Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Windows NT kann in einem Netz in verschiedenen Konfigurationen eingesetzt werden. Um die Vor- und Nachteile der einzelnen Einsatzarten abschätzen und nachvollziehen zu können, muß zunächst kurz auf das Sicherheitssystem von Windows NT eingegangen werden. Grundsätzlich behält das Betriebssystem die Kontrolle über alle Ressourcen. Ein Benutzer kann nur dann auf Ressourcen zugreifen, wenn er die dazu notwendigen Rechte und Berechtigungen hat. Der Zugang zum System ist nur über ein gültiges Benutzerkonto möglich, das mittels Paßwort geschützt werden kann. Durch die Sicherheitskontenverwaltung (SAM - Security Account Manager) werden die Informationen über Benutzer- und Gruppenkonten in der Security Account Database, die häufig auch als SAM-Datenbank bezeichnet wird, verwaltet. Das Betriebssystem generiert bei der Anmeldung eines Benutzers für diesen unter Berücksichtigung der Eintragungen in der SAM-Datenbank ein Access-Token. Der Sicherheitskontrollmonitor (Security Reference Monitor) überprüft anhand dieses Tokens, ob der Benutzer die Berechtigung hat, auf bestimmte Objekte zuzugreifen, und ob er das Recht hat, die angeforderten Aktionen durchzuführen (beispielsweise eine Datei löschen oder das System herunterfahren).
Windows NT unterstützt die Arbeit im Netz mit folgenden Konzepten:
1. Arbeitsgruppen
Rechner können zu Arbeitsgruppen zusammengefaßt werden und im Rahmen des Peer-to-Peer Konzeptes über das Netz Ressourcen gemeinsam nutzen (siehe dazu auch Kapitel 6.3 Peer-to-Peer-Netz).
Jeder Rechner in einem solchen Netz kann gleichzeitig sowohl als Server als auch als Workstation benutzt werden. Realisiert wird dies durch Freigabe von Ressourcen auf den einzelnen Rechnern. Jede Windows NT Workstation, die in einer Arbeitsgruppe eingesetzt wird, verwaltet ihre eigene SAM-Datenbank und damit auch eigene Benutzer- und Gruppenkonten. Die Eintragungen in dieser Datenbank können von keinem anderen Rechner der Arbeitsgruppe benutzt werden. Dies hat zur Folge, daß eine zentrale Administration nicht möglich ist. Für den Zugriff auf freigegebene Ressourcen wird in der Regel ein Paßwort benötigt.
Besonders nachteilig wirkt sich bei diesem Konzept aus, daß keine ausreichende Kontrolle über die Rechte der einzelnen Benutzer möglich ist. Die Einrichtung von Arbeitsgruppen sollte daher möglichst vermieden werden.
2. Netz mit dediziertem Server
Hierbei handelt es sich um ein Netz mit Client-Server-Struktur. Es wird dabei festgelegt, welche Rechner als Server und welche Rechner als Clients fungieren. Server können Verzeichnisse und/oder Drucker freigeben bzw. Anwendungen wie z. B. Mail, Schedule+, Fax global zur Verfügung stellen. Clients können hingegen nur die von Servern zur Verfügung gestellten Ressourcen nutzen.
Ein NT-Rechner kann mit dem Betriebssystem "Windows NT Server" oder "Windows NT Workstation" betrieben werden. In kleinen Netzen kann auch eine Lizenzversion "Windows NT Workstation" als Server betrieben werden. Zu beachten ist aber, daß sich aufgrund der lizenzrechtlichen Einschränkung nicht mehr als 10 Benutzer gleichzeitig über das Netz auf diesem Rechner anmelden dürfen. Reicht dies nicht aus, muß Windows NT Server installiert werden. Auf Servern unter dem Betriebssystem Windows NT sollten generell keine normalen Benutzer arbeiten. Die Clients müssen nicht zwingend unter Windows NT betrieben werden.
Der Vorteil dieses Konzeptes liegt in der Zentralisierung der Datenhaltung und -verwaltung. Sofern in einem solchen Netz nur ein Server zum Einsatz kommt, ist für die Arbeit im Netz auch nur auf diesem Rechner je Benutzer ein Konto anzulegen. Für die Benutzung von Ressourcen oder Diensten des Servers über das Netz ist lediglich die Anmeldung des Benutzers an diesem einen Rechner notwendig. Für kleinere Netze kann der Einsatz dieses Konzeptes durchaus wirtschaftlich sinnvoll sein.
