M 2.229 Planung des Active Directory
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Das Active Directory (AD) ist der zentrale Datenspeicher für sämtliche Verwaltungsdaten einer Windows 2000 Domäne. Abstrakt gesehen, bildet das AD eine hierarchisch und baumartig organisierte, Objekt-basierte Datenbank. Es ist an den Verzeichnisdienst-Standard X.500 angelehnt, von dem es die interne Struktur und den internen Aufbau entliehen hat. Es ist jedoch kein X.500 kompatibler Verzeichnisdienst.
Das Windows 2000 Domänenkonzept gleicht auf Domänenebene prinzipiell dem Windows NT Domänenkonzept: in einer Domäne werden Rechner und Benutzer zusammengefasst und können durch den Domänenadministrator verwaltet werden. Eine Domänengrenze bildet grundsätzlich eine administrative Grenze und begrenzt auch den Wirkungsbereich von Berechtigungen. Zusätzlich zu diesem Konzept bietet Windows 2000 an, Domänen baumartig miteinander in Beziehung zu setzen, so dass Vater-Kind-Beziehungen zwischen Domänen bestehen können. Eine Kind-Domäne wird dabei auch als Sub-Domäne bezeichnet, da sich der Name der Kind-Domäne aus dem Namen der übergeordneten Domäne ableitet, indem diesem Namen der Name der Domäne durch einen Punkt getrennt angehängt wird.
- Beispiel:
- Name der Vater-Domäne: unternehmen.de
- Name der Sub-Domäne: verwaltung.unternehmen.de
- Name der Vater-Domäne: unternehmen.de
- Name der Sub-Domäne: verwaltung.unternehmen.de
Der so aufgespannte Namensraum ist mit dem zugehörigen DNS Namensraum identisch und kann auch nicht verschieden von diesem gebildet werden. Domänen, die einen gemeinsamen Namensstamm besitzen, bilden einen Baum (englisch Tree).

Domänen, die in mehreren Bäumen angesiedelt sind - also unterschiedliche Namensräume aufspannen - können dennoch gemeinsam verwaltet werden. Derart zusammengeschlossene Domänenbäume bilden einen Wald (englisch Forest). Insbesondere bildet eine einzige alleinstehende Domäne auch einen Baum und gleichzeitig auch einen Wald.
In einem Wald gibt es immer eine ausgezeichnete Domäne, die eine gewisse Sonderstellung besitzt. Es ist die als erstes erzeugte Domäne, die auch als Forest-Root-Domäne (FRD, Wurzel-Domäne des Waldes) bezeichnet wird. Die Sonderstellung besteht darin, dass Administratoren der FRD im gesamten Forest weitreichende Berechtigungen besitzen. Für die Mitglieder der Gruppe Organisations-Admins stellen die Domänengrenzen keine administrativen Grenzen dar, da sie in allen Domänen Zugriffsrechte besitzen. Beim Aufbau eines Windows Domänenverbundes ist zu bedenken, dass die zuerst erzeugte Domäne immer die FRD ist. Insbesondere kann die "Rolle" der FRD nachträglich nicht auf eine andere Domäne "übertragen" werden, so dass die Domänenstruktur ggf. vollständig in der gewünschten Form neu erzeugt werden muss.
Das AD besteht aus verschiedenen Objekten, den Active Directory Objekten (ADOs). Jedes Objekt besitzt einen ausgezeichneten Typ, wie z. B. Benutzerobjekt oder Rechnerobjekt, und ist gemäß dieses Typs aus verschiedenen Attributen zusammengesetzt. Die verschiedenen Objektattribute können verschiedene Werte aufnehmen, wie z. B. Telefonnummer oder IP-Adresse. Das AD kennt verschiedene vordefinierte Objekttypen:
- Domänen-Objekt: Dieses Objekt ist die Wurzel aller AD-Objekte einer Domäne und enthält Informationen über die Domäne, wie z. B. den Namen. Unterhalb eines Domänen-Objektes können andere Objekte angeordnet sein.
- Gruppierungs-Objekte: Diese Objekte dienen dazu, andere Objekte zu gruppieren. Standardmäßig steht das Objekt Organisations-Einheit (Organizational Unit, OU) zur Verfügung. Unterhalb eines OU-Objektes können weitere OU-Objekte enthalten sein, sowie Rechner-, Benutzer- und Benutzer-Gruppen-Objekte.
