Active-Directory-Gesamtstruktur (Active Directory Forest)
Eine Active-Directory-Gesamtstruktur (Active Directory Forest) ist die höchste Organisationsebene innerhalb von Active Directory. Jede Gesamtstruktur teilt sich eine einzige Datenbank, eine einzige globale Adressliste (Global Address List, GAL) und eine Sicherheitsgrenze. Standardmäßig kann ein Benutzer oder Administrator in einer Gesamtstruktur nicht auf eine andere Gesamtstruktur zugreifen.
Active-Directory-Gesamtstrukturen können verwendet werden, um Active-Directory-Bäume (AD Tree) mit bestimmten Daten zu isolieren und dem Benutzer die Autonomie zu geben, mit den Daten zu interagieren. Es gibt mehrere Modelle für Active-Directory-Gesamtstrukturen, die je nach den organisatorischen Anforderungen Vor- und Nachteile haben.
Wie erstellt man eine AD-Gesamtstruktur?
Der erste Schritt beim Erstellen einer neuen Active-Directory-Domänenstruktur ist die Installation von Windows Server. Danach müssen die Active Directory Domain-Services-Rolle und die DNS-Serverrolle bereitgestellt werden. Sobald diese Rollen installiert sind, kann der Benutzer den Server zu einem Domänencontroller befördern.
Wenn die Option zum Heraufstufen eines Servers zu einem Domänencontroller gewählt wurde, startet Windows den Konfigurationsassistenten für Active Directory Domain Services (Active-Directory-Domänendienste). Der Startbildschirm dieses Assistenten bietet eine Option zum Erstellen einer neuen Gesamtstruktur. Der Benutzer kann einfach die Option wählen, einen Root-Domänennamen angeben und den übrigen Aufforderungen folgen.
Vor- und Nachteile von AD-Gesamtstrukturen
Der Hauptvorteil der Erstellung einer Active-Directory-Gesamtstruktur besteht darin, dass die Gesamtstruktur als zentralisierter Mechanismus für die Verwaltung und Kontrolle der Authentifizierung und Autorisierung im gesamten Unternehmen fungiert. Administratoren können Benutzerobjekte (Benutzerkonten) innerhalb des Active Directory erstellen. Diese Benutzerobjekte fungieren als Sicherheit, was bedeutet, dass das Active Directory Anmeldungen authentifiziert.
Zusätzlich können Gruppenrichtlinieneinstellungen auf verschiedenen Ebenen der Active-Directory-Hierarchie angewendet werden, um Benutzerkonten- oder Computerkonfigurationen durchzusetzen. Beispielsweise können Gruppenrichtlinieneinstellungen verwendet werden, um Anforderungen an die Länge und Komplexität von Kennwörtern für Benutzerkonten durchzusetzen.
Administratoren können auch Sicherheitsgruppen innerhalb des Active Directory erstellen. Diese Sicherheitsgruppen fungieren als Sammlungen von Benutzerobjekten und spielen eine wichtige Rolle bei der Datensicherheit. Sicherheitsgruppen sind in der Regel mit den Zugriffskontrolllisten verbunden, die mit Ordnern und anderen Ressourcen verknüpft sind, wodurch den Gruppenmitgliedern Berechtigungen erteilt werden.
Zu den Nachteilen gehören eventuelle Sicherheitslücken, wie zum Beispiel Exploits. Zwar kann die Verwendung eines Multi-Forest-Designs eine Option sein, doch ist es standardmäßig nicht sicher, da immer noch die Einrichtung von Berechtigungen und Authentifizierung für jede Gesamtstruktur erforderlich ist. Multi-Forest-Designs erhöhen außerdem die Kosten. Es wird daher empfohlen, AD-Gesamtstrukturen so weit wie möglich zu konsolidieren, um die Kosten zu senken.
Designmodelle für AD-Gesamtstrukturen
Active-Directory-Gesamtstrukturen können nach mehreren verschiedenen Architekturmodellen erstellt werden, darunter
- Organisatorisches Gesamtstrukturmodell (Organizational Forest Model)
- Ressourcen-Gesamtstrukturmodell (Resource Forest Model)
- Gesamtstrukturmodell mit eingeschränktem Zugriff (Restricted Access Forest Model)
Das einfachste dieser Modelle ist das organisatorische Gesamtstrukturmodell (Organizational Forest Model). In kleineren Organisationen richtet dieses Modell eine einzige AD-Gesamtstruktur ein, die alle Ressourcen der Organisation enthält. Größere Organisationen können für jede Abteilung eine separate Active-Directory-Gesamtstruktur haben. Die Erstellung mehrerer AD-Gesamtstrukturen stellt eine Grenze zwischen den Abteilungen dar. Wenn eine Zusammenarbeit zwischen Abteilungen erforderlich ist, kann ein Forest Level Trust geschaffen werden.
