GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Grundlagen der Gruppenrichtlinie in Active Directory

Dieser Artikel behandelt die Gruppenrichtlinienfunktion von Microsoft® Active Directory® (AD).

AD-Gruppenrichtlinie

Gruppenrichtlinien bieten eine zentralisierte Verwaltung von Computereinstellungen und Netzwerken, sodass Sie nicht jeden Computer einzeln auswählen und konfigurieren müssen. Sie können die folgenden AD-Dienste als Gruppenrichtlinie konfigurieren:

  • Domain-Dienste: Mit Domain Services können Sie Ihre AD-Domänen verwalten. Sie bieten Authentifizierungsfunktionen und einen Rahmen für andere solche Dienste. AD verwendet eine LDAP-Datenbank (LightweightDirectory Access Protocol), die vernetzte Objekte enthält.

  • Zertifikatsdienste: Certificate Services ist ein Microsoft-Tool zum Verwalten digitaler Zertifizierungen und unterstützt die Public-Key-Infrastruktur (PKI). Zertifikatsdienste können Anmeldeinformationen für öffentliche Schlüssel speichern, validieren, erstellen und widerrufen, anstatt Schlüssel extern oder lokal zu generieren.

  • Verbunddienste: Federation Services bietet eine webbasierte Single-Sign-On-Authentifizierung für die Verwendung in mehreren Organisationen. Es ermöglicht Auftragnehmern, sich sowohl bei ihrem eigenen Netzwerk anzumelden als auch autorisiert zu werden, auf Ressourcen im Netzwerk des Kunden in einem zentralisierten System zuzugreifen.

  • Leichte Verzeichnisdienste: Lightweight Directory Services beseitigt einige Komplexität und erweiterte Funktionen, um nur die grundlegende Verzeichnisdienstfunktionalität anzubieten. Lightweight Directory Services müssen keine Domänencontroller, Gesamtstrukturen oder Domänen für herunterskalierte Umgebungen verwenden.

  • Rechteverwaltungsdienste: Rights Management Services schlüsselt die Autorisierung über die Berechtigungen eines Benutzers hinaus auf. Die Rechte und Einschränkungen sind dem Dokument und nicht dem Benutzer zugeordnet. AD verwendet diese Rechte häufig, um das Drucken, Kopieren oder Erstellen eines Screenshots eines Dokuments zu verhindern.

AD-Struktur

AD enthält die folgenden Komponenten:

  • Wald: Die Gesamtstruktur ist die höchste Ebene der Organisationshierarchie. Die Gesamtstruktur ermöglicht es Ihnen, die Delegierungsberechtigung innerhalb einer einzelnen Umgebung zu trennen. Diese Trennung gibt einem Administrator vollen Zugriff und Berechtigungen nur auf einen bestimmten Satz von Ressourcen. AD speichert Gesamtstrukturinformationen auf allen Domänencontrollern in allen Domänen innerhalb der Gesamtstruktur.

  • Baum: Ein Baum ist eine Gruppe von Domänen. Die Domänen innerhalb eines Baums teilen sich denselben Root-Namespace. Während ein Baum einen Namensraum gemeinsam nutzt, sind Bäume keine Beschränkungen für Sicherheit oder Replikation.

  • Domänen: Jede Gesamtstruktur enthält eine Stammdomäne. Sie können zusätzliche Domänen verwenden, um weitere Partitionen innerhalb einer Gesamtstruktur zu erstellen. Domänen unterteilen das Verzeichnis in kleinere Teile, um die Replikation zu steuern. Eine Domäne beschränkt die AD-Replikation nur auf die anderen Domänencontroller innerhalb derselben Domäne.

    Jeder Domänencontroller in einer Domäne verfügt über eine identische Kopie der AD-Datenbank dieser Domäne. Die Replikation hält die Kopien auf dem neuesten Stand.

