Active Directory Berechtigungen
Vorwort
Wenn Sie mit anderen Benutzerdatenbanken vertraut sind, werden Sie wahrscheinlich
überrascht sein, zu erfahren, dass jedem
Objekt innerhalb des Active Directory eigene Berechtigungen zugewiesen werden
können. Ähnlich wie individuelle Berechtigungen
für jeden Ordner und jede Datei in einem Dateisystem können im Active
directory jede Organisationseinheit (Organizational
Unit, OU) und jeder Benutzer Berechtigungen haben. Hier liegt ein Unterscheid
zu den lokalen Benutzerdatenbanken vor, die
auf den Windows Server 2003 Mitgliedscomputern vorhanden sind. Allerdings ist
Active Directory weitaus mehr als eine einfache
Benutzerdatenbank, und die Konfiguration von Objektberechtigungen ist nich nur
aus Sicherheitsgründen wichtig, sondern
erleichtert auch die Verwaltung von Active Directory.
Die im Zusammenhang mit Berechtigungen am häufisgsten
auftretende Aufgabe ist die Delegierung administrativer Kontrolle über
Teile des Active Directory. Hierdurch wird die Arbeitsbelastung des einzelnen
Administrators verringert, weil andere Mitglieder
des Supportteams Teile des Active Directory verwalten können, ohne dass
man ihnen gleich den Schlüssel für das gesamte
Unternehmensnetzwerk aushändigt. Die effizienteste Möglichkeit der
Zuweisung von Berechtigungen an Objekte im Active Directory
besteht darin, die Konsole Active Directory Benutzer
und Computer zu öffnen, das Objekt mit der rechten Maustaste anzuklicken
und den EIntrag Objektverwaltung zuweisen
zu wählen. Sie können aber auch mithilfe der ADSI-Bearbeitung Objekten
Berechtigungen zuweisen. Zu diesem Zweck öffnen Sie eine leere MMC-Konsole
(Microsoft Management Console) und fügen das
Snap-In ADSI-Bearbeitung hinzu.
Nachfolgend aufgelistet sind die Standardberechtigungen, die auf Active Directory Objekte angewendet werden können:
Vollzugrif, Benutzer können beliebige
Handlungen an dem Active directory Objekt vornehmen. Sie können untergeordnete
Objekt erstellen
und löschen
sowie die Berechtigungen ändern.
Lesen, Benutzer können alle Objekteigenschaften,
Objektberechtigung und, sofern vorhanden, Objektinhalte anzeigen.
Schreiben, Benutzer können Objekteigenschaften
bearbeiten.
Alle untergeordneten Objekte erstellen, Ist
ein Objekt ein Container (also etwa eine Organisationseinheit, OU), dann können
Benutzer
untergeordnete
Objekte beliebigen Typs in diesem Container erzeugen. Sie können mithilfe
spezieller Berechtigungen die von
Benutzern erstellbaren
Objekttypen einschränken. So kann ein Benutzer mithilfe spezieller Berechtigungen
erlaubt werden, andere
Benutzer, nicht
jedoch Gruppen oder Computer zu erstellen.
Alle untergeordneten Objekte löschen,
Ist ein Objekt ein Container (also etwa eine Organisationseinheit, OU), dann
können Benutzer
untergeordnete
Objekte beliebigen Typs in diesem Container löschen. Sie können mithilfe
spezieller Berechtigungen die von Benutzern
löschbaren
Objekttypen einschränken. So kann einem Benutzer über spezielle Berechtigungen
erlaubt werden, andere Benutzer, nicht
jedoch Gruppen
oder Computer zu löschen.
Spezielle Berechtigungen, Es gibt mehr als
zwanzig spezielle Berechtigungen, die einem Benutzer oder einer Gruppe zugewiesen
werden können.
Diese Berechtigung ist selektiert, wenn die gewählten spezielle nBerechtigungen
nicht mit einer Standardberechtigung
übereinstimmen.
Wie bei anderen Objekttypen auch werden bei Auswahl von Standardberechtigungen
eine oder mehrere spezielle Berechtigungen selektiert.
Die speziellen Berechtigungen, die Active Directory Objekten zugewiesen werden
können, sind jedoch ziemlich komplex. Zwar wird in vielen
Umgebungen eine sehr genau abstimmbare Kontrolle über Active Directory
Berechtigungen benötigt, aber die Details der einzelnen speziellen
Berechtigungen sollten Sie sich an einem Testobjekt selbst genauer ansehen bevor
Sie diese Einsetzen.
Es ist wichtig, die zugriffssteuerung von Active Directory Objekten zu kennen.
Sie sollten allerdings davon absehen, die Berechtigungen zu
ändern, sofern dies für Ihre Anwendungen oder die Sicherheitsanforderungen
in Ihre Umgebung nciht zwingend erforderlich ist. Müssen Sie
die Berechtigungen wirklich ändern, dann gehen Sie dabei mit Sorgfalt vor.
Ein Benutzer, der gezielt oder unabsichtlich Active Directory
oder die ihnen zugewiesen Berechtigungen ändert, kann zahlreiche Benutzer
und Anwendungen im Netzwerk sehr schnell beeinträchtigen.
Die Festlegung von zu vielen expliziten Berechtigungen für Active Directory
Ojekte kann insbesondere in Umgebungen mit vielen
Domänencontrollern zu Leistungseinbußen führen. Active Directory
Objekte und die zugehörigen ACEs mit den entsprechenden Berechtigungen
müssen zwischen Domänencontrollern repliziert werden. Deswegen dauert
die Replikation umso länger, je mehr Berechtigungen Sie
zuweisen und umso stärker sind auch die Auswirkungen der Replikation im
Netzwerk.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006