Grundlagenwissen zum Verzeichnisdienst - Seite 2

AuthentifizierungSingle Logon mit Authentifizierung

Single Logon mit Authentifizierung

Das Active Directory verfügt über ein eingebautes Sicherheitsmodell das auf Logon-Authentifizierung und Zugangskontrollen für Objekte im Netzwerk basiert. Ein angemeldeter Benutzer kann auf Objekte im ganzen Netzwerk zugreifen, sofern er die Zugangsrechte für die gewünschten Objekte besitzt. Dabei können Benutzer in Gruppen zusammengefasst werden und die Rechtevergabe kann auf Basis von Gruppenrechten erfolgen. Hat eine bestimmte Gruppe also Zugriff auf eine bestimmte Ressource und gehört ein gegebener Benutzer zu dieser Gruppe, so hat er automatisch ebenfalls Zugriff auf diese Ressource.

Die Rolle des globalen Katalogs

Beim globale Katalog handelt es sich um einen Domain Controller, der eine Kopie aller Objekte des Active Directory speichert. Außerdem speichert der globale Katalog die am häufigsten gesuchten Attribute aller Objekte im Verzeichnis. Der globale Katalog wird dabei automatisch auf dem ersten Domain Controller im Verzeichnis angelegt.




Der Globale Katalog kann nach beliebigen Informationen durchsucht werden.



Das Auffinden von Objekten ist die wichtigste Funktion des globalen Katalogs im Active Directory, er ermöglicht es den Mitgliedern des Active Directory Objekte im Verzeichnis zu suchen. Wird zum Beispiel ein Drucker Im Verzeichnis gesucht, so wird diese Suche an den globalen Katalog delegiert. Dabei können diese Suchen über das Startmenü oder sonst eine Anwendung die das Active Directory kennt und benutzt, gestartet werden. Die Suche wird dabei in allen Domains die am Active Directory eines Netzwerkes beteiligt sind durchgeführt, ohne dass dabei die jeweiligen zugehörigen Domain Controller befragt werden: Nur der globale Katalog selbst wird für die Suche verwendet. Das beschleunigt natürlich das Auffinden der Ergebnisse.

Nachdem das Active Directory eine ganze Menge an Informationen über die User (bzw. Objekte) im Netzwerk speichern kann, dient das Verzeichnis praktisch auch als globales Adressbuch des Netzwerks. Die Suche im Active Directory erlaubt es dabei nach einer Vielzahl von Informationen zu suchen: So können Personen beispielsweise auch nach Ihrem Nachnamen, eMail-Adresse oder anderen personenbezogenen Daten gesucht werden.

Die Suche kann nicht nur von Personen sondern auch von Programmen durchgeführt werden. Personen würden dabei die Suchfunktion im Startmenü verwenden, Programme verwenden das Active Directory Service Interface (ADSI).