- Rechner-Objekt: Durch dieses Objekt werden Windows 2000/XP Rechner repräsentiert. Unterhalb eines Rechner-Objektes können keine weiteren Objekte mehr angeordnet sein. Das Windows 2000 Active Directory ist nur auf die Verwaltung von Windows Rechnern ausgelegt, so dass Rechner-Objekte ausschließlich Windows Rechner repräsentieren können, die mit dem Active Directory zusammenarbeiten. Dies sind standardmäßig Rechner mit den Betriebssystemen Windows NT/2000/XP. Für andere Versionen von Windows, wie z. B. Windows 98, stehen Active Directory Anmeldekomponenten zur Verfügung.
- Benutzer-Objekt: Durch dieses Objekt werden Domänenbenutzer repräsentiert. Unterhalb eines Benutzer-Objektes können keine weiteren Objekte mehr angeordnet sein.
- Benutzer-Gruppen-Objekte: Durch diese so genannten Sicherheits-Grup-pen werden Windows Gruppen repräsentiert. Es gibt verschiedene Gruppentypen, die sich im Geltungsbereich (domänen-, forestweit) und in den möglichen Gruppenmitgliedern (Domänen-, Forest-Objekte) unter-scheiden. Es wird unterschieden zwischen lokalen, domänen-lokalen, globalen und universalen Gruppen. Sicherheits-Gruppen werden dazu benutzt, Berechtigungen zu vergeben. Im Vergleich zu Windows NT ist in einem Windows 2000/XP System mit einer deutlich höheren Anzahl von Gruppen zu rechnen (mehrere zehntausend für größere Unternehmen), so dass u. U. über eine werkzeuggestützte Verwaltung nachgedacht werden muss. Diese kann sowohl über selbst geschriebene Skripte, als auch über Produkte von Drittherstellern erfolgen. Ob und welche Werkzeuge hier sinnvoll sind, muss jedoch im Einzelfall entschieden werden.
Der generelle AD-Aufbau lässt sich wie folgt darstellen:
- Das Domänen-Objekt ist die Wurzel des AD-Baumes einer Domäne.
- Unter dem Domänen-Objekt werden OU-Objekte erzeugt, um Rechner-, Benutzer- und Benutzer-Gruppen-Objekte strukturiert zusammenzufassen. Da OU-Objekte geschachtelt werden können, ergibt sich eine organisationsspezifische Baumstruktur.
Nach einer Standardinstallation existiert eine einfache und flache AD-Struktur, die von Windows 2000 angelegt wird und dann entsprechend der AD-Planung verändert werden muss. Da das AD primär der Verwaltung eines Windows 2000/XP Systems dient, sollte beim Aufbau der AD-Struktur darauf geachtet werden, dass die Struktur vornehmlich auf administrative Gegebenheiten abgestimmt wird. Wenn stattdessen zwanghaft die organisatorische Behörden- bzw. Unternehmensstruktur bis ins Kleinste nachgebildet wird, kann dies zu Problemen in der Administration führen.
Die möglichen Anordnungen von AD-Objekten, d. h. die Festlegung welches Objekt welche anderen Objekte enthalten darf, welche Attribute existieren und aus welchen Attributen Objekte zusammengesetzt werden, wird durch das so genannte AD-Schema definiert. Das von Microsoft vorgegebene AD-Schema kann auch verändert werden. Dies stellt jedoch einen gravierenden Eingriff in das AD dar, der nur nach sorgfältiger Planung durchgeführt werden darf. Eine Schema-Änderung wirkt sich in allen gemeinsam verwalteten Domänen, d. h. im Wald bzw. Forest, aus. Da die Schemaänderung eine kritische Operation ist, kann diese nur an genau einem Rechner, dem so genannten Schema-Master, durch Mitglieder der Gruppe Schema-Admins durchgeführt werden. Schemaänderungen können zudem u. U. nicht mehr rückgängig gemacht werden. Die Mitgliedschaft in dieser Gruppe ist daher unbedingt restriktiv zu vergeben und streng zu kontrollieren.
