Active Directory.pdf - Gattner

AD DS-Sicherheitsgrundlagen 275
Wenn Windows 2000-Clients (oder höher) sich an einem Windows Server 2008-Netzwerk anmelden,
wird der Kerberos SSP ausgewählt, und die Informationen werden an den SSP übergeben. Der SSP
kommuniziert anschließend mit dem Domänencontroller, um den Benutzer zu authentifizieren. Der
Kerberos-Authentifizierungsprozess wird an späterer Stelle in diesem Kapitel ausführlich behandelt.
Sofern die Authentifizierung erfolgreich ist, wird der Benutzer authentifiziert und erhält Zugriff auf
das Netzwerk. Wenn sich der Benutzer an einer Domäne angemeldet hat und sich alle vom Benutzer
benötigten Ressourcen in derselben Gesamtstruktur befinden, muss der Benutzer seine Anmeldeinformationen
nur einmal eingeben. Sämtliche Berechtigungen, die dem Benutzer bis zur Abmeldung im
Netzwerk gewährt werden, basieren auf der anfänglichen Authentifizierung. Auch wenn das Benutzerkonto
bei jedem Ressourcenzugriff erneut authentifiziert wird, sofern der Benutzer sich gegenüber
diesem Server noch nicht authentifiziert hat, erfolgt diese Authentifizierung für den Benutzer unbemerkt.
Autorisierung
Die Autorisierung ist der zweite Schritt beim Zugriff auf Netzwerkressourcen, und dieser Schritt
erfolgt nach der Authentifizierung. Während der Authentifizierung stellen Sie Ihre Identität unter
Beweis, indem Sie den richtigen Benutzernamen und das zugehörige Kennwort eingeben. Während
der Autorisierung erhalten Sie Zugriff auf die Ressourcen im Netzwerk. Anders betrachtet wird während
der Authentifizierung ein Zugriffstoken für Sie erstellt. Bei der Autorisierung wird das Zugriffstoken
einem Server vorgelegt und der Zugriff auf eine Ressource angefordert. Sofern die Sicherheitskennungen
im Zugriffstoken mit den Sicherheitskennungen in der DACL übereinstimmen, wird der
Zugriff gemäß Zugriffssteuerungseintrag (ACE) für die Ressource gewährt oder verweigert.
Die Autorisierung, auch Zugriffssteuerung genannt, bezeichnet die Ermittlung der Zugriffsebene, die
für ein Active Directory- oder Dateisystemobjekt gewährt oder verweigert wird. Nachdem das Schlüsselverteilungscenter
(Key Distribution Center, KDC) die Identität des Benutzers bestätigt hat, generiert
das Sicherheitssystem auf dem authentifizierenden Domänencontroller Autorisierungsdaten.
Diese bestehen aus der primären Sicherheitskennung für den Benutzer sowie den Sicherheitskennungen
für Gruppen, denen der Benutzer angehört. Diese Sicherheitskennungen werden von allen
Ressourcen im Windows-Netzwerk erkannt. Die Autorisierungsdaten werden von dem Computer, der
die Netzwerkressource verwaltet, zum Generieren eines Zugriffstokens verwendet. Das Zugriffstoken
dient der Ermittlung der Zugriffsebene, die dem Benutzer für die Netzwerkressource gewährt wird.
Das Zugriffstoken umfasst folgende Elemente:
• Die Liste der Sicherheitskennungen, die den Benutzer repräsentieren (einschließlich der in
SIDHistory gespeicherten Sicherheitskennungen)
• Alle Gruppen (einschließlich verschachtelter Gruppen), denen der Benutzer angehört
• Die Benutzerprivilegien (auch Benutzerrechte genannt) auf dem lokalen Computer
Allen geschützten Objekten oder Ressourcen wird eine DACL (Discretionary Access Control List)
zugewiesen, in der die Zugriffsrechte von Benutzern und Gruppen für diese Ressource definiert sind.
Der Zugriff auf diese Objekte oder Ressourcen wird durch eine Zugriffsüberprüfung gesteuert, bei
dem das Sicherheitssystem ermittelt, ob der angeforderte Zugriff gewährt oder verweigert werden
sollte. Hierzu werden die Inhalte des Zugriffstokens des Anfordernden überprüft und mit der DACL
der Ressource verglichen.