NSC - network service consulting
   Home      Unternehmen      Dienstleistungen      Hardware & Software      Produkte      Anwendungsentwicklung      Webdesign      ITIL      Jobs      Links    
   Windows Systeme      Server Based Computing      (Tele) Kommunikation      Netzwerke      IT Sicherheit      Schulungen    
   Server NT/2000/2003      Clients      Small Business Server      Active Directory 2003      Exchange Server      Sharepoint Portal Server      Novell Migration    
Active Directory 2003

Als eine zentrale Komponente der Windows-Plattform einschließlich Windows Server 2003 bietet der Verzeichnisdienst Active Directory die geeigneten Methoden, um die Identitäten und Beziehungen zu verwalten, aus denen sich Netzwerkumgebungen zusammensetzen. Dieser Artikel enthält eine Übersicht über die Vorteile, die neuen Features und die Verbesserungen im Active Directory-Dienst.

Der Verzeichnisdienst Active Directory® ermöglicht einen effizienten Zugriff auf Netzwerkressourcen per Einmalanmeldung und bietet einen zentralen Datenspeicher für die gesamte Infrastruktur, wodurch die Benutzer- und Computerverwaltung wesentlich vereinfacht wird. Dieser Artikel enthält eine Übersicht über die Vorteile, die neuen Features und die Verbesserungen von Active Directory unter Windows Server 2003.

Die Verbesserungen an Active Directory stellen insbesondere für mittelständische Unternehmen und Konzerne einen strategischen Vorteil dar, denn hiermit kann die Produktivität von Administratoren und Benutzern erheblich gesteigert werden. Aufbauend auf den mit Windows 2000 gelegten Grundlagen konnte unter Windows Server 2003 die Vielseitigkeit, die Verwaltbarkeit und Zuverlässigkeit von Active Directory nochmals gesteigert werden. Für Unternehmen ergeben sich hiermit Vorteile wie effizientere Verwaltung und gemeinsame Nutzung der Ressourcen des Unternehmens, während gleichzeitig spürbare Kostensenkungen realisiert werden können.

Mehr Flexibilität
Mit Active Directory erhält Windows Server 2003 einige Schlüsselfeatures, die eine der flexibelsten Verzeichnisstrukturen gewährleisten, die heutzutage auf dem Markt erhältlich sind. Angesichts der zunehmenden Bedeutung von verzeichnisfähigen Anwendungen können Unternehmen mithilfe der Funktionen von Active Directory nun selbst die kompliziertesten Umgebungen von Unternehmensnetzwerken verwalten. Von Internetrechenzentren bis zu großen Unternehmen mit verteilten Zweigstellen – die Verbesserungen in Windows Server 2003 vereinfachen die Verwaltung und erhöhen die Leistungsfähigkeit und Wirtschaftlichkeit, so dass sich eine Lösung ergibt, die vor allem auch durch ihre Vielseitigkeit überzeugt.

Geringere Gesamtbetriebskosten
Active Directory wurde erweitert, um die Gesamtunterhaltungs- und -betriebskosten (Total Cost of Ownership, TCO) im Unternehmen spürbar zu senken. Auf allen Ebenen des Produkts wurden neue Features und Erweiterungen integriert, um die Vielseitigkeit zu erhöhen, die Verwaltung zu vereinfachen und die Zuverlässigkeit zu steigern.

Neue Features und Verbesserungen
Unter Windows Server 2003 wurden viele Verbesserungen an Active Directory vorgenommen, so dass der Verzeichnisdienst jetzt noch vielseitiger, zuverlässiger und wirtschaftlicher ist. Active Directory unter Windows Server 2003 zeichnet sich insbesondere durch Folgendes aus:

1. Einfachere Bereitstellung und Verwaltung
Windows Server 2003 steigert die Fähigkeit des Administrators, Active Directory auch in sehr komplexen Unternehmensumgebungen mit einer Vielzahl von Gesamtstrukturen, Domänen und Standorten in effizienter Weise zu konfigurieren und zu verwalten. Neben der Möglichkeit, Active Directory-Domänen umzubenennen, machen verbesserte Migrations- und Verwaltungstools die Bereitstellung von Active Directory nun wesentlich einfacher als noch zur Zeit der Ersteinführung des Verzeichnisdienstes in Windows 2000 Server. Die verbesserten Tools bieten nun Drag & Drop-Funktion, Mehrfachauswahl von Objekten und die Möglichkeit, Abfragen zu speichern und wieder zu verwenden. Darüber hinaus gestaltet es sich aufgrund der verbesserten Gruppenrichtlinien nun auch wesentlich einfacher und effizienter, Benutzer- und Computergruppen in einer Active Directory-Umgebung zu verwalten.

