icon-symbol-logout-darkest-grey

ServiceActive Directory

Universitätsweiter Authentifizierungsdienst.

Seit 2003 betreibt das Rechenzentrum der Universität Heidelberg eine Windows Active Directory-Domäne von Microsoft. Die Domäne dient vor allem der universitätsweiten Authentifizierung und Autorisierung. Darüber hinaus verwaltet sie Mitarbeiter-PCs, die Rechner der PC-Räume des URZ sowie einige Pools und Rechner in Instituten.

Der Name der Domäne lautet: ad.uni-heidelberg.de. Zur Ausfallsicherheit werden mehrere Domänen-Controller als Windows-Server betrieben.

Vom URZ verwaltete Benutzerkonten werden automatisch in der Domäne angelegt. Instituts-Rechnerkonten können die IT-Beauftragt:innen in ihrer eigenen Organisationseinheit selbst anlegen. Dazu ist vorher eine Anmeldung zu einer Institutsanbindung nötig.

Zielgruppe

  • IT-Beauftragte

Nutzen

Institute können eine eigene Anbindung an die Windows-Active-Directory-Domäne erhalten, innerhalb derer sie die Rechte bekommen, Rechnerkonten selbst anzulegen, siehe Anmeldung zu einer Institutsanbindung.

Zugang und Voraussetzungen

Anmeldung bzw. Institutsanbindung an die Active Directory Domäne

Grundsätzlich können alle Institutsrechner, sofern sie mit mindestens Windows 10 ausgestattet sind, sowie Windows-Server ab Version 2016 in der einen oder anderen Form in diese Strukturen eingebunden werden.

Welche Form der Anbindung an die Domäne jeweils am geeignetsten ist, richtet sich nach der Funktion der einzelnen Geräte und der Frage, wieviel Verwaltungs- und Pflegeaufwand im Institut geleistet und wieviel ans URZ abgegeben werden kann/soll.

Grundsätzlich gibt es 2 Möglichkeiten für ein Institut, seine Windows Umgebung zu verwalten:

  1. eine eigenständige Domäne (Insel)
  2. eine Organizational Unit (OU) für die Endgeräte innerhalb ad.uni-heidelberg.de

Für PC-Pools, in denen die URZ-Benutzeridentifikationen gelten sollen, lautet unsere Empfehlung: OU innerhalb ad.uni-heidelberg.de.

Die folgende Tabelle soll die Unterschiede aufzeigen:

Tabelle

 eigenständige Domäne (Insel)OU innerhalb ad.uni
 eigenständige Domäne (Insel)OU innerhalb ad.uni
Eigene Benutzerkennung
ja
ja
URZ-Benutzerkennungen funktionieren
nein
ja
PC-Pool-Service
nein
möglich
Eigene Domänenkontroller nötig
ja
nein