M 3.27 Schulung zur Active Directory-Verwaltung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Das Active Directory ist die zentrale Datenbank von Windows 2000, in der Benutzerdaten, Gruppenzugehörigkeiten und andere Verwaltungsdaten abgelegt werden. Als Clients können im Active Directory nicht nur Windows 2000, sondern auch Windows XP Systeme verwaltet werden.
Für die Administration eines Windows 2000/XP Netzes werden detaillierte Kenntnisse des Active Directory und seiner grundlegenden Konzepte benötigt. Ansonsten kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitstechnische Auswirkungen haben können. Eine Schulung der Administratoren auf diesem Gebiet und insbesondere zu Active Directory Sicherheitsthemen ist daher unerlässlich.
Im Folgenden wird in kurzen Stichpunkten zusammengefasst, welche Fachkenntnisse mindestens zur sicheren Administration des Active Directory notwendig sind. Um diese Stichpunkte auch begrifflich besser einordnen zu können, wird zunächst ein kurzer Abriss des Active Directory, seiner Strukturen und Komponenten dargestellt.
Active Directory - Abriss
Das Active Directory Konzept von Windows 2000 greift weiter als das Domänen-Konzept von Windows NT, da das Active Directory eine Integration verschiedener Domänen in ein Gesamtverzeichnis erlaubt. Das folgende Bild zeigt die mögliche Gesamtstruktur eines Windows 2000/XP Netzes:

Abbildung: Gesamtstruktur eines Windows 2000/XP Netzes
Zwischen all diesen Domänen bestehen direkte (einzelne Pfeile) bzw. indirekte (über mehrere Pfeile hinweg) Kerberos-Vertrauensbeziehungen, so dass die Authentisierung eines Benutzers oder Computers über jeden Domain Controller des Forests vorgenommen werden kann. Windows 2000/XP nutzt zur Namensauflösung von Rechnern das DNS (Domain Name Service) Verfahren des Internets, so dass jede Domäne über einen eindeutigen Namen im DNS-Format verfügen muss. Die Domänen sind dabei entsprechend ihrer Namen in einer Baumstruktur angeordnet. Eventuell sind in einem Windows 2000 Netz (Forest) mehrere solcher Bäume zusammengefasst. Die Gliederung eines Windows 2000 Netzes in Bäume hat Auswirkungen auf die technische Realisierung der Netzfunktionalität, jedoch keine unmittelbaren Auswirkungen für die Rechtevergabe und Delegation von administrativen Tätigkeiten. Hinweise zur Strukturierung eines Windows 2000 Netzes finden sich in M 2.229 Planung des Active Directory.
Die Administration von Windows 2000 erfolgt im Wesentlichen innerhalb der einzelnen Domänen. Übergreifende Bedeutung für das Active Directory hat dabei nur die so genannte Forest Root Domäne. Das ist die erste Domäne, die in einem Windows 2000 Netz installiert wird. Der Administrator dieser Forest Root Domäne ist in der Windows 2000 Voreinstellung das einzige Mitglied der beiden Gruppen Schema-Admins und Organisations-Admins.
Mitglieder der Gruppe Schema-Admins können die Struktur der Active Directory Datenbank, das so genannte Schema ändern. Durch das Schema wird bestimmt, aus welchen Objekten das Active Directory aufgebaut werden kann (Definition von Objekttypen), wie die Objekte selbst aufgebaut sind (Definition von Objektattributen) und wie die Objekte im Active Directory angeordnet werden können (Definition der Struktur). Schemaänderungen sind immer ein weitreichender Eingriff in ein Windows 2000 Netz, da sie immer alle Domänen des Forests betreffen. Außerdem können bestimmte Änderungen im Active Directory nicht mehr rückgängig gemacht werden.
Die Mitglieder der Gruppe Organisations-Admins, zu der in der Voreinstellung der Administrator der Forest Root Domäne gehört, haben besondere Befugnisse in allen Domänen des Netzes. Sie können z. B. neue Domänen in den Forest aufnehmen und haben Administratorrechte auf allen Domänen Controllern des Netzes.
Innerhalb einer einzelnen Domäne erfolgt die Administration durch Mitglieder der jeweiligen (domänen-spezifischen) Gruppe Domänen-Admins. Diese Gruppe verfügt innerhalb einer Domäne über unbeschränkte administrative Berechtigungen. Es ist jedoch möglich, einzelne administrative Aufgaben auch für andere Benutzerkonten zu ermöglichen und so administrative Aufgaben zu delegieren (siehe auch M 2.230 Planung der Active Directory-Administration).
