Was ist Unterschied zwischen Verzeichnisdienst und Mehrbenutzerverwaltung

Ich bin kein Administrator und habe auch nicht wirklich etwas in der Branche zu tun. Dennoch stolpere ich immer wieder über Begriffe wie LDAP oder Active Directory.

Wenn ich mir die Begriffe unter z.B. Wiki mal nachschlage, lerne ich daraus nicht viel, da es hier viele Verweise auf Fremdbegriffe gibt, die mir alle nicht gängig sind. Ohne diese versteht man aber den Zusammenhang nicht wirklich.

Was ist denn - einfach gesagt - der Unterschied zwischen einem Verzeichnisdienst und einer Mehrbenutzerverwaltung von einem konventionellen Consumer-OS wie Windows XP oder Windows 7?

Auch bei letzterem können doch von dem Adiminstrator des Rechners Dateien fregegeben und gesperrt werden.

Ist der Unterschied zu einem Verzechnisdienst nur darin zu sehen, dass diese Mechanismen über ein Netzwerk stattfinden, statt auf einem pyhsikalischen Rechner?

Regelt ein Verzeichnisdienst nur die Rechte der Zugriffe von Rechner zu Rechner (im Netzwerk), oder bestimmt er auch die Zugriffsrechte, die ein Benutzer auf dem Rechner hat, auf dem er sich gerade anmeldet?

Begriffe wie LDAP oder Active Directory.

LDAP ist ein Protokoll, mit dem man auf einen Verzeichnisdienst, wie das Active Directory einer ist, zugreift.
Active Directory ist der Verzeichnisdienst von Microsoft. Es wird seit Windows 2000 in Serverbetriebssystemen eingesetzt.

Ein Verzeichnisdienst ist ein Dienst, der auf eine (LDAP)-Datenbank (dem Verzeichnis) zugreift. In ihr werden im Wesentlichen Benutzer, Gruppen und Computer gespeichert. In Wirklichkeit enthält ein Active Directory aber viel mehr.

Was ist denn - einfach gesagt - der Unterschied zwischen einem
Verzeichnisdienst und einer Mehrbenutzerverwaltung von einem
konventionellen Consumer-OS wie Windows XP oder Windows 7?

In diesen Betriebssystemen werden Benutzer lokal verwaltet. Jeder Rechner hat seine eigene Benutzerdatenbank, die mit der anderer Rechner nicht im Zusammenhang steht. Auf ein Active Directory lässt sich jedoch rechnerübergreifend zugreifen, da dort ein Dienst über das LDAP-Protokoll den netzweiten Zugriff auf die im AD gespeicherten Objekte (Benutzer, Gruppen, Computer, …) ermöglicht. Somit ermöglicht ein AD eine zentrale Benutzerverwaltung. Benutzer melden sich über das Netzwerk am AD an. Über das Kerberos-Protokoll erhalten sie ein Zugriffsticket (ähnlich wie ein Fahrschein der öffentlichen Verkehrsmittel). Wenn sie nun auf irgendwelche Ressourcen im Netzwerk zugreifen wollen (Dateien, Drucker, …) prüft der Rechner, auf dem die Ressource gespeichert ist, anhand des vorgezeigten Tickets, wer der Benutzer ist und ob er über die gewünschten Berechtigungen an der Ressource verfügt. Im Ergebnis dessen wird der Zugriff gewährt oder verweigert.

Das wäre mit lokal verwalteten Benutzern nicht möglich. Es gäbe keine zentrale Benutzerverwaltung. Server mit Ressourcen könnten Benutzer aus dem Netz nicht „kennen“. Also können sie auch nicht über Zugriffe entscheiden.

Im Home-Netzen umgeht man das Problem, indem man auf allen Rechnern Benutzer mit gleichen Kennwörtern einrichtet. Das ist aber im Firmenumfeld mit Hunderten von Benutzern nicht mehr verwaltbar.

Auch bei letzterem können doch von dem Adiminstrator des
Rechners Dateien fregegeben und gesperrt werden.

Richtig. Das ist immer so, egal ob es eine zentrale oder lokale Benutzerverwaltung gibt. Nur wie erkennen die fremdem Rechner, wer der Benutzer, der Zugriff wünscht, eigentlich ist (Authentifizierung)? Gibt es einen zentralen Dienst, können sie den befragen. Gibt es den nicht, hat man ein (fast) unlösbares Problem.

Ist der Unterschied zu einem Verzechnisdienst nur darin zu
sehen, dass diese Mechanismen über ein Netzwerk stattfinden,
statt auf einem pyhsikalischen Rechner?

Die Authentifizierung findet über das Netzwerk statt.

