IHK-Vorbereitung · Fachinformatiker Systemintegration
Prüfungsbereich
AP1 + AP2
„Einrichten IT-Arbeitsplatz" und „Konzeption & Administration"
Kernthemen
AD / LDAP
Benutzer, Gruppen, Rollen, ACL, RBAC, AGDLP, Verzeichnisdienste
Active Directory ist Microsofts Implementierung eines Verzeichnisdienstes für Windows-Netzwerke. Es basiert technisch auf dem offenen LDAP-Protokoll (Lightweight Directory Access Protocol) und erweitert es um Windows-spezifische Funktionen wie Kerberos-Authentifizierung, Gruppenrichtlinien und DNS-Integration.
Forest (Gesamtstruktur)
Die oberste Ebene. Enthält eine oder mehrere Domains und teilt ein gemeinsames Schema (Objektdefinitionen). Vertrauensstellungen zwischen Forests möglich.
Domain (Domäne)
Verwaltungseinheit mit eigenem Namensraum (z.B. firma.local). Alle Objekte einer Domain teilen eine gemeinsame Sicherheitsrichtlinie. Ein Domain Controller (DC) verwaltet die Domain.
Organisationseinheit (OU – Organizational Unit)
Container innerhalb einer Domain zur logischen Strukturierung (z.B. nach Abteilungen oder Standorten). An OUs werden Gruppenrichtlinien (GPOs) verknüpft. OUs können verschachtelt werden.
Objekte (Objects)
Die eigentlichen Einträge: Benutzerkonten, Computerkonten, Gruppen, Drucker, freigegebene Ordner. Jedes Objekt hat eindeutige Attribute und einen Distinguished Name (DN).
Domänenbenutzer (Domain User Account)
Wird im AD angelegt und gilt im gesamten Netzwerk. Ermöglicht SSO auf alle berechtigten Ressourcen. Anmeldung via DOMAIN\Benutzername oder UPN (user@firma.local).
Lokales Benutzerkonto (Local User Account)
Nur auf einem einzelnen Rechner gültig. Keine Domain-Ressourcen zugänglich. Verwaltung über lusrmgr.msc. Typisch für Notfall-/Adminkonten.
Dienstkonten (Service Accounts)
Für Dienste und Anwendungen, die im Hintergrund laufen (z.B. SQL Server, Exchange). Sollten minimale Rechte haben (Least Privilege). Moderne Alternative: Group Managed Service Accounts (gMSA).
Gruppen haben zwei unabhängige Dimensionen: Typ (Zweck) und Bereich (Gültigkeitsbereich).
Domänenlokal (DL)
Berechtigungsvergabe innerhalb der eigenen Domain. Mitglieder können aus beliebigen Domains kommen. Wird direkt an Ressourcen (Ordner, Drucker) gesetzt.
Global (G)
Bündelt Benutzer aus der eigenen Domain. Kann in anderen Domains für Berechtigungen eingesetzt werden. Typisch für Abteilungsgruppen.
Universal (U)
Gültig im gesamten Forest. Mitglieder und Nutzung forest-weit möglich. Im Globalen Katalog gespeichert – sparsam einsetzen!
AGDLP ist Microsofts empfohlenes Schema für skalierbare Rechtevergabe in AD-Umgebungen. Es beschreibt, wie Konten, Gruppen und Berechtigungen strukturiert werden sollen.
A
Account
Benutzerkonto
G
Global Group
z.B. „Buchhaltung"
DL
Domain Local
z.B. „Zugriff-Finanzen"
P
Permission
Lesen, Schreiben…
Prüfungstipp: AGDLP ist ein häufiges Prüfungsthema. Merke: Benutzer → globale Gruppe (nach Jobfunktion) → domänenlokale Gruppe (nach Ressource) → Berechtigung auf der Ressource.
Eine ACL ist eine Liste von Regeln, die festlegt, welche Subjekte (Benutzer, Gruppen) auf welche Objekte (Dateien, Ordner, Ressourcen) in welchem Umfang zugreifen dürfen.
DACL (Discretionary ACL)
Steuert den Zugriff auf ein Objekt. Enthält ACEs (Access Control Entries), die je einem Sicherheitsprinzipal (Benutzer/Gruppe via SID) eine Berechtigung erlauben oder verweigern.
SACL (System ACL)
Steuert die Überwachung und Protokollierung von Zugriffsversuchen (Audit). Unabhängig von der DACL – definiert, welche Zugriffe im Sicherheitslog aufgezeichnet werden.
Bei Windows-Dateiservern gibt es zwei Ebenen von Berechtigungen, die gemeinsam gelten. Es gilt immer die restriktivere Kombination beider Ebenen.
