Umbau mit Tücken

Die Umstellung von Windows NT auf den Nachfolger Windows 2000 ist sehr aufwändig. Vor allem Betreiber großer Netze vereinfachen den Prozess mit speziellen Migrationswerkzeugen.

Von: Martin Kuppinger

Microsoft hat viele Elemente von Windows NT auch in das Windows-2000-Verzeichnis "Active Directory" aufgenommen, damit die Migration möglichst leicht fällt. So führt das Active Directory das bekannte Konzept der Domänen fort. Auch verwendet der NT-Nachfolger "Security Identifier" (SID) zur eindeutigen Kennzeichnung von Benutzern, Gruppen und anderen Objekten. Trotzdem kann der Anwender höchstens simple Single-Domain-Netzwerke durch ein einfaches Upgrade aufrüsten. Denn schon bei kleinen Netzen muss er klären, wie er die Sicherheitskonzepte anpasst und in welchem Umfang er die organisatorischen Einheiten für die Strukturierung einer Domäne nutzt.

In größeren Netzwerken sind Änderungen beim Domänenmodell nicht zu vermeiden. Denn NT-Netze sind nicht das Resultat einer optimalen Abbildung von organisatorischen Strukturen, sondern lediglich das Ergebnis des "Machbaren". Und diesbezüglich gibt es bei Windows NT einige Einschränkungen. So lassen sich Domänen intern nicht weiter strukturieren. Ein Äquivalent zu den "organisatorischen Einheiten" des Active Directory gibt es hier nicht. Ein weiterer wichtiger Unterschied ist die bei Windows NT maximal zweistufige Hierarchie, die sich mit Hilfe von Vertrauensstellungen aufbauen lässt.

Das Active Directory eröffnet durch die transitiven Vertrauensstellungen in einem Domänenbaum, durch das Konstrukt des "Forest" und durch die organisatorischen Einheiten ungleich mehr Gestaltungsmöglichkeiten. Hinzu kommt, dass bei Windows NT Rechte der Verwaltung nur dadurch zu delegieren sind, dass entweder mehrere Server einer Domäne gesondert administriert oder dass zusätzliche Domänen gebildet werden. Das hat dazu geführt, dass viele Unternehmen ihre Domänenmodelle den administrativen Anforderungen angepasst haben. Mitunter haben sie Domänen geteilt, um die Einschränkungen in Bezug auf die maximal zu verwaltenden Benutzer in einer Windows-NT-Domäne zu umgehen.

Alle diese Grenzen bestehen im Active Directory nicht mehr. Daher hat es auch keinen Sinn, die Strukturen der alten NT-Netze einfach zu übernehmen. Das Ergebnis wäre ein Aufbau, der nicht annähernd die Möglichkeiten von Windows 2000 und des Active Directory ausnutzt. Das Ziel der Migration muss sein, für die Zukunft möglichst gute Strukturen zu schaffen.