Bewährte Methoden zum Delegieren der Active Directory-Verwaltung

Einführung

Veröffentlicht: 16. Sep 2004

Die Delegierung von Verwaltung, eine der wesentlichen Fähigkeiten von Active Directory, stellt eine Methode zum erfolgreichen Verwalten einer Active Directory-Umgebung bereit. Dieses Dokument erläutert ausführlich die mit der Delegierung administrativer Zuständigkeitsbereiche verbundenen Aspekte und hilft Ihnen bei der Planung, Implementierung und Pflege eines administrativen Delegierungsmodells, das die sichere, effiziente Verwaltung von Active Directory ermöglicht.

Auf dieser Seite

	Umfang
	Zielgruppe

Umfang

Dieses Dokument stellt alle Informationen bereit, die für die Erstellung, Implementierung und Pflege eines sicherheitsbewussten, effizienten Delegierungsmodell für die Verwaltung von Active Directory-Umgebungen erforderlich sind. Die Informationen enthalten eine Übersicht über Delegierung, ausführliche Erläuterungen der Gründe für Delegierung, technische Beschreibungen zur Funktionsweise der Delegierung in Active Directory, Verfahren zur Erstellung von Delegierungsmodellen für die Dienst- und Datenverwaltung, die erforderlichen Schritte für die Implementierung und Pflege der Modelle sowie eine detaillierte Fallstudie. Die Anhänge zu diesem Dokument stellen eine ausführliche Referenz bereit, darunter eine umfassende Liste der Verwaltungsaufgaben in Active Directory und der zugeordneten Berechtigungen, die zum Delegieren jeder Verwaltungsaufgabe in Active Directory erforderlich sind.

In diesem Dokument sind keine Anweisungen oder Empfehlungen für die Active Directory-Bereitstellung enthalten. Informationen zur Planung und Bereitstellung einer Active Directory-Umgebung finden Sie unter Designing and Deploying Directory and Security Services of the Microsoft(r) Windows(r) Server 2003 Deployment Kit im Web unter der Adresse http://go.microsoft.com/fwlink/?LinkID=4719 (nur auf Englisch verfügbar).

Zum Seitenanfang

Zielgruppe

Dieses Dokument wendet sich an IT-Profis, die für die Verwaltung einer Active Directory-Umgebung verantwortlich sind. In den meisten IT-Infrastrukturen, die aus mehreren integrierten Komponenten und Diensten bestehen, wird die Verantwortung zum Bereitstellen einer bestimmten Komponente oder eines spezifischen Dienstes normalerweise dem Besitzer einer Komponente bzw. eines Dienstes anvertraut, der für die Gesamtbereitstellung der Komponente oder des Dienstes zuständig ist.

Der Besitz von Active Directory-Umgebungen sollte zwei spezifischen Besitzern oder Besitzergruppen anvertraut werden, die in der Regel strategische Führungsrollen haben - Dienstbesitzer und Datenbesitzer. Dienst- und Datenbesitzer verfügen über eine allgemeine, vorrangige Verantwortung für Active Directory. Diese normalerweise hochrangigen Manager sind jeweils für die Sicherstellung von Zuverlässigkeit und Sicherheit bei der Bereitstellung des Verzeichnisdienstes sowie für die Verwaltung der Sicherheit von Active Directory-Inhalten verantwortlich. Dazu müssen sie die Verantwortung für die Verwaltung von Diensten und Inhalten an ihre Administratoren delegieren und verteilen. Sie erstellen ein administratives Delegierungsmodell, das die Verteilung administrativer Zuständigkeitsbereiche an die Mitarbeiter der Verwaltung dokumentiert.

Die administrativen Zuständigkeitsbereiche zum Delegieren der Active Directory-Verwaltung werden zwischen folgenden Personen aufgeteilt:

•

Dienstbesitzer, die verantwortlich sind für:

•	Planung, Bereitstellung und langfristige Wartung der Active Directory-Infrastruktur
•	Sicherstellen, dass das Verzeichnis auf der gewünschten Sicherheitsstufe weiterhin zuverlässig funktioniert
•	Sicherstellen, dass die in Vereinbarungen auf Dienstebene festgelegten Ziele eingehalten werden

•

Datenbesitzer, die für die Pflege der Informationen verantwortlich sind, welche im Active Directory-Verzeichnisdienst gespeichert oder durch diesen geschützt werden, darunter:

•	Verwaltung von Benutzer- und Computerkonten
•	Verwaltung lokaler Ressourcen, wie z. B. Mitgliedsserver und Arbeitsstationen sowie die darauf gespeicherten Daten

•

Dienstadministratoren, die den "operativen Arm" der Dienstbesitzer darstellen. Sie sind für die Ausführung der Aufgaben verantwortlich, die zur Bereitstellung des Verzeichnisdienstes erforderlich sind.

