Active Directory.pdf - Gattner

44 Kapitel 2: Active Directory-Domänendienstkomponenten
Anwendungsverzeichnispartitionen können nicht nur für DNS, sondern auch für andere Anwendungen
erstellt werden.
Weitere Informationen Weitere Informationen zu diesen DNS-Anwendungsverzeichnispartitionen finden
Sie in Kapitel 3, „Active Directory-Domänendienste und DNS“.
Das Benennungschema für Anwendungsverzeichnispartitionen ist mit dem Schema der anderen AD
DS-Verzeichnispartitionen identisch. Der LDAP-Name für die Konfigurationsverzeichnispartition in
der Gesamtstruktur Adatum.com lautet z.B. CN=Configuration,DC=Adatum,DC=com. Wenn Sie eine
Anwendungsverzeichnispartition AnwPartition1 in der Domäne Adatum.com erstellen, lautet
der DNS-Name dieser Partition DC=AnwPartition1,DC=Adatum,DC=com. Anwendungsverzeichnispartitionen
sind im Hinblick auf den Erstellungsort bzw. genauer gesagt im Hinblick auf den Namenskontext
für die Partition recht flexibel. Beispielsweise kann eine zusätzliche Anwendungsverzeichnispartition
unterhalb der Partition AnwPartition1 erstellt werden, deren Name DC=AnwPartition2,
DC=AnwPartition1,DC=Adatum,dc=com lauten würde. Es ist sogar möglich, eine Anwendungsverzeichnispartition
mit einem DNS-Namen zu erstellen, der nicht mit einer Domäne innerhalb der
Gesamtstruktur zusammenhängt. In der Domäne Adatum.com kann eine Anwendungsverzeichnispartition
mit dem DNS-Namen DC=AnwPartition erstellt werden. Dadurch wird innerhalb der
Gesamtstruktur eine neue Struktur erstellt.
Hinweis Die Auswahl des DNS-Namens für den Anwendungsnamespace wirkt sich nicht auf die Funktionalität
der Anwendungsverzeichnispartition aus. Der einzige Unterschied besteht ist der Konfiguration des
LDAP-Clients, der auf die Partition zugreift. Da Anwendungsverzeichnispartitionen für den LDAP-Zugriff
konzipiert sind, muss der Client für die Suche nach dem richtigen Namespace auf dem Server konfiguriert
werden.
Ein eher komplexer Aspekt bei der Erstellung einer Anwendungsverzeichnispartition ist die Verwaltung
von Berechtigungen für die Objekte in der Partition. Bei den AD DS-Standardpartitionen werden die
Berechtigungen automatisch zugewiesen. Wenn in der Domänenverzeichnispartition ein Objekt
erstellt wird, wird automatisch die Gruppe Domänen-Admins mit vollen Berechtigungen für das
Objekt zugewiesen. Beim Erstellen eines Objekts in der Konfigurationsverzeichnispartition oder
Schemaverzeichnispartition werden den Benutzer- und Gruppenkonten in der Stammdomäne der
Gesamtstruktur Berechtigungen zugewiesen. Da Anwendungsverzeichnispartitionen auf einer beliebigen
Kombination von Domänen in der Gesamtstruktur repliziert werden können, wird diese Standardmethode
zur Zuweisung von Berechtigungen nicht angewendet. Während das Zuweisen des Vollzugriffs
auf die Objekte in der Partition zu einer Gruppe wie den Domänen-Admins kein Problem
darstellt, ist nicht klar, welche Domäne die Standarddomäne ist. Um dieses Problem zu behandeln,
werden Anwendungsverzeichnispartitionen immer mit einer Sicherheitsbeschreibungs-Referenzdomäne
erstellt. Diese Domäne wird zur Standarddomäne, über die Berechtigungen für Objekte in der
Anwendungsverzeichnispartition zugewiesen werden. Beim Erstellen einer Anwendungsverzeichnispartition
unterhalb einer Domänenverzeichnispartition wird die übergeordnete Domäne als Sicherheitsbeschreibungs-Referenzdomäne
verwendet, sodass eine Berechtigungsvererbung implementiert
wird. Wenn durch die Anwendungsverzeichnispartition eine neue Struktur innerhalb der Gesamtstruktur
erstellt wird, wird die Stammdomäne der Gesamtstruktur als Referenzdomäne verwendet.