Vorteile im Detail:

ADMT, Version 2.0 Dank einer ganzen Reihe von Änderungen, die am Active Directory-Migrationstool (ADMT) vorgenommen wurden, ist auch die Migration zu Active Directory nun erheblich einfacher geworden. ADMT 2.0 ermöglicht nun das Migrieren von Domänenkennwörtern von Microsoft Windows NT® 4.0 zu Windows 2000 und Windows Server 2003 oder von Windows 2000 zu Windows Server 2003.
Umbenennen von Domänen Mit diesem Feature können DNS-Namen (Domain Name System) und/oder NetBIOS-Namen vorhandener Domänen in einer Gesamtstruktur geändert werden, wobei die sich ergebende Gesamtstruktur dennoch "wohl geformt" bleibt. Administratoren verfügen über mehr Flexibilität bei der Änderung der Active Directory-Struktur nach deren Bereitstellung. Entwurfsentscheidungen sind damit umkehrbar, wovon vor allem Unternehmen profitieren, bei denen ein Zusammenschluss oder eine tief greifende Umstrukturierung ins Haus steht.
Neudefinieren des SchemasActive Directory wurde flexibler gestaltet, um die Deaktivierung von Attributen und Klassendefinitionen im Active Directory-Schema zu ermöglichen. Wenn sich bei der ursprünglichen Definition ein Fehler eingeschlichen hat, können Attribute und Klassen nun neu definiert werden.
AD/AMActive Directory im Anwendungsmodus (AD/AM) ist eine neue Funktion von Active Directory, die sich auf bestimmte Bereitstellungsszenarien im Zusammenhang mit verzeichnisfähigen Anwendungen bezieht. AD/AM wird als vom Betriebssystem unabhängiger Dienst ausgeführt und muss als solcher nicht auf einem Domänencontroller implementiert werden. Die Ausführung als betriebssystemunabhängiger Dienst bedeutet, dass mehrere Instanzen von AD/AM gleichzeitig auf einem einzigen Server ausgeführt werden können, wobei jede Instanz unabhängig konfiguriert werden kann. Anmerkung: AD/AM wird als separate Komponente mit Windows Server 2003 veröffentlicht.
Verbesserte GruppenrichtlinienIn Verbindung mit Windows Server 2003 stellt Microsoft eine neue Lösung für die Gruppenrichtlinienverwaltung vor, mit der die Verwaltung von Gruppenrichtlinien vereinheitlicht wird. Mit der Microsoft Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console, GPMC) ist die Verwaltung aller mit Gruppenrichtlinien zusammenhängender Aufgaben mit einer einzigen Lösung möglich. Mit GPMC kann der Administrator – auf einer vereinfachten Benutzeroberfläche (User Interface oder UI) mit Drag & Drop-Unterstützung – die Gruppenrichtlinien für mehrere Domänen und Sites innerhalb einer gegebenen Gesamtstruktur verwalten. Zu den Highlights gehören auch die neuen Funktionen wie das Sichern, Wiederherstellen, Importieren, Kopieren und Protokollieren von Gruppenrichtlinienobjekten (GPOs). Diese Vorgänge sind vollständig per Skript steuerbar, wodurch der Administrator Verwaltungsaufgaben automatisieren und an seine Erfordernisse anpassen kann. Durch die Kombination sorgen diese Neuerungen dafür, dass Gruppenrichtlinien nun noch einfacher einzusetzen sind, wodurch Sie Ihr Unternehmen noch kostengünstiger verwalten können.
Erweiterte BenutzeroberflächAls Front-End bei der Verwaltung von Identitäten, Objekten und Beziehungen sorgen verbesserte Benutzeroberflächen für mehr Effizienz bei der Verwaltung und steigern die Integrationsmöglichkeiten. Die Plug-Ins der Microsoft Management Console (MMC) bieten nun Drag & Drop-Funktion, Mehrfachauswahl von Objekten und die Möglichkeit, Abfragen zu speichern und wieder zu verwenden. Administratoren können nun mehrere Benutzerobjekte gleichzeitig bearbeiten, die Berechtigungen in Zugriffssteuerungslisten (Access Control Lists, ACLs) auf die Standardwerte zurücksetzen, die geltenden Berechtigungen eines Sicherheitsprinzipals anzeigen und das übergeordnete Objekt einer vererbten Berechtigung angeben.
2. Mehr Sicherheit
Erweiterte Sicherheitsfeatures vereinfachen die Verwaltung mehrerer Gesamtstrukturen und domänenübergreifender Vertrauensstellungen. Gesamtstrukturübergreifende Vertrauensstellungen stellen eine neue Art von Windows-Vertrauensstellung zur Verwaltung der Sicherheitsbeziehungen zwischen zwei Gesamtstrukturen dar. Hiermit wird die gesamtstrukturübergreifende Sicherheitsverwaltung und Authentifizierung erheblich vereinfacht. Benutzer können nun sicher auf Ressourcen in anderen Gesamtstrukturen zugreifen, ohne dass die verwaltungstechnischen Vorteile einer Einmalanmeldung mit nur einer Benutzerkennung und einem Kennwort aus dem Pool der ursprünglichen Gesamtstruktur des Benutzers damit hinfällig würden. Hieraus ergibt sich die Flexibilität, für bestimmte Abteilungen oder Bereiche bei Bedarf eigene Gesamtstrukturen einrichten und dennoch die Vorteile von Active Directory nutzen zu können. Darüber hinaus steht mit dem neuen Anmeldeinformations-Manager ein sicherer Speicher für Benutzeranmeldeinformationen und X.509-Zertifikate bereit, und mit den Richtlinien für Softwareeinschränkungen kann der Administrator verhindern, dass auf Computern im Netzwerk unerwünschte Programme installiert werden.