Das AD wird auf Domänen Controllern gehalten und innerhalb einer Domäne zwischen diesen durch Replikation synchronisiert. Das AD einer Domäne enthält nur domänenbezogene Informationen. Um in einem Forest schnell auf Informationen aus dem gesamten Forest zugreifen zu können, wird der so genannte Global Catalog (GC) aufgebaut. Er besteht aus Teilinformationen von AD-Objekten und wird im gesamten Forest repliziert, so dass über den GC in einer Domäne auch direkt auf Informationen aus anderen Domänen zugegriffen werden kann.
Neben der beschriebenen baumartigen und hierarchischen Struktur baut Windows 2000 automatisch eine zusätzliche und orthogonale Struktur auf. Räumlich nahe Rechner - dies bestimmt Windows 2000 über Netzlaufzeiten - werden zu so genannten Standorten (englisch Sites) zusammengefasst. Über Sites wird u. a. auch die Replikationsstruktur von Domänen Controllern gesteuert. Pro Site muss mindestens ein Rechner existieren, der eine Kopie des Global Catalogs hält. Der Global Catalog muss im Rahmen des Anmeldeprozesses eines Benutzers angefragt werden, so dass bei der Anmeldung immer ein Global Catalog-Server zugreifbar sein muss. Die von Windows 2000 automatisch aufgebaute Standortstruktur sollte an die behörden- oder unternehmensinternen Gegebenheiten, wie z. B. Standorte in verschiedenen Städten oder Ländern, individuell angepasst werden. Da dies Einfluss auf die AD-Replikationsbeziehungen hat, ist dazu jedoch ein Konzept zu erstellen.
Im Rahmen der AD Planung sind folgende Aspekte zu berücksichtigen:
- Welche AD-Struktur im Sinne der Aufteilung in Domänen und welche Anordnung der Domänen in Bäume und Wälder soll gewählt werden?
- Welche Benutzer und Rechner sollen in welchen Domänen zusammengefasst werden?
Für jede Domäne muss entschieden werden,
- welche OU-Objekte existieren sollen, wie diese hierarchisch angeordnet werden und welche Objekte diese jeweils aufnehmen sollen,
- welche Sicherheitsgruppen benötigt werden und wie diese in OUs zusammengefasst werden,
- welches administrative Modell umgesetzt wird (zentrale/dezentrale Verwaltung),
- ob und an wen administrative Aufgaben delegiert werden sollen,
- welche Sicherheitseinstellungen für verschiedene Typen von Rechnern und Benutzergruppen gelten sollen,
- welche Einstellungen bei den Gruppenrichtlinien benötigt werden und nach welchem Konzept die Gruppenrichtlinien verteilt werden (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 und M 2.326 Planung der Windows XP Gruppenrichtlinien),
- welche Vertrauensstellungen von Windows 2000 automatisch generiert werden und welche zusätzlichen Vertrauensstellungen (z. B. zu NT-Domänen oder externen Kerberos-Realms) eingerichtet werden müssen,
- auf welche AD-Informationen über die verschiedenen AD-Schnittstellen (z. B. ADSI, LDAP) von wem zugegriffen werden dürfen,
- welche AD-Objekte in den so genannten Global Catalog übernommen werden sollen, auf den in einem Forest global zugegriffen werden kann,
- in welchem Modus die Domäne betrieben werden muss: müssen in einer Domäne noch Windows NT Backup-Domänen-Controller (BDCs) betrieben werden, so muss die Domäne im "Mixed-Mode" betrieben werden. Sind keine BDCs vorhanden, kann die Domäne im "Native-Mode" betrieben werden.
Generell muss die geplante AD-Struktur dokumentiert werden, dies trägt maßgeblich zur Stabilität, konsistenten Administration und damit zur Systemsicherheit bei. Es empfiehlt sich insbesondere festzuhalten, welche Schemaänderungen durchgeführt werden. Dabei sollten auch die Gründe für die Änderung dokumentiert sein.