  • Organisationseinheiten (OUs): Eine Organisationseinheit sorgt für die Gruppierung von Befugnissen über eine Teilmenge von Ressourcen innerhalb einer Domäne. Eine Organisationseinheit bietet eine Sicherheitsgrenze für erhöhte Berechtigungen und Autorisierung und schränkt die Replikation von AD-Objekten nicht ein.

    Verwenden Sie Organisationseinheiten, um Sicherheit und Rollen zwischen Gruppen zu implementieren und einzuschränken, und verwenden Sie Domänen, um die Replikation zu steuern.

  • Domänencontroller: Domänencontroller sind Windows®-Server, die die AD-Datenbank enthalten und AD-bezogene Funktionen ausführen, einschließlich Authentifizierung und Autorisierung.

    Jeder Domänencontroller speichert eine Kopie der AD-Datenbank, die Informationen für Objekte innerhalb derselben Domäne enthält. Darüber hinaus speichert jeder Domänencontroller das Schema für die gesamte Gesamtstruktur sowie alle Informationen über die Gesamtstruktur.

    Ein Domänencontroller speichert keine Kopie von Schema- oder Gesamtstrukturinformationen aus einer anderen Gesamtstruktur, selbst wenn sie sich im selben Netzwerk befinden.

  • Spezialisierte Domänencontrollerrollen: Verwenden Sie spezialisierte Domänencontrollerrollen, um bestimmte Funktionen auszuführen, die normalerweise auf Standarddomänencontrollern nicht verfügbar sind. AD weist diese Masterrollen dem ersten in jeder Gesamtstruktur oder Domäne erstellten Domänencontroller zu, aber Sie können die Rollen manuell neu zuweisen.

  • Schemamaster: Pro Gesamtstruktur ist nur ein Schemamaster vorhanden. Es enthält die Masterkopie des Schemas, das von allen anderen Domänencontrollern verwendet wird. Eine Kopiervorlage stellt sicher, dass alle Objekte gleich definiert sind.

  • Domainname-Master: Pro Gesamtstruktur ist nur ein Domänennamenmaster vorhanden. Der Domänenmaster stellt sicher, dass die Namen aller Objekte eindeutig sind und möglicherweise Querverweise auf Objekte enthalten, die in anderen Verzeichnissen gespeichert sind.

  • Infrastrukturmaster: Es gibt einen Infrastruktur-Master pro Domäne. Der Infrastruktur-Master führt die Liste der gelöschten Objekte und verfolgt Verweise auf Objekte in anderen Domänen.

  • Relative Kennung Master: Es gibt einen relativen Identifikator-Master pro Domäne. Es verfolgt die Erstellung und Zuweisung eindeutiger Sicherheitskennungen (SIDs) über die gesamte Domäne hinweg.

  • Primärer Domänencontroller-Emulator: Es gibt nur einen Primary Domain Controller (PDC)-Emulator pro Domäne. Er bietet Abwärtskompatibilität mit den älteren Windows NT-basierten Domänensystemen.

  • Datenspeicher: Der Datenspeicher übernimmt das Speichern und Abrufen von Daten auf beliebigen Domänencontrollern. Der Datenspeicher besteht aus drei Ebenen:– die Datenbank- und Dienstkomponenten (der Verzeichnissystemagent (DSA) und die Extensible Storage Engine (ESE)) – die Verzeichnisspeicherdienste (LDAP) – die Replikationsschnittstelle, die Messaging-API (MAPI) und der Security Accounts Manager (SAM)

Domain Name System

AD enthält Standortinformationen zu Objekten, die in der Datenbank gespeichert sind. AD verwendet jedoch das Domain Name System (DNS), um Domänencontroller zu finden.

Innerhalb von AD hat jede Domäne einen DNS-Domänennamen, und jeder verbundene Computer hat einen DNS-Namen innerhalb derselben Domäne.

Objekte

AD speichert alles als Objekt und enthält Standortinformationen zu Objekten, die in der Datenbank gespeichert sind. AD verwendet jedoch das Domain Name System (DNS), um Domänencontroller zu lokalisieren. Die Klasse eines Objekts definiert die Attribute des Objekts.

