Active Directory in Windows 2003

Single Logon mit Authentifizierung

Das Active Directory verfügt über ein eingebautes Sicherheitsmodell, das auf Logon-Authentifizierung und Zugangskontrollen für Objekte im Netzwerk basiert. Ein angemeldeter Benutzer kann auf Objekte im ganzen Netzwerk zugreifen, sofern er die Zugangsrechte für die gewünschten Objekte besitzt. Dabei lassen sich Benutzer in Gruppen zusammenfassen, denen der Administrator Gruppenrechte erteilt. Hat eine bestimmte Gruppe also Zugriff auf eine bestimmte Ressource und gehört ein gegebener Benutzer zu dieser Gruppe, so hat er automatisch ebenfalls Zugriff auf diese Ressource.

Die Rolle des globalen Katalogs

Beim globalen Katalog handelt es sich um einen Domain-Controller, der eine Kopie aller Objekte des Active Directory speichert. Außerdem enthält er die am häufigsten gesuchten Attribute aller Objekte im Verzeichnis. Der globale Katalog wird automatisch auf dem ersten DC im Verzeichnis angelegt.

Das Auffinden von Objekten ist die wichtigste Funktion des globalen Katalogs im Active Directory. Sucht beispielsweise ein Benutzer einen Drucker "im Verzeichnis", so wird diese Suche an den globalen Katalog delegiert. Die Suche lässt sich über das Startmenü oder sonst eine Anwendung starten, die mit Active Directory umgehen kann. Sie wird dabei in allen Domains durchgeführt, die am Active Directory eines Netzwerks beteiligt sind. Die jeweiligen zugehörigen Domain-Controller kommen dabei nicht zum Einsatz: Nur der globale Katalog selbst wird für die Suche verwendet. Das beschleunigt das Auffinden der Ergebnisse.

Da das Active Directory eine ganze Menge an Informationen über die User (beziehungsweise Objekte) im Netzwerk speichern kann, dient das Verzeichnis praktisch auch als globales Adressbuch des Netzwerks. Die Suchfunktion erlaubt es, nach einer Vielzahl von Informationen zu suchen: So können Personen beispielsweise nach Ihrem Nachnamen, ihrer E-Mail-Adresse oder anderen personenbezogenen Daten gesucht werden.

Will eine Anwendung nach Objekten im Netzwerk suchen, greift sie dafür auf das Active Directory Service Interface (ADSI) zurück.