Mit der Präsentation des Active Directory in Windows 2000 verabschiedet sich Microsoft teilweise vom ursprünglichen Domain-Konzept. Ein Schritt, der dringend erforderlich war, denn das Netzwerk-Betriebssystem Windows NT 4.0 Server erwies sich mit seinem starren Domänenkonzept in großen Netzumgebungen als zu unflexibel.
RückblickMicrosoft reagiert damit auf die geänderten Anforderungen im Netz, mit denen sich alle Hersteller konfrontiert sehen: In den Anfängen der LAN-Ära brauchte ein ordentliches Netzwerk-Betriebssystem nicht viel mehr zu bieten als zuverlässige Funktionen zum Datei- und Drucker-Sharing. Lokale Netze waren meist noch recht klein gehalten, sodass es ausreichte, Zugriffe auf gemeinsam nutzbare Ressourcen über ein simples Verfahren zu steuern.
Auf dieser Idee aufbauend, verwendet der Windows NT Server (inklusive NT 4.0) wie sein Urahn, der LAN-Manager, noch ein Konzept, bei dem Benutzer-, Gruppen- und Computerobjekte in Form einer flachen Liste in einer Domäne gruppiert werden. Diese lässt sich am einfachsten als gemeinsamer Sicherheitsbereich charakterisieren. In Anbetracht der zunehmenden Verbreitung lokaler Netze und des Zusammenschlusses von LAN-Inseln zu Corporate Networks stößt das Domänenkonzept von Windows NT jedoch an seine Grenze. Was in den frühen LAN-Jahren ausreichte, kann die heutigen Anforderungen beispielsweise an ein einheitliches, flexibles Benutzerverzeichnis, TCO und IP-Fokussierung kaum noch adäquat erfüllen. Folgendes Beispiel mag die neuen Herausforderungen verdeutlichen: Ein Benutzerverzeichnis muss heute die Option bieten, sowohl um neue Objektklassen etwa für einen Fax-Server als auch um neue Eigenschaftstypen wie die E-Mail-Adresse eines Benutzers erweiterbar zu sein.
Punkte, bei denen das Domänenkonzept von Windows NT passen muss. Zumal die Zahl der Objekte begrenzt ist: Bei rund 40000 ist Schluss. Im Zeitalter des Global Networking heißt das, dass es Unternehmen kaum möglich ist, Benutzerkonten beispielsweise auch für Tochterfirmen, assoziierte Partner und E-Business-Kunden zu erstellen. Was bleibt, ist der Aufbau mehrerer unterschiedlicher Verzeichnisse für Benutzer, Computer etc., deren Pflege und Abgleich untereinander jedoch arbeits- und damit kostenintensiv ist.
Wohlgemerkt: Die Konsequenzen dieser Einschränkungen waren zu Beginn der LAN-Ära und des Designs des Windows NT Server so keinesfalls abzusehen. Dennoch besaßen Unternehmen wie Banyan oder Novell schon damals den erforderlichen Weitblick und schufen entsprechende Verzeichnisdienste, wobei die User allerdings nicht unbedingt ihr Potenzial erkannten. Diese Engpässe und andere Schwächen will Microsoft nun mit den Server-Versionen von Windows 2000, respektive dem darin enthaltenen Active Directory, beseitigen.
Das Active Directory setzt nach wie vor auf Domänen. Im Gegensatz zu seinem NT-Vorgänger können diese bei Windows 2000 jedoch eine Hierarchie aufweisen, und zwar gleich in mehreren Ebenen. Ziel ist es dabei, Unternehmen deutlich mehr Übersicht über die im Netzwerk vorhandenen Ressourcen zu bieten und so eine einfachere Administration zu ermöglichen. Beim Active Directory lassen sich jetzt mehrere Windows-2000-Domänen hierarchisch verknüpfen. Diese weisen dann automatisch bidirektionale Vertrauensstellungen auf. Dadurch gehört das schnell undurchsichtig werdende, bei Windows NT hierfür aber erforderliche Prozedere, Domänen manuell über unidirektionale Vertrauensstellungen manuell miteinander zu verbinden, der Vergangenheit an.