Vorteile im Detail:

Gesamtstrukturübergreifende AuthentifizierungDie gesamtstrukturübergreifende Authentifizierung ermöglicht den sicheren Zugriff auf Ressourcen, wenn sich das Benutzerkonto in der einen und das Computerkonto in einer anderen Gesamtstruktur befindet. Mit diesem Feature können Benutzer nun unter Verwendung von Kerberos oder NTLM sicher auf Ressourcen in anderen Gesamtstrukturen zugreifen, ohne dass die verwaltungstechnischen Vorteile einer Einmalanmeldung mit nur einer Benutzerkennung und einem Kennwort aus dem Pool der ursprünglichen Gesamtstruktur des Benutzers damit hinfällig würden.
Gesamtstrukturübergreifende AutorisierungDie gesamtstrukturübergreifende Autorisierung vereinfacht es für den Administrator, Benutzer und Gruppen aus vertrauenswürdigen Gesamtstrukturen für die Aufnahme in lokale Gruppen oder ACLs auszuwählen. Dieses Feature sorgt dafür, dass die Integrität der Sicherheitsbegrenzung der Gesamtstruktur gewahrt bleibt und gleichzeitig Vertrauensstellungen zwischen Gesamtstrukturen eingerichtet werden können. Hiermit ist es der vertrauenden Gesamtstruktur möglich, die Sicherheitskennungen (SIDs) einzuschränken, die akzeptiert werden, wenn Benutzer aus vertrauenswürdigen Gesamtstrukturen versuchen, auf geschützte Ressourcen zuzugreifen.
Erweiterungen im Bereich der KreuzzertifizierungDas Feature zur Kreuzzertifizierung für Windows Server 2003-Clients wird um die Funktion erweitert, Kreuzzertifizierungen auch auf Abteilungs- und globaler Ebene einzurichten. Beispielsweise ist WinLogon nun in der Lage, Kreuzzertifikate abzufragen und diese in "das Unternehmensvertrauen/den Unternehmensspeicher" zu downloaden. Beim Aufbau der Kette werden alle Kreuzzertifikate gedownloadet.
IAS und gesamtstrukturübergreifende AuthentifizierungWenn Active Directory-Gesamtstrukturen sich im gesamtstrukturübergreifenden Modus befinden und bidirektionale Vertrauensstellungen eingerichtet wurden, kann IAS/RADIUS (Internet Authentication Service/Remote Authentication Dial-In User Service) das Benutzerkonto in der anderen Gesamtstruktur mit dieser Funktion authentifizieren. So ist der Administrator auf einfache Weise in der Lage, neue Gesamtstrukturen mit bereits vorhandenen IAS/RADIUS-Diensten in seine Gesamtstruktur zu integrieren.
Anmeldeinformations-ManagerDer Anmeldeinformations-Manager bietet einen sicheren Speicher für Benutzeranmeldeinformationen, wie z. B. Kennwörter und X.509-Zertifikate. So wird Benutzern, einschließlich Benutzern mit wechselnden Arbeitsplätzen, eine konsistente einmalige Anmeldung ermöglicht. Wenn ein Benutzer beispielsweise im Unternehmensnetzwerk auf eine Geschäftsbereichsanwendung zugreift, fordert diese beim ersten Zugriffsversuch eine Authentifizierung an, und der Benutzer wird aufgefordert, seine Anmeldeinformationen einzugeben. Kommt der Benutzer dieser Aufforderung nach, werden die Anmeldeinformationen der entsprechenden Anwendung zugeordnet. Bei zukünftigen Zugriffen auf die Anwendung werden nun die gespeicherten Anmeldeinformationen wieder verwendet, d. h. der Benutzer wird nicht erneut zur Eingabe aufgefordert.
Richtlinien für SoftwareeinschränkungDie Richtlinien für Softwareeinschränkung befassen sich mit der Notwendigkeit, den Einsatz von unbekannter oder nicht vertrauenswürdiger Software zu steuern. Mithilfe von Richtlinien für Softwareeinschränkung können zulässige Programme genau identifiziert und angegeben werden, so dass die Computerumgebung vor nicht vertrauenswürdiger Software geschützt ist. Sie können eine Standardsicherheitsebene ("Nicht eingeschränkt" oder "Nicht erlaubt") für ein Gruppenrichtlinienobjekt (GPO) definieren, so dass das Ausführen von Software standardmäßig erlaubt oder nicht erlaubt wird. Sie können zudem auch Ausnahmen von dieser Standardsicherheitsebene definieren, indem Sie Regeln für bestimmte Software erstellen.
3. Bessere Leistung und Zuverlässigkeit
Unter Windows Server 2003 kann die Replikation und Synchronisierung von Active Directory-Informationen nun noch effizienter verwaltet werden. Der Administrator kann die Datentypen, die repliziert und synchronisiert werden sollen, sowohl innerhalb der Domäne als auch domänenübergreifend besser steuern. Darüber hinaus bietet Active Directory nun auch noch weitere intelligente Features, mit denen beispielsweise nur die geänderte Informationen für die Replikation ausgewählt werden können, d. h. es müssen nicht mehr ganze Bereiche des Verzeichnisses aktualisiert werden.

