Modernisierung Ihrer Active
Directory Umgebung
Eine Active Directory Umgebung auf dem neuesten Stand zu halten ist wichtig.
Hier erfahren Sie, wie Sie dies erreichen.
Autor: Darren Mar-Elia, Präsident und CTO von SDM Software und Microsoft MVP
Zusammenfassung
Microsoft® Active Directory® (AD) ist bereits seit der
Veröffentlichung von Windows 2000 auf dem Markt. In der
Anfangszeit bestand der Hauptzweck von AD darin, eine
zentrale Benutzerauthentifizierung und -autorisierung für
Windows Desktop-PCs und Server sowie einen skalierbaren
Verzeichnisdienst für Organisationen, die verzeichnisfähige
Anwendungen wie Microsoft Exchange nutzten, bereitzustellen.
Seitdem hat sich vieles in der Art und Weise geändert, wie
Organisationen AD nutzen und verwalten, einschließlich der
Empfehlungen von Microsoft zu Best Practices, der Art der AD
Verwaltung in Unternehmen und der Einführung zahlreicher
rechtlicher Vorschriften, die sich auf all dies auswirken. Diese
Änderungen veranlassen Organisationen, ihre AD Umgebungen
neu zu überdenken. Durch die Modernisierung Ihres ADs
können Sie beachtliche Verbesserungen in puncto Verwaltung,
Sicherheit, Wiederherstellbarkeit, Leistung, Nachvollziehbarkeit und
Governance erzielen.
In diesem Whitepaper wird untersucht, weshalb die AD
Modernisierung so wichtig ist und wie sie sich darstellt.
Dabei werden die Bereiche hervorgehoben, auf die Sie Ihr
Hauptaugenmerk richten sollten, um sicherzustellen, dass Ihre AD
Infrastruktur die aktuellen und auch künftigen Anforderungen Ihrer
Organisation erfüllen kann.
Die Veränderung der AD Landschaft
Seit der ersten Veröffentlichung von AD sind sowohl im Hinblick
auf die Technologie als auch auf die geschäftliche Umgebung
wichtige Veränderungen festzustellen. Gerade die folgenden
Veränderungen in der AD Landschaft haben sich mit größter
Wahrscheinlichkeit auch auf Ihre Organisation ausgewirkt:
• Verbesserungen und Änderung der Empfehlungen von Microsoft zu
Best Practices
• Mehrere Personen, die AD nach unterschiedlichen Standards verwalten
• Zunehmende Bedeutung von AD in der Organisation
• Zusätzliche rechtliche Vorschriften in Bezug auf Sicherheit und die
Zugriffssteuerung für sensible Daten
All diese Änderungen tragen auf eine bestimmte Weise dazu bei,
dass eine Modernisierung von Active Directory erforderlich wird.
Leere Stammdomäne
Sdmsoftware.com
Domäne mit Benutzern,
Computern etc.
us.sdmsoftware.com
Abbildung 1: Bereitstellung mit leerer
Stammdomäne
Durch die
Modernisierung
Ihrer AD
Bereitstellung
werden Sie von den
Vorzügen der neuen
Best Practices von
Microsoft und den
neu verfügbaren
Funktionen
profitieren können.
Änderungen der Richtlinien von Microsoft
und der AD Funktionen
Die Richtlinien von Microsoft zur
Verwendung von AD haben sich enorm
verändert, wie auch AD an sich. Durch
die Modernisierung Ihrer Umgebung
können Sie von den Vorzügen der neuen
Best Practices und den neuen verfügbaren
Funktionen profitieren.
Bei den ersten Unternehmen, die AD
implementiert haben, waren die beiden
folgenden Grundsätze üblich. Diese treffen
heute aber nicht mehr zu.
• Leere Gesamtstruktur-Stammdomäne:
Anfangs riet Microsoft Organisationen,
eine AD Stammdomäne ohne Ressourcen
einzurichten, wie in Abbildung 1 dargestellt.
Diese Empfehlung beruhte auf dem
Gedanken, dass die GesamtstrukturStammdomäne (das heißt, die erste
erstellte Domäne) eine besondere Rolle
für die Organisation spielt und unberührt
bleiben sollte. Microsoft gibt diesen Rat
schon lange nicht mehr und empfiehlt
jetzt einfach die Erstellung der Domänen,
die die Anforderungen Ihrer Organisation
erfüllen, da zusätzliche Domänen die
Komplexität erhöhen und zu zusätzlichen
Sicherheitsanforderungen führen – vor
allem, wenn sie nicht genutzt werden.
Dennoch gibt es in vielen Unternehmen
nach wie vor AD Gesamtstrukturen,
die nicht nur eine, sondern zwei (oder
mehrere) Domänen enthalten, und eine
Stammdomäne, die großteils ungenutzt
bleibt.
