Active Directory.pdf - Gattner

160 Kapitel 5: Entwerfen der Active Directory-Domänendienstestruktur
Administrative Isolation hingegen heißt, dass Sie die exklusive Kontrolle für eine Komponente des
Verzeichnisses besitzen. Im Falle administrativer Isolierung besitzt niemand sonst die Kontrolle über
Ihren Teil der Gesamtstruktur, und niemand sonst kann die Verzeichnisdienstkonfiguration oder die
Daten in Ihrem Teil der Gesamtstruktur ändern.
AD DS stellen viele Möglichkeiten zum Erreichen administrativer Autonomie bereit. Domänenadministratoren
haben in einer Domäne freie Hand. OU-Administratoren können vollständige Rechte zum
Erstellen und Administrieren jeder Art von Objekten in einer OU erhalten. Eine einzige Gesamtstruktur
in AD DS ist auf administrative Delegierung und Autonomie ausgelegt.
Wenn Sie jedoch administrative Isolation benötigen, kann dies nur durch Erstellung separater Gesamtstrukturen
erreicht werden. Dies liegt zum Teil am Aufbau der AD DS. Die Gruppe Organisations-
Admins wird automatisch jeder domänenlokalen Gruppe Administratoren hinzugefügt. Die Gruppe
Domänen-Admins besitzt die vollständige Kontrolle über jedes Objekt in der Domäne und wird automatisch
der Gruppe Administratoren auf jedem Computer in der Domäne hinzugefügt. Auch wenn die
Standardkonfiguration geändert werden kann und die Gruppen aus den administrativen Gruppen niedrigerer
Ebene entfernt werden können, können Administratoren einer höheren Ebene jederzeit die
Kontrolle über Objekte auf niedrigerer Ebene zurückerlangen. Das heißt, dass kein Teil der Gesamtstruktur
in administrativer Hinsicht isoliert ist.
Ein weiterer Grund dafür, dass eine separate Gesamtstruktur zur administrativen Isolation benötigt
wird, ist die Möglichkeit böswilliger Aktionen vonseiten der Administratoren in der Domäne. Jeder,
der Administratorzugriff auf einen Domänencontroller besitzt, kann die administrative Isolation einer
beliebigen anderen Partition in der Gesamtstruktur verletzen. Ein Administrator kann auf dem Domänencontroller
in einer Domäne Software installieren, welche die Verzeichnisinformationen für jede
Domäne in der Gesamtstruktur verändert. Der Administrator kann die eigene Sicherheitskennung
(Security Identifier, SID) so verändern, dass er scheinbar ein Mitglied der Gruppe Organisations-
Admins ist, und diesen Zugriff anschließend nutzen, um Änderungen an der ganzen Gesamtstruktur
vorzunehmen.
Alle Domänencontroller und Partitionen in der Gesamtstruktur sind eng integriert, und jede Änderung
an einem beschreibbaren Domänencontroller wird auf alle übrigen Domänencontroller repliziert.
Es gibt keine Sicherheitsprüfung für die Gültigkeit replizierter Informationen; es gibt nur eine
Sicherheitsprüfung beim Vornehmen von Änderungen an den Verzeichnisdaten. Wenn daher ein böswilliger
Administrator es schafft, Änderungen an den Verzeichnisdaten vorzunehmen, werden die
replizierten Änderungen von allen übrigen Domänencontrollern blind übernommen. Aus diesen Gründen
müssen Sie separate Gesamtstrukturen erstellen, wenn Sie administrative Isolation benötigen. In
manchen Fällen müssen Sie eine vollständige Isolation einer Verzeichnispartition sicherstellen. In diesem
Fall müssen Sie den zusätzlichen administrativen Aufwand und den Verlust der Zusammenarbeit
in Kauf nehmen, den der Einsatz mehrerer Gesamtstrukturen mit sich bringt.
Viele Unternehmen fordern jedoch administrative Autonomie zusammen mit einer angemessenen
Zusicherung, dass Administratoren aus anderen Partitionen in der Gesamtstruktur nicht böswillig
handeln werden. Diese angemessene Zusicherung kann in den meisten Unternehmen folgendermaßen
erzielt werden:
• Nehmen Sie nur extrem vertrauenswürdige Administratoren in Gruppen auf, die administrative
Kontrolle über Domänencontroller besitzen. Zu diesen Gruppen gehören die Gruppe Domänen-
Admins sowie die domänenlokalen Gruppen Administratoren, Server-Operatoren und Sicherungs-
Operatoren. Administrative Aufgaben, die keinen Zugriff auf die Domänencontroller erfordern,
sollten an andere Gruppen delegiert werden.