Active Directory.pdf - Gattner

Entwerfen der Integration mehrerer Gesamtstrukturen 167
Hinweis Um die ausgewählte Authentifizierung für Gesamtstrukturvertrauensstellungen zu aktivieren,
muss die Gesamtstrukturfunktionsebene der vertrauenden Gesamtstruktur, in der sich freigegebene Ressourcen
befinden, auf Windows Server 2003 oder höher eingestellt sein. Zum Aktivieren der ausgewählten
Authentifizierung für externe Vertrauensstellungen muss die Domänenfunktionsebene der vertrauenden
Domäne, in der sich freigegebene Ressourcen befinden, auf Windows Server 2000 einheitlich oder höher
eingestellt sein.
Diese Art der Authentifizierungssteuerung bietet freigegebenen Ressourcen einen zusätzlichen
Schutz, da sie nicht jedem authentifizierten Benutzer aus einem anderen Unternehmen frei zugänglich
sind. Wenn Sie die ausgewählte Authentifizierung aktivieren, werden alle über eine Vertrauensstellung
an die vertrauende Gesamtstruktur gestellten Authentifizierungsanforderungen von Domänencontrollern
in der vertrauenden Gesamtstruktur verifiziert. Wenn dem Benutzerkonto auf dem
Server, auf den der Benutzer zuzugreifen versucht, nicht die Berechtigung Authentifizierung zulassen
zugewiesen ist, stellt der Domänencontroller nicht das Dienstticket aus, das für den Zugriff auf die
Gesamtstruktur erforderlich ist.
Zur Sicherheit empfiehlt es sich, die ausgewählte Authentifizierung für alle Gesamtstruktur- und
externen Vertrauensstellungen zu aktivieren. Wenn jedoch viele Benutzer in beiden Gesamtstrukturen
Zugriff auf viele Ressourcen in der jeweils anderen Gesamtstruktur benötigen, kann die Verwaltung
der ausgewählten Authentifizierung zu umständlich werden.
Entwerfen der SID-Filterung Die SID-Filterung wird verwendet, um Benutzer an der Verwendung der
im Attribut SIDHistory gespeicherten SIDs zu hindern, wenn sie auf Ressourcen in einer separaten
Gesamtstruktur zugreifen. Das Attribut SIDHistory wird normalerweise bei der Migration von Benutzer-
und Gruppenkonten von einer Domäne auf eine andere verwendet. Während der Migration können
die dem Benutzer oder der Gruppe in der Quelldomäne zugewiesenen SIDs auf das Benutzeroder
Gruppenkonto in der Zieldomäne migriert und im Attribut SIDHistory gespeichert werden.
Durch die Beibehaltung der SIDs kann das Benutzerkonto während der Migration von Ressourcen auf
die neue Domäne auf Ressourcen in der Quelldomäne zugreifen. Ist die SID-Filterung nicht aktiviert,
können die SIDs im Attribut SIDHistory für den Zugriff auf Ressourcen in jeder beliebigen vertrauten
Gesamtstruktur verwendet werden.
Weitere Informationen Weitere Einzelheiten zur Benutzer- und Gruppenmigration und zur Verwendung von
SIDHistory finden Sie in Kapitel 7, „Migrieren auf die Active Directory-Domänendienste“.
Die Deaktivierung der SID-Filterung stellt ein Sicherheitsrisiko dar, weil das Attribut SIDHistory zum
Ausnutzen der ungeschützten Vertrauensstellung eingesetzt werden kann. Ein böswilliger Benutzer
mit Administratoranmeldeinformationen kann Administrator-SIDs von Administratorkonten in der
vertrauenden Gesamtstruktur dem Attribut SIDHistory eines Sicherheitsprinzipals in der vertrauten
Gesamtstruktur hinzufügen. Das Konto kann anschließend verwendet werden, um Administratorzugriff
auf die vertraute Gesamtstruktur zu erhalten.
Mithilfe der SID-Filterung können Sie die Verwendung des Attributs SIDHistory in der gesamten
Gesamtstrukturvertrauensstellung blockieren. Ist die SID-Filtering aktiviert, vergleichen die Domänencontroller
in der vertrauten Domäne die SID des anfordernden Sicherheitsprinzipals mit der
Domänen-SID der vertrauten Domäne. Alle SIDs aus anderen Domänen als der vertrauten Domäne
werden entfernt bzw. gefiltert. Das heißt, auch wenn das Attribut SIDHistory die SIDs von höchst vertrauten
Administratorkonten in der vertrautenden Domäne enthält, werden die SIDs dennoch nicht
über die Vertrauensstellung akzeptiert.