Windows NT für Programmierer

Kapitel 3: Domäne-Konzept

Überblick

• Was ist eine Domäne?
• Single Domain Model
• Single Master Domain Model
• Multiple Master Domain Model
• Complete Trust Model

Letzte Änderung: 22.6.98 von B. Tritsch

Zurück zum Inhalt

Was ist eine Domäne?

Um eine größere Anzahl von Windows NT Rechnern in einem Client/Server-Netzwerk zu verbinden, wurde von Microsoft das Modell der NT-Domänen (= NT Domain) entwickelt. Eine Domäne faßt mehrere Server, physikalische Netzwerkabschnitte, Ressourcen (d.h. Drucker, Festplatten usw.) und Benutzerkonten zu einer zentral administrierbaren Einheit zusammen. Hierbei gibt es unter Windows NT 4.0 einen Primary Domain Controller (PDC) und optional beliebig viele Backup Domain Controllers (BDC) bzw. Secondary Domain Controllers (SDC). Unter Windows NT 5.0 sind alle Domain Controllers (DC) gleichberechtigt.

Ein PDC unter Windows NT 4.0 besitzt als einzige Instanz die zentrale Domänedatenbank SAM (Security Account Manager) und muß immer in Betrieb sein, um Änderungen an der Datenbank anzunehmen. Die BDCs enthalten lediglich eine Kopie der Datenbank und dienen der Unterstützung des PDCs für Login-Autentifikationen.

Single Domain Model

Bei diesem Domänenkonzept werden alle Benutzer und Ressourcen in einer Domäne zusammengefaßt. Dieses Modell ist am einfachsten und bietet sich an, wenn die Zahl der Benutzer kleiner als 15.000 ist und das Netzwerk nicht aus organisatorischen Gründen aufgeteilt werden muß.

Vorteile:

• Bestes Domänenkonzept für Netzwerke mit wenigen Benutzern und wenigen Ressourcen (z.B. Ingenieurbüro)
• Zentrale Verwaltung der Benutzerrechte
• Keine Verwaltung von Vertrauenstellungen zwischen verschiedenen Domänen notwendig
• Lokale Gruppen müssen nur einmal definiert werden

Nachteile:

• Da alle Anmeldungen über einen zentralen Server laufen, sind die Antwortzeiten bei zu vielen Benutzern oder Gruppen schlecht
• Benutzer und ihre Rechte lassen sich nicht den jeweiligen Abteilungen zuordnen
• Ressourcen, wie Fileserver oder Drucker, lassen sich nicht den jeweiligen Abteilungen zuordnen
• Die Suche nach Ressourcen verlängert sich, da alle Ressourcen der Domäne abgefragt und angeboten werden

Single Master Domain Model

Dieses Domänenkonzept vereinigt die Vorteile der zentralen Benutzerkonten mit der Möglichkeit, das Netzwerk den organisatorischen Gegebenheiten entsprechend zu unterteilen. Es existiert eine Domäne, die Master Domäne, auf der alle Benutzerkonten und globalen Gruppen verwaltet werden. Alle anderen Domänen im Netzwerk vertrauen dieser Domäne und können somit auf die dort gespeicherten Benutzer- und Gruppeninformationen zurückgreifen. Die Master Domäne wird normalerweise vom Rechenzentrum verwaltet.

Die Master Domäne fungiert als zentrale Anmeldestelle für alle neuen Benutzerkonten, alle anderen Domänen verwalten keine Benutzerinformationen sondern dienen lediglich als Server Domänen.

Dies bedeutet aber auch, daß nur der PDC und die BDC (bzw. SDC) der Master Domäne eine Kopie der Benuterkonten haben.

Vorteile:

• Bestes Domänenkonzept für Netzwerke in Unternehmen mittlerer Größe
• Zentrale Verwaltung der Benutzerrechte
• Die Netzwerkressourcen können den Abteilungen zugeordnet werden
• Lokale Administratoren können die Ressourcen ihrer Domäne (Drucker, Fileserver, ..) selbst verwalten

Nachteile:

• Da alle Anmeldungen über einen zentralen Server laufen, sind die Antwortzeiten bei zu vielen Benutzern oder Gruppen schlecht
• Lokale Gruppen müßen in allen Domänen, in denen sie benötigt werden, eingerichtet werden

Abbildung 3.1: Single Master Domain Model

Multiple Master Domain Model

Dieses Domänenkonzept, das für sehr große Netzwerke entwickelt wurde, entspricht logisch dem Master Domänen Konzept. Es erlaubt aber mehrere Master Domänen, die sich gegenseitig vertrauen. Dadurch können Benutzer von den jeweiligen dezentralen Rechenzentren eingerichtet und verwaltet werden. Da die Server Domänen mindestens einer der Master Domänen vertrauen, gelten die so entstandenen Benutzerrechte im gesamten Unternehmen.

Vorteile:

• Bestes Domänenkonzept für Netzwerke in großen Unternehmen mit dezentralen Rechenzentren

Nachteile:

• Verwaltung der Vertrauensstellungen
• Benutzerkonten in verschiedenen Domänen (Eindeutigkeit und Sicherung)
• Lokale und globale Gruppen müßen mehrfach definiert werden

Abbildung 3.2: Multiple Master Domain Model

Complete Trust Model

Bei diesem Domänen Modell operiert jede Domäne eigenständig. Der Administrator der jeweiligen Domäne richtet alle Benutzerkonten für seine Domäne ein und verwaltet die Resourcen seiner Domäne. Der Zugriff auf die anderen Domänen im Unternehmen wird dadurch ermöglicht, daß sich alle Domänen gegenseitig vertrauen. Dieses Konzept war von Microsoft für Unternehmen ohne Rechenzentren gedacht.

Die Schwierigkeit bei diesem Ansatz ist, daß er auf der Absprache der jeweiligen Administratoren beruht. Wenn nur ein Administrator mit dem in seiner Domäne gültigen Benutzerrechten lax umgeht, so sind diese Benutzerrechte unternehmensweit gültig.

Vorteile:

• Eignet sich für Unternehmen ohne Rechenzentrum
• Jede Domäne verwaltet ihre Benutzerkonten und Ressourcen selbst
• Läßt sich beliebig skalieren

Nachteile:

• Sehr unsicher, da es abhängig ist von der Disziplin und dem Know-How aller Domänen Administratoren
• Es müßen evtl. viele wechselseitige Vertrauensstellungen verwaltet werden (für n Domänen n*(n-1) )
• Für Unternehmen mit Rechenzentrum ungeeignet, da sehr unübersichtlich

Abbildung 3.3: Complete Trust Model

Zum nächsten Kapitel