• Domäne als Sicherheitsperimeter: Zu
Anfang gab Microsoft auch den Rat,
mehrere Gesamtstrukturen generell
zu vermeiden, da die Integration
unterschiedlicher Gesamtstrukturen
in puncto Sicherheit und Verwaltung
Schwierigkeiten bereitete und weil
die Auffassung bestand, dass eine
einzelne Active Directory Domäne ein
Sicherheitsperimeter darstellte – das
heißt, bei einer Gesamtstruktur mit
zwei Domänen konnten Benutzer und
Teilen:
2
Ressourcen in Domäne A leicht vor
Benutzern und Ressourcen in Domäne B
geschützt werden. Nach einer Reihe
von weithin veröffentlichten Artikeln, in
denen dargestellt wurde, wie leicht es für
Domänenadministratoren in einer Domäne
ist, die Ressourcen einer anderen Domäne
zu steuern, wenn beide Domänen sich
in derselben Gesamtstruktur befinden,
änderte Microsoft seine Richtlinie
dahingehend, dass nun die Gesamtstruktur
statt der Domäne als Sicherheitsperimeter
dienen sollte; wenn Sie Ressourcen oder
Benutzer in einer bestimmten Domäne
isolieren müssen, müssen Sie eine neue
Gesamtstruktur erstellen. Entsprechend
verfügen Organisationen jetzt in der Regel
über mehrere Gesamtstrukturen. So ist es
beispielsweise nicht ungewöhnlich, dass
es eine Entwicklungsgesamtstruktur und
eine separate Produktionsgesamtstruktur
gibt, oder sogar eine Gesamtstruktur mit
Internetanbindung, die von den anderen
Strukturen getrennt ist. Das hat zur
Folge, dass Organisationen die mit der
Verwaltung mehrerer Gesamtstrukturen
verbundenen Herausforderungen
bewältigen müssen.
Andere Empfehlungen für Best Practices
sind auch aufgrund von Verbesserungen
an AD selbst entstanden. Microsoft hat AD
beispielsweise in Bereichen wie Prüfung,
Sicherheitsdelegierung, Skalierbarkeit
(Sie erinnern sich vielleicht an die Grenze
von 5.000 Gruppenmitgliedern in
Windows 2000?), Wiederherstellbarkeit
(mit AD Snapshots und dem Papierkorb)
sowie Automatisierung (mit auf Windows
PowerShell® basierender AD Verwaltung)
verbessert. Durch die Modernisierung
Ihres Active Directorys können Sie von
diesen Verbesserungen profitieren
und die Sicherung, Verwaltung und
Wiederherstellung von AD in Ihrer
Organisation optimieren.
Änderungen im Verwaltungsmodell
Ein weiterer Bereich, der sich verändert
hat, ist die Art und Weise, wie AD von
den meisten Organisationen verwaltet
wird. Vor einigen Jahren sah die Situation
so aus, dass eine kleine Gruppe von
Administratoren üblicherweise für alle
Aspekte verantwortlich war – von der
Infrastruktur bis hin zu den Inhalten, die
in das Verzeichnis aufgenommen wurden.
Heute spielt AD in der Infrastruktur eine
größere Rolle und das Verwaltungsmodell
ist komplexer geworden. In Organisationen
arbeiten heutzutage viele Mitarbeiter
mit AD: Nicht nur Benutzer, Gruppen
und deren Eigenschaften müssen
verwaltet werden, sondern auch
anwendungsbezogene Daten, die
Sicherheit usw. Aus diesem Grund müssen
Organisationen Daten in AD besser
schützen und aufteilen, indem sie auf
einen rollenbasierten Ansatz für dessen
Verwaltung zurückgreifen. Zudem müssen
Unternehmen aufgrund der zunehmenden
Anzahl an involvierten Mitarbeitern ihre
AD Struktur überdenken – und zwar
dahingehend, wie Organisationseinheiten
(Organizational Units, OUs) angeordnet
und geschützt werden können.
Ursprüngliche AD Designs sind unter
Umständen nicht mehr relevant, was
eine Bereinigung und Neustrukturierung
bestehender Bereitstellungen erforderlich
macht.
Die veränderte Rolle von AD
In dem meisten Organisationen hatte
AD zu Beginn eine sehr bescheidene
Rolle inne: Es ermöglichte eine
zentrale Anmeldung und Sicherheit für
Windows Desktop-PC-Benutzer oder
diente als Alternative oder Ersatz für
Systeme, die auf der Windows NT® 4
Sicherheitskontenverwaltung (Security
Account Manager, SAM) oder Novell®
NetWare® beruhten. Heute dient AD
als Hub für viele Vorgänge in einer
IT-Organisation, wie in Abbildung 2
dargestellt, und bietet unter anderem
folgende Funktionen:
• Authentifizierung und Autorisierung für
Systeme ohne Windows wie Linux® Server
und Mac® Desktop-PCs und Notebooks
• Authentifizierung und Autorisierung für
eine Vielzahl von Anwendungsplattformen
wie Microsoft SharePoint® Webseiten,
Java-basierte Anwendungsserver,
Network Attached Storage (NAS)-
Geräte und Verwaltungstools wie die HP
Integrated Lights-Out (iLO) Out-of-BandManagementverbindungen
• Autorisierung für große Mengen von
Unternehmensdaten, einschließlich
sensibler Daten, durch AD
Sicherheitsgruppen
• "Gelbe Seiten" für das
Unternehmensverzeichnis und
Organisationsdiagramme
• Authentifizierung für Software-as-a-Service
(SaaS)-Anwendungen in öffentlichen Clouds
Diese verhältnismäßig neuen
Verwendungsarten für AD erschweren
dessen Verwaltung, sowie die
Gewährleistung der Sicherheit und
Verfügbarkeit. Aufgrund dieser neuen
Verwendungsarten müssen Sie
Ihrer Infrastruktur und zugehörigen
Bestandteilen auch wesentlich mehr
Aufmerksamkeit entgegenbringen, als man
dies früher in vielen IT-Abteilungen bei
der Verwaltung von AD nach dem Motto
"einrichten und vergessen" gewohnt war.