Für jedes AD-Objekt sollte dokumentiert sein:
- Name und Position im AD-Baum (z. B. "StandortBerlin", Vater-Objekt: OU "Filialen-Deutschland")
- welchem Zweck das Objekt dient (z. B. Gruppe der Benutzer mit RAS-Zugang auf RAS-Server 1)
- welche administrativen Zugriffsrechte für das Objekt und dessen Attribute vergeben werden sollen (z. B. vollständig verwaltet von "Admin1")
- wie die Vererbung von AD-Rechten konfiguriert werden soll, z. B. Blockieren der Rechtevererbung (siehe auch M 2.230 Planung der Active Directory-Administration, M 3.27 Schulung zur Active Directory-Verwaltung)
- welche Gruppenrichtlinienobjekte auf dieses Objekt wirken (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows 2000)
Der Planung der AD-Administration und des benutzten administrativen Modells kommt eine wichtige Aufgabe zu. Empfehlungen dazu finden sich zusammengefasst in Maßnahme M 2.230 Planung der Active Directory-Administration.
Die sicherheitsrelevanten Kernaspekte der AD-Planung sind zusammengefasst:
- Domänen begrenzen die administrative Macht von Administratoren. Administratoren können daher nur innerhalb einer Domäne verwaltend tätig werden, so dass ihre Verwaltungsbefugnis standardmäßig nicht über die Domänengrenze reicht. Dies gilt insbesondere im Verbund mit mehreren Domänen (Baum, Wald), so dass die oft geäußerten Bedenken, dass durch das standardmäßig transitive Vertrauensmodell auch administrative Berechtigungen über Domänengrenzen hinweg möglich sind, für normale Administratorenkonten ausgeräumt werden können (siehe jedoch Organisations-Admins unten).
- Domänenübergreifende Zugriffe setzen voraus, dass in der Ziel-Domäne explizit Zugriffsberechtigungen für den Zugreifer aus einer anderen Domäne eingerichtet werden. Standardmäßig sind daher keine domänenübergreifenden Zugriffe möglich. Dies bedeutet, dass in einem Baum oder Wald ein Administrator einer Domäne "A" nur dann administrativ auf eine beliebige andere Domäne "B" zugreifen kann, falls der Domänenadministrator von "B" dem Administrator der Domäne "A" explizit Berechtigungen dazu einräumt (siehe jedoch Organisations-Admins).
- Die Mitglieder der Gruppe Organisations-Admins genießen einen Sonderstatus, da sie im gesamten Forest Administratorrechte auf dem AD besitzen. Insbesondere werden gesetzte Zugriffsrechte auf AD-Objekte bei Zugriffen von Organisations-Admins ignoriert. Die Mitgliedschaft in der Gruppe der Organisations-Admins muss daher restriktiv vergeben und strikt kontrolliert werden. Es ist zu beachten, dass ein Organisations-Admin benötigt wird, um beispielsweise eine Subdomäne anzulegen.
- Administrative Delegation wird durch die Vergabe von Zugriffsrechten auf AD-Objekte und deren Attribute erreicht. Die Verteilung der Zugriffsrechte muss gemäß dem administrativen Modell erfolgen. Durch die Mechanismen für Zugriffsrechte im AD (Vererbung, Kontrolle der Vererbung, Wirkungsbereich von Zugriffseinstellungen) können sehr komplexe Berechtigungsstrukturen aufgebaut werden. Diese können sehr schnell unübersichtlich und nicht mehr administrierbar werden, so dass sich durch Fehlkonfigurationen im AD Sicherheitslücken ergeben können. Eine möglichst einfache Berechtigungsstruktur ist daher vorzuziehen.
- Schemaänderungen sind kritische Operationen und dürfen nur von autorisierten Administratoren nach sorgfältiger Planung durchgeführt werden.
Abschließend sei darauf hingewiesen, dass Fehler in der AD-Planung und den zugrunde liegenden Konzepten nach erfolgter Installation nur mit beträchtlichem Aufwand zu berichtigen sind. Nachträgliche Veränderungen in der AD-Struktur, wie z. B. die Anordnung von Domänen in Bäume und Forests, ziehen u. U. das komplette Neuaufsetzen von Domänen nach sich.
Ergänzende Kontrollfragen:
- Wurde eine AD-Planung durchgeführt?
- Sind alle Beteiligten in die Planung einbezogen worden?
- Ist ein bedarfsgerechtes AD-Berechtigungskonzept entworfen worden?
- Sind administrative Delegationen mit restriktiven und bedarfsgerechten Berechtigungen ausgestattet?