Das NT 4-Domänenkonzept
- Grundlage
- Domänenmodelle
- NT-Security
- Serverrollen
1. Grundlage
- Verwaltungsbereich im Netz
: Domäne
- Eine Domäne
ist eine Verwaltungseinheit von Rechnern in einem Netz. Sie "ist eine
logische Gruppierung von Netzwerk-Servern und anderen Computern, die über
gemeinsame Sicherheitsmerkmale und Informationen der Benutzerkonten verfügen."
( CD:Ntsrv40d/Support/Book_cp.hlp ).
- Verwaltung einer Domäne
: Security Accounts Manager ( SAM
)
- Die Sicherheitsmerkmale und
Benutzerinformationen werden zentral in einer Datei gehalten, der
( SAM ) - Datenbank
oder auch Verzeichnisdatenbank. Sie beinhaltet Informationen von jedem
Benutzer und Computer, der sich in der Domäne
anmelden kann, d.h., für die ein Konto eingerichtet wurde. Dem Konto
werden bestimmte Rechte zugeordnet, eine Kennung und ein
Paßwort. Zudem erhält jedes Konto einen ( weltweit )
eindeutigen Security Identifier ( SID
), der bei der Konteneinrichtung einmalig erstellt wird.
Mit der SAM wird im folgenden
immer die zugehörige Datenbank bezeichnet
- Konsequenzen des Konzepts
-
- Eine Domäne wird
durch einen Domänennamen identifiziert. Es kann mehrere Domänen
in einem Netz geben, die auch miteinander kommunizieren können
( Vertrauensstellungen, Trusts ).
- Ein Rechner gehört zu
einem Zeitpunkt nur einer Domäne an.
- Die SAM
liegt auf einem Server, dem Primary Domain Controller ( PDC
). Die Zentralverwaltung erfordert die Existenz genau eines
PDC's je Domäne.
- Die SAM
wird auf den Backup Domain Controller ( BDC
) repliziert. Der Servertyp BDC
bekommt eine Kopie der SAM vom
PDC, die ständig aktualisiert
wird. Damit kann der BDC bei
Ausfall des PDC dessen Rolle
übernehmen.
TOP
2. Domänenmodelle
Die Verwaltung von Rechten erfolgt unter
NT 4 nicht hierarchisch. Strukturen einer Firma können nur bedingt
abgebildet werden. Der Versuch, Hierarchien durch mehrere Domänen
zu simulieren birgt schwere Nachteile. Es gibt unter NT 4 keine Möglichkeit,
mehrere SAM's durch einen Verzeichnisdienst
zu verwalten. Das ist erst mit der Windows-Variante der Novell-NDS,
dem Active Directory System unter Win2000 möglich.
- Das Einzeldomänenmodell
- Alle Rechner gehören
einer Domäne an. Die
klare Gliederung in einen Server und mehreren Clients ( Workstations
) entspricht am besten dem Konzept der Zentralverwaltung. Eine
weitere Strukturierung hat zur Folge, daß die Zentralverwaltung und
damit die Kontrolle verlorengeht.
- Das Hauptdomänenmodell
- Eine Domäne
dient zur Verwaltung aller Benutzerkonten, stellt jedoch keine Ressourcen
zur Verfügung. Mehrere Domänen
stellen Ressourcen zur Verfügung, verwalten jedoch keine Konten.
Durch Einrichtung sogenannter Vertrauensstellungen zwischen den Ressourcendomänen
und der Kontendomäne können die Ressourcen und Konten dennoch
zentral verwaltet werden. Diese Aufgliederung ist sinnvoll, wenn einzelne
Abteilungen und ihre Ressourcen z.B. aus Sicherheitsgründen oder
zwecks Delegation voneinander getrennt werden sollen.
Da auch die Ressourcendomänen Vertrauensstellungen untereinander
aufbauen können, liegt hier ein Schwachpunkt des Modells.