Eine Delegation administrativer Aufgaben innerhalb einer Domäne kann auch so erfolgen, dass lediglich die Administration eines Teils der Benutzerkonten und Computer einer Domäne delegiert wird. Dies ist innerhalb der Grenzen der so genannten OUs (Organizational Units) möglich, die zur Gruppierung von Benutzer- bzw. Computerkonten innerhalb der Domäne dienen.
Eine Vielzahl von Windows 2000/XP Konfigurationsparametern ist in den Gruppenrichtlinien zusammengefasst. Neben den lokalen Gruppenrichtlinien auf jedem einzelnen Windows 2000/XP Rechner gibt es auch Gruppenrichtlinien, die im Active Directory gespeichert sind. Dies gestattet es, Rechner oder Benutzerkonten zentral zu konfigurieren. Wirkungsbereich einer solchen, im AD gespeicherten Gruppenrichtlinie, können u. a. ganze Domänen oder OUs sein. Hier dienen OUs zur Gruppierung gleichartig konfigurierter Rechner oder Benutzerkonten. Da sich OUs schachteln lassen und mit einer einzelnen OU mehrere Gruppenrichtlinien verbunden sein können, wirken auf einen einzelnen Rechner u. U. viele verschiedene Gruppenrichtlinien ein (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 und M 2.326 Planung der Windows XP Gruppenrichtlinien).
Technisch gesehen ist das Active Directory als eine verteilte Datenbank realisiert, die auf den Domänen-Controllern des Windows 2000 Netzes angesiedelt ist. Mit einigen Ausnahmen enthält jeder Domänen-Controller dabei nur die Daten seiner eigenen Domäne. Diese Ausnahmen sind:
- Jeder Domänen-Controller enthält die Schema- und Konfigurationsdaten des gesamten Forests.
- Mindestens ein Domänen-Controller jeder Domäne enthält zusätzlich noch den Global Catalog.
Der Global Catalog enthält die komplette Baumstruktur des Active Directory des gesamten Forests, für jedes der Objekte in diesem Baum enthält der Global Catalog allerdings nur bestimmte Attribute.
Im Unterschied zu Windows NT lassen sich die meisten Änderungen an jedem Domänen-Controller einer Domäne durchführen. Um die Eindeutigkeit bestimmter kritischer Datensätze zu bewahren, gibt es allerdings
- zwei ausgezeichnete Aufgaben für Domänen-Controller innerhalb des Forests (Schema Master und Domain Naming Master) und
- drei ausgezeichnete Aufgaben für Domänen-Controller innerhalb einer jeden Domäne (PDC Emulator, RID Master, Infrastructure Master).
Diese Rollen werden in der Windows 2000 Terminologie auch als FSMO-Rollen (FSMO = Flexible Single Master Operations) bezeichnet. Bestimmte Änderungen können daher nur an dem Rechner vorgenommen werden, dem die jeweilige Rolle zugeordnet ist.
Der Abgleich der Daten zwischen den einzelnen Domänen-Controllern kann über zwei verschiedene Replikationsmechanismen erfolgen. Welcher Mechanismus verwendet wird, lässt sich ebenso konfigurieren wie die Zeitabstände, in denen die Replikation erfolgt.
Durch das Konzept der verteilten Datenbank kann eine gewisse Ausfallsicherheit des Active Directory erreicht werden, problematisch sind dabei jedoch die Inhaber der FSMO-Rollen.
Schulungsinhalte
Die Administration eines Windows 2000/XP Netzes wird im Allgemeinen, je nach Größe und Komplexität des Netzes, nicht von einem einzelnen Administrator, sondern von einer ganzen Reihe von Administratoren mit speziellen Aufgaben und Tätigkeitsbereichen durchgeführt. Insoweit besteht auch nicht für alle Administratoren eines Windows 2000/XP Netzes der gleiche Schulungsbedarf. Zur Gewährleistung eines sicheren Betriebes muss jedoch jeder Administrator über ein hinreichendes Grundwissen verfügen, um seine eigenen Tätigkeiten in einen Gesamtkontext einordnen zu können.
Schulungsinhalte sollten in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern. Wie tief ein Administrator sich mit den einzelnen Punkten beschäftigen muss, hängt von seinem späteren Tätigkeitsfeld ab.