Für viele Organisationen ist AD
tatsächlich zu einem Tier-1-Bestandteil
der Infrastruktur geworden, für den
eine besonders hohe Verfügbarkeit
erforderlich ist und der genauso verwaltet
und abgesichert werden muss, wie
ihre wichtigsten Geschäftsplattformen.
Insbesondere, wenn Organisationen
zu einem hybriden Ansatz für die
Bereitstellung von IT-Services migrieren –
bei welchem ein Teil der Anwendungen
im Unternehmensrechenzentrum
verbleibt und ein Teil bei Anbietern
öffentlicher Clouds – ist es häufig die
Identitätsintegration über AD für die
Unternehmensanwendungen
PC- und Mac
Clients
SaaS-Anwendungen
Active Directory
E-Mail
Linux Server
Abbildung 2: AD ist zu einem zentralen Hub bei vielen IT-Ressourcen geworden.
Teilen:
3
AD hat sich für
IT-Organisationen
zu einem nahezu
unverzichtbaren
Hub entwickelt.
Authentifizierung und Gewährung des
Zugangs zu diesen unterschiedlichen
Plattformen, die für den Zusammenhalt
dieser beiden Umgebungen sorgt. Ohne
ein gut verwaltetes und sicheres AD löst
sich dieser Zusammenhalt schnell auf
und das hybride Modell ist nicht länger
geschäftsfördernd, sondern wird zu einem
Hindernis.
Um gesetzlichen
Bestimmungen
gerecht zu
werden, deren
kontinuierliche
Einhaltung zu
gewährleisten
und diese zu
belegen, ist die
Implementierung
ausgefeilter
Prozesse für die
Verwaltung von AD
und die Prüfung
AD-bezogener
Aktivitäten
erforderlich.
Leider besteht manchmal eine Diskrepanz
zwischen der wichtigen Rolle, die AD jetzt
spielt, und der Aufmerksamkeit, die ihm
IT-Abteilungen schenken. Die Diskrepanz
äußert sich auf vielerlei Weise, von einer
weitgehend fehlenden Governance in
Bezug auf AD Änderungen bis hin zu der
Annahme, dass es "einfach funktioniert"
und nicht dieselbe Betreuung erfordert
wie andere Unternehmensplattformen.
Diese Annahme ist für IT-Abteilungen
nicht gerade von Vorteil, da Identität
im Allgemeinen und Cloud-Identität im
Speziellen eine zunehmend wichtigere
Rolle in Organisationen zukommt.
Die Veränderung der rechtlichen
Vorschriften
Es wäre untertrieben, zu sagen, dass die
rechtlichen Herausforderungen, mit denen
IT-Abteilungen konfrontiert sind, sich seit
der ersten Version von AD verändert haben.
Organisationen sehen sich heute einer
langen Liste von komplexen behördlichen
Vorschriften gegenüber – darunter der
Sarbanes-Oxley Act (SOX), der Health
Insurance Portability and Accountability
Act (HIPAA) und der Payment Card Industry
Data Security Standard (PCI DSS) – und
AD ist häufig von zentraler Bedeutung für
die Compliance. Unabhängig davon, ob
es sich um die Kontrolle und Nachweise
bezüglich AD Sicherheitsgruppen
handelt, die die Steuerung des Zugriffs
auf Unternehmensdaten ermöglichen,
die behördlichen Bestimmungen
unterliegen, oder um den Prozess, durch
den Administratoren privilegierter Zugriff
auf sensible Systemen gewährt wird – die
Notwendigkeit, die Verwendungsweise von
AD zu kontrollieren und Berichte darüber
erstellen zu können, ist rasant gestiegen.
Um gesetzlichen Bestimmungen gerecht
zu werden, deren kontinuierliche
Einhaltung zu gewährleisten und diese
zu belegen, ist die Implementierung
ausgefeilter Prozesse für die Verwaltung
von AD und die Prüfung AD-bezogener
Aktivitäten erforderlich. Es ist nicht
mehr akzeptabel, nicht zu wissen, wer
eine Änderung vorgenommen hat
oder weshalb diese gemacht wurde.
