Jump to content

Verständnisfragen zur Gesamtstruktur


Recommended Posts

Hallo miteinander,

 

ich mache gerade eine Weiterbildung zum Netzwerkadministrator (Windows Server 2019), und komme ganz gut mit der Materie zurecht. Allerdings beschäftigen mich jetzt schon länger zwei Fragen, die ich nicht lösen kann. Ich hoffe, es ist OK hier im Forum solche (theoretischen) Fragen zu stellen. Zumindest habe ich schon einige Beiträge dieser Art hier gesehen. Hier nun die Fragen:

 

Frage 1.

Alle Domänen vertrauen sich in einer Gesamtstruktur gegenseitig. Die Benutzer aus einer Domäne sollen aus Sicherheitsgründen nicht mehr auf die Ressourcen einer anderen Domäne innherhalb der Gesamtstruktur zugreifen können, und auch das Anmelden an anderen Domänen soll nicht möglich sein. Wie kann dieses Problem gelöst werden?

 

Hier ist das Stichwort wohl Vertrauensstellung in einer Gesamtstruktur, die den Zugriff auf Ressourcen und die Anmeldung zwischen den Domänen ermöglicht. Allerdings können diese automatisch erstellten Vertrauensstellungen in einer Gesamtstruktur meines Wissens nicht gelöscht werden. Wie soll man aber dann das Problem lösen?

 

Frage 2.

Vorliegend ist eine Gesamtstruktur mit mehreren Domänen. Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden. Das Schema darf aber aus Sicherheitsgründen in dieser Gesamtstruktur nicht verändert werden. Wie kann dieses Problem gelöst werden?

 

Meines Wissens gilt folgendes:

1. In einer Gesamtstruktur gibt es nur ein einheitliches Schema.
2. Die Installation des Exchange-Servers erfordert zwingend eine Schema-Änderung.

 

Das Schema darf aber nicht geändert werden. Wie also soll man das lösen?

 

Ich hoffe, hier hat jemand eine Idee wie das zu lösen ist.

 

VG

Link to post

Moin,

 

ad 1. Es ist immer zu unterscheiden zwischen Authentifizierung und Autorisierung. Vertrauen bedeutet lediglich Authentifizierung, sprich: User aus Domäne A kann sich gegenüber Ressourcen aus Domäne B ausweisen. Ob die Ressource ihm den gewünschten Zugriff erlaubt, ist eine Frage der Berechtigungen. Genaugenommen, kannst Du ja auch innerhalb einer Domäne mit Benutzerrechten erreichen, dass ein Benutzer auf gewisse Ressourcen nicht zugreifen kann.

 

Ein wichtiges Stichwort hier ist die Gruppe "Authentifizierte Benutzer". Wenn dieser Gruppe Zugriffe erteilt werden, gelten sie auch für Benutzer, die in vertrauten Domänen authentifiziert wurden. Da diese Gruppe per Default einige Berechtigungen zugewiesen bekommt, entsteht der Eindruck, dass Vertrauensstellungen automatisch auch für Autorisierung sorgen. Er ist aber falsch.

 

ad 2. Zusätzlichen Forest (Resource Forest) nur für Exchange. Bei neuen Implementierungen ist es aus Security-Sicht ohnehin die einzig vernünftige Variante.

zu Frage zwei aber noch dies:

  • Schemaänderungen (wenn es nicht um Berechtigungen für vorhandene Attribute geht, sondern um Schemaerweiterungen) sind nicht sicherheitsrelevant.
  • Exchange auf einem Domain Controller zu installieren ist zwar leider nicht unsupported, sollte aber in einer wohlgemanagten Umgebung dringend vermieden werden.
Edited by cj_berlin
  • Like 1
Link to post

Moin,

 

Dazu sei auch angemerkt, dass man eine Gesamtstruktur mit mehreren Domänen heute (= seit über 15 Jahren) nicht mehr "absichtlich" entwirft. Sie ist technisch möglich, aber es gibt keine Gründe, sie einzurichten (etwas vereinfacht gesagt, aber darauf läuft es hinaus). Solche Fragen sind also tatsächlich sehr theoretisch.

 

Zu Frage 1 wäre also mindestens zu klären, wo denn die Anforderungen herkommen und was denn eigentlich erreicht werden soll. Dann kann man eine Lösung entwerfen. In der IT wird allzu oft von der Technik her gedacht, das führt aber oft in die Irre.

 

Rein technisch hat Evgenij den richtigen Hinweis gegeben: das steuert man dann - wenn es denn so sein soll - über Berechtigungen.

 

Auch bei Frage 2 wäre zu klären, was denn hinter der Anforderung steht. So, wir es da steht, ist es nicht zu lösen. Entweder man richtet das Schema (und die Exchange-Organisation) im bestehenden Forest ein oder in einem separaten Forest, was dann zusätzliche Konfigurationen erfordert. Beides hat Vor- und Nachteile.