Sofern jedoch die Kapazität eines Servers nicht mehr ausreicht, um den jeweiligen Anforderungen hinsichtlich Geschwindigkeit und Plattenspeicherplatz zu genügen, nimmt der Verwaltungsaufwand erheblich zu, wenn ein oder mehrere Server dem Netz hinzugefügt werden. Sollen alle Benutzer das Recht erhalten, auf alle Server über das Netz zuzugreifen, müssen die Benutzerkonten auf jedem einzelnen Server eingerichtet und gepflegt werden.
3. Domänen-Konzept
Eine Domäne unter Windows NT ist eine Gruppe von Rechnern, die über eine gemeinsame Sicherheits- und Benutzerkontendatenbank (SAM-Datenbank) verfügt. Für den Benutzer bedeutet dies, daß er sich nur einmal an der Domäne anmelden muß. Danach stehen ihm sämtliche für ihn freigegebene Ressourcen zur Verfügung, unabhängig davon, auf welchem Server sich diese befinden.
Ein Server der Domäne unter dem Betriebssystem Windows NT Server dient als primärer Domänencontroller (PDC). Daneben kann die Domäne einen oder mehrere Backup Domänencontroller (BDC), Mitgliedsserver, d. h. Server ohne Domänencontrollerfunktionalität (siehe auch weiter unten) und Windows NT Workstations enthalten. Außerdem können zu einer Domäne Arbeitsstationen mit anderen Betriebssystemen wie z. B. Windows für Workgroups, Windows 95 oder MS-DOS gehören.
Die Entscheidung, ob ein Server als primärer Domänenkontroller, als Backup Domänenkontroller oder als Mitgliedsserver fungieren soll, muß vor der Installation getroffen werden, da später eine Änderung ohne Neuinstallation nicht mehr möglich ist. Zum besseren Verständnis soll zunächst näher auf die verschiedenen Serverarten einer Domäne eingegangen werden:
a) Primärer Domänencontroller (PDC)
Ein Server einer Windows NT Domäne muß zwingend als primärer Domänenkontroller eingerichtet werden. Der Einsatz des Betriebssystems Windows NT Server ist zwingend, da die Workstation-Version diese Funktionalität nicht enthält. Auf dem PDC wird die zentrale Benutzerkontendatenbank (SAM-Datenbank) für die Domäne verwaltet. Alle Änderungen können nur an dieser Datenbank mit Hilfe des Benutzermanagers für Domänen durchgeführt werden. Außerdem werden die Benutzeranmeldungen vom primären Domänenkontroller bearbeitet.
b) Backup Domänencontroller (BDC)
Andere Server der Domäne können als Backup Domänencontroller eingerichtet werden. Auch hier ist der Einsatz des Betriebssystems Windows NT Server zwingend. Auf jeden Backup Domänencontroller wird automatisch eine Read-only-Kopie der Benutzerdatenbank der Domäne repliziert. Die Synchronisation erfolgt regelmäßig. Auch Backup Domänenkontroller können Benutzeranmeldungen für die Domäne bearbeiten. Dadurch ist es gerade bei einer großen Anzahl von Benutzern möglich, die durch die Benutzeranmeldungen entstehende Last auf mehrere Server zu verteilen.
Jede Domäne sollte möglichst über mindestens einen Backup Domänencontroller verfügen, um die Verwaltung der Domäne bei Ausfall des primären Domänencontrollers sicherzustellen. In einem solchen Fall ist es möglich, den Backup Domänencontroller zum primären Domänencontroller hochzustufen. Sofern kein Backup Domänencontroller eingerichtet wurde, kann einer Domäne durch Neuinstallation kein neuer primärer Domänenkontroller hinzugefügt werden.
Wenn die Server der Domäne auf verschiedene über WAN-Verbindungen zusammengeschaltete Liegenschaften verteilt sind, sollte in jeder Liegenschaft wenigstens ein Backup Domänencontroller installiert sein.
c) Mitgliedsserver (Memberserver)
Hierbei handelt es sich um Server, die weder als primärer noch als Backup Domänencontroller eingerichtet wurden. Diese Server verfügen über keine Kopien der Benutzerkontendatenbank der Domäne. Die Benutzeranmeldung für die Domäne kann von einem solchen Server daher nicht bearbeitet werden.
