next up previous contents
Next: Einstellungen an den Clienten Up: Domänen bei Struktureinheiten Previous: Integration in einen Domänenbaum   Contents

Erstellen eigener Domänen

Nach der grundlegenden Installation des Serverbetriebssystems wird dieser Server zum Domaincontroller propagiert. Dabei wird jeweils eine neue Domäne in einer neuen Gesamtstruktur erstellt. Hierbei gelten die Hinweise, welche bereits bei der zentralen Domäne gegeben wurden. Es ist also zu beachten, ob ein DNS-Server mit zu installieren ist und wie der zugewiesene Namensraum, also der Name der Domäne lautet. Ist die Domäne grundsätzlich eingerichtet, wird unter "`Active Directory Standorte und Vertrauensstellungen"' die explizite Vertrauensstellung mit dem Kerberos-Realm der Universität eingerichtet. Diese sollte ausgehend sein, also Nutzern des Kerberos-Realms wird vertraut, und mit dem durch das URZ übermittelte Passwort eingerichtet sein. Eingehende Vertrauensstellungen würden seitens des Kerberos ignoriert, da das entsprechende KRBTGT in der Heimdal-Datenbank fehlt, um Tickets der Windows-Domäne zu validieren. Dieses lautet "`krbtgt/TU-CHEMNITZ.DE@ windows.domain"'. Dadurch wird verhindert, dass Nutzer, die nur in einer Windows-Domäne existieren, sich an URZ-Maschinen authentifizieren können.
Ist die Zusammenarbeit mit Nutzern anderer Windows-Domänen gewünscht, muss auch zu diesen eine entsprechende Vertrauensstellung in Rücksprache mit dem dortigen Administrator eingerichtet werden, um deren Nutzer in der eigenen Domain zu berechtigen oder eigene Nutzer in der fremden Domain zu befähigen. Auch dies erfolgt im oben genannten MMC-SnapIn.

Der zweite wesentliche Punkt der Einrichtung einer solchen Subdomäne ist die Verwaltung der Nutzeraccounts. Diese muss in der Domäne selbst erfolgen, da im Rahmen der Authentifizierung der Heimdal-KDC direkt an den Domaincontroller der Windowsdomäne vermittelt, nachdem er den Nutzer authentifiziert hat. Dort wird dann nach einem Nutzer gesucht, der in seinen Eigenschaften eine Namenszuordnung zum authentifizierten Prinzipal hat. Diese Namenszuordnung muss, wie bereits mehrfach erwähnt, bei der Einrichtung des Nutzers angelegt werden. Wie in der Arbeit bereits angeführt, gibt es nur zwei Möglichkeiten, adäquate Nutzer in der Domain anzulegen. Die Eine liegt in der Einrichtung via des GUIs und der Namenszuordnung in den erweiterten Funktionen. Die Andere besteht aus der Nutzung eines entsprechenden VBScripts, welches mittels des Windows Scripting Hosts die Nutzer im Active Directory anlegt und die entsprechenden Verknüpfungen in den Objekten einfügt. Beispielhaft wurde ein funktionierendes Skript als Anlage angehängt. Um allen Anforderungen des täglichen Betriebs gerecht zu werden, ist sicher noch die eine oder andere Anpassung notwendig, aber eine grundsätzliche Funktionalität ist gewährleistet. Dabei sollte die Ausführung des Verfahrens automatisiert eingerichtet werden, um die Aktualität der Daten in den Domänen zu gewähren, aber auch um den Administrator einer Subdomäne zu entlasten. Denkbar ist die Einrichtung entsprechender "`geplanter Tasks"', die das entsprechende VBScript auf dem Domaincontroller mit den Rechten eines Domänenadministrators ausfÃ14hren.


next up previous contents
Next: Einstellungen an den Clienten Up: Domänen bei Struktureinheiten Previous: Integration in einen Domänenbaum   Contents
Marko Damaschke 2006-03-25