Active Directory

Erfahrungen nach knapp einem Jahr

Nach nun einschließlich Planung und Vorbereitung knapp zwölf Monaten, davon acht im Dauereinsatz als Samba-AD-Server, haben wir den zuletzt unter Dauerlast stehenden Pi nun von den Bürden des Domänencontrollings befreit. Seine Aufgaben hat ein für den harten Dauereinsatz in einem wachsenden Unternehmen mit ausreichend Reserven ausgestatteter Windows-Server übernommen.

Bei dieser Migration war Gelegenheit, noch einmal über die gröbsten Anfängerfehler zu reflektieren. Auf einige will ich hier kurz eingehen.

Zugriffsrechte

Zum Anpassen der Berechtigungen der Benutzerfreigabe genügt der Windows-Explorer. Die „versteckte“ Users$-Freigabe müssen wir durch manuelle Adresseingabe sichtbar machen. Der Pfad besteht aus dem kurzen Netbios-Namen des NAS und dem Freigabenamen, im Beispiel \\qnapnas\users$

Warum Domäne?

Wer mehr als ein computerähnliches Gerät besitzt und damit womöglich noch arbeitet, kommt irgendwann an einen Punkt, an dem USB-Sticks und externe Festplatten nicht mehr genügen. Spätestens, wenn dank wachsenden Benutzerzahlen und Datenmengen auch die Benutzerverwaltung der NAS-Firmware an ihre Grenzen stößt, wird es höchste Zeit, seine Organisationsstrukturen zu ordnen.

Lokale und servergespeicherte Benutzerprofile

Ein Benutzerprofil ist in unserem Kontext, also in der Windows-Welt, eine Sammlung benutzerspezifischer Eigenschaften, Einstellungen, Dateien und Ordner. Die genaue Zusammensetzung hat sich im Laufe der Zeit entwickelt, wobei meist Wert auf Rückwärtskompatibilität gelegt wurde. Aktuell besteht ein Windows-Profil aus den HKEY_CURRENT_USER-Einstellungen der Registry (gespeichert in einem “Hive” namens ntuser.dat), einigen Konfigurationsdateien und verschiedenen funktionalen Ordnern (Eigene Dateien, Anwendungsdaten und andere).

Gruppenrichtlinien

Das gesamte Berechtigungskonzept von Windows-Domänen baut auf sogenannten Gruppenrichtlinien (Group Policies) auf. Diese steuern, ggf. anhand verschiedener Kriterien wie Benutzergruppen oder Hardware, bestimmte Einstellungen an einem Computer und/oder einer Benutzersitzung. Diese Richtlinien werden auf dem AD-Server hinterlegt und von den Client-Computern bei der Anmeldung übernommen.

Benutzer und Profile

Ein zentraler Bestandteil von Active Directory ist ein LDAP-Dienst mit einer recht intuitiven Benutzeroberfläche. Die Anwendungsfälle sind unzählig: Groupware wie Outlook oder Notes kann direkt an das Verzeichnis angebunden werden, sodaß auch hier der Administrationsaufwand massiv reduziert wird. Ebenfalls verbreitet und bekannt ist die Zugriffskontrolle für Dateien (auch Samba nutzt beim Domänenbeitritt ja das AD-LDAP). Aber auch beliebige andere Anwendungen können mit einer geeigneten Schnittstelle die Benutzerauthentifizierung komplett auslagern.

Seiten