Teilen:
4
Diese Unkenntnis was Aktivitäten mit
Bezug zu AD anbelangt, kann nicht nur
erschreckende Auswirkungen auf die
Berichterstellung im Rahmen gesetzlicher
Vorschriften haben, sondern auch
dazu führen, dass ungewollt Zugriff auf
große Mengen von Unternehmensdaten
gewährt wird. Da AD zu einem Hub für die
Authentifizierung und die Autorisierung
des Zugriffs für fast alle Ressourcen
innerhalb der Organisation geworden
ist, kommen Änderungen ohne strenge
Kontrollen, vor allem an sensiblen Konten
und Gruppen, einer Vernachlässigung des
Schutzes Ihrer sensibelsten Daten gleich.
Um sicherzustellen, dass gesetzliche
Bestimmungen eingehalten werden und
auch die Sicherheit gewährleistet ist, wird
eine gut verwaltete Bereitstellung benötigt.
Entscheidende Schritte für
die Modernisierung Ihrer AD
Landschaft
Was meinen wir konkret, wenn wir von
einer AD Modernisierung sprechen?
Der Begriff erinnert ein wenig an
Maßnahmen, die man an einem Gebäude
durchführen würde – eine Renovierung
der Rohrleitungen oder elektrischen
Leitungen, damit sie den Bauvorschriften
entsprechen. In vielerlei Hinsicht geht
es bei der Modernisierung auch genau
darum. Viele Organisationen haben AD
lange Zeit in Betrieb und ihre älteren
Strukturen und Vorgehensweisen müssen
aktualisiert werden, um den zuvor
angesprochenen Veränderungen und
Technologielandschaften gerecht zu
werden.
Hier sind einige der wichtigsten Bereiche,
in denen Modernisierung stattfinden kann,
sowie deren jeweilige Vorzüge:
• Restrukturierung von AD
• Optimierung von Verwaltung und
Administration
• Schutz des AD und der AD Daten
• Compliance-Vorgaben gerecht werden,
deren kontinuierliche Einhaltung
gewährleisten und Compliance nachweisen
• Gewährleistung der AD Verfügbarkeit und
Wiederherstellung
• Implementierung von AD Governance
Restrukturierung von AD
Mittlerweile strukturieren immer mehr
Unternehmen ihr AD neu. Ganz gleich, ob
Sie sich von Ihren älteren Vorgehensweisen
verabschieden (z. B. leere Stammdomänen)
oder Domänen bereinigen möchten, die
aus Unternehmenszusammenschlüssen
oder Acquisitionen stammen – eine
Neustrukturierung Ihrer AD Umgebung
Vertrieb
Marketing
Benutzer
Windows 7
Windows 8
Abbildung 3: Eine für Gruppenrichtlinien anstelle von Delegierungen optimierte
Organisationseinheitenstruktur
ist eine gute Möglichkeit, das Verzeichnis
umzugestalten, sodass Ihre aktuellen und
zukünftigen Anforderungen erfüllt werden.
Es ist tatsächlich so, dass etwas
so Einfaches wie eine Umstellung
der OU-Strukturen einen großen
Unterschied in puncto Verwaltung
und Sicherung von AD ausmachen
kann. Bisher wurden OU-Strukturen
an Geschäftsstrukturen angepasst,
wie etwa Unternehmensabteilungen
oder geografische Standorte oder
sogar an Delegierungsmodelle. Andere
Anforderungen sorgten häufig dafür,
dass das OU-Design in eine Richtung
lief, die nicht unbedingt die anderen
Anforderungen des Verzeichnisses
erfüllten. So mag es beispielsweise den
Anforderungen von Gruppenrichtlinien
entgegenkommen, Desktop-PCs in
OUs nach Betriebssystemversionen
zu untergliedern, wie in Abbildung 3
dargestellt. Wenn allerdings alle
Desktop-PCs durch eine einzige ITGruppe verwaltet werden, wird durch
diese Strukturierung die Delegierung
und Verwaltung komplexer.
Infolgedessen wird heute beim Design
von AD versucht, ein Mittelweg zwischen
diesen konkurrierenden Anforderungen
zu finden und auch die Anforderungen
von verzeichnisfähigen Anwendungen
zu berücksichtigen, die für die
Authentifizierung und Autorisierung auf
AD angewiesen sind. Beim Design einer
modernen AD Struktur ist es entscheidend,
dass die verschiedenen Anforderungen
Ihrer Organisation berücksichtigt werden.
Die AD Restrukturierung ist auf
verschiedene Art und Weise möglich.
Manchmal müssen mehrere Domänen
und Gesamtstrukturen zusammengelegt
werden, um weniger Domänen zu
erhalten und die Verwaltung und
Sicherheit verbessern zu können oder
um nach einer Fusion oder Acquisition
eine Konsolidierung durchzuführen. In
manchen Fällen entscheiden Sie sich
möglicherweise dafür, einige Ressourcen
in eine separate Gesamtstruktur
auszugliedern (hier ist eine "DMZGesamtstruktur" für kundenorientierte
Ressourcen ein verbreitetes Szenario).