•

Datenadministratoren, die den "operativen Arm" der Datenbesitzer darstellen. Sie sind für die Ausführung der Aufgaben verantwortlich, die zum Verwalten der Inhalte erforderlich sind, welche in Active Directory gespeichert oder durch Active Directory geschützt werden.

Dieses Dokument soll Dienst- und Datenbesitzern bei der Erstellung eines sicherheitsbewussten und effizienten administrativen Delegierungsmodells helfen, das auf die spezifischen Anforderungen des jeweiligen Unternehmens zugeschnitten ist. Darüber hinaus ist es für die Dienst- und Datenadministratoren bestimmt, die für die Implementierung des Delegierungsmodells verantwortlich sind.

Um die Anforderungen dieser unterschiedlichen Personen angemessen zu berücksichtigen, sind die Informationen in diesem Dokument in die folgenden vier Kapitel und eine Fallstudie unterteilt:

Kapitel 1: Grundlegendes zur Delegierung von Verwaltung

•

Dieses Kapitel bietet eine Übersicht über die verschiedenen Kategorien der Active Directory-Verwaltung und die dafür zuständigen Personen sowie einen "Wegweiser" für die erfolgreiche Delegierung von Verwaltung in Active Directory. Es wendet sich an den gesamten Personenkreis, der an der Active Directory-Verwaltung beteiligt ist.

Kapitel 2: Funktionsweise der Delegierung in Active Directory

•

Dieses Kapitel erläutert ausführlich, wie die Delegierung von Verwaltung in Active Directory funktioniert, und es stellt alle technischen Aspekte vor, die mit dieser Delegierung verbunden sind. Es enthält eine Fülle von Informationen, die für alle an der Active Directory-Verwaltung beteiligten Personen von Nutzen sein können.

Kapitel 3: Delegieren der Dienstverwaltung mit Active Directory

•

Dieses Kapitel vermittelt einen umfassenden Überblick über die Dienstverwaltung mit Active Directory und enthält Anleitungen für die Erstellung, Implementierung und Pflege eines sicheren und effizienten Delegierungsmodells für die Dienstverwaltung. Es wendet sich an Dienstbesitzer und -administratoren.

Kapitel 4: Delegieren der Datenverwaltung mit Active Directory

•

Dieses Kapitel vermittelt einen umfassenden Überblick über die Datenverwaltung mit Active Directory und enthält Anleitungen für die Erstellung, Implementierung und Pflege eines sicheren und effizienten Delegierungsmodells für die Datenverwaltung. Das Kapitel wendet sich zwar in erster Linie an Datenbesitzer und -administratoren, doch werden auch die Dienstbesitzer und -administratoren aus den Informationen in diesem Kapitel Nutzen ziehen.

Fallstudie: Szenario zur Active Directory-Delegierung

•

Die Fallstudie führt durch die Erstellung, Implementierung und Pflege eines administrativen Delegierungsmodells für eine fiktive Active Directory-Umgebung auf Basis der in Kapitel 3 und 4 beschriebenen Empfehlungen. Diese Studie wendet sich zwar in erster Linie an Dienst- und Datenadministratoren, doch werden auch die Dienst- und Datenbesitzer aus den bereitgestellten Informationen Nutzen ziehen.

Zum Seitenanfang

1 von 6

In diesem Beitrag

•	Einführung
•	Grundlegendes zur Delegierung von Verwaltung
•	Funktionsweise der Delegierung in Active Directory
•	Delegieren der Dienstverwaltung
•	Delegieren der Datenverwaltung
•	Fallstudie: Delegierungsszenario

Download

AD_Delegation.doc

2471 KB (engl.)
Microsoft Word-Datei