Regelt ein Verzeichnisdienst nur die Rechte der Zugriffe von
Rechner zu Rechner (im Netzwerk), oder bestimmt er auch die
Zugriffsrechte, die ein Benutzer auf dem Rechner hat, auf dem
er sich gerade anmeldet?

Nein, Zugriffsrechte bestimmt immer der Administrator des Rechners, auf dem sich die Ressourcen befinden. Die Frage ist jedoch, *wem* er diese Berechtigungen zuordnet, einem lokalen Konto oder einem aus einem Verzeichnis.

Ein sehr guter und vor allem sehr verständlicher Beitrag, vielen Dank!

Im Home-Netzen umgeht man das Problem, indem man auf allen Rechnern Benutzer mit gleichen Kennwörtern einrichtet. Das ist aber im Firmenumfeld mit Hunderten von Benutzern nicht mehr verwaltbar.

Dieses Phänoment, das du ansprichst, habe ich nie komplett verstehen können, obwohl ich es so in der Praxis einsetze. Allerdings setze ich es hier nur für die Administrative Freigabe ein, um von meinem Notebook auf meinen PC zugreifen zu können und umgekehrt. Hier habe ich einfach 2 exakt gleiche Benutzer und gleiche Passwörter angelegt.

AFAIK müssen doch auch die Benutzerbezeichnungen und nicht nur die Passwörter identisch sein, richtig?

Allerdings geht es doch abseits der Adimistrativen Freigabe auch ohne dieses „Kniff“. Wenn ich versuche, auf Dateien eines weiteren Rechners zuzugreifen, der eben NICHT aktuell mit einem Benutzeraccount angemeldet ist, der meinem (zugreifenden) Account aus dem Gastsystem identisch ist, erhalte ich doch ein Login-Dialog.

Gebe ich hier nun die Benutzerdaten (Name und Pass) des „Servers“ (von dem ich Daten beziehen möchte) ein, wird mir auch Zugang gewährt.

Im Home-Netzen umgeht man das Problem, indem man auf allen Rechnern Benutzer mit gleichen Kennwörtern einrichtet.

Dieses Phänomen, das du ansprichst, habe ich nie komplett
verstehen können, obwohl ich es so in der Praxis einsetze.
Allerdings setze ich es hier nur für die Administrative
Freigabe ein, um von meinem Notebook auf meinen PC zugreifen
zu können und umgekehrt. Hier habe ich einfach 2 exakt gleiche
Benutzer und gleiche Passwörter angelegt.

AFAIK müssen doch auch die Benutzerbezeichnungen und nicht nur
die Passwörter identisch sein, richtig?

Ja, Benutzername und Kennwörter müssen gleich sein. Das „Phänomen“, wie du es nennst, stammt noch aus Windows NT-Zeiten und wurde seither in alle nachfolgenden Windows-Versionen übernommen.

Allerdings geht es doch abseits der Admistrativen Freigabe
auch ohne dieses „Kniff“. Wenn ich versuche, auf Dateien eines
weiteren Rechners zuzugreifen, der eben NICHT aktuell mit
einem Benutzeraccount angemeldet ist, der meinem
(zugreifenden) Account aus dem Gastsystem identisch ist,
erhalte ich doch ein Login-Dialog.

Den solltest du auch beim Zugriff auf eine administrative Freigabe erhalten.

Hier ein Screenshot für den Zugriff eines nicht privilegierten Benutzers auf eine administrative Freigabe:
http://img195.imageshack.us/img195/6338/adminshare.png
Aus der Ausgabe von whoami -groups ist die Gruppenmitgliedschaft des Benutzers ersichtlich. Die Gruppe der Administratoren ist nicht dabei!
Das Bild zeigt den Zugriff von Windows 7 auf einen Windows 2000 Server.

Umgekehrt funktioniert es so nicht direkt, da Windows 2000 nur nach dem Kennwort fragt. Also muss dort das Kommando net use \hp\c$ /user:Administrator lauten. Der Explorer fragt dagegen Benutzername (Verbinden als:smile: und Kennwort ab.

Da Familienmitglieder oft keine/wenig EDV-Kenntnisse haben und insbesondere das Benutzerkonzept nicht verstehen, ist es am einfachsten, mit der uralten Regel „gleicher Name, gleiches Kennwort“ zu arbeiten. Damit es nicht eines Tages plötzlich nicht mehr funktioniert, sollten die Kennwörter nie ablaufen. Das vermindert zwar die Sicherheit, dürfte aber in privaten Netzen noch tragbar sein.