Grundlagen
- Überblick über die Sicherheitsmechanismen von Windows 2000
- Neuerungen in Sicherheitsmechanismen von Windows XP (mit Berücksichtigung der von aktuellen Service Packs hervorgerufenen Änderungen)
- Sicherheitsverwaltung (MMC, Security Editor, GPMC)
- Active Directory und DNS
- Vertrauensbeziehungen zwischen Domänen
- Notwendiger physikalischer Schutz aller Domänen-Controller als Träger der Kerberos Daten
Active Directory
- Allgemeines: Planung, Einrichtung, Administration
- Schema-Verwaltung
- Replikation
- Backup
- Rechtevergabe
- Authentisierung
- Gruppenrichtlinien
PKI (Public Key Infrastruktur)
- Funktionsweise einer PKI
- Zertifikate und Zertifikatstypen
- Planung einer PKI
- Einrichten einer PKI
- Verwalten einer PKI
- Benutzerinteraktion mit der PKI
EFS (Encrypting File System)
- Funktionsweise des EFS
- Konfiguration des EFS (Recovery-Agent, Zertifikate)
- Schlüsselbackup
- Schutz verschlüsselt gespeicherter Dateien bei der Netzkommunikation
IPSec
- Funktionsweise des IPSec
- Konfiguration des IPSec
- Umgang mit ipsecmon.exe oder einem IPSec-Monitor eines Drittherstellers
WFP (Windows File Protection)
- Funktionsweise der WFP
- Konfigurationsmöglichkeiten der WFP
DFS (Distributed File Service)
- Funktionsweise des DFS
- Administration des DFS
- Planung der DFS-Struktur
- Schutz der über DFS zugreifbaren Daten
Die einzelnen Active Directory Themen sollten dabei wie folgt detaillierter dargestellt werden:
Schema-Verwaltung
Im Normalfall ist eine installationsspezifische Veränderung des AD-Schemas durch einen Administrator nicht notwendig. Die Schulung kann sich insofern auf die Problematik und Auswirkungen von Schema-Veränderungen beschränken.
Sollen individuelle Anpassungen des Schemas vorgenommen werden, sind weitergehende Schulungen zu Interna des Active Directory notwendig.
Replikation des Active Directory
- Verwendete Mechanismen zur Replikation des Active Directory (RPC und SMTP)
- Voreingestellte Parameter zur Replikation von Active Directory Inhalten
- Problematik der dezentralen Administration des AD im Zusammenhang mit Replikationskonflikten
Backup
- Problematik des Erstellens eines "Backups des Active Directory"
- Wiedereinspielen von Backups eines Domänen-Controllers
- Zu ergreifenden Maßnahmen bei Ausfall von Domänen-Controllern, die FSMO-Rollen innehaben
Rechtevergabe im Active Directory
- Vergabe von Zugriffsrechten auf AD-Objekte auf Attributsebene
- Vererbung von Zugriffsrechten und Blockade der Vererbung
- Mögliche Zugriffsrechte
- Delegation von administrativen Aufgaben auf der Ebene einzelner OUs
Authentisierung
- Kerberos
- PKI
- Smart Cards
Gruppenrichtlinien
- Lokale Gruppenrichtlinien und im Active Directory gespeicherte Gruppenrichtlinien
- Konfigurationsmöglichkeiten mit Hilfe von Gruppenrichtlinien
- Wann werden Gruppenrichtlinien angewandt? Wie lässt sich dies konfigurieren?
- Gruppenrichtlinienobjekte (GPOs) sind Objekte im Active Directory
- Gruppenrichtlinienobjekte können an Standorte / Domänen / OUs gebunden werden
- Reihenfolge, in der Gruppenrichtlinien abgearbeitet werden
- Möglichkeiten, die Anwendung von Gruppenrichtlinien zu kontrollieren
- Vergabe von Zugriffsrechten auf Gruppenrichtlinien
- No Override Eigenschaft der Bindung eines Gruppenrichtlinienobjektes an ein AD-Objekt
- Block Policy Inheritance Eigenschaft von AD-Objekten
- Möglichkeiten zur selektiven Anwendung der Gruppenrichtlinien unter Windows XP:
- Sicherheitsfilter
- WMI Filters
Ergänzende Kontrollfragen:
- Wurden alle Administratoren für die Arbeit mit Windows 2000/XP geschult?
- Ist der Umgang mit allen relevanten Sicherheitsmechanismen dargestellt worden?