Folgende Gründe sprechen dafür, einen Server als Mitgliedsserver in die Domäne einzufügen:
- Ein Server hat zeitkritische Aufgaben durchzuführen oder es müssen auf diesem Rechner umfangreiche Applikationen ausgeführt werden, so daß der Aufwand von Benutzeranmeldungen nicht akzeptabel ist.
- Ein Server soll in naher Zukunft in eine andere Domäne eingefügt werden. Dies ist dann einfacher möglich, als wenn er als Backup Domänencontroller konfiguriert wäre.
Wesentlicher Ansatz des Domänenkonzeptes ist es, daß alle Benutzerkonten für jede Domäne nur einmal definiert werden müssen. Die Verwaltung erfolgt in der zentralen Benutzerdatenbank auf dem primären Domänenkontroller. Für die Benutzer bedeutet dies, daß sie sich bei der Benutzeranmeldung nur gegenüber dieser Datenbank authentisieren müssen. Danach können sie auf alle Objekte und Ressourcen der Domäne zugreifen, sofern sie die entsprechenden Berechtigungen besitzen. Dabei spielt keine Rolle, auf welchem Server sich diese Objekte und Ressourcen befinden. Arbeitet der Benutzer auf einem Rechner unter dem Betriebssystem Windows NT Workstation, genügt die Benutzeranmeldung gegenüber der zentralen Benutzerdatenbank, um auch auf diesen Rechner Zugang zu erhalten.
Organisation von Domänen
Innerhalb eines Netzes können mehrere Domänen eingerichtet werden; jede muß dabei aber über einen eindeutigen Namen verfügen. Jede Domäne verwaltet ihre eigene zentrale SAM-Datenbank. Die jeweiligen Benutzer- und Gruppenkonten sind daher auch nur in der Domäne gültig, in der sie definiert wurden.
Es kann aber innerhalb eines Netzes die Notwendigkeit bestehen, daß Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen müssen. Hierzu gibt es den Mechanismus der Vertrauensbeziehungen zwischen Domänen.
Dabei unterscheidet man zwischen vertrauten Domänen (Trusted Domain) und vertrauenden Domänen (Trusting Domain). Den Benutzerkonten und globalen Gruppen der vertrauten Domäne können in der vertrauenden Domäne Rechte und Berechtigungen zugewiesen werden, wodurch auch der Zugriff auf freigegebene Ressourcen möglich wird.
Es sind folgende Domänen-Modelle möglich:
a) Single-Domänen-Modell
Dies ist das einfachste Domänen-Modell, da in einem Netz hierbei nur eine einzige Domäne existiert. Daher besteht nicht die Notwendigkeit, Vertrauensbeziehungen zu verwalten. Im gesamten Netz existiert hierbei nur eine einzige SAM-Datenbank, über die die Verwaltung erfolgt. Eine Abwandlung dieses Modells liegt vor, wenn in einem Netz mehrere Einzeldomänen eingerichtet wurden, zwischen denen keine Vertrauensbeziehungen definiert wurden. Hierbei verwaltet jede Domäne ihre eigene SAM-Datenbank und ihre eigenen Benutzer- und Gruppenkonten. Das Single-Domänen-Modell eignet sich besonders gut für Netze mit wenigen Benutzern (ca. 200 bis 300) und wenigen Computerkonten. Nachteilig ist bei diesem Modell, daß die Performance bei steigender Benutzer und Gruppenanzahl abnimmt. Außerdem ist eine Gruppierung der Ressourcen nach Organisationseinheiten in dem Sinne, daß ein Server z. B. für eine Abteilung reserviert ist, nicht möglich.
b) Master-Domänen-Modell
Kennzeichen dieses Modells ist, daß ein Netz in mehrere Domänen eingeteilt wird, wobei eine Domäne zentral alle Benutzer- und Gruppenkonten verwaltet. Diese Domäne wird Master-Domäne genannt. In den anderen Domänen werden die Ressourcen zusammengefaßt. Die Ressourcen-Domänen vertrauen dabei der Domäne mit den Benutzerkonten. Folgende Abbildung zeigt das Master-Domänen-Modell:
Dieses Domänen-Modell läßt sich nach Angaben von Microsoft bis zu einer Zahl von ca. 15.000 Benutzern einsetzen. Besonders geeignet ist dieses Modell, wenn eine Organisation aus mehreren Abteilungen besteht und alle Abteilungen ihre eigenen Ressourcen verwalten sollen, wobei die Benutzeradministration zentral erfolgt. Es ist bei diesem Domänen-Modell möglich, für die Administration der Ressourcen-Domänen jeweils einen eigenen Administrator zu benennen. Außerdem ist ein zentrales Sicherheitsmanagement möglich.