In anderen Fällen möchten Sie vielleicht
eine von Grund auf neue AD Umgebung
aufbauen und sich während des Prozesses
von allem Überflüssigen befreien. Eine
solche Neustrukturierung kann den
Betrieb beeinträchtigen, da während
der Übertragung von Benutzern und
Ressourcen zwischen der alten und neuen
Umgebung Ausfallzeiten auftreten können.
Unabhängig von der Art der Restrukturierung,
die für Sie angemessen ist, sollten Sie sich
nach Tools von Drittanbietern umsehen,
die den Wechsel reibungsloser gestalten
und die Auswirkungen auf Ihr Geschäft
reduzieren. Dies gilt insbesondere, wenn
Sie von einem schlecht dokumentierten
und verwalteten AD auf ein strukturierteres
AD umsteigen, da Sie andernfalls die
Auswirkungen der Änderung eventuell
nicht vorhersehen können.
Optimierung von Verwaltung und
Administration
Die Verwaltung und Administration des
Verzeichnisses ist ein weiterer Bereich
Teilen:
5
Beim Design
einer modernen
AD Struktur ist es
entscheidend, dass
die verschiedenen
Anforderungen
Ihrer Organisation
berücksichtigt
werden.
der Modernisierung von AD. Der erste
Schritt besteht häufig darin, die Anzahl von
Administratoren mit uneingeschränkten
Rechten für das gesamte AD zu reduzieren.
Das Ziel ist es, ein Modell mit minimalen
Rechten (Least-Privilege-Prinzip) für die
Verwaltung und Administration von AD zu
erhalten, bei dem Administratoren nur über
die Rechte verfügen, die sie zur Änderung
der Teile von AD benötigen, die in ihrem
Verantwortungsbereich liegen. Diese
können Folgendes umfassen:
Die Verwaltung der
AD Delegierung
erfordert ein
rollenbasiertes
Framework für die
Gewährung des
Zugriffs auf AD
Objekte und deren
Attribute.
• Die Infrastruktur rund um AD: Das sind
die Server und Services, die AD am Laufen
halten, wie etwa Domänencontroller (DC),
Domain Name System (DNS) und das AD
Schema.
• Die Daten in AD: Dies kann alles beinhalten,
von den Eigenschaften für Benutzerkonten
bis hin zu Schlüsselgruppen, denen
Benutzer zugeordnet sind.
Diese beiden Bereiche haben
unterschiedliche Delegierungsmodelle:
Das nicht besonders granulare
Sicherheitsmodell, mit dem festgelegt
wird, wer die Infrastrukturelemente von AD
verwalten kann und das Sicherheitsmodell
für die enthaltenen Daten, das eine äußerst
hohe Granularität aufweist. Aus diesem
Grund ist es wichtig, Kontrollen rund um
die Verwaltung von AD Servern und die
zugehörige Infrastruktur einzurichten
sowie für die CRUD-Vorgänge (Create,
Read, Update und Delete; Erstellen, Lesen,
Aktualisieren und Löschen) an den AD
Daten selbst.
Angenommen, über die Mitgliedschaft in
AD Gruppen kann alles gewährt werden,
vom Zugriff mit Administratorrechten
auf Server bis hin zum Zugriff auf HRoder Finanzdaten, dann sollten Sie nach
Wegen suchen, um den Zugang zu
diesen Gruppen streng zu kontrollieren,
und die Gruppenzugehörigkeiten
regelmäßig überprüfen. Es sind Produkte
von Drittanbietern auf dem Markt, die
eine zusätzliche Ebene (“Proxy”) vor alle
AD Verwaltungsvorgänge schalten, um
sicherzustellen, dass die geschäftlichen
Richtlinien für AD Änderungen befolgt
werden.
Schutz von AD und AD Daten
Ein weiterer Bereich, der bei der
Modernisierung von AD berücksichtigt
werden muss, ist die Delegierung – die
Steuerung, wer welche Änderungen an
AD Objekten und deren Eigenschaften
vornehmen kann. Die Delegierung hängt
eng mit der zuvor besprochenen Kontrolle
von Änderungen an AD zusammen, da
nur entsprechend berechtigte Benutzer
Teilen:
6
in der Lage sein sollten, AD Objekte zu
ändern. Es kommt viel zu häufig vor, dass
Organisationen zu großzügig mit den
Zugriffsberechtigungen für AD Objekte
umgehen, um ein akutes Problem zu
lösen; die Berechtigungen werden
später allerdings nur selten wieder
zurückgenommen.
