Alternative zu Active Directory

Grüß Gott zusammen,

Ich stehe im Moment vor dem Problem die Clients (WinXP) eines Netzwerks abzusichern. Dazu sollen die Benutzer und ihre Rechte auf einem zentralem Server verwalten werden. Ein 2003 Server mit Active Directory wäre mein konkreter Lösungsansatz, aber gibt es nicht auch Alternativen, die diese Funktionen ebenfalls bereitstellen?

Daran anschliessned. Active Directory scheint mir mehrere Dienste zu vereinen. So fungiert er als Domain Controller und als Verzeichnisdienst. Welche Komponente ist denn nun für die Verwaltung der Benutzerrechte zuständig?

Dank euch …

Matthias

Ich stehe im Moment vor dem Problem die Clients (WinXP) eines
Netzwerks abzusichern. Dazu sollen die Benutzer und ihre
Rechte auf einem zentralem Server verwalten werden. Ein 2003
Server mit Active Directory wäre mein konkreter Lösungsansatz,
aber gibt es nicht auch Alternativen, die diese Funktionen
ebenfalls bereitstellen?

Ich wüsste keine.

Daran anschliessned. Active Directory scheint mir mehrere
Dienste zu vereinen. So fungiert er als Domain Controller und
als Verzeichnisdienst. Welche Komponente ist denn nun für die
Verwaltung der Benutzerrechte zuständig?

Alle Komponenten. Du kannst auf einzelne Dienste verzichten, einen WINS-Server brauchst du z. B. nicht, ob du DHCP benötigst, musst du selbst wissen… Ansonsten aber greifen die zwingend erforderlichen Dienste so stark ineinander ein, dass du nicht sagen könntest, die Rechteverwaltung liesse sich auf bestimmte Komponenten fokussieren. Wenn du aber nach dem Ort suchst, an dem du die Rechteverwaltung betreibst: Das ist im wesentlichen die Management Console.

HTH
Schorsch

Grüß Gott zusammen,

Ich stehe im Moment vor dem Problem die Clients (WinXP) eines
Netzwerks abzusichern. Dazu sollen die Benutzer und ihre
Rechte auf einem zentralem Server verwalten werden. Ein 2003
Server mit Active Directory wäre mein konkreter Lösungsansatz,
aber gibt es nicht auch Alternativen, die diese Funktionen
ebenfalls bereitstellen?

Daran anschliessned. Active Directory scheint mir mehrere
Dienste zu vereinen. So fungiert er als Domain Controller und
als Verzeichnisdienst. Welche Komponente ist denn nun für die
Verwaltung der Benutzerrechte zuständig?

Hallo,

das lässt sich so nicht trennen, sonst hätten das wohl viele Admins schon getan - AD ist nicht übermässig beliebt, weil man es in kleineren Firmen eigentlich nicht braucht, und die Implementierung auf Basis von Access flösst auch nicht gerade Vertrauen ein.

Es ist einfach so: vorher (NT) war der Domain Controller der Server, auf dem die Benutzer-Accounts gespeichert sind. Das ist er jetzt immer noch, aber er benutzt für die Accounts Active Directory. Daher braucht man es, auch wenn man sonst nichts damit anfangen kann.

Ich weiss nicht, was du mit „Clients absichern“ meinst - per se werden sie durch eine Domain nicht sicherer, aber das Netzwerk wird natürlich übersichtlicher, weil alles zentral verwaltet wird. Der PDC ist auf jeden Fall der erste Schritt in die richtige Richtung.

Es gibt auch andere Verzeichnisdienste von Novell und von Unix (NIS,LDAP), aber das bedeutet zusätzliche komplexe und teilweise teure Software. Und bei Unix-Software hat die Bedienbarkeit immer noch einen sehr geringen Stellenwert.

Gruss Reinhard

Ich weiss nicht, was du mit „Clients absichern“ meinst - per
se werden sie durch eine Domain nicht sicherer, aber das
Netzwerk wird natürlich übersichtlicher, weil alles zentral
verwaltet wird. Der PDC ist auf jeden Fall der erste Schritt
in die richtige Richtung.

Hallo Reinhard,

Erstmal danke für die schnelle Antwort. Mit absichern meinte ich die Rechte der Benutzer einzuschränken. Das ist bei AD möglich. Auch Samba sollte diese Funktion unterstützen. Aber wie sieht es bei anderen Verzeichnisdiensten wie etwa Novell eDirectory oder dem Fedora Directory Server aus? Benutzer können verwaltet werden, aber auch deren Rechte ???

Danke für die Antwort. Weil eure Aussagen in etwa gleich habe ich weitere Fragen in meiner Antwort zu Reinhards Thread gebündelt.

Gruß

Matthias

Erstmal danke für die schnelle Antwort. Mit absichern meinte
ich die Rechte der Benutzer einzuschränken. Das ist bei AD
möglich. Auch Samba sollte diese Funktion unterstützen. Aber
wie sieht es bei anderen Verzeichnisdiensten wie etwa Novell
eDirectory oder dem Fedora Directory Server aus? Benutzer
können verwaltet werden, aber auch deren Rechte ???

Benutzerrechte kannst du auf verschiedensten Ebenen verwalten. Das reicht von erzwungener Kennwortänderung (mit definierter Mindestkomplexität) alle paar Wochen über Zugriffsberechtigungen auf Dateien oder Dienste bis zu per Sicherheitsrichtlinien vordefinierter Softwarekonfiguration auf den Anwender-PC. Wenn du diese Tasks komplett zentral verwalten willst, wirst du um AD nicht herumkommen. Zumindest würde ich in einer homogenen XP-Umgebung auf die in AD gebotenen Möglichkeiten nicht verzichten wollen.

Gruss
Schorsch

Erstmal danke für die schnelle Antwort. Mit absichern meinte
ich die Rechte der Benutzer einzuschränken. Das ist bei AD
möglich. Auch Samba sollte diese Funktion unterstützen. Aber
wie sieht es bei anderen Verzeichnisdiensten wie etwa Novell
eDirectory oder dem Fedora Directory Server aus? Benutzer
können verwaltet werden, aber auch deren Rechte ???

Hallo,

kommt drauf an, was du für Rechte meinst - am wichtigsten sind wohl immer noch die Zugriffsrechte auf Dateien, und die werden mit dem NTFS-Dateisystem verwaltet. Das ist zunächst unabhängig davon, wo die Benutzer selbst verwaltet werden, du sagt einfach bei einem bestimmten Ordner, wer lesen oder schreiben darf usw. Das ist in einer Domäne natürlich viel einfacher, weil du den User Müller der Domäne nur einmal einfügen musst (in die Rechteliste ACL), während du einen Müller auf Rechner1 und auf Rechner2 usw. nacheinander zufügen müsstest (Tatsächlich solltest du Gruppen zufügen und nicht User, aber das führt hier zu weit).

Auch auf einem Unix-Server werden die Zugriffe im Dateisystem verwaltet, allerdings in der traditionellen Form viel primitiver. Hat aber auch dort nichts damit zu tun, wo die Benutzer verwaltet werden. Entscheidend sind nur die User und Group ID, also 2 Zahlen, egal wer den User authentifiziert hat.

Gruss Reinhard

Hallo Schorsch hallo Reinhard,

Genau um diese Dateizugriffsrechte und Policys geht es mir. AD Directory ist sicher der beste Weg sie zentral zu verwalten. Genau aus den Gründen die du schon genannt hast Schorsch.

Aber mir geht es eigentlich darum ob alternative Produkte wie Novell eDirectory oder der Fedora Directory Server diese zentrale Verwaltung überhaupt können???