Domänen-Modelle bei WindowsNT 

 

Als Netzwerkadministrator haben Sie in einem größeren PC-Netzwerk neben der Verwaltung natürlich auch die Aufgabe, es gut zu organisieren und dabei den Verwaltungsaufwand gering zu halten und nebenbei noch den Aspekt Netzwerksicherheit nicht aus den Augen zu verlieren. Und nun stellen Sie sich mal ein Unternehmen vor, daß sowohl rund 300 Mitarbeiter beschäftigt und in 8 verschiedene Abteilungen beherbergt.
Die Lösung des Problems ist das Domänenmodell.

Eine Domäne kann man ganz allgemein definieren als eine Aufgliederung bzw. einen Zusammenschluß von mehreren Rechern zu einer Gruppe bzw. zu einem Teilnetz. WindowsNT unterstützt in einer Domäne maximal bis zu 26.000 Benutzer und in einem aufgegliederten Netzwerk bis zu 250 Gruppen ( Domänen).

 

WinNT-Domänen organisieren ...

Wieviele Domänen in einem größeren Netzwerk, beispielsweise in einer mittelgroßen Firma mit mehreren voneinander unabhängigen Abteilungen, nötig und auch sinnvoll sind, richtet sich nach den folgenden drei Punkten :

Anzahl der Mitarbeiter / Benutzer
Betriebliche Hierarchie / Einteilung in Abteilungen
Sicherheitsgesichtspunkte zwischen einzelnen Abteilungen

Eine Organisation von NT-Domänen geht allein über diese drei Ansichtspunkte, die natürlich erstmal geklärt werden müssen.

Die einzelne Domäne

Dies ist die einfachste Form der Netzwerkorganisation, die einzelne Domäne.

Benutzerdatenbank und Ressourcennutzung werden alleine von einem Server gesteuert und kontrolliert, dem Primären Domänen-Controller (PDC). Maximal kann die Benutzerdatenbank, wo unter anderem auch die Kennwörter zur jeweiligen Authorisierung abgelegt werden, bis zu 5.000 Benutzer verwalten und in die eine Domäne als User aufnehmen.

Zur Absicherung, und damit sind wir auch schon beim Thema Sicherheit, dient in der einzelnen Domäne neben dem PDC noch ein oder mehrere Backup-Domänen-Controller (BDC). Backup ist auch der Sinn dieses unbedingt notwendigen zweiten Servers, der die Sicherheit in der Domäne darstellt. Falls der PDC mal ausfallen sollte, springt sofort der BDC an seine Stelle und übernimmt seine Funktionen im Netzwerk. Deswegen besitzt der BDC auch immer die exakt gleiche Benutzerdatenbank wie der PDC, per Einstellung kann man vornehmen, wie oft die beiden Server synchronisiert werden sollen.

Die Masterdomäne

Eben haben wir die einzelne Domäne besprochen, mit ihr läßt sich aber realisieren, mehrere unabhängige Abteilungen domänentechnisch in einer Firma zum Beispiel unterzubringen. Hier kommt die Masterdomäne ins Spiel ...

Erst einmal ändert sich rein gar nichts am Domänenkonzept, auch bei der Masterdomäne besteht die Domäne aus einem PDC und einem oder mehreren BDC's, wie schon oben erklärt.

Das Konzept der Masterdomäne sieht als Weiterführung der einzelne Domäne allerdings vor, daß jede Abteilung zwar ihre einzelne Domäne bekommt, die Benutzerdatenbank bleibt aber zentral ("global") verwaltet in der Masterdomäne. Die Rechner der einzelnen Abteilungen werden also folglich in einzelnen Domänen untergebracht (z.B. in einer Firma der Import und der Export), die aber alle von der Masterdomäne kontrolliert werden, der sie alle "vertrauen".

Alle Benutzer melden sich an der Masterdomäne an, welche somit aber nur allein für die Benutzerverwaltung und die Sicherheitseinstellungen zwischen den einzelnen Benutzergruppen verantwortlich. Die Ressourcen fallen nicht in ihr Aufgabengebiet, diese werden von den einzelnen Domänen selbst verwaltet.
Durch die einseitige Vertrauensstellung der einzelnen Domänen zur Masterdomäne kann diese aber zwischen den einzelnen Ressourcen der einzelnen Domänen vermitteln.

Der große Vorteil dieses Domänenmodells ist die leichte Administration, weil der Netzwerkadministrator die Benutzer zentral über die Masterdomäne verwalten bzw. administrieren oder auch die Benutzerrechte vergeben kann.

Ein wichtiger Punkt noch zum Schluß : Die BDC's der einzelnen Domänen bzw. Abteilungen haben alle die gleiche Funktion, und zwar die Sicherung des PDC der Masterdomäne, falls dieser einmal ausfallen sollte. Das Netzwerk ist somit mehrfach gesichert gegen eventuelle Störfälle.

Einzelne Domänen - Masterdomäne - Mehrfache Masterdomänen

Nun haben wir schon zwei wichtige Modelle besprochen, ein wichtiges folgt noch, und zwar die Erweiterung des Modells der einzelnen Masterdomäne.

Nehmen wir einmal an, die Firma hat in letzter Zeit groß investiert und expandiert, neue Filialen in Deutschland aufgemacht...

Auf einmal sehen wir uns vor der Herausforderung, nicht nur die Zentrale in Frankfurt zu administrieren, sondern nun auch Geschäftsstellen in Berlin, München und Düsseldorf mitanzubinden an das Netzwerk, damit die Mitarbeiter locker miteinander kommunizieren können.

In dieser Planungsphase kommt das Modell der mehrfachen Masterdomänen ins Spiel.
Hierbei werden, wie sollte es auch anders sein, mehrere Masterdomänen als Verbund zusammengeschlossen.

Wichtig hierbei ist Folgendes : Alle einzelnen Domänen der Masterdomänen haben zu den jeweiligen anderen Masterdomänen eine einseitige Vertrauensstellung. Die Masterdomänen untereinander haben allerdings eine zweiseitige Vertrauensstellung !

Zu diesem Grundsatz gehört auch noch, daß die Benutzer der einzelnen Domänen, wie beim Modell der einzelnen Masterdomäne, nur von der jeweilig zuständigen Masterdomäne gepflegt werden. Des weiteren kann sich jeder Benutzer bei jeder einzelnen Masterdomäne anmelden, weil sich ja, wie eben schon gesagt, die einzelnen Masterdomänen gegenseitig, in beide Richtungen, "vertrauen".

Die Vorteile für größere Unternehmen liegen mit der Organisation in mehrere Masterdomänen somit auf der Hand :

Verwaltung von mehreren zehntausend Benutzern durch mehrere PDC's in mehreren Masterdomänen
Möglichkeit zum Einloggen aus allen Masterdomänen
Zentrale Benutzerverwaltung
auch die kompliziertesten Unternehmenseinteilungen mit Filialen rund um den Globus sind möglich
Schutz durch mehrere Backup-Domänen-Controller

 

zurück zu den Grundlagen