 

Gruß, Nils

Link to post
vor 10 Stunden schrieb NilsK:

dass man eine Gesamtstruktur mit mehreren Domänen heute (= seit über 15 Jahren) nicht mehr "absichtlich" entwirft.

Oooh wenn das alle vor 15 Jahren schon gewußt hätten :scream: Oder auch nur vor 10 Jahren. Full ACK!

Universelle Gruppen braucht niemand (IMHO), und Child Domains sind flüssiger als Wasser :thumb1:

Link to post
Posted (edited)

Hallo und erst mal Danke für eure Antworten.

 

Die beiden Fragen sind alles andere als praxisorientiert und ziemlich schwammig formuliert, aber so ist nun mal die Ausgangslage und mehr Infos sind nicht vorhanden. Das Problem bei den beiden Fragen ist, dass ich nicht so genau weiß, worauf die Fragen überhaupt abzielen.

 

Zu Frage 1:

Soweit ich verstanden habe, könnte man also den Zugriff auf die Ressourcen zwischen den Domänen verhindern, indem man die Gruppe "Authentifizierte Benutzer" entfernt und den Zugriff innerhalb der jeweiligen Domänen über entsprechende Gruppen regelt. Habe ich das so richtig verstanden?

 

Allerdings wäre doch dann immer noch eine Anmeldung an einer anderen Domäne möglich, oder?

 

In den Lernheften steht dazu u.a. folgendes:

 

Zitat

Alle Domänen in einer Gesamtstruktur sind über automatisch bei der Installation generierte Vertrauensstellungen verbunden. Beim Erstellen einer Domäne wird eine Vertrauensstellung zur übergeordneten Domäne hergestellt. Durch diese wird der Zugriff auf Ressourcen wechselweise möglich, also auch von der übergeordneten Domäne in die untergeordnete.

 

Das ist ja dann offenbar nicht ganz richtig, was in dem Heft steht, denn die Vertrauensstellungen sorgen ja laut deinen Ausführungen nur für Authentifizierung und nicht für Autorisierung.

 

Den Zugriff auf Ressourcen untereinander kann man ja über die "Authentifizierten Benutzer" regeln, aber wie kann man die Anmeldung untereinander (zwischen den Domänen) verhindern? Das ist mir irgendwie noch nicht so ganz klar.

 

Vielleicht zielt die Frage ja nur einfach darauf ab, die Gesamtstruktur aufzulösen - d.h. für jede Domäne einen eigenen Forest?

 

Zu Frage 2.

Hier wird es wahrscheinlich genau darum gehen, dass man folgendens weiß:

 

1. In einer Gesamtstruktur gibt es nur ein einheitliches Schema.
2. Die Installation des Exchange-Servers erfordert zwingend eine Schema-Änderung.

 

Daraus folgt eben genau die Lösung, dass man die Domäne, auf deren Domänencontroller Exchange installiert werden soll, aus der Gesamtstruktur "herausnimmt". Geht das überhaupt nachträglich, ohne dass der betreffende Domänencontroller neu installiert werden muss?

 

Oder fällt jemanden noch eine andere Lösung des Problems ein?

 

VG

 

 

 

 

 

 

Edited by Core80
Fehler
Link to post

Moin.

 

Was in dem Heft steht, ist völlig richtig, aber eben nicht vollständig. Die Anmeldung an der Domäne ist Voraussetzung dafür, dass man überhaupt Berechtigungen bekommen kann. Ohne Berechtigungen auf die Ressourcen nützt einem die reine Anmeldung aber nicht.

 

Und eine Domäne kann man nicht nachträglich aus einem Forest entfernen. Auch umgekehrt kann man eine Domäne nicht nachträglich einem Forest (genauer: einem anderen Forest) hinzufügen.

 

Du lernst Theorie? Gut, dann gehört das dazu, aber für Umsetzungen braucht man das Wissen nicht. Man muss das nur als Berater wissen, um Kunden zu sagen, dass sie das nicht tun sollen.

 

Gruß, Nils

Link to post
Am 26.8.2021 um 01:48 schrieb Core80:

Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden. Das Schema darf aber aus Sicherheitsgründen in dieser Gesamtstruktur nicht verändert werden.

Die Antwort dürfte ja schon gegeben sein, aber noch mal um das klarzustellen: Exchange in Domäne = Schema-Update. Ohne Schema-Update kein Exchange. Und "Sicherheitsgründe" gibt es beim Schema-Update nicht.

 

Wenn ich da verantwortlich wäre, würde ich mal diese "Sicherheitsgründe" hinterfragen. Das Schema beschreibt lediglich die Objektvererbungen und deren mögliche Attribute in AD sowie ein paar Standardwerte bei der Objektneuanlage (DefaultSD z.B. - kann man aber anpassen).

Edited by daabm
Link to post

Ich habe den Thread jetzt nur überflogen und kann mich meinen Vorrednern nur anschließen

 

Ich möchte noch mal betonen, das man rein technisch Exchange auf einem DC installieren kann, das aber niemals in einer produktiven Umgebung machen würde.

 

:-)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...