Die Active Directory Struktur

Rahmenbedingungen und Annahmen

Die Active Directory Struktur soll für die Aufnahme aller Konzernteile (Tochterunternehmengen) konzipiert werden und sowohl eine zentrale als auch eine dezentrale Administration zulassen. Ferner soll die Struktur in der Lage sein, getrennte Sicherheitsbereiche zu definieren wie (z. B.: die Ressourcen der Vorstände, des Personalwesens oder Betriebsrates).

Bereitstellung der Infrastrukturdienste

DNS
Der DNS-Dienst kann über das Drittanbieterprodukt QIP der Firma Lucent Technologies oder über Microsoft bereitgestellt. Das Konzept geht davon aus, das alle benötigten Dienstmerkmale (wie z.B.: dynamische Registrierung) unterstützt werden und zu vorgegebenem Zeitpunkt verfügbar sind.
DHCP
Der DHCP-Dienst kann über das Drittanbieterprodukt QIP der Firma Lucent Technologies oder über Microsoft bereitgestellt. Das Konzept geht davon aus, das alle benötigten Dienstmerkmale (wie z.B.: automatische DNS-Aktualisierung) unterstützt werden und zu vorgegebenem Zeitpunkt verfügbar sind.
WINS
Der WINS-Dienst wird in einer Windows 2003 Umgebung mit DNS nicht mehr benötigt.

Schemaerweiterung

Die Erweiterung des Active Directory Schemas ist nur mit Zustimmung von Schema-Administratoren durchzuführen. Die Regelung bezieht sich auch auf eine eventuelle Testumgebung. Eine Erweiterung des Active Directory Schemas muss grundsätzlich mit allen betroffenen Abteilungen diskutiert und gründlich getestet werden. Eine Fehlfunktion kann zu Störungen oder sogar zu Betriebsausfall führen.

Die Bereitstellung des Active Directory Dienstes ist als Unternehmenskritisch zu betrachten. Aus diesem Grund müssen Aktionen wie Schemaerweiterung sehr sorgfältig geplant und durchgeführt werden. Es wird empfohlen alle bekannten Schemaerweiterungen vor Produktivschaltung der Domäne durchzuführen. Dadurch wird eine Vollreplikation des Active Directorys im Produktivbetrieb verhindert.

Definition der Active Directory Standorte

Ein Standort definiert sich als eine Teilmenge des Unternehmensnetzwerkes (Subnetze) die mit mindestens einer LAN-Geschwindigkeit (>=10 MBit/s) verbunden ist.
Die Definition der Active Directory Standorte ist aber auch sehr stark von der Anzahl und Art der Clients (Ziel: 80% Terminalarbeitplätze und 20% Standardarbeitsplätze) an den betroffenen Standorten abhängig. Eine Reduzierung der Standardclients wirkt sich unmittelbar auf die Active Directory Standortkonfiguration aus. Die Informationen über die Bandbreiten zwischen allen Standorten stehen bereits zur.

Die Konfiguration der Subnetze im Active Directory soll so detailliert wie möglich sein. Dies ermöglicht den Benutzern eine genaue Standortzuweisung und Ortung aller Druckerwartenschlangen in seiner Nähe. Für die Terminalserverbenutzer (Standort Hamburg) können die Informationen für eine automatische Druckerverbindung durch den vergleich der Subnetzinformationen mit aktueller IP-Adresse des Clients realisiert werden.
Mit Hilfe von Active Directory Sizer Tool werden die Domänencontroller aller Standorte dimensioniert.

Logischer Aufbau der Domäne (Organisationseinheiten)

Organisationseinheiten (OU) sind die flexibelsten Active Directory-Entwurfselemente. Es handelt sich hier um einen Mehrzweckcontainer, mit deren Hilfe Sie die meisten Objektklassen (wie z. B. Benutzer, Computer und Drucker) zu Administrationszwecken (z. B. Delegieren bestimmter Verwaltungsaufgaben und Anwenden von Gruppenrichtlinien) gruppieren können. Mit Hilfe von Organisationseinheiten werden Unternehmensentwurfselemente in der Active Directory-Infrastruktur abgebildet.

Organisationseinheiten sind ein integraler Bestandteil bei der Erstellung eines Änderungs- und Konfigurationsverwaltungsprozesses, da Objekte nur aufgrund ihres Speicherorts in der Hierarchie vordefinierte Einstellungen annehmen können.
Unter der Berücksichtigung der Tatsache dass die meisten Arbeitsplätze Terminalarbeitsplätze sein sollen (Ziel: 80% Terminalarbeitplätze und 20% Standardarbeitsplätze) und alle Anwendungen sowie Dienste zentral in Hamburg bereitgestellt werden ist keine geografische Objekttrennung erforderlich. Eine organisatorisch-administrative Objekttrennung ist für diese Struktur empfehlenswert. Viel wichtiger in dieser Umgebung ist eine stabile und performante Authentifizierung die auch für den späteren Einsatz von "Single-Sign-on" Produkten (mehrfache Anmeldebestätigung) ausgelegt werden muss.

Viel ErfolgUwe Hamann