Active Directory.pdf - Gattner

32 Kapitel 2: Active Directory-Domänendienstkomponenten
Das Übernehmen von Betriebsmasterrollen ist keine bevorzugte Option und sollte nur angewendet werden,
wenn dies unbedingt erforderlich ist. Übernehmen Sie eine Betriebsmasterrolle nur, wenn absehbar
ist, dass der Domänencontroller, der diese Rolle hostet, für einen längeren Zeitraum nicht verfügbar
sein wird. Weitere Informationen zum Übernehmen von Betriebsmasterrollen finden Sie in
Kapitel 15.
Schema
Hinweis Die Betriebsmasterrollen können auf einen beliebigen anderen Domänencontroller innerhalb der
Domäne verschoben werden. Die einzige Einschränkung im Hinblick auf die Betriebsmasterplatzierung ist,
dass die Infrastrukturmasterrolle nicht auf einem Domänencontroller installiert werden sollte, bei dem es sich
gleichzeitig um einen globalen Katalogserver handelt, wenn die Gesamtstruktur mehrere Domänen enthält.
Dies gilt, sofern nicht jeder Domänencontroller in der Domäne gleichzeitig ein globaler Katalogserver ist.
Der erste Domänencontroller in einer Gesamtstruktur ist standardmäßig sowohl ein globaler Katalogserver
als auch Besitzer der Infrastrukturmasterrolle. Bei der Installation des zweiten Domänencontrollers in der
Domäne, bei dem es sich nicht um einen globalen Katalogserver handelt, werden Sie im Assistenten zum
Installieren von Active Directory-Domänendiensten aufgefordert, den Infrastrukturmaster während der
AD DS-Installation auf den neuen Domänencontroller zu verschieben.
Das Schema definiert sämtliche Klassen und Attribute, die in den AD DS gespeichert werden können.
Jedes Objekt in den AD DS ist eine Instanz einer Klasse. Beispiele für Klassen sind user oder
group. Um ein Objekt in den AD DS erstellen zu können, muss zunächst die Klasse dieses Objekts im
Schema definiert werden. Über das Schema werden ferner verschiedene Regeln zur Erstellung von
Objekten in der Datenbank erzwungen.
Pro Gesamtstruktur ist ein Schema vorhanden. Allerdings wird eine Kopie des Schemas auf jedem
Domänencontroller innerhalb der Gesamtstruktur repliziert. Auf diese Weise hat jeder Domänencontroller
schnellen Zugriff auf sämtliche Klassen- oder Attributdefinitionen, die möglicherweise
benötigt werden. Darüber hinaus verwendet jeder Domänencontroller beim Erstellen eines Objekts
dieselbe Definition. Der Datenspeicher verwendet die vom Schema bereitgestellten Klassen- und
Attributdefinitionen, um Datenintegrität zu erzwingen. Als Ergebnis werden alle Objekte einheitlich
erstellt, und da sämtliche Domänencontroller dieselben Schemadefinitionen verwenden, spielt es
keine Rolle, welcher Domänencontroller ein Objekt erstellt oder ändert.
Schemakomponenten
Das Schema umfasst classSchema-Objekte und attributeSchema-Objekte. Bei den classSchema-
Objekten handelt es sich um Definitionen, die im Schema gespeichert und zum Definieren von Klassen
verwendet werden. Klassen definieren Gruppen von Attributen, die gemeinsame Merkmale aufweisen.
Ein Beispiel ist die Klasse User. Die Klasse User enthält verschiedene Attribute, u.a. den
Anmeldenamen, den Vornamen, den Nachnamen und das Kennwort des Benutzers. Beim Erstellen
eines neuen Benutzerkontos verwendet das Verzeichnis die Klasse User, um die Konfiguration des
Objekts zu definieren. Über die Klasse User festgelegte Einstellungen umfassen die Attribute, über
die das Objekt verfügen kann und muss, sowie die Klassen, denen dieses Objekt in der AD DS-Hierarchie
untergeordnet sein kann. Diese Attribute werden von allen Benutzerobjekten verwendet, die
erstellt werden.
Das Schema definiert ferner die Attribute, die für die verschiedenen Klassen gespeichert werden können.
Attribute werden in den AD DS global als attributeSchema-Objekte definiert, und jede Klasse kann
mehrere global definierte Attribute verwenden.