Active Directory.pdf - Gattner

292 Kapitel 8: Active Directory-Domänendienstsicherheit
Die für die PKI erforderlichen Zertifikate werden von Zertifizierungsstellen ausgegeben, bei denen es
sich um Netzwerkserver handelt, die das Erteilen und Sperren von Zertifikaten verwalten. Aufgrund
der Bedeutung der PKI für das Internet ist derzeit eine breite Vielfalt an Zertifizierungsstellen verfügbar,
einschließlich beliebter kommerzieller Zertifizierungsstellen wie Verisign und Thawte. Die meisten
Internetclients wie Microsoft Internet Explorer werden automatisch so konfiguriert, dass sie den
von diesen kommerziellen Zertifizierungsstellen ausgegebenen Zertifikaten vertrauen. Außerdem
können Sie Ihre eigene Zertifizierungsstelle über Windows Server 2008 einrichten. Die in Windows
Server 2008 enthaltene AD CS-Rolle (Active Directory Certificate Services) ist eine voll funktionsfähige
Zertifizierungsstelle, die zum Ausstellen von Zertifikaten an Personen innerhalb Ihres Unternehmens
oder an Personen anderer Unternehmen verwendet werden kann.
Hinweis Einer der Vorteile bei der Verwendung der AD CS ist die Möglichkeit zum Bereitstellen der Zertifizierungsstelle
als Unternehmenszertifizierungsstelle. Die Unternehmenszertifizierungsstelle ist in AD DS eng
integriert. Daher können Sie Richtlinien so konfigurieren, dass Zertifikate automatisch an Benutzer und Computer
ausgestellt und verwaltet werden können. In Kapitel 17, „Active Directory-Zertifikatdienste“, finden Sie
Einzelheiten zur Planung und Implementierung der AD CS.
Ein Zweck von Zertifikaten liegt darin, den Benutzern, die möglicherweise kein Konto in AD DS
besitzen, den Zugriff auf Ressourcen im Windows Server 2008-Netzwerk zu ermöglichen. Beispielsweise
möchten Sie eine sichere Website so einrichten, dass Partnerunternehmen oder Kunden auf
einige vertrauliche Daten in Ihrem Netzwerk zugreifen können. Unter Windows Server 2008 kann die
Berechtigung für den Zugriff auf Netzwerkressourcen nur Sicherheitsprinzipalen erteilt werden. Es
gibt keine Option, Berechtigungen nur aufgrund von Zertifikaten zuzuweisen. Sie können Benutzern
mit Zertifikaten und ohne AD DS-Benutzerkonten jedoch den Zugriff auf Netzwerkressourcen ermöglichen,
indem Sie ein Zertifikat einem Benutzerkonto zuordnen und das Konto anschließend verwenden,
um Berechtigungen zuzuweisen.
Windows Server 2008 bietet zwei verschiedene Möglichkeiten für das Zuordnen eines Zertifikats zu
einem Benutzerkonto:
• 1:1-Zuordnung In diesem Fall wird ein einzelnes Zertifikat einem einzigen Windows Server
2008-Benutzerkonto zugeordnet. Bei einer 1:1-Zuordnung müssen Sie sowohl ein Zertifikat
zuweisen als auch ein Benutzerkonto für jeden Benutzer erstellen. Dies ist möglicherweise eine
gute Lösung, wenn Sie Remotemitarbeitern des Unternehmens den Zugriff auf sichere Ressourcen
über eine sichere Website ermöglichen möchten. Dieser Ansatz verringert jedoch nicht den
Verwaltungsaufwand. Dennoch können Sie mithilfe der 1:1-Zuordnung die Zugriffsebene für
jeden Benutzer steuern.
• n:1-Zuordnung In diesem Fall werden einem AD DS-Kontonamen viele Zertifikate zugeordnet.
Wenn Sie beispielsweise eine Partnerschaft mit einem anderen Unternehmen eingehen und die
Mitarbeiter des Unternehmens auf eine sichere Website zugreifen müssen, können Sie ein Benutzerkonto
erstellen. Anschließend können Sie so viele Zertifikate wie nötig mit diesem einen
Benutzerkonto verknüpfen. Wenn das andere Unternehmen beispielsweise eine eigene Zertifizierungsstelle
besitzt, können Sie eine Regel erstellen, die alle von dieser Zertifizierungsstelle ausgestellten
Zertifikate einem Benutzerkonto in Ihrer Domäne zuordnet. Anschließend können Sie
anhand dieses einen Kontos Berechtigungen für Netzwerkressourcen zuweisen.