O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

228 Kapitel 5: Konfigurieren von AD LDS und RODCs
Prüfungstipp
In den Upgradeprüfungen dürften nicht sonderlich viele Fragen zu AD LDS auftauchen.
Aber wenn das Thema behandelt wird, werden wahrscheinlich Szenarien geschildert, bei
denen Sie zwischen AD LDS und anderen Active Directory-Technologien wie AD DS wäh-
len müssen.
Authentifizierung (Bindung) und Zugriffssteuerung in AD LDS
Die Zugriffssteuerung besteht in AD LDS aus zwei Teilen. Zuerst authentifiziert AD LDS
die Identität eines Benutzers, der Zugriff auf das Verzeichnis anfordert. Nur erfolgreich
authentifizierte Benutzer dürfen auf das ADAM-Verzeichnis zugreifen. Danach wertet
AD LDS die Sicherheitsbeschreibungen der Verzeichnisobjekte aus, um festzustellen, auf
welche Objekte ein authentifizierter Benutzer Zugriff hat. Diese Sicherheitsbeschreibun-
gen werden auch als Zugriffssteuerungslisten (Access Control List, ACL) bezeichnet.
Wenn Benutzer oder Sicherheitsprinzipale Verzeichnisdaten von AD LDS anfordern, läuft
dies über verzeichnisfähige Anwendungen. Diese Anwendungen senden ihrerseits Anfor-
derungen an AD LDS, wobei sie LDAP benutzen. Bevor eine verzeichnisfähige Anwen-
dung Daten anfordert, übergibt sie die Anmeldeinformationen des Benutzers an AD LDS,
damit es die Authentifizierung oder Bindung durchführen kann. Diese Anforderung ent-
hält einen Benutzernamen, das Kennwort und (abhängig vom Typ der Bindung) einen
Domänen- oder Computernamen.
AD LDS nimmt Bindungsanforderungen von AD LDS- oder Windows-Sicherheitsprinzi-
palen (lokal und Domäne) entgegen. AD LDS-Sicherheitsprinzipale werden direkt von
AD LDS authentifiziert. Lokale Windows-Sicherheitsprinzipale werden vom lokalen
Computer authentifiziert. Domänensicherheitsprinzipale müssen von einem AD DS-
Domänencontroller authentifiziert werden.
Installieren von AD LDS
AD LDS kann sowohl auf einer vollständigen Windows Server 2008-Installation als auch
auf Server Core installiert werden. Außerdem ist AD LDS ein geeigneter Kandidat für die
Virtualisierung mithilfe von Windows Server 2008-Hyper-V. Sie können AD LDS problem-
los in einer virtuellen Instanz des Betriebssystems Windows Server 2008 ausführen. Das ist
auch sinnvoll, sofern die Anwendung, die mit der AD LDS-Instanz verknüpft ist, nicht ex-
plizit auf einem physischen Computer installiert werden muss.
Microsoft empfiehlt, AD LDS nach Möglichkeit nicht auf Domänencontrollern zu installie-
ren. Es ist zwar möglich, AD LDS parallel zu den Rollen eines Domänencontrollers und
eines RODCs zu betreiben, aber Sie sollten die Domänencontrollerrollen als spezielle Rollen
in Ihrem Netzwerk betrachten, die möglichst nur mit dem DNS-Dienst kombiniert werden.
Sie können Hostserver mit Hyper-V einsetzen, um virtualisierte Instanzen von Domänen-
controllern und Mitgliedservern zu erstellen, auf denen andere Dienste laufen. Virtualisieren
Sie Domänencontroller so weit wie möglich. Auf diese Weise stellen Sie sicher, dass keine
anderen Rollen auf einem virtuellen Domänencontroller gehostet werden, weil alle anderen
Rollen ebenfalls in ihren eigenen Windows Server 2008-Instanzen virtualisiert werden kön-
nen.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required