Active Directory.pdf - Gattner

46 Kapitel 2: Active Directory-Domänendienstkomponenten
• Grenzen für Vertrauensstellungen Eine Domäne ist der kleinste Container innerhalb der AD DS,
der in einer Vertrauensstellung verwendet werden kann. Vertrauensstellungen werden zur Aktivierung
der Authentifizierungs- und Autorisierungsdienste verwendet, sodass die Benutzer in einer
Domäne auf Ressourcen in einer anderen Domäne zugreifen können. Innerhalb einer Gesamtstruktur
werden Vertrauensstellungen automatisch zwischen der Stammdomäne der Gesamtstruktur
und einerseits den Stammdomänen einer Struktur sowie andererseits sämtlichen
untergeordneten Domänen der Stammdomäne der Gesamtstruktur erstellt.
Sicherheitswarnung Domänengrenzen sind keine Sicherheitsgrenzen – die von einem Administrator in
einer Domäne durchgeführten Aktionen können sich auf alle anderen Domänen innerhalb der Gesamtstruktur
auswirken. Zum Erstellen einer Sicherheitsgrenze müssen separate Gesamtstrukturen erstellt werden.
Weitere Informationen finden Sie in Kapitel 5.
Die AD DS-Domänen innerhalb einer Gesamtstruktur sind hierarchisch organisiert. Die erste Domäne
innerhalb der Organisation wird als Gesamtstruktur-Stammdomäne bezeichnet und ist der Ausgangspunkt
für einen AD DS-Namespace. Die erste Domäne in der Organisation Adatum ist beispielsweise
Adatum.com. Bei dieser ersten Domäne kann es sich entweder um eine dedizierte oder
um eine nicht dedizierte Stammdomäne handeln. Eine dedizierte Stammdomäne wird auch als leere
Stammdomäne bezeichnet und als leerer Platzhalter zum Starten der AD DS verwendet. Die einzigen
in der dedizierten Stammdomäne enthaltenen Konten sind der Standarddomänenbenutzer sowie Gruppenkonten
wie das Administratorkonto und die globale Gruppe Domänen-Admins. Bei einer nicht
dedizierten Stammdomäne handelt es sich um eine Domäne, in der die eigentlichen Benutzer- und
Gruppenkonten erstellt werden. Die Gründe für die Auswahl einer dedizierten oder einer nicht dedizierten
Gesamtstruktur-Stammdomäne sind in Kapitel 5 beschrieben.
Alle anderen Domänen in der Gesamtstruktur sind entweder Peers der Stammdomäne oder untergeordnete
Domänen. Untergeordnete Domänen verwenden denselben AD DS-Namespace wie die
übergeordnete Domäne (die Stammdomäne). Beispiel: Wenn die erste Domäne in der Organisation
Adatum den Namen Adatum.com trägt, könnte der Name einer untergeordneten Domäne in dieser
Struktur NA.Adatum.com lauten. Die Domäne NA.Adatum.com würde erstellt, um alle Sicherheitsprinzipale
für die Standorte von Adatum in den USA zu verwalten. Bei entsprechender Größe oder
Komplexität der Organisation könnten weitere untergeordnete Domänen wie z.B. Vertrieb.NA.
Adatum.com erforderlich sein. Abbildung 2.7 zeigt die Hierarchie der über- und untergeordneten
Domänen für die Organisation Adatum.
Bei einer Konfiguration aus über- und untergeordneten Domänen wird dieses Modell als Domänenstruktur
bezeichnet. Eine Domänenstruktur besteht aus einer oder mehreren Domänen, die einen
zusammenhängenden Namespace gemeinsam nutzen. In der Gesamtstruktur Adatum.com verwendet
NA.Adatum.com den Namespace Adatum.com gemeinsam mit der Stammdomäne der Gesamtstruktur.
Es lassen sich auch zusätzliche Domänenstrukturen innerhalb derselben Gesamtstruktur implementieren.
Beim Erstellen einer neuen Domänenstruktur werden Domänen zur Gesamtstruktur hinzugefügt,
die nicht denselben zusammenhängenden Namespace gemeinsam verwenden. Beispiel: Adatum verfügt
über ein Tochterunternehmen Trey Research, das eine separate Domäne erfordert. Sie können die
Domäne TreyResearch.com zur Gesamtstruktur Adatum.com hinzufügen und eine neue Domänenstruktur
erstellen. In diesem Szenario ist die Domäne TreyResearch.com die Stammdomäne der
Domänenstruktur.