Ferner können auch innerhalb einer Domäne - ähnlich den Ordnern auf einer Festplatte - so genannte Organisationseinheiten (engl.: Organizational Units, kurz OUs) existieren, in denen Benutzer, Gruppen, Computer und andere Objekte übersichtlich eingeordnet werden (siehe Abbildung 1). Hierbei geht es weniger darum, das Organigramm eines Unternehmens möglichst akribisch in OU-Form nachzubilden. Vielmehr lassen sich die Organisationseinheiten zur Erteilung von Verwaltungsberechtigungen einsetzen. Auf diese Weise kann ein Administrator einem Benutzer beispielsweise die Berechtigung zur Vergabe von Kennwörtern oder die Erstellung von Gruppen übertragen. Und dies geschieht gezielt nur in diesem Bereich sowie untergeordneten OUs, während andere Teile der Domäne davon unberührt bleiben - eine echte Verbesserung im Vergleich zu den Windows-NT-Domänen, wo es sich nach dem Prinzip "Alles oder nichts" (Administrator oder normaler Benutzer) zu entscheiden galt. Allerdingst: Die Komplexität der verschiedenen OU-Ebenen und ihrer vererbbaren Verzeichnisberechtigungen ist nicht trivial und will verstanden werden. Leider hat Microsoft seinem Sprössling eine Funktion, die die effektiven Objektberechtigungen eines bestimmten Benutzers in einer OU anzeigen, nicht beigelegt.
Fallstricke bei der AdministrationEin anderes Manko der OUs im Active Directory - und ein bedeutendes Unterscheidungsmerkmal zu Novells NDS E-Directory - ist, dass sich Zugriffsberechtigungen für freigegebene Festplattenordner nicht an Organisationseinheiten, sondern nur an Benutzer, Gruppen und Computer erteilen lassen. Das bedeutet in der Praxis: Es reicht keinesfalls aus, einen neuen Benutzer in einer OU einzutragen, um ihm den Zugang zu allen von dieser Organisationseinheit genutzten Dateien zu eröffnen. Vielmehr muss ein Administrator den Benutzer außerdem als Mitglied genau jenen Gruppen hinzufügen, die über die gewünschten Freigabeberechtigungen verfügen (beim Verschieben eines Benutzers in eine andere OU ist analog zu verfahren).
Abgesehen davon bietet eine Windows-2000- gegenüber einer Windows-NT-Domäne einen entscheidenden Vorteil: Ein über das Active Directory bereitgestelltes Verzeichnis kann Objekte unterschiedlichster Art beinhalten und ist nicht auf Benutzer, Gruppen und Computer fixiert. Das Active-Directory-Schema lässt sich bedarfsgerecht erweitern, und zwar sowohl um neue Objektklassen als auch um neue Eigenschaftstypen.
Als Datenbank-Engine für das Active Directory kommt die bereits aus dem Exchange Server 5.5 her bekannte Extensible Storage Engine (ESE) zum Einsatz. Glaubt man Microsoft, so sind pro Domäne zehn Millionen und mehr Objekte realisierbar. Der Beweis steht allerdings noch aus, denn von einigen Vorführungen abgesehen existiert bislang keine Implementierung dieser Größenordnung. Somit ist abzuwarten, wie sich eine solche Konstellation in einer Produktivumgebung bewährt. In jedem Fall ist es empfehlenswert, den Domänen-Controller mit genügend Speicherkapazität auszustatten, denn eine Active-Directory-Verzeichnisdatenbank belegt schnell 100 und mehr Megabyte.