- Das Mehrfach-Hauptdomänenmodell
- Bei komplexen Strukturen bietet
sich eine weitere Gliederung in mehrere Kontendomänen an, unter denen
Vertrauensstellungen definiert werden. Aufgrund der o.a. Schwächen
des Modells erfordert die Verwaltung eine hohe Disziplin vom Administrator
und birgt dennoch die Gefahren nicht zu kontrollierender Trusts der untergeordneten
Domänen.
TOP
3. NT-Security
- Komponenten der Security
- Um die Sicherheit im Laufe
einer Session zu gewährleisten, sind mehrere Schritte notwendig.
Die Anmeldung am System erfolgt durch einen Login-Prozeß,
der Kennwort und Paßwort entgegennimmt. Hier hat man die Möglichkeit,
sich lokal am Rechner oder aber in der Domäne anzumelden. Bei lokaler
Anmeldung werden diese Angaben von der Local Security Authority
mit den Einträgen in der lokalen SAM
verglichen. Bei Anmeldung in der Domäne werden die Daten via Broadcast
ins Netz gesendet. Der Anmelde-Computer ( PDC
oder BDC, wer zuerst erreicht
wird ) nimmt die Anmeldung entgegen und prüft sie. Es wird geprüft,
ob sich der Benutzer annmelden darf, ggf. wird er beglaubigt und ein Informationspaket
mit seinen Rechten erstellt ( Access-Token ). Das Access-Token beinhaltet
die SID des Benutzers und der Gruppen,
zu denen er gehört, darüberhinaus enthält es die Privilegien
des Benutzers. Dieses Token begleitet ihn während der Session und
dient zur Zugriffsregelung und der Rechtevergabe an die Prozesse, die
unter seiner Kennung gestartet werden. Die Prüfung der Zugriffsrechte
erfolgt durch den SRM
. I. A. wird danach die Session mit dem Desktop gestartet.
Es ist jedoch auch möglich, daß ein Dienst unter einer Benutzerkennung
gestartet wird.
- Privilegien : Rechte am System
- Bestimmte Rechte am System
können explizit vergeben werden. Sie werden Privilegien genannt und
sind Bestandteil des Access-Tokens ( s.o. ). Die Vergabe
solcher Rechte hat meist weitreichende Konsequenzen und sollte gut bedacht
werden ( vgl. Liste der Privilegien
) .
- Vertrauen : Rechte in mehreren
Domänen
- Die Abbildung von Strukturen
mit Domänen ist nicht hierarchisch. Der Versuch, eine Hierarchie
zu simulieren, erfordert die Möglichkeit der Kommunikation zwischen
Domänen. Dazu bietet der Benutzermanager für Domänen
( Richtlinien/Vertrauensstellungen... ) die Einrichtung von
Vertrauensstellungen an. Man kann einer anderen Domäne vertrauen
oder einer anderen Domäne das Recht zu vertrauen geben.
- Einrichtung von Vertrauensstellungen
- Man kann einer Domäne
also erst dann vertrauen, wenn einem das Recht dazu gegeben wurde.
Ein Beispiel: Es existieren zwei Domänen "DOMaktiv" und "DOMpassiv".
DOMpassiv vergibt das Recht, DOMpassiv zu vertrauen an DOMaktiv. Daraufhin
trägt DOMaktiv in seinem Benutzermanager DOMpassiv als vertraute
Domäne ein. Dazu ist das Administratorkennwort von DOMpassiv
nötig. DOMaktiv vertraut DOMpassiv.
Das Vertrauen bezieht sich auf die Benutzerverwaltung, die jetzt nur
noch von einer Domäne durchgeführt werden muß. Im
Beispiel bedeutet das, daß DOMaktiv darauf vertraut, daß
DOMpassiv eine regelrechte Kontenverwaltung beherrscht. DOMpassiv
ist die Kontendomäne, DOMaktiv die Ressourcendomäne.
- Nachteile von Vertrauensstellungen
- Vertrauensstellungen wirken
einseitig und können zwischen beliebigen Domänen
eingerichtet werden. Wird eine Firmenstruktur mit mehreren Domänen
abgebildet, die miteinander kommunizieren müssen, so ist der
Administrationsaufwand hoch. Zudem können ganz unabhängig
von der Struktur Vertrauensstellungen untergeordneter Domänen
eingerichtet werden. U.U. ohne daß der Administrator dies veranlaßt
hat. Die Kontrolle fällt schwer.
