Umbau mit Tücken

Die technischen Hintergründe

Das bedeutet in der Konsequenz, dass die Planer Domänen umgestalten müssen, indem sie sie aufteilen oder zusammenfassen; eine technisch keineswegs triviale Aufgabe. Windows 2000 bietet dem Anwender mit "movetree.exe" nur ein Befehlszeilenwerkzeug, mit dem er Objekte zwischen Domänen verschieben kann. Um Objekte von einem Forest in einen anderen zu bewegen, muss er Skripte schreiben, und zwar mit "Clone Principal", einem Satz von Werkzeugen mit Support-Tools, die auf der Windows- 2000-CD zu finden sind. Komfortabel bewegt der Administrator Objekte zwischen Domänen aber erst dann, wenn er das "Active Directory Migration Tool" (ADMT) von der Website von Microsoft herunterlädt. Mit diesem von Net-IQ entwickelten Programm stehen eine Reihe von Assistenten bereit, die das Verschieben von Objekten unterstützen. Alle diese Tools setzen aber voraus, dass die Zieldomäne bereits im einheitlichen Modus ist, also alle Domänen-Controller unter Windows 2000 arbeiten und der Modus entsprechend gewechselt wurde. Wer mehr Möglichkeiten benötigt, braucht zusätzliche Werkzeuge von Net-IQ, Fastlane oder Bindview.

Die Ursache für die Komplexität beim Verschieben von Objekten liegt in der SID. Die SID eines Benutzerobjekts besteht, wie auch bei Gruppen und anderen Objekten, aus der SID der Domäne und einem "Relative Identifier" (RID). Wenn der Administrator ein Objekt in eine andere Domäne verschiebt, muss er auch die SID ändern, weil sich die SID der Domäne ändert. An der SID hängen aber beispielsweise die Gruppenzugehörigkeiten und die Zugriffsberechtigungen im System. Microsoft löst das im einheitlichen Modus durch ein zusätzliches Attribut, die "SID history", die die SIDs eines Benutzers aus früheren Domänen speichert. Mit ihrer Hilfe erhält der Benutzer Zugriffsberechtigungen für mehrere SIDs.

Globale Gruppen dürfen nur Benutzer aus der lokalen Domäne enthalten. Verschiebt der Verwalter einen Benutzer in eine andere Domäne, muss er ihn entweder aus den globalen Gruppen entfernen oder die globale Gruppe mitverschieben. Dabei transferiert er jedoch auch alle anderen Mitglieder der globalen Gruppe. Microsoft spricht hier von "Closed Sets".