Grundsätzlich verwendet ein Active Directory das Domain Name System (DNS) auf zwei Arten: zum einen zur Namensauflösung, zum anderen als Namensraum. DNS verleiht den Namen mehrerer Domänen sowie den darin in OUs angeordneten Objekten automatisch eine Hierarchie. Damit hat sich Microsoft für seinen Verzeichnisdienst an einem bekannten, leicht verständlichen Namensschema orientiert, das vielen Administratoren bereits vertraut ist. Allerdings bedingt ein vernünftiger Betrieb eines Active Directory den Einsatz neuartiger Techniken, die in der traditionellen DNS-Spezifikation nicht vorgesehen sind. Genau dies könnte sich in manchen Umgebungen als Stolperstein herausstellen. So muss der für das Active Directory verwendete DNS-Server mit Service-Locator-Einträgen (SRV) umgehen können. Andernfalls ist ein Windows-2000-Rechner nicht in der Lage, einen zur Anmeldung eines Benutzers an einer Domäne erforderlichen Domänen-Controller zu lokalisieren. Als hinderlich unter Active-Directory-Aspekten erweist sich zudem eine Beschränkung der DNS-Spezifikation auf bestimmte Zeichen (Buchstaben, Ziffern und Bindestrich): Die SRV-Einträge beginnen nämlich mit einem Unterstrich. Damit die Anwender für den Rechnernamen beispielsweise auch Umlaute verwenden können, präferiert das Active Directory für DNS den UTF-8-Zeichensatz.
Somit sind Probleme vorprogrammiert: Wer das Active Directory einsetzen möchte, muss einen DNS-Server verwenden, der diese Features beherrscht, was jedoch nur auf neueste Bind-Implementierung (Berkeley Internet Name Domain) zutrifft. Weil aber kaum ein Unternehmen seine DNS-Server-Infrastrukturen neu aufsetzt, sind entsprechende Umbau- und Planungsarbeiten erforderlich, nur um das Active Directory nutzen zu können. Dieser Umstand kann das Aus für Microsofts hierarchischen Verzeichnisdienst in Unternehmen bedeuten, wenn diese dann doch lieber weiterhin auf die bestehende Windows-NT-4.0-Umgebung etwa in Verbindung mit dem NDS E-Directory von Novell setzen. Microsoft bemüht sich denn auch, zahlreiche Kombinationsmöglichkeiten zwischen dem Windows-2000-Server und Unix-basierten DNS-Servern aufzuzeigen. Ob das ausreicht, Unternehmen zum Einsatz des Active Directory zu bewegen, wird die Zukunft zeigen.
Aufgrund der stark ins Bewusstsein gerückten PC-Kosten, Stichwort Total-Cost-of-Ownership (TCO), werden Funktionen benötigt, um die im lokalen Netz eingesetzten Arbeitsplatz-Rechner möglichst zentral zu konfigurieren. Ein diesbezüglich äußerst mächtiges Instrument stellen die Gruppenrichtlinien von Windows 2000 dar. Sie lösen die von Windows NT bekannten und nur umständlich konfigurierbaren Systemrichtlinien ab. Vereinfacht ausgedrückt, können Administratoren mit den Gruppenrichtlinien von zentraler Stelle aus exakt festlegen, wie die Umgebung der Benutzer aussieht, die an Windows-2000-Rechnern arbeiten. Hierbei steht ihnen eine breite Palette zur Verfügung, die von den Einträgen im Startmenü über den Inhalt der Systemsteuerung (wenn diese überhaupt zugänglich sein soll) bis hin zur standardmäßigen Homepage für den Web-Browser reicht.
Des Weiteren dienen Gruppenrichtlinien dazu, Applikationen wie Office, Updates, Service-Packs etc. auf Windows-2000-Rechnern in einer Abteilung beziehungsweise im ganzen Unternehmen automatisch zu installieren, wahlweise zwingend oder erst auf Anforderung durch den Benutzer. Jedoch existieren zwei Einschränkungen: Zur automatischen Verteilung muss die betreffende Software über eine "MSI"-Installationsdatei verfügen. Das ist derzeit nur bei einigen neueren Microsoft-Applikationen der Fall. Zahlreiche Hersteller, deren Applikationen unter Windows 2000 einwandfrei laufen, konnten sich noch nicht dazu durchringen, ihr Setup-Programm durch eine MSI-Datei zu ersetzen.
Bei allen Vorzügen der Gruppenrichtlinien, die etwa Unternehmen vor dem gefürchteten Tuning-Halbwissen ihrer Anwender schützen, ist eines nicht zu vergessen: Sie wirken nur auf Windows-2000-Rechnern, andere Plattformen wie Windows 95/98 und Windows NT bleiben außen vor.