Das Schema muss die Objektdefinition enthalten, bevor Sie Daten im Verzeichnis speichern können. Einmal definiert speichert AD die Daten als einzelne Objekte. Jedes Objekt muss eindeutig sein und eine einzelne Sache darstellen, z. B. einen Benutzer, Computer oder eine eindeutige Gruppe von Elementen (z. B. eine Benutzergruppe).

Objekte haben die folgenden Haupttypen von Objekten:

  • Sicherheitsprinzipale, die SIDs haben

  • Ressourcen, die keine SIDs haben

Replikation

AD verwendet aus vielen Gründen mehrere Domänencontroller, einschließlich Lastenausgleich und Fehlertoleranz. Damit dies funktioniert, muss jeder Domänencontroller über eine vollständige Kopie der eigenen AD-Datenbank seiner Domäne verfügen. Die Replikation stellt sicher, dass jeder Controller über eine aktuelle Kopie der Datenbank verfügt.

Die Domäne beschränkt die Replikation. Domänencontroller in verschiedenen Domänen replizieren nicht untereinander, auch nicht innerhalb derselben Gesamtstruktur. Jeder Domänencontroller ist gleich. Obwohl frühere Windows-Versionen primäre und sekundäre Domänencontroller hatten, hat AD so etwas nicht. Die Verwirrung rührt von der Fortsetzung des Namens Domänencontroller her vom alten vertrauensbasierten System zu AD.

Die Replikation funktioniert auf einem Pull-System. Dies bedeutet, dass ein Domänencontroller die Informationen von einem anderen Domänencontroller anfordert oder abruft, anstatt dass jeder Domänencontroller Daten an andere sendet oder überträgt. Standardmäßig fordern Domänencontroller alle 15 Sekunden Replikationsdaten an. Bestimmte Hochsicherheitsereignisse lösen ein sofortiges Replikationsereignis aus, z. B. eine Kontosperrung.

Nur Änderungen werden repliziert. Um die Zuverlässigkeit in einem Multi-Master-System zu gewährleisten, verfolgt jeder Domänencontroller Änderungen und fordert nur die Aktualisierungen seit der letzten Replikation an. Änderungen werden mithilfe eines Store-and-Forward-Mechanismus in der gesamten Domäne repliziert, sodass jede Änderung bei Anforderung repliziert wird, selbst wenn die Änderung nicht von dem Domänencontroller ausgeht, der die Replikationsanforderung beantwortet.

Dieser Prozess verhindert übermäßigen Datenverkehr, und Sie können AD so konfigurieren, dass sichergestellt wird, dass jeder Domänencontroller seine Replikationsdaten vom wünschenswertesten Server anfordert. Beispielsweise kann ein Remotestandort mit einer schnellen Verbindung und einer langsamen Verbindung zu anderen Standorten mit Domänencontrollern Kosten für jede Verbindung festlegen. Dabei stellt AD die Replikationsanfrage über die schnellere Verbindung.

Delegierte Autorisierung und effiziente Replikation sind die Schlüssel zur AD-Struktur.


Linux

  1. Mitglieder einer Gruppe in Linux auflisten

  2. Konfigurieren Sie die Active Directory-Leistungsüberwachung

  3. Konfigurieren Sie Active Directory mit integriertem DNS

  4. Ändern Sie die Kennwortrichtlinie im Windows Active Directory-Gruppenrichtlinien-Manager

  5. Wie verwende ich realmd in Ubuntu 14.04 LTS, um einer Active Directory-Domäne beizutreten?

So treten Sie einem Linux-System einer Active Directory-Domäne bei

Gewusst wie:Konfigurieren von Active Directory in Windows Server 2012

Installieren Sie die Active Directory-Domänendienste auf Windows Server 2008 R2 Enterprise 64-Bit

Installieren Sie Active Directory auf Windows Server 2012

So führen Sie eine Samba Active Directory-Installation unter Linux durch

So verbinden Sie sich mit Samba mit Linux Active Directory