Die Verwaltung der AD Delegierung
erfordert ein rollenbasiertes Framework für
die Gewährung des Zugriffs auf AD Objekte
und deren Attribute. Ganz gleich, ob Sie
kontrollieren, wer Änderungen an der
HR-Benutzergruppe oder der "Managed
by" (Verwaltet durch) Eigenschaft für einen
bestimmten Benutzer vornehmen kann –
die Delegierung ist eine entscheidende
Komponente für den Schutz des AD
und muss kohärent verwaltet werden,
da das Sicherheitsmodell selbst eine
gewisse Komplexität aufweist. AD erstellt
derzeit eine rollenbasierte Vorlage für die
einzelnen Aufgaben, die Administratoren
für AD ausführen müssen, oder
zumindest Rollen für kritische Aufgaben,
wie das Ändern von privilegierten
Gruppenmitgliedschaften oder von
Benutzerattributen, die Geschäftsprozesse
steuern (beispielsweise die Attribute
"Abteilung" oder "Managed by" (Verwaltet
durch)). Auch hier kann ein Proxybasierter Ansatz bei der Vereinfachung der
Komplexität der Delegierung helfen, indem
erzwungen wird, dass für alle Änderungen
ein Proxy-Konto verwendet wird und
anschließend die Kontrolle für dieses Konto
auf der Basis von Rollen gewährt wird.
Compliance-Vorgaben gerecht werden,
deren kontinuierliche Einhaltung
gewährleisten und Compliance
nachweisen
Sobald Sie Kontrollen für die Verwaltung
der in AD einfließenden Daten eingerichtet
haben, müssen Sie damit verbundene
Aktivitäten kontinuierlich überwachen.
Dieser Überprüfungsbedarf entsteht
durch interne (für die IT-Abteilung) und
externe Anforderungen (für Prüfer und
Compliance-Beauftragte). Microsoft
Windows Server® und AD verfügen zwar
über integrierte Kontrollfunktionen für
Ereignisse, diese nativen Kontrollen
können jedoch sehr ausführlich sein, in
dynamischen Umgebung schnell sehr
unübersichtlich werden und bedeutungslos
sein, wenn sie einzeln betrachtet und ohne
Überprüfung hingenommen werden.
Kohärente AD Kontrollmöglichkeiten
und Analysetools sind unerlässlich, um
unzulässige AD Änderungen sowie die
Art der
Wiederherstellung
Beschreibung
Auswirkungen
Wiederherstellung auf
Objektebene
Typischerweise werden
Änderungen an Attributen und
Löschungen von AD Objekten
rückgängig gemacht.
Abhängig von der Art des Objekts, können
die Auswirkungen nur geringfügig oder aber
erheblich sein, etwa im Falle der Löschung
oder Änderung einer Sicherheitsgruppe.
DomänencontrollerWiederherstellung
Wird benötigt, wenn ein
DC beschädigt oder nicht
verfügbar ist
Je nach Situation kann ein DC
wiederhergestellt werden, indem er
durch einen neuen ersetzt wird oder ein
bestehender DC anhand einer Sicherungskopie
wiederhergestellt wird.
Wiederherstellung
von Domänen oder
Gesamtstrukturen
Wird für den seltenen Fall
benötigt, dass AD innerhalb
einer Domäne oder einer
Gesamtstruktur nicht mehr
verfügbar ist
Die Auswirkungen können erheblich sein
und bedeuten oft einen langen Ausfall, da
für die Wiederherstellung ein systematisches
Wiederherstellen von DCs anhand von
Sicherungen in einer exakten Reihenfolge
erforderlich ist.
Tabelle 1: Die Arten der AD Wiederherstellung
unberechtigte Nutzung von AD oder
Unternehmensressourcen festzustellen
und um Benutzeraktivitäten über
Ihre gesamten IT-Systeme hinweg
nachzuverfolgen. Die AD Prüfung bietet
einen Änderungsverlauf für alle Vorgänge
innerhalb von AD und in Bezug auf AD –
z. B. werden Benutzeranmeldungen bei
Desktop-PCs und Anwendungen häufig
von den Servern protokolliert.
So wie Sie Änderungsverfolgungsprozesse
in Ihrer übrigen IT-Umgebung haben, ist
es wichtig, für kritische AD-bezogene
Aufgaben Änderungskontrollen
einzuführen – sowohl für Infrastrukturals auch für Datenänderungen, die die
Integrität des Verzeichnisses gefährden
könnten. Durch die Nutzung von
Änderungskontrollen mit einer Prüfung
als Feedbackmechanismus für berechtigte
und unberechtigte Änderungen
erhalten Sie einen guten Überblick
über die Datenänderungen in Ihrer AD
Umgebung. Die neueste Version bietet
diese Transparenz. So wissen Sie, dass im
AD die richtigen Personen Zugriff auf die
richtigen Ressourcen haben.
Gewährleistung der AD Verfügbarkeit und
Wiederherstellung
Ein weiterer Aspekt der modernen
Bereitstellung ist Hochverfügbarkeit.
Die gute Nachricht ist, dass AD sich als
grundsätzlich robuster und skalierbarer
Bestandteil der Infrastruktur bewährt hat,
wenn alle umgebenden Bestandteile gut
funktionieren. Hierzu zählen folgende:
• AD Serverreplikation und
Replikationstopologie
• DNS
• Microsoft Dateireplikationsdienst
• Hardware und virtuellen Maschinen
Die meisten, wenn nicht alle dieser
Bestandteile können mithilfe von
standardmäßigen oder AD-spezifischen
Überwachungstools überwacht werden.