Gerade diese Fokussierung auf die eigene Welt brachte Microsoft in der Vergangenheit oft Kritik ein. So wurde die Company oft dafür gescholten, heterogene Netzwelten zu negieren. Das hat sich gründlich geändert: Der Zugriff auf das Active Directory erfolgt über LDAP (Lightweight Directory Access Protocol), sodass zumindest die Grundvoraussetzungen geschaffen wurden, um eine einfache Integration anderer Verzeichnisdienste wie etwa von Netscape zu realisieren. Mit den Microsoft Directory Synchronization Services (MSDSS) steht überdies ein interessantes Tool für die Anbindung an eine Novell-Umgebung zur Verfügung. Das Programm gestattet eine wahlweise uni- oder bidirektionale Synchronisation eines Active-Directory-Verzeichnisses mit einem NDS-Verzeichnis oder einer Bindery von Netware 3.x. In der Microsoft-Welt erstellte und verwaltete Objekte sind so auch automatisch im Novell-Netz präsent, was eine Koexistenz des Active Directory mit den in vielen Unternehmen anzutreffenden Netware-Installationen wesentlich erleichtert. Allerdings lag MSDSS bis Redaktionsschluss nur in einer Betaversion vor, sodass sich über die genaue Funktionalität, Stabilität und letztlich auch Kompatibilität noch keine Aussagen treffen lassen.
Die Anforderungen der Enterprise-Kunden scheint Microsoft seinem Active Directory aber nicht allein aufbürden zu wollen. So offeriert der Hersteller mit den Microsoft Metadirectory Services (MMS) auf Basis der von Zoomit stammenden VIA-Lösung (Virtual Interface Architecture) ein Produkt für gehobenere Ansprüche. Zoomit hat die Company aus Redmond im Juli 1999 gekauft, um die Wissenslücke in Sachen Meta-Directories zu schließen. Der Fokus der MMS liegt dabei auf einem unternehmensweiten Identitäts-Management, um über LDAP eine aggregierende Datensynchronisation mit unterschiedlichsten Ressourcen-Verzeichnissen durchzuführen. Im Gegensatz zum Active Directory, das allgemein durch den Erwerb einer der Server-Ausführungen von Windows 2000 erhältlich ist, stehen die MMS jedoch nur in einem gesonderten Limited-Release für Großkunden zur Verfügung.
FazitSumma summarum wartet das Active Directory mit zahlreichen Neuerungen auf, die die Probleme heutiger Windows-NT-Umgebungen adressieren. Technisch gesehen mag Microsofts Verzeichnisdienst dem Konkurrenten unterlegen sein, doch der Hersteller hat offenbar gewissenhaft auf Stabilität geachtet. Von mitunter beklagten Replikationsverzögerungen abgesehen, gab es bislang keine Berichte über plötzliche Totalausfälle des Active Directory - anders als bei Novells ersten Directory-Gehversuchen mit Netware 4.0. Allerdings muss man sich auch über eine andere Tatsache im Klaren sein: Der Einsatz des Active Directory erfordert eine genaue Planung etwa im Hinblick auf die DNS-Server-Infrastruktur. Zudem birgt jeder hierarchische Verzeichnisdienst eine gewisse Komplexität in sich, sodass sich sowohl an Windows NT gewohnte Administratoren als auch Systemhäuser erst einmal in die Materie einarbeiten müssen, um Integrations- und Migrationsaspekte adäquat anzugehen.
*Eric Tierling ist freier Journalist und Buchautor in Leichlingen und hat zahlreiche Bücher zu Netware und Windows NT/2000 veröffentlicht.
Abb1:Domäne
Organisationseinheiten (OUs) verleihen einer Windows-2000Domäne eine Hierarchie. Abb. 1 Quelle: Tierling
Abb2:Gruppenrichtlinien
Gruppenrichtlinien dienen zur Konfiguration der Benutzerumgebung und Softwareverteilung bei Windows-2000-Rechnern. Abb. 2 Quelle: Tierling