Eine zweite Art ist das Ressourcen-Gesamtstrukturmodell (Resource Forest Model). In diesem Modell werden Benutzerkonten innerhalb einer organisatorische Gesamtstruktur erstellt. Getrennte Gesamtstrukturen werden erstellt, um die Ressourcen einzelner Abteilungen, Bereiche oder Projekte unterzubringen. Diese Ressourcen-Gesamtstrukturen enthalten keine Benutzerkonten, außer denen, die für administrative Zwecke erforderlich sind. Stattdessen ermöglichen Vertrauensbeziehungen Benutzern aus der organisatorischen Gesamtstruktur den Zugriff auf Ressourcen. Ressourcen-Gesamtstrukturen sind eine gute Wahl, wenn es darum geht, Probleme zu isolieren. Ein Active-Directory-Problem, das in einer Ressourcen-Gesamtstruktur auftritt, wirkt sich aufgrund der bestehenden Grenzen nicht auf andere Ressourcen-Gesamtstrukturen aus.
Das dritte Modell ist das Gesamtstrukturmodell mit eingeschränktem Zugriff (Restricted Access Forest Model). Dieses Modell umfasst mehrere Gesamtstrukturen, zwischen denen keine Vertrauensbeziehungen bestehen. Die Benutzer in einer Gesamtstruktur können auf keine der Ressourcen in einer anderen Gesamtstruktur zugreifen. Dieses Design wird in Hochsicherheitsumgebungen verwendet, da es extrem starke Isolationsgrenzen schafft.
Single-Forest- versus Multi-Forest-AD-Design
Obwohl verschiedene Designmodelle die Erstellung mehrerer Active-Directory-Gesamtstrukturen (Multi-Forest-AD-Design) ermöglichen, sind solche Modelle komplex und teuer in der Implementierung. Normalerweise werden sie nur von sehr großen Organisationen verwendet.
Kleinere Organisationen, die ähnliche, aber weniger komplexe Strukturen haben möchten, können eine einzige Gesamtstruktur (Single-Forest-AD-Design) mit mehreren untergeordneten Domänen erstellen. Diese untergeordneten Domänen können einer bestimmten Abteilung, einem Projekt, einer Abteilung oder einer Ressource zugeordnet werden. Zusätzliche Domänen können bei Bedarf einfach erstellt werden, um die betrieblichen und organisatorischen Anforderungen der Organisation zu erfüllen.
Best Practices
Das Active Directory wurde so konzipiert, dass eine Domäne oder eine Gesamtstruktur Domänencontroller enthalten kann, auf denen eine Vielzahl von Windows-Server-Versionen ausgeführt werden.
In einer Domäne bestimmt die Einstellung der Domänen-Funktionsebene die älteste Windows-Server-Version, die in dieser Domäne als Domänencontroller verwendet werden kann. In ähnlicher Weise bestimmt die Funktionsebene der Gesamtstruktur die älteste Windows-Server-Version, die auf einem Domänencontroller innerhalb der Gesamtstruktur verwendet werden kann.
Die Funktionsebenen ermöglichen es Domänencontrollern, die auf neueren Betriebssystemen ausgeführt werden, vollständig abwärtskompatibel mit älteren Domänencontrollern zu sein. Dies bedeutet jedoch, dass einige Domänencontroller, die auf eine ältere Funktionsebene eingestellt sind, neuere Funktionen nicht unterstützen, bis die Funktionsebene angehoben wird.
Beispielsweise verhält sich ein Windows Server 2019-Domänencontroller mit einer Domänenfunktionsebene von Windows Server 2012 wie ein Windows Server 2012-Domänencontroller, und Active-Directory-Funktionen, die seit Windows Server 2012 eingeführt wurden, stehen nicht zur Verfügung. Als Best Practice sollten Organisationen ihre Domänencontroller-Betriebssystemversionen regelmäßig überprüfen und die Domänen-Funktionsebenen und Gesamtstruktur-Funktionsebenen entsprechend anheben.
Es gibt auch Best Practices für den globalen Katalog. Globale Kataloge helfen bei Benutzeranmeldeanforderungen und Active-Directory-Suchen. In einer einzelnen Domänenstruktur sollte jeder Domänencontroller als globaler Katalogserver fungieren. Typischerweise ist dies auch bei Multi-Domänen-Gesamtstrukturen der Fall. Der Benutzer bestimmt jedoch möglicherweise keinen Domänencontroller als globalen Katalogserver, wenn der Domänencontroller Beschränkungen bei der Bandbreite hat oder wenn er der Infrastrukturmaster der Domäne ist (es sei denn, alle Domänencontroller sind globale Katalogserver oder die Gesamtstruktur hat nur eine Domäne).