c) Multiple-Master-Domänen
Dieses Modell besteht aus mehreren Master-Domänen, die sich gegenseitig vertrauen. Die Benutzer- und Gruppenkonten werden in diesen Master-Domänen geführt. Darüberhinaus existieren Ressourcen-Domänen, die einseitig allen Master-Domänen vertrauen. Die folgende Abbildung zeigt das Modell der Multiple-Master-Domäne:
Die explizite Vertrauensbeziehung zwischen Domäne 1 und Domäne 3 ist nötig, da Vertrauensstellungen nicht transitiv sind; d. h. vertrauen sich Domäne 1 und Domäne 2 sowie Domäne 2 und Domäne 3 gegenseitig, folgt nicht daraus, daß sich auch Domäne 1 und 3 gegenseitig vertrauen.
Multiple Master-Domänen-Konzepte kommen häufig zum Einsatz, wenn die Benutzerzahl größer als 15.000 ist. Außerdem läßt es dieses Konzept zu, ein Netz nach Hauptabteilungen aufzuteilen und die Ressourcen durch die einzelnen Abteilungen verwalten zu lassen. Dazu wird je Hauptabteilung eine Master-Domäne eingerichtet. Die Benutzer einer Hauptabteilung erhalten ihre Benutzerkonten in der Master-Domäne. Die Ressourcen werden durch die Abteilungen in den Ressourcen-Domänen verwaltet. Auch ist es möglich, ein Netz nach Standorten zu organisieren. Hierbei wird für jeden Standort eine Master-Domäne und für jede Abteilung eine Ressourcen-Domäne eingerichtet. Dieses Domänen-Modell ist skalierbar, wobei die Größe einer Organisation keine Grenze setzt. Es besteht die Möglichkeit eines zentralen Sicherheitsmanagements und globale Gruppen und Benutzerkonten brauchen organisationsweit nur einmal eingerichtet zu werden.
Es sei abschließend darauf hingewiesen, daß dieses Modell große Disziplin bei der Administration und sorgfältige Planung benötigt. Besondere Sorgfalt ist auf die Definition der Vertrauensbeziehungen zu legen. Außerdem muß zwingend verhindert werden, daß in den Ressourcen-Domänen Benutzerkonten eingerichtet werden.
d) Complete-Trust-Modell (Vertrauensverbund)
Bei diesem Modell bestehen gegenseitige Vertrauensbeziehungen zwischen allen Domänen eines Netzes. In jeder Domäne werden sowohl Ressourcen als auch Benutzer- und Gruppenkonten verwaltet. Ein Complete-Trust-Modell ist in folgender Abbildung dargestellt:
Bei diesem Modell ist es möglich, den Abteilungen einer Organisation sowohl die Verwaltung der Benutzerkonten als auch die Verwaltung der Ressourcen zu überlassen. Es wird keine zentrale Abteilung zur Verwaltung benötigt. Das Modell ist mit jeder Anzahl von Benutzern skalierbar. Dieses Modell hat aber auch erhebliche Nachteile. So ist die Kontrolle, ob die Sicherheitspolitik eingehalten wird, schwierig. Dies erschwert es, ein zentrales Sicherheitsmanagement aufzubauen. Außerdem ist es schwierig, die Tätigkeit der einzelnen Administratoren zu koordinieren. Wenn ein Netz sehr viele Domänen umfaßt, sind sehr viele Vertrauensbeziehungen zu verwalten, was letztlich unübersichtlich ist.
Es können keine globalen Aussagen dazu gemacht werden, welches der beschriebenen Domänen-Modelle in einer Organisation Anwendung finden sollte. Dies kann nur in Abhängigkeit von der physischen und logischen Netzstruktur sowie der Verteilung von Daten, Anwendungen und Benutzern im Netz spezifisch festgelegt werden. Die Bestimmung der optimalen Domänenstruktur bedarf daher einer detaillierten Analyse, die für umfangreiche Netze aufwendig werden kann und ggf. durch Planungssoftware zu unterstützen ist.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .