20.2 Altlasten aus Windows-NT-4.0-Domänen 

In Windows-NT-4.0-Domänen gab es Beschränkungen, die es in einer Windows-2003-Domäne zwar nicht mehr gibt, wenn diese im einheitlichen Modus betrieben wird. Dennoch wirken diese ehemaligen Restriktionen in der Literatur auch auf Active Directory zurück, wenn Empfehlungen darüber ausgesprochen werden, welche Gruppenbereiche genutzt und wie diese Gruppen ineinander verschachtelt werden sollen. Lesen Sie deshalb auch dann den nachfolgenden Abschnitt, wenn Sie keine NT-4.0-Domänen migrieren müssen. Danach werden Sie verstehen, warum die in der Literatur ausgesprochenen Empfehlungen oft so konfus wirken, und dass diese Empfehlungen kritisch zu beurteilen sind.

Erinnern wir uns: Unter NT 4.0 gab es Primary Domain Controller (PDCs) und Backup Domänen Controller (BDCs), Einzeldomänen, Masterdomänen und Ressourcen-Domänen, mehrfache Master-Domänen, einfache und gegenseitige Vertrauensbeziehungen zwischen den Domänen. Eine einzelne Domäne durfte wegen der Beschränkung der SAM-Datenbank nicht mehr als 40.000 Konten haben, wobei dieser Maximalwert wohl eher theoretischer Natur war, weil eine SAM-Datenbank mit 40000 Konten nicht nur bezüglich der Performance des Domänencontrollers erhebliche Schwierigkeiten bereitet hätte, sondern auch bei der Replikation zumindest über langsame WAN-Leitungen das Netzwerk lahm gelegt hätte. In größeren Organisationen wurden also viele Einzeldomänen angelegt, um nicht in Konflikt mit dieser Restriktion zu geraten. Diese Einzeldomänen mussten dann über Vertrauensstellungen manuell miteinander verwoben werden.

Es gab keine universellen Gruppen, sondern nur lokale und globale Gruppen. Lokale Gruppen wurden nur in der lokalen Kontendatenbank verwaltet, globale Gruppen jedoch in der Domänenkontenbank. Eine lokale Gruppe wurde z.B. für einen Mitgliedsserver erstellt. Rechte für diese lokale Gruppe konnten dann aber auch nur für Ressourcen auf diesem Mitgliedsserver vergeben werden. Lokale Gruppen konnten als Mitglieder zwar globale Gruppen derselben Domäne oder einer vertrauten Domäne aufnehmen, jedoch konnten die lokalen Gruppen nicht ineinander verschachtelt werden. Globale Gruppen wiederum konnten nur Benutzer oder Computer aufnehmen, jedoch keine anderen globalen Gruppen und auch keine lokalen Gruppen. Verwirrend, nicht wahr?

Solange Sie eine Windows-2003-Domäne im gemischten Modus fahren, weil Sie alte Windows-NT-4.0-Server integrieren müssen, gelten alle diese Restriktionen weiter. Erst nach der Umstellung in den einheitlichen Modus sind Sie endgültig davon befreit. Das gilt auch für einen Gemischtbetrieb von Exchange-2003-Servern und Exchange-5.5-Servern. Erst nach der Umstellung in den einheitlichen Modus gibt es keine Restriktionen mehr bezüglich der Verwendung der Gruppenbereiche und der Gruppenverschachtelung.