Möchten wir die im vorigen Kapitel beschriebenen funktionalen und nicht-funktionalen Anforderungen der zu planenden Kommunikationsprozesse mithilfe einer IT-Infrastruktur umsetzen, benötigen wir dafür eine ganze Reihe von Diensten und Anwendungen. Microsoft hat im Laufe der Jahre seine Infrastrukturkomponenten soweit entwickelt, dass sie beinahe alle Anforderungen nativ erfüllen können. Natürlich bieten auch andere Anbieter entsprechende Komponenten. Zu nennen sind hier insbesondere IBM mit seiner Tochter Lotus und den Produkten Notes/Domino oder auch Oracle mit seiner Communications Suite. Nach meiner Erfahrung erreichen sie aber nicht den Integrationsgrad, der die Microsoft-Anwendungen auszeichnet. Dabei macht sich die inzwischen sehr starke Basis von Microsoft bei den Server- und Client-Betriebssystemen ebenso bezahlt wie die weite Verbreitung von Microsoft Office als einheitliche Büroanwendung in Unternehmen.
Im Folgenden möchte ich einen Überblick über die benötigten Dienste und Produkte geben und dabei deutlich machen, welche Anforderungsklasse wir mit welchem der Produkte abdecken können. Wir beschränken uns dabei in zweierlei Hinsicht. Einerseits betrachten wir nur Produkte, die wir unter dem Begriff Plattform beschreiben können, das heißt wir lassen Spezialanwendungen wie Team Foundation Server, Navision und Dynamics oder auch Project Server außer Betracht und beschränken uns auf frei konfigurierbare Plattformen, die uns den größtmöglichen Grad an Flexibilität erlauben. Das heißt nicht, dass es nicht sinnvoll sein kann, die oben genannten Spezialanwendungen einzusetzen, um damit bestimmte Anforderungen abzudecken. Diese Produkte sind aber immer schon für konkrete Einsatzbereiche wie zum Beispiel Softwareentwicklung (Team Foundation Server), Buchhaltung und Finanzen (Navision) und Projekt- und Portfoliomanagement (Project Server) entwickelt und spielen ihre Vorteile auch nur in diesen Einsatzbereichen aus. Uns geht es hier um Kommunikation im Unternehmen aus einer allgemeinen Perspektive. Daher werden wir diese Spezialfälle nicht betrachten.
Die zweite Einschränkung, die wir vornehmen, besteht darin, dass wir keine proprietären Anwendungen auf den noch zu beschreibenden Plattformen einsetzen werden, weder von uns noch von Drittanbietern. Wir beschränken uns rein auf die Standardfunktionen und ‑Konfigurationen, die die Plattformen ab Werk zur Verfügung stellen. Alle in Kapitel 2 beschriebenen Anforderungen lassen sich durch bewusste Integration der Plattformen abdecken. Wir werden nichts wirklich programmieren, einzig an einigen Stellen werden wir einfache Codeanpassungen vornehmen und VBA-Skripte verwenden müssen. Die technisch weitreichendsten Eingriffe werden SharePoint Designer-Workflows sein, die wir aber rein über die grafische Oberfläche des SharePoint-Designers erstellen werden. Wo detaillierte Programmierung sinnvoll sein könnte, werden wir in der Umsetzung aber darauf hinweisen.
Basis einer jeden Microsoft-Infrastruktur ist ein gut designtes und gepflegtes Active Directory. Active Directory ist der von Microsoft mit Windows 2000 eingeführte Verzeichnisdienst zur Verwaltung der IT-Infrastruktur eines Unternehmens. Seine Hauptaufgaben bestehen in der Authentifizierung der Benutzer, der Verwaltung von Geräten und Benutzern, der zentralen Speicherung von Konfigurationsdaten und der Steuerung der Rechte innerhalb der Infrastruktur. Er basiert auf drei Industriestandards, dem Domain Naming System (DNS), dem Lightwight Directory Access Protocol (LDAP) und dem Authentifizierungsverfahren Kerberos Version 5.
Die Daten des Active Directory werden in einer verteilten, relationalen Datenbank gespeichert. Die Inhalte der Datenbank werden auf die zentralen Verwaltungsserver, die sogenannten Domänencontroller repliziert. Verschiedene Inhalte werden in unterschiedlichen Datenbankbereichen, sogenannten Partitionen gespeichert. Jede Partition hat ihren eigenen Replikationsbereich. Die wichtigsten Partitionen sind die Schemapartition, die Konfigurationspartition und die Domänenpartition(en). Darüber hinaus werden weitere Anwendungspartitionen, wie zum Beispiel für die DNS-Daten, eingesetzt.
Die Schemapartition enthält das Datenbankschema. Darüber ist definiert, welche Objekte mit welchen Eigenschaften in der Datenbank angelegt werden können. Anwendungen, die eigene Objekte oder Attribute in der Datenbank benötigen, müssen daher das Schema anpassen. Bekanntestes Beispiel ist hier Microsoft Exchange. Da Exchange Informationen an Benutzerobjekten speichert, wie zum Beispiel Informationen zum Postfach, müssen entsprechende Attribute im Datenbankschema angelegt und mit Benutzerobjekten verbunden werden.