NTFS-Berechtigungen
Gelten lokal und über das Netzwerk. Feingranular (Lesen, Schreiben, Ausführen, Ändern, Vollzugriff, spezielle Rechte). Werden in der DACL des Objekts gespeichert. Vererbung möglich.
Freigabe-Berechtigungen (Share)
Gelten nur beim Netzwerkzugriff via SMB. Gröber (Lesen, Ändern, Vollzugriff). Kombiniert mit NTFS: es zählt die strengere von beiden. Best Practice: Share = Vollzugriff, NTFS regelt alles.
| Berechtigung | Bedeutung | Enthält |
|---|---|---|
| Lesen (R) | Dateien/Ordner anzeigen und öffnen | Auflisten, Lesen, Attribute lesen |
| Schreiben (W) | Dateien erstellen und ändern | Erstellen, Anhängen, Attribute schreiben |
| Ausführen (X) | Anwendungen starten, Ordner durchsuchen | Traversieren, Ausführen |
| Ändern (M) | Lesen + Schreiben + Löschen | R+W+X + Löschen |
| Vollzugriff (F) | Alle Operationen inkl. Berechtigungen ändern | M + Berechtigungen + Besitz übernehmen |
Beim RBAC-Modell werden Berechtigungen nicht direkt an Benutzer vergeben, sondern an Rollen. Benutzer erhalten dann Rollen zugeteilt.
Ressourcen definieren
Was soll geschützt werden? (Dateisystem, Anwendung, Datenbank, API)
Rollen definieren
Welche Tätigkeiten/Aufgaben gibt es? (z.B. „Revisor", „HR-Mitarbeiter", „Netzwerkadmin", „Helpdesk")
Berechtigungen der Rolle zuordnen
Welche Rolle darf was? (Revisor → Lesen auf Finanzdaten; HR → Lesen+Schreiben auf Personalakten)
Benutzer der Rolle zuordnen
Max Müller ist Revisor → erhält automatisch alle Revisor-Berechtigungen. Kein direktes Setzen an Objekten nötig.
RBAC (Rollenbasiert)
Skalierbar, leicht auditierbar, klare Verantwortlichkeiten. Neue Mitarbeiter: einfach Rolle zuweisen. Rollenänderung: zentral für alle Nutzer der Rolle wirksam.
Direkte ACL-Vergabe
Schnell bei kleinen Umgebungen, aber bei Wachstum unübersichtlich (ACL-Wildwuchs). Jede Berechtigung muss einzeln gepflegt werden. Audits aufwendig.
LDAP ist ein offenes, plattformunabhängiges Protokoll für den Zugriff auf Verzeichnisdienste. Active Directory, OpenLDAP (Linux) und viele andere Systeme basieren darauf.
Standard-Port
389
LDAP (unverschlüsselt)
Verschlüsselt
636
LDAPS (LDAP über TLS/SSL)
Jedes LDAP-Objekt hat einen eindeutigen Distinguished Name (DN), der den vollständigen Pfad vom Objekt bis zur Wurzel beschreibt – ähnlich einem Dateipfad, aber von spezifisch nach allgemein.
| Kürzel | Bedeutung | Beispiel |
|---|---|---|
DC | Domain Component – Teil des Domänennamens | DC=firma,DC=local |
OU | Organizational Unit – Container/Abteilung | OU=IT |
CN | Common Name – Name des Objekts | CN=Max Mustermann |
O | Organization – Organisationsname (selten im AD) | O=Firma GmbH |
C | Country – Länderkürzel (selten im AD) | C=DE |
LDAP-Suchanfragen nutzen eine einfache Filtersyntax in Klammern. Wichtig für Prüfung und Praxis (z.B. Powershell, ldapsearch unter Linux).
Lern_Apps
AP2_Lernplan
FISI_Tools
Cherry_Apps
Arcade_Tresor
Magic_Apps
(sAMAccountName=mmustermann) – findet genau diesen Benutzer
(sAMAccountName=m*) – alle Accounts die mit „m" beginnen
(&(objectClass=user)(department=IT)) – alle Benutzer in der Abteilung IT
(|(department=IT)(department=Netzwerk)) – IT oder Netzwerk-Abteilung
(&(objectClass=group)(cn=GG_*)) – alle globalen Gruppen nach Namenskonvention
| Attribut | Beschreibung |
|---|---|
sAMAccountName | Windows-Anmeldename (NetBIOS-Benutzername, max. 20 Zeichen) |
userPrincipalName | E-Mail-ähnlicher Anmeldename (user@domain.local) |
distinguishedName | Vollständiger eindeutiger Pfad im Verzeichnis |
objectClass | Typ des Objekts (user, group, computer, organizationalUnit…) |
memberOf | Gruppen, in denen das Objekt Mitglied ist |
mail | E-Mail-Adresse des Benutzers |
pwdLastSet | Zeitstempel der letzten Passwortänderung |
userAccountControl | Kontostatus-Flags (aktiviert, gesperrt, Passwort läuft nie ab…) |
DC=firma,DC=local?" → Die Domain firma.local als Basis des VerzeichnisbaumssAMAccountNameBeide Betriebssysteme implementieren Zugriffskontrolle grundlegend unterschiedlich. Die Prüfung fragt häufig beide Seiten und den Vergleich.