Obwohl eine AD-spezifische Überwachung
von vielen Unternehmen erst im
Nachhinein in Betracht gezogen wird, ist
dies ein kritischer Punkt, vor allem da die
Rolle des AD in der Organisation immer
wichtiger wird. Aus diesem Grund wird
empfohlen, die AD Serviceüberwachung
standardmäßig einzurichten. Die
Serviceüberwachung kann die Ausführung
synthetischer Transaktionen typischer
AD Vorgänge, z. B. Authentifizierungsund Suchvorgänge, beinhalten, um
sicherzustellen, dass, selbst wenn AD
Server auf Ping-Tests reagieren, die darauf
ausgeführten Services fehlerfrei laufen.
Zusätzlich zur Überwachung der
Verfügbarkeit ist ein guter Plan für die
Sicherung und Notfall-Wiederherstellung
wichtig. Mit den heutigen ausgefeilten
Sicherungs- und Wiederherstellungstools
von Drittanbietern, die auch
Wiederherstellungsfunktionen auf
Objektebene enthalten, gibt es keine
Ausreden mehr dafür, wenn eine
Wiederherstellung nicht möglich ist,
sei es aufgrund einer geringfügigen,
unbeabsichtigten AD Änderung oder
schwerwiegender Probleme durch
eine Beschädigung (was äußerst
selten vorkommt). Es gibt drei
Wiederherstellungsebenen, die in Bezug
auf AD berücksichtigt werden müssen,
wie in Tabelle 1 dargestellt.
Da immer mehr Organisationen
Virtualisierungstechnologien für ihre
AD Infrastruktur nutzen, sind sie immer
häufiger in der Lage, nach AD Ausfällen
schnell und einfach Wiederherstellungen
Teilen:
7
Wenn Sie die
Modernisierung
Ihrer AD
Infrastruktur
abgeschlossen
haben, ist es
sinnvoll, eine
angemessene
Governance
einzurichten, um
sicherzustellen, dass
sich auch in Zukunft
nichts daran ändern
wird.
durchzuführen. Und Ausfälle, die sich
über eine ganze Domäne oder die
Gesamtstruktur erstrecken sind sehr
selten. Angesichts der möglichen
Auswirkungen auf Ihr Geschäft im Falle
einer Nichtverfügbarkeit des AD, ist es
dennoch wichtig, für den schlimmsten Fall
Vorsorge zu treffen. Alle Organisationen
sollten über einen Plan und Tools oder
Prozesse für die Wiederherstellung nach
einem die Gesamtstruktur betreffenden
Ausfall verfügen, um minimale Ausfallzeiten
sicherzustellen.
Implementierung von AD Governance
Wenn Sie die Modernisierung Ihrer AD
Infrastruktur abgeschlossen haben, ist es
sinnvoll, eine angemessene Governance
einzurichten, um sicherzustellen, dass sich
auch in Zukunft nichts daran ändern wird.
Diese sollte gut beschriebene Regeln zur
Verwendung, Erweiterung und Verwaltung
enthalten. Weiterhin ist die Einrichtung
eines AD Prüfungsgremiums zu empfehlen,
das aus maßgeblichen Beteiligten besteht,
die das AD betreiben, um sicherzustellen,
dass Best Practices für AD eingehalten
werden.
Ihre AD Governance sollte folgende
Elemente enthalten:
• Best Practices für die Arten von Daten, die
im AD gespeichert werden sollen
• Richtlinien für den Zeitpunkt und die
Art und Weise der Erweiterung des
AD Schemas und den Zeitpunkt, zu
dem bestehende Attribute verwendet
werden können und auch sollen, um
anwendungsbezogene Daten zu speichern
• Richtlinien, wie die Delegierung in AD
ausgeführt werden sollte
• Richtlinien für die Verwendung von
Sicherheitsgruppen, um Ressourcen
zu autorisieren – beispielsweise, ob
geschachtelte Gruppen verwendet werden
sollen, da einige Drittanbieteranwendungen
diese nicht auflösen können
• Standardtools, Anwendungsprogrammierschnittstellen (APIs) und Ports, die mit AD
zusammenarbeiten können
• Best Practices für AD Abfragen (eine Liste
finden Sie unter "Creating More Efficient
Microsoft Active Directory-Enabled
Applications")
Teilen:
8
Diese Empfehlungen sind lediglich
die Spitze des Eisberges. Für die
AD Infrastruktur sollte eine strenge
Governance mit gut dokumentierten
Verhaltensstandards eingerichtet werden.
Fazit
Die Rolle des AD im Identitätsumfeld hat
sich im Laufe der Zeit weiterentwickelt und
Active Directory ist für viele Organisationen
wichtiger geworden. Unabhängig
davon, ob Sie Authentifizierung und
Autorisierung für Windows Desktop-PCs,
Linux Server oder Java Anwendungen
bereitstellen, sollte AD strikt verwaltet
werden, hochverfügbar sein, gute Leistung
erbringen, sicher sein und geprüft werden.