Vorteile im Detail:

Einfachere Anmeldung für RemotestandorteZweigstellen, die mit Domänencontrollern ausgestattet sind, können eine Benutzeranmeldung über im Cache befindliche Anmeldeinformationen ermöglichen, ohne dass zunächst der globale Katalog kontaktiert werden müsste, wodurch die Systemleistung und Stabilität über unzuverlässige WAN-Verbindungen (Wide Area Networks) verbessert wird. Geht die Verbindung zwischen einer Zweigstelle und dem globalen Katalog verloren, wird damit die Fähigkeit der Benutzer in der Zweigstelle, sich am System anzumelden, nicht mehr beeinträchtigt. Zweigstellen können damit wesentlich effektiver unterstützt werden, und auch die Bandbreitennutzung über WAN-Verbindungen wird reduziert.
Erweiterungen bei der Replikation von GruppenmitgliedschaftenWenn Gruppenmitglieder hinzugefügt, geändert oder gelöscht werden, werden nur die Änderungen repliziert, was dazu beiträgt, die Nutzung von Netzwerkbandbreite und die Prozessorauslastung weiter herabzusetzen. Auf diese Weise wird auch bei simultanen Updates das Risiko von Updateverlusten auf ein Minimum reduziert.
AnwendungsverzeichnispartitionenEinige Verzeichnisinformationen müssen nicht global zugänglich gemacht werden. Dieses Feature ermöglicht es, Daten in Active Directory zu hosten, ohne die Netzwerkleistung zu beeinträchtigen, da der Umfang von Replikationen und die Platzierung von Replikaten gesteuert werden kann.
Replikationsinstallation von MedienAnstatt eine vollständige Kopie der Active Directory-Datenbank über das Netzwerk zu replizieren, kann der Administrator mithilfe dieses Features die anfängliche Replizierung von Dateien nutzen, die beim Sichern eines vorhandenen Domänencontrollers oder globalen Katalogservers erstellt wurden.
Verbesserungen bei der ZuverlässigkeitActive Directory bietet eine ganze Reihe neuer Features zu Steigerung der Zuverlässigkeit, wie z. B. die Statusüberwachung, wodurch es dem Administrator möglich ist, Replikationen zwischen Domänencontrollern zu überprüfen. Hinzu zählt aber auch nicht zuletzt die verbesserte Replikation des globalen Katalogs und der aktualisierte ISTG (Inter-Site Topology Generator oder Generator für standortübergreifende Topologie), der eine bessere Skalierung ermöglicht, da Gesamtstrukturen mit einer größeren Anzahl Standorte als unter Windows 2000 unterstützt werden.
© 2011 NSC