In der Konfigurationspartition liegen Informationen zur Konfiguration des Verzeichnisdienstes, zum Beispiel welche Dienste eingerichtet sind und auf welchen Servern bereitgestellt werden. Hier speichert Exchange Informationen über seine Serverstruktur. Andere zentrale Serverdienste werden in der Konfigurationspartition über Zugriffspunkte (Service Connection Point, SCPs) abgebildet. Weitere Informationen, die in der Konfigurationspartition gespeichert werden, sind zum Beispiel die Domänenstruktur des Active Directory und die Vertrauensstellungen.
In der Domänenpartition schließlich liegen die Informationen über alle Objekte in der Domäne. Hier finden wir insbesondere alle Konten, Benutzer, Computer und Gruppen, die sich in der Domäne authentifizieren können und denen Rechte vergeben werden können. Diese Art von Objekte heißen Sicherheitsprinzipale. Da das Active Directory (AD) nicht nur aus einer, sondern aus einer hierarchisch gestaffelten Struktur von Domänen bestehen kann, kann das AD auch mehrere Domänenpartitionen enthalten. Für die Strukturierung verwendet das AD das System des DNS, also eine hierarchische Benennung, in der ganz rechts die oberste Ebene der Hierarchie benannt wird und ganz links der aktuelle Endknoten der Hierarchie, also nach dem Muster Server1.Unterdomäne1.Unternehmensdomäne.TopLevelDomäne (zum Beispiel SP01.Finance.Hauenherm.com). Domänen stellen Sicherheitsgrenzen im AD dar. Konten liegen immer innerhalb einer Domäne und haben Rechte innerhalb dieser Domäne. Die Summe aller Domänen nennt Microsoft die Gesamtstruktur des Active Directory. Alle Domänen innerhalb der Gesamtstruktur verwenden dasselbe Datenbankschema und sind über Vertrauensstellungen verbunden, so dass Benutzer einer Domäne auch Rechte in einer anderen Domäne bekommen können und sichergestellt ist, dass alle Eigenschaften eines Objektes auch in allen anderen Domänen gelesen werden können.
Für die Binnenstrukturierung werden innerhalb der Domänen sogenannte Organisationseinheiten (Organizational Units, OUs) angelegt. Diese dienen dazu, Objekte nach bestimmten Kriterien zusammenzufassen, zum Beispiel alle Benutzer der Finanzabteilung oder alle Computer mit einem Standarddesktop. OUs haben keine Auswirkungen auf die Rechte der Benutzer und sind auch selbst keine Sicherheitsprinzipale. Sie können aber als Bereich für die Anwendung von Konfigurationseinstellungen über Gruppenrichtlinien verwendet werden. Gruppenrichtlinien dienen dazu, Konfigurationseinstellungen zentral zu steuern und auf mehrere Objekte anzuwenden. Gruppenrichtlinienobjekte können mit Domänen, Standorten und eben OUs verbunden werden, so dass die Einstellungen für alle Objekte innerhalb des verbundenen Bereichs angewendet werden. In einigen Fällen werden wir Gruppenrichtlinien nutzen, um Benutzern einheitliche Einstellungen zukommen zu lassen. Gruppenrichtlinien ermöglichen auch die zentrale Verteilung von Zertifikaten oder Richtlinien digitaler Rechte.
Objekte innerhalb einer Domäne werden im Active Directory standardmäßig über ihre LDAP-Namen angesprochen nach dem Muster cn=Server1,ou=Organisationseinheit1,dc=Unterdomäne1,dc=Unternehmensdomäne,dc=TopLevelDomäne, also zum Beispiel cn=SPS01,ou=finance,dc=finance,dc=hauenherm,dc=com. Wie DNS-Namen lesen sich auch diese Namen von rechts nach links, das heißt am Anfang des Namens (also links) steht das Objekt, das angesprochen wird (hier der Server SPS01) und der Rest des Namens spiegelt die hierarchische Einordnung im Verzeichnisbaum wider, wobei der oberste Domänenteil ganz rechts steht (vgl. Bild 3.1):
Bild 3.1 Active Directory-Struktur
Neben dieser logischen Strukturierung ermöglicht das AD auch noch eine davon unabhängige Strukturierung der Objekte nach Standorten. Diese werden durch die zugehörigen IP-Netze definiert und werden unter anderem dazu genutzt, Kommunikationswege und Replikationsverbindungen zu berechnen.
Da das Active Directory für alle Objekte Zugriffsteuerungslisten (Access Control Lists, ACLs) pflegt und innerhalb der hierarchischen Struktur sowohl die Vererbung von Berechtigungen erlaubt, als auch die Vergabe dedizierter Berechtigungen auf den einzelnen Ebenen, stehen viele Möglichkeiten zur Administration des Active Directorys zur Verfügung. Man kann stark zentralisiert arbeiten und die administrativen Aufgaben in einem kleinen Personenkreis der IT-Administratoren zusammenfassen oder ein dezentrales Verwaltungsmodell einrichten, bei dem ein Teil der administrativen Aufgaben an die Benutzer delegiert wird. Im letzten Fall reichen die delegierbaren Aufgaben von der Pflege der eigenen Konteninformationen, die...