Begriffe von Active Directory

---

Hier werden einige Begriffe erläutert, die immer im Zusammenhang mit Active Directory benutzt werden.

 

Objekt:

Durch ein Objekt werden Attribute zusammengefasst, die eine bestimmte Sache darstellen (Benutzer, Drucker usw.). So würden z.B. die einzelnen Attribute eines Benutzers (Name, Vorname, Telefonnummer, E-Mail usw.) zusammen das Objekt darstellen.

 

Container:

Ein Container verfügt zwar auch über einzelne Attribute, stellt aber nicht wie ein Objekt etwas Bestimmtes dar. So enthält ein Container andere Container oder eine Gruppe von Objekten. Ein Computer oder eine Domäne ist z.B. ein Container. Auch ein einfaches Verzeichnis stellt schon einen Container da.

 

Name:

Durch einen Namen wird ein Objekt bezeichnet und kann darüber angesprochen werden. Im Active Directory gibt es zwei Arten von Namen.

1. DN (Distinguished Name)
   Jedes Objekt besitzt so einen DN Namen. Ein DN enthält den vollständigen Namen und Pfad (Container + Struktur) von einem Objekt. Ein gültiger DN Name sieht ungefähr so aus:
   /O=Internet /DC=DE /DC=WINFAQ /CN=FAQ /CN=WINFAQ.ZIP
   
2. RDN (Relative Distinguished Name)
   Dieser Name bezeichnet ein bestimmtes Attribut eines Objektes. In obigen Beispiel ist "CN=WINFAQ.ZIP" der RDN-Name des Objekts.

Domänen:

Active Directory besteht aus mindestens einer Domäne. Eine Domäne kann sich aus einem Rechner oder mehreren Rechnern zusammensetzen. In jeder Domäne gibt es eine Sicherheitsrichtlinie, die durch Sicherheitsbeziehungen mit anderen Domänen wiederum verknüpft werden können.

 

Domänenstrukturen:

Mehrere Domänen, die zusammengefasst werden und ein gemeinsames Schema und eine gemeinsame Konfiguration benutzen und somit ein zusammenhängendes "Namespace" bilden, ergeben eine Domänenstruktur.

 

Struktur (Tree):

Durch die Struktur werden logische Verbindungen zu den Containern dargestellt (wie z.B. in einem Verzeichnisbaum).
Strukturen können unter Windows von zwei Seiten betrachtet werden:

1. Betrachtung über Vertrauensstellungen
   Sie können eine Domänenstruktur anhand der Vertrauensstellungen untereinander erstellen. Für Vertrauensstellungen wird unter NT das neue Sicherheitsprotokoll "Kerberos" verwendet.
   Beispiel:
   
   DOMÄNE A <-> DOMÄNE B
   DOMÄNE B <-> DOMÄNE C
   
   In diesen Beispiel wurden zwei direkte Vertrauensstellungen eingerichtet und zwar zwischen Domäne A und B und zwischen Domäne B und C.
   Durch das Kerberos-Sicherheitsprotokoll entsteht nun noch eine zusätzliche Vertrauensstellung zwischen Domäne C und A.
    
2. Betrachtung über Namespace
   Sie können aber auch eine Domänenstruktur anhand des Namespace erstellen. Dadurch erhalten Sie eine Hierarchie, die Sie vom Stamm des Namespace aus durchsuchen können.

Beispiel:
root.de (Domäne A) -> subRoot.de (Domäne B) -> unterRoot.de (Domäne C)

 

Gesamtstrukturen (Forest):

Hier werden mehrere Strukturen, die keinen gemeinsamen Namespace haben, zu einer Gesamtstruktur zusammengefasst. Sie verwenden aber alle ein gemeinsames Schema, eine gemeinsame Konfiguration und einen "global Katalog".

 

Es gibt also in jedem Active Directory mindestens immer eine Gesamtstruktur, auch wenn es nur eine Struktur gibt. Mehrere Gesamtstrukturen in einer Organisation sind aber nicht erlaubt und auch nicht sinnvoll, da zwischen einzelnen Gesamtstrukturen keine automatische Synchronisation möglich ist.

---