Client-Server-Umgebung
15 Jahre Microsoft Active Directory
"Today we unveil the future of computing. Companies of all sizes are already deploying Windows 2000 for its scalability, reliability and performance, ...", sagte Bill Gates, damals Microsoft Chairman and Chief Software Architect auf der Windows 2000 Conference & Expo am 17.02.2000. "It's all coming together, ...", bekräftigte Jon Perera, damals Microsoft Director Product Management Windows NT auf der gleichen Veranstaltung.
Mit der Einführung von Active Directory (AD) legte Microsoft den Grundstein einer neuen Management-Ära für Microsoft-Client Server-Umgebungen. Die Skepsis an der produktiven Eignung von Active Directory im Domänenbetrieb im Vergleich zu Windows NT-basierten SAM Anmeldedomänen oder Microsoft-fremden Verzeichnisdiensten wie Novell sind längst ausgeräumt.
Heute ist die eigentliche Verwaltung der Benutzer und Berechtigungen mittlerweile aus dem Active Directory heraus in ganzheitliche Identity Management-Lösungen verlagert worden. Diese steuern automatisiert die Inhalte des Active Directory und können alle administrativen Bewegungen sowie Zugriffe revisionssicher nachverfolgen. Viele Fachbereichsanwendungen und ihre frisch an die Rechenzentren angebundene Cloud-Lösungen sind vollständig mit Active Directory integriert und bedürfen dadurch keiner eigenen Benutzerverwaltung mehr.
Anwendungsspezifische Daten werden mit Hilfe von Active Directory zentral gespeichert und anwendungsübergreifend nutzbar gemacht. Ein einfaches Beispiel ist das automatische Erscheinen der Benutzerprofilfotos aus dem Unternehmens-SharePoint in Outlook.
- AD-Datenbank sichern
In der Windows-Server-Sicherung wählen Sie die zu sichernden Elemente aus. - AD-Datenbank sichern
In den Eigenschaften eines Domänencontrollers im Snap_in Active Directory-Standorte und -Dienste legen Sie Domänencontroller als globalen Katalog fest. - AD-Datenbank sichern
Das Beenden von Active Directory und Testen der Datenbank in der Befehlszeile ist auch im laufenden Betrieb möglich. - AD-Datenbank sichern
Sie können die Active-Directory-Datenbank in der Befehlszeile reparieren. - AD-Datenbank sichern
Den Active Directory Papierkorb aktivieren Sie im Active-Directory-Verwaltungscenter.
Es sind viele spannende Jahre seit der Inbetriebnahme der ersten Active Directory vergangen. Die Extended Support-Phase für Windows 2000 Server, in der Active Directory erstmals enthalten war, lief am 13. Juli 2010 aus. Vielleicht stecken die Windows-2000-Wurzeln noch immer in dem einen oder anderen heute noch betriebenen Active Directory, das durch die technische Fortschreibung aktuell auf einer Windows Server 2012 Infrastruktur betrieben wird.
In vielen Situationen haben wir mit der Zeit festgestellt, dass das Active Directory wirklich sehr robust funktioniert und kaum kaputt zu kriegen ist. Viele technische Verbesserungen und Erweiterungen sind mittlerweile über die Releases bis hin zu Windows Server 2012 R2 hinzugekommen. Auch der kommende Windows Server vNext (endgültiger Name steht noch nicht fest) als damit fünftes Major Release für Microsoft Server mit Active Directory wird wieder einige Neuerungen für den Active Directory-Betrieb mit sich bringen.
Dennoch ist man im Unternehmensumfeld gerade in der heutigen Zeit bestrebt, möglichst Best Practices nach Standardverfahren zu implementieren. Schon immer galt: DNS muss funktionieren, dann läuft auch das Active Directory (siehe auch DNS und Active Directory: die Namensauflösung im Netzwerk sicherstellen).
Wir sollten den Geburtstag jedoch zum Anlass nehmen, den Ist-Zustand unseres Active Directory zu beleuchten und etwaige liegengebliebene Themen zu Ende zu bringen.
Im Flurfunk schnappt man immer wieder ominöse Diskussionen rund um das Thema Compliance auf:
Was ist nun eigentlich mit der Sicherheits-Tokengröße und der durch Verschachtelung kumulierte Sicherheitsgruppenmitgliedschaft pro User? Resultieren daraus gegebenenfalls einige der Zugriffsprobleme in unserer Umgebung?
Wieviel SID-History steht noch in den Objekten? Damit kann ein einzelner Anwender möglicherweise noch prima in alten, eigentlich abgelösten Berechtigungsstrukturen arbeiten kann, ohne dass jemand wirklich Transparenz darüber hat?
Es sind ja noch IE-6-Einstellungen in den produktiven Gruppenrichtlinien manifestiert und nur minimal angepasst worden. Der aktuelle Stand ist Internet Explorer 11. Heute muss doch überall SSL v3 ausgeschaltet sein, um nicht in die von den Medien überall verbreiteten Angriffsflächen für Hacker zu laufen.
Ist die jetzt so zentrale Komponente Active Directory eigentlich fehlerfrei und optimal eingerichtet? Der Kollege, der früher die Anmeldeskripte geschrieben hat, ist gar nicht mehr im Unternehmen, man könnte die Inhalte doch eigentlich für alle transparent in die Preferences der Gruppenrichtlinien übernehmen.
Welche Schemaversion läuft eigentlich aktuell und fahren wir den passenden Betriebsmodus für diese Umgebung?
Wie war das noch mal mit den Auswirkungen beim Umschalten und warum hat es das letzte Projekt nicht getan?
Kurzum: Es wäre nach 15 Jahren Active Directory mal wieder an der Zeit, den Staub aus den Bits und Bytes zu fegen und die Domänen-Landschaft nach neuesten Möglichkeiten Stand 2015 fit zu machen. Bei der Gelegenheit kann man auch gleich noch mal die Active Directory-Wiederherstellungsszenarien für den Katastrophenfall prüfen. Warum also immer warten, bis im Betrieb oder Projekt irgendetwas nicht mehr funktioniert und unter Zeitdruck mit der heißen Nadel instandgesetzt werden muss. (bw/mje)