Foto: Anna Logue

Windows Domänen

Die Universitäts-IT betreibt eine zentrale Windows Domäne für die Universität (ad.uni-mannheim.de). Diese wird über die Benutzerverwaltung der Universitäts-IT synchronisiert. 
Mit der Windows-Domäne werden alle Aufgaben, die mit der Verwaltung von Benutzerkennungen verbunden sind, an die Domäne delegiert und von dieser automatisch erledigt. Je größer die Anzahl der Arbeits­plätze ist, an denen sich unterschiedliche Benutzer anmelden, umso vorteilhafter ist die Nutzung der Windows-Domäne, da nicht für jeden einzelnen Rechner die Uni-IDs eingetragen werden müssen. Alle Benutzer, die in der Domäne eingetragen sind, können sich anmelden.

Dies ist zum einen für Einrichtungen interessant, die eine größere Anzahl von Rechnern betreiben und die Benutzerverwaltung vereinheitlichen und automatisieren wollen. Zum anderen lohnt sich die Nutzung für Rechner, an denen zentrale Ressourcen, wie zum Beispiel der zentrale File-Service, genutzt werden.

Darüber hinaus erleichtert die Mitgliedschaft in der Domäne die Organisation eines Rechnerverbundes an einem Lehr­stuhl, im Hinblick auf die Nutzungs­berechtigungen für private oder zentrale DV-Ressourcen, weil sich diese mit Hilfe von Gruppen­berechtigungen im Active-Directory (dem Verzeichnis-Dienst von Windows) mit verhältnismäßig geringem Aufwand verwalten lassen.

Wenn eine größere Anzahl von Arbeits­plätzen in die Domäne integriert werden soll, ist die Einrichtung einer Organisations-Einheit (OU) zweckmäßig, was eine umfassende Planung erforderlich macht. 

    Hinweise zur Mitgliedschaft in der Domäne

  • Abhängigkeit

    Durch die Mitgliedschaft in der Domäne erfolgt eine zwangs­läufige Abhängigkeit von funktionierenden Domaincontrollern. Da die Authentifizierung der Benutzer nicht mehr lokal, sondern an der Domäne vorgenommen wird, sind reibungs­los funktionierende und rund um die Uhr verfügbare Domaincontroller die vitale Voraussetzung für den Betrieb einer Windows-Domäne.

    Um negative Auswirkungen dieser Abhängigkeit zu vermeiden, wurde die technische Infrastruktur für den Betrieb der Domaincontroller so redundant wie möglich ausgebaut. Da es an jedem Arbeits­platz nach wie vor möglich ist, sich lokal anzumelden, sind negativen Konsequenzen dieser Abhängigkeit selbst im Fall eines Totalausfalls der Domäne begrenzt. Ein solcher Totalausfall ist jedoch seit dem Bestehen der Domäne - also seit 2002 - noch nie aufgetreten.

  • Domänen-Administratoren

    Eine Domäne ist ein technisches Mittel zur Organisation eines ausgedehnten Rechnerverbundes. Wesentliches Merkmal eines solchen Verbundes ist seine zentrale Verwaltbarkeit, die unter anderem in der einheitlichen Benutzerverwaltung zum Ausdruck kommt. Die zentrale Verwaltung setzt jedoch einen Agenten voraus, der auf allen beteiligten Systemen entsprechende administrative Rechte besitzt. Domänen-Administratoren besitzen deshalb standard­mäßig (Windows-Voreinstellung) auf allen Rechnern, die Mitglied der Domäne sind, administrative Rechte.

    Der lokale Administrator kann den Domänen-Administratoren dieses Recht jedoch entziehen und den Rechner damit gegen Einflüsse von außen sperren. Grundsätzlich verfügt der Domänen-Administrator jedoch über die Mittel, auch solche Sperren wieder rückgängig zu machen.

    In der Praxis wird von den weitreichenden Rechten des Domänen-Administrators an der Universität Mannheim kein Gebrauch gemacht, weil die Administration der Arbeits­plätze innerhalb der Universität nicht Aufgabe der Universitäts-IT ist. Es liegt im Interesse der Universitäts-IT, die Zugriffs­möglichkeiten des Domänen-Administrators auf das technisch notwendige Minimum zu beschränken, weil dadurch die Sicherheit der Arbeits­plätze erhöht und der Schutz vor unbeabsichtigten Auswirkungen zentraler Aktionen verbessert wird. Wenn die von der Universitäts-IT zur Verfügung gestellten Skripte zur Aufnahme von Rechnern in die Domäne genutzt werden, dann werden den Domänen-Administratoren die administrativen Rechte für die Arbeits­plätze automatisch wieder entzogen.