Systeme: Active Directory als Appliance betreiben

Betreutes Wohnen

Das Active Directory erfordert vom Administrator eigentlich rund um die Uhr erhöhte Aufmerksamkeit. So spielt etwa die Sicherheit bei Active Directory-Implementationen eine wichtige Rolle – schließlich liegen die Schlüssel zu den Firmengeheimnissen in Form von Passworten auf den Domänencontrollern. Dennoch werden DCs unerklärlicherweise zumeist nicht gesondert betreut. Und auch die Aktualisierung des Verzeichnisdienstes ist komplex, denn oft bestehen zahlreiche Abhängigkeiten zu Systemen, die andere Teams pflegen. In diesem Workshop stellen wir eine alternative Art der Active Directory-Betreuung vor, die Wartung und Betrieb dieses Dienstes vom Rest der Infrastruktur entkoppelt und so Sicherheit und Verfügbarkeit erhöht.
Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

Die Active Directory Domain Services (ADDS) erfahren zunehmend Aufmerksamkeit in vielen Unternehmen, insbesondere wenn das Active Directory (AD) auf Basis von Windows Server 2003 oder 2008 betrieben wird. Einerseits kommt die Hardware solcher Systeme in die Jahre, andererseits hat Microsoft mit Windows Server 2012 und R2 einige attraktive Neuerungen für das Verzeichnis implementiert, die Virtualisierung und Deployment vereinfachen. Gründe genug für eine AD-Frischekur!

Die Angst vor dem AD-Update

Erschwert wird die Aktualisierung der Domänencontroller jedoch typischerweise durch Entscheidungsträger, die das AD nicht selten als immerwährenden Dienst im Hintergrund sehen, der keine offensichtliche Rolle für das Unternehmen spielt. Die Konsequenzen eines Teil- oder Komplettausfalls des AD sind nur wenigen wirklich bewusst.

 

Funktioniert das Active Directory überwiegend störungsfrei, ist selten Anlass für eine Änderung gegeben. Oft sind die Zweifel an der Notwendigkeit eines Updates begleitet von Vorschlägen, das Update des Verzeichnisses mit anderen Diensten zu koppeln – etwa Datei- und Druckdienste auf den Domänencontrollern oder Dateiablagen für Softwareverteilung. Das soll Kosten durch Kreuzdeckung mit anderen Projekten senken. Außer Acht gelassen wird hierbei der Sicherheitsaspekt beim Betrieb der DC.

 

In Sachen Sicherheit der Domänencontroller werden häufig aus Bequemlichkeit Kompromisse eingegangen: DCs werden wie andere Workloads überwacht und verwaltet, eventuell von einem ausgelagerten Team. Software und Werkzeuge für Monitoring und Verwaltung erfordern häufig Agenten mit weitreichenden Berechtigungen im Betriebssystem und lassen sich nicht mit “Least Privilege” betreiben. Mit so einem Account ist die Übernahme des AD und dessen Daten ein Klacks – keine erstrebenswerte Situation.Wir schlagen daher einen Architekturansatz

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019