Auch hierbei wird es für sinnvoll erachtet, eine Active Directory
Domain in der Verantwortung des Universitätsrechenzentrums als Dienst
anzubieten, da einerseits weiterhin denkbar ist, den bisherigen
LDAP-Dienst durch diesen zu ersetzen, dies weitaus interessanter jedoch
im Kontext der bereitgestellten Windows-Systeme ist. Dadurch ließe sich
nicht nur eine Bereitstellung von Microsoft basierender Software
vorstellen oder Windows-Serverlandschaften, die speziellen Anwendungen
gerecht werden, auch die Administration und Einbindung der
Windows-Arbeitsplatz-Systeme kann wahrscheinlich vereinfacht werden.
Außerdem lassen sich komplexe oder wiederkehrende Anpassungen an die
Voraussetzungen der umgebenden Dienststruktur bei Patches, Updates oder
Upgrades der Windows-Systeme vermeiden, da durch die Bereitstellung
einer Active Directory Umgebung der native Einsatz von Windows-Systemen
unterstützt wird. Auch die grundsätzliche Möglichkeit des Einsatzes
von Gruppenrichtlinien, um beispielsweise sicherheitsrelevante
Einschränkungen auf den Arbeitsplatzsystemen durchzusetzen, ist als
Argument nicht zu vernachlässigen.
Active Directory Domänen in Struktureinheiten der Universität lassen
sich mit voller Entfaltung der Administrator-Rechte betreiben und
haben innerhalb ihres Namensraumes die Hoheit. Somit kann jede
Struktureinheit in unabhängiger Entscheidung Anpassungen am eigenen
AD-Schema vornehmen, Applikationen bereitstellen und
Arbeitsplatzsysteme vollständig auf die eigenen Vorgaben oder
Vorstellungen anpassen. Auch bei der Installation einer neuen Domäne
ist kein Domänen-Administrator einer übergeordneten Domain notwendig,
um die Integration zu berechtigen. Aufwendige Installationsvorgaben
lassen sich vermeiden. Dabei kann aber auch der Vorteil der
Zusammenarbeit über Grenzen von Struktureinheiten hinweg durch die
explizite Einrichtung von Vertrauensstellungen genutzt werden.
Vielleicht verbessert sich somit der Überblick der vergebenen Rechte
bei Administratoren von Struktureinheiten ebenfalls, da implizites
Vertrauen nicht vorausgesetzt werden kann und muss. Auch ist es in
diesem Falle, ebenso wie im vorherigen Beispiel, nicht notwendig, die
Clientensysteme in den Namensraum der Domänen zu verschieben und
beispielsweise eine Administration durch das URZ auch mittels CFEngine
bleibt vorstellbar, auch wenn zusätzlich die Gruppenrichtlinien der
Domäne und eventueller OUs ihre Wirkung entfalten. Nicht zuletzt bleibt
die Möglichkeit der Auswahl der bereitgestellten und eingepflegten
Nutzeraccounts. Dadurch behält der Domänenadmin die Kontrolle über die
Auswahl der Nutzer, die sich überhaupt an seiner Domäne anmelden
können.
Nachteilig bei dieser Variante des Einsatzes ist die dezentrale
Verwaltung der Nutzeraccounts anzumerken, da bei dieser
Betriebsvariante keinerlei Vertrauensweg via einer Root-Domain
aufgebaut werden kann. Jede Windows-Domäne ist eine eigene Wurzel.
Allerdings kann das beispielhaft angefügte VBScript auch diesem Umstand
durch die Einschränkung der zu pflegenden Accounts durch die Liste in
der -Datei gerecht werden. Andererseits bleibt dabei die
Bereitstellung der Daten durch das URZ zu klären. Es wäre ja denkbar,
ein entsprechendes File täglich aus dem Bestand der MoUSE zu generieren
und im AFS bereitzustellen, jedoch bekommt somit jeder Administrator
einer Active Directory Domain Zugriff
auf eine Auswahl der Daten eines jeden Nutzers im URZ. Es bliebe
grundsätzlich zu klären, ob diese Datenweitergabe dem Datenschutzgesetz
entspricht. Andererseits sind alle diese Daten bereits jetzt
universitätsöffentlich über andere Dienste verfügbar gemacht.
Trotz allem bleibt es offen, wie die Bereitstellung im Alltagsgeschäft
erfolgen kann und eine Aktualisierung durch die Domänenadministratoren
sichergestellt werden kann.
Ebenso ist in der Folge des eben Genannten zu beachten, dass Nutzer,
die in mehreren Domänen existieren, damit faktisch mehrere Accounts
haben, also auch mehrere Arbeitsplatzumgebungen pflegen müssen. Legt
beispielsweise der Nutzer bei der Arbeit in der einen Domain eine
Datei oder eine Verknüpfung auf seinem Desktop an, wird er diese
Umgebung in einer anderen Domäne nicht so wiederfinden.
Vorteilhaft sei aber ergänzt, dass man durch diese Betriebsart den Einschränkungen, die das Heimdal-Kerberos-System derzeit gegenüber der MIT-Variante noch hat, gerecht würde.