TOP
4. Serverrollen
- Primary Domain Controller
( PDC )
- Der PDC
definiert die Domäne. Er besitzt das Original der SAM
und ist für die Verwaltung der Konten und Ressourcen mit ihren Rechten
zuständig. Der PDC nimmt die
Login-Aufforderung aus dem Netz entgegen und wickelt die Beglaubigung
sowie die Übermittlung des Access-Tokens ab. Als zentrale Verwaltungsinstitution
ist ein PDC in einer Domäne
absolut notwendig. Die Verwaltungsinformationen der SAM
werden regelmäßig an die ggf. existierenden BDC's
repliziert ( standardmäßig alle 5 Minuten ). alle
Änderungen der Rechtezuordnungen und Ressourceneigenschaften in der
Domäne werden unmittelbar in der SAM
auf dem PDC berücksichtigt.
Dies geschieht nach einem Ausfall des PDC's
nicht mehr. In diesem Fall kann ein BDC
Teilaufgaben des PDC übernehmen
( Authentifizierung, s.a. Rollentausch ).
Ein PDC kann niemals einer anderen
Domäne zugeordnet werden.
- Backup Domain Controller
( BDC )
- Der BDC
besitzt eine Kopie der SAM und ist
mit ihr in der Lage, bei Ausfall des PDC's
die Authentifizierung durchzuführen. Er ist jedoch nicht in
der Lage, Änderungen an der SAM
durchzuführen. Allerdings kann er bei Ausfall des PDC's
selbst zum PDC heraufgestuft werden.
Das macht Sinn, wenn es absehbar ist, daß der PDC
dauerhaft oder während einer wichtigen Änderung der Rechte nicht
zur Verfügung steht. Wenn der ursprüngliche PDC
seinen Betrieb wieder aufnehmen kann, ist eine gewisse Reihenfolge der
Aktionen zu beachten, da es sonst zu Inkonsistenzen der SAM
wegen der Replikationsreihenfolge kommen kann ( vgl. Rollentausch
).
Ein BDC kann niemals einer anderen
Domäne zugeordnet werden.
- Memberserver
- Ein Memberserver ( auch
Standalone-Server ) kann einer Arbeitsgruppe oder einer Domäne
angehören. Er kann Ressourcen und Serverdienste zur Verfügung
stellen, verwaltet aber keine globalen Konten. D.h., er fürt keine
Authentifizierung in der Domäne
durch.
- Rollentausch
- PDC
und BDC können die Rollen tauschen.
Bei Ausfall des PDC kann sich der
BDC via Servermanager/Computer selbst
zum PDC heraufstufen. In dieser Phase
des Heraufstufens ist der Netlogon-Dienst beim noch-BDC
deaktiviert. Unmittelbar nach der Heraufstufung wird dieser Dienst wieder
aktiviert.
Wird der ursprügliche PDC wieder
hochgefahren, so merkt er, daß bereits ein PDC
in der Domäne existiert.
Er startet seinen Netlogon-Dienst nicht und stuft sich selbst zum BDC
herab . Danach wird der Netlogon-Dienst wieder aktiviert und es erfolgt
die normale SAM-Replikation zwischen
PDC und BDC,
jetzt aber mit vertauschten Rollen.
Auch wenn der alte PDC seine
ursprüngliche Rolle wieder einnehmen soll, so ist eine einmalige
Replikation zu gewährleisten, da sonst Inkonsistenzen nicht zu vermeiden
sind: zwischenzeitliche Änderungen an der SAM
blieben unberücksichtigt.
- Ein Memberserver kann sich
selbst zu einer Domäne
hinzufügen : Systemsteuerung/Eigenschaften/Identifikation/Ändern
Dabei muß er sich ein Computerkonto in der Domäne
erstellen, wofür das Administratorkennwort notwendig ist. Nach einem
Reboot wird die Änderung wirksam.
TOP