Windows NTFS
ACL-basiert. Feingranulare Einzeleinträge pro Benutzer/Gruppe. Vererbung von übergeordneten Ordnern. Grafisch über Eigenschaften → Sicherheit. Cmdlet: Get-Acl / Set-Acl. Fünf Standardstufen + spezielle Rechte.
Linux (klassisch: ugo/rwx)
Jede Datei hat genau 3 Klassen: Eigentümer (u), Gruppe (g), Sonstige (o). Jede Klasse hat drei Bits: Lesen (r=4), Schreiben (w=2), Ausführen (x=1). Anzeige: ls -l. Ändern: chmod, chown.
Das klassische Linux-Rechtesystem nutzt 9 Bit (3×3): rwx für Eigentümer, Gruppe, Sonstige. Darstellung als Oktalzahl (z.B. 755) oder symbolisch.
| Bit | Oktal | Wirkung auf Datei | Wirkung auf Ordner |
|---|---|---|---|
| SetUID (SUID) | 4000 | Programm läuft mit Rechten des Eigentümers (nicht Aufrufers). Beispiel: passwd | Keine Wirkung |
| SetGID (SGID) | 2000 | Programm läuft mit Rechten der Gruppe des Eigentümers | Neue Dateien erben die Gruppe des Ordners |
| Sticky Bit | 1000 | Veraltet / ignoriert | Nur Eigentümer darf eigene Dateien löschen (z.B. /tmp) |
Das klassische rwx-System kennt nur Eigentümer, Gruppe und Sonstige. Für feingranularere Kontrolle (wie NTFS) gibt es POSIX ACLs, die mit getfacl / setfacl verwaltet werden.
SMB / CIFS (Windows)
Server Message Block – Standard-Netzwerkdateiprotokoll für Windows. Auch auf Linux via Samba nutzbar. Authentifizierung via Kerberos/NTLM. Berechtigungen auf zwei Ebenen (Share + NTFS). Port 445 (SMB3), historisch 139.
NFS (Linux / Unix)
Network File System – Standard unter Linux/Unix. Einfachere Authentifizierung (UID/GID-basiert, kein AD-nativ). NFSv4 unterstützt Kerberos. Berechtigungen greifen serverseitig auf klassische rwx/POSIX-ACL zurück. Port 2049.
Linux-Systeme können vollständig in ein AD integriert werden – Benutzer melden sich dann mit Domain-Credentials an Linux-Rechnern an:
realm join firma.local bindet das System ein. SSSD cacht Credentials und vermittelt AD-Abfragenslapd. Verwaltung via ldapadd, ldapmodify, ldapsearch| Merkmal | Windows AD | Linux / OpenLDAP |
|---|---|---|
| Verzeichnisdienst | Active Directory (AD DS) | OpenLDAP (slapd) |
| Protokoll | LDAP + Kerberos + DNS | LDAP (+ optional Kerberos via MIT/Heimdal) |
| Authentifizierung | Kerberos (Standard), NTLM (Legacy) | PAM + LDAP / Kerberos / SSSD |
| Verwaltungsoberfläche | ADUC, ADAC, PowerShell | CLI (ldap*-Befehle), phpLDAPadmin, Apache DS |
| Gruppenrichtlinien | GPOs (zentrale Konfiguration) | Kein natives Äquivalent (Puppet, Ansible o.ä.) |
| Dateisystem-Rechte | NTFS-ACLs (feingranular) | rwx + POSIX-ACLs (setfacl) |
| Netzwerkfreigaben | SMB/CIFS (Port 445) | NFS (Port 2049), Samba für SMB |
| RBAC-Umsetzung | AD-Gruppen + NTFS-ACLs (AGDLP) | POSIX-Gruppen, sudo-Regeln, LDAP-Gruppen |
| Zertifizierungsstelle | AD CS (Certificate Services) | OpenSSL, Let's Encrypt, EJBCA |
getfacl (anzeigen) und setfacl (setzen)