previous: Softwareverteilung
  Contents
Marko Damaschke
2006-03-25