Hallo copyabd,

ein Verzeichnisdienst ist eine Datenbank aller Objekte (Benutzer, Benutzergruppen, PC’s und Server), die eine bestimmte Verwaltungseinheit eines Netzwerks umfasst. Diese Verwaltungseinheit wird (in der Microsoft-Welt) auch Domäne gennannt. Über den Verzeichnisdienst werden zentrale Einstellungen vorgenommen, die dann auf alle gleichartigen Objekte angewendet werden. Beispiel Nutzer: Im Verzeichnisdienst werden zentral Benutzername und das Passwort gespeichert. Das hat zur Folge, dass sich der Benutzer auf allen PC’s der Domäne mit seinem Benutzernamen und Passwort anmelden kann (sofern nicht anderweitig beschränkt). Andererseits könnte auch das Konto gesperrt werden, so dass sich der Nutzer auf keinem PC mehr anmelden kann. Im Verzeichnisdienst können also zentral Einstellungen vorgenommen werden, die für eine Vielzahl von Nutzern oder Geräten gelten, ohne dass mann jedes einzelne Objekt konfigurieren müsste. Du kannst Dir ja sicher vorstellen, was das in einem großen Netzwerk mit hunderten oder tausenden von Computern und Nutzern für Arbeitsaufwand wäre und wie unübersichtlich spezielle Konfigurationen wäre, wenn man jedes Objekt einzeln konfigurieren müsste. Z.B. müsstest Du ohne Verzeichnisdienst jedes Nutzerkonto auf jedem Computer einzeln (Stichwort Mehrbenutzerverwaltung, die aber nur für den einzelnen Computer Geltung hat) anlegen und konfigurieren, damit sich ein Nutzer dort anmelden kann. Ein anderes Beispiel wären Einstellungen eines Internetbrowsers. Anstatt bei jedem PC einzeln die Browsereinstellungen zu konfigurieren, kann das zentral über den Verteichnisdienst erfolgen. Alle betreffenden PC’s übernehmen automatisch die Einstellungen. Dateien Freigeben oder Sperren erfolgt übrigens nicht über den Verzeichnisdienst. Das ist im Grunde ja eine Einstellung eines einzelnen Computers. Allerdings könnten zum Datei-Rechte erteilen wiederum Informationen aus dem Verzeichnisdienst verwendet werden, z.B. bestimmten Nutzern oder Nutzergruppen aus dem Verzeichnisdienst unterschiedliche Rechte an den Dateien des Computers vergeben.

Ich hoffe, diese sehr kurze Darststellung ist soweit verständlich, dass Dir der Unterschied zwischen der Mehrbenutzerverwaltung (Betrifft nur Einstellungen des betreffenden Computers) und einem Verzeichnisdienst (betrifft eine Vielzahl von Objekten eines Netzwerks, die zum Verwaltungsbereich des Verzeichnisdiensts gehören) nun klar geworden ist. Dieser Verzeichnisdienst heißt in der Microsoft-Welt übrigens Active Directory (AD). LDAP ist, wenn Du so willst, eine „Sprache“, mit der man die Objekte des Verzeichnisdiensts (Also die Benutzer, Nutzergruppen und Computer) auf der Kommandozeile oder per Skriptdatei verwalten und konfigurieren kann (Natürlich verwenden auch viele Programme diese Sprache, um mit ihnen Informationen im Verzeichnisdienst zurückzugreifen, hinzuzufügen oder zu bearbeiten). Daneben gibt es (zumindest bei Microsoft) aber auch noch weitere Sprachen, die diesen Zweck erfüllen.

Besten Gruß
Bingof

Hallo Bingof,

auch hier ein sehr guter Beitrag, der wirklich verständlich ist. Da können sich manche kommerzielle Autoren eine Scheibe von abschneiden.

Dateien Freigeben oder Sperren erfolgt übrigens nicht über den Verzeichnisdienst. Das ist im Grunde ja eine Einstellung eines einzelnen Computers. Allerdings könnten zum Datei-Rechte erteilen wiederum Informationen aus dem Verzeichnisdienst verwendet werden, z.B. bestimmten Nutzern oder Nutzergruppen aus dem Verzeichnisdienst unterschiedliche Rechte an den Dateien des Computers vergeben.

Nehmen wir an, ich logge mich an einem PC ein, an dem ich mich zuvor noch nie angemeldet habe.
Dann wirft das einige Fragen auf:

Kann nicht theoretischisch jeder (lokale, Mehrbenutzerverwaltung) User mit Admin-Rechten einer eigenen Domäne zugehörig sein?

Wer legt nun fest, an welcher Domäne ich mich als „neuer“ User anmelde, wenn der Login-Dialog erscheint?

Weiterführende Frage: Wenn an dem Client-PC nichts konfiguriert ist bzgl. der Dateienfreigabe…kann ich dann per Default erst einmal alle lokalen Ressourcen sehen?