Die AD Modernisierung ist der Prozess,
nach dem Sie Ihre Umgebung umstellen,
um diese Anforderungen zu erfüllen.
Die neuesten Versionen von Windows
Server können Sie dabei unterstützen,
doch Sie müssen gegebenenfalls auch
auf Drittanbieterlösungen zurückgreifen,
um Ihre AD Bereitstellung so zu gestalten,
dass sie Ihre geschäftskritischen
Anforderungen erfüllt. In jedem Fall trägt
eine gute Governance für AD und ein gutes
Sicherheits- und Verwaltungsmodell viel
dazu bei, sicherzustellen, dass AD immer
verfügbar ist, wenn Sie es benötigen.
Informationen zum Autor
Darren Mar-Elia ist ein Microsoft MVP und
Präsident und CTO von SDM Software.
Er verfügt über mehr als 30 Jahre
Erfahrung in den Bereichen IT und
Softwareentwicklung, während der er auch
als CTO für Windows Verwaltungslösungen
bei Quest Software tätig war (gehört nun
zu Dell Software).
Darren hat zahlreiche Bücher über die
Windows Verwaltung verfasst oder
daran mitgewirkt und ist Koautor für das
Windows IT Pro Magazin. Er gründete
die beliebte Webseite GPOGuy.com
über Gruppenrichtlinien und ist häufig
Redner bei Konferenzen zu Windows
Infrastrukturthemen.
Weitere Informationen
© 2014 Dell, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält
urheberrechtlich geschützte Informationen. Dieses Dokument
darf ohne schriftliche Genehmigung von Dell, Inc. ("Dell") weder
ganz noch in Teilen in irgendeiner Form oder Weise (elektronisch,
mechanisch, zum Beispiel durch Fotokopiertechnik oder
Aufzeichnung) reproduziert oder an Dritte weitergegeben werden.
Dell, Dell Software, das Dell Software Logo und die hier genannten
Produkte sind eingetragene Marken von Dell, Inc. in den USA und/
oder anderen Ländern. Alle anderen Marken und eingetragenen
Marken sind Eigentum der jeweiligen Hersteller.
Die Informationen in diesem Dokument beziehen sich auf
Dell Produkte. Dieses Dokument sowie der Verkauf von
Dell Produkten gewähren weder durch Rechtsverwirkung noch
auf andere Weise ausdrückliche oder implizite Lizenzen auf
geistige Eigentumsrechte. Es gelten ausschließlich die in der
Lizenzvereinbarung von Dell für dieses Produkt festgelegten
Geschäftsbedingungen. Dell übernimmt keinerlei Haftung und
Über Dell Software
Dell Software unterstützt Kunden dabei, ihr Potenzial durch den
Einsatz von Technologie voll auszuschöpfen – mit skalierbaren,
erschwinglichen und benutzerfreundlichen Lösungen, die die
IT vereinfachen und Risiken minimieren. Das Portfolio von Dell
Software deckt Kundenanforderungen in fünf Schlüsselbereichen ab:
Rechenzentrums- und Cloud-Verwaltung, Informationsverwaltung,
Verwaltung mobiler Mitarbeiter sowie Sicherheit und Datensicherung.
In Kombination mit Hardware und Services von Dell versetzen unsere
Softwareprodukte Kunden in die Lage, effizienter und produktiver
zu arbeiten und schnellere Geschäftsergebnisse zu erzielen.
www.dellsoftware.com.
Bei Fragen zur möglichen Nutzung dieses Dokuments wenden Sie
sich bitte an:
Dell Software
5 Polaris Way
Aliso Viejo, CA 92656
www.dellsoftware.com
Informationen zu unseren regionalen und internationalen Büros
finden Sie auf unserer Webseite.
Teilen:
9
lehnt jegliche ausdrückliche oder implizierte oder gesetzliche
Gewährleistung in Bezug auf die Produkte von Dell ab, einschließlich,
jedoch nicht beschränkt auf, stillschweigende Gewährleistung
der handelsüblichen Qualität, Eignung für einen bestimmten
Zweck und Nichtverletzung der Rechte Dritter. In keinem Fall
haftet Dell für direkte oder indirekte Schäden, Folgeschäden,
beiläufig entstandene, besondere oder sonstige Schäden oder
Schadensersatzansprüche, die durch die Nutzung oder die
Unfähigkeit zur Nutzung dieses Dokuments entstehen können
(einschließlich, jedoch nicht beschränkt auf, entgangene Gewinne,
Geschäftsunterbrechungen oder Datenverlust), selbst wenn Dell
auf die Möglichkeit derartiger Schäden hingewiesen wurde. Dell
gibt keinerlei Zusicherungen oder Gewährleistungen hinsichtlich
der Richtigkeit oder Vollständigkeit der Informationen in diesem
Dokument und behält sich das Recht vor, die Spezifikationen
und Produktbeschreibungen jederzeit ohne Benachrichtigung
zu ändern. Dell verpflichtet sich nicht dazu, die Informationen in
diesem Dokument zu aktualisieren.
© Copyright 2024 ExpyDoc
