Active Directory (kurz AD) wurde von Microsoft entwickelt und ist ein Verzeichnisdienstsystem. Es wird in Windows-Betriebssystemen verwendet und dient zur Verwaltung von Benutzerkonten, Gruppen, PCs, Druckern und weiteren Geräten und Ressourcen im Netzwerk. Damit wird Administratoren ermöglicht, die Berechtigungen und Zugriffe auf die Ressourcen des Netzwerkes zu verwalten.

 

Im AD werden Daten als Objekte gespeichert, wobei ein Objekt eine Gruppe, ein Benutzer, ein Gerät sein kann. Diese Objekte werden anschließend als Verzeichnisobjekte anhand von Namen und Attributen kategorisiert. So kann der Name von einem Benutzer unterschiedliche Informationen enthalten, wie den Namensstring, sowie Passwörter andere Schlüssel für Zugriffe.

 

ADs wichtigster Dienst ist der DS, also der Dienst für Domänen. Hier werden die Verzeichnisinformationen zu Interaktionen eines Benutzers mit dieser bestimmten Domäne gespeichert. Wenn ein Nutzer sich bei einem Gerät anmeldet oder versucht sich über ein Netzwerk mit dem Server zu verbinden, überprüft AD DS diesen Zugriff auf Erlaubnis. Es steuert, ob der Nutzer überhaupt Zugriff auf diesen Server hat, und wenn ja, auf welche Ressourcen zugegriffen werden darf. Das kann sowohl auf einzelne Benutzer als auch auf Gruppen überprüft werden. So hat ein Admin in der Regel deutlich höhere Zugriffsrechte, als ein gewöhnlicher Endnutzer.

 

Weitere Produkte aus dem Universum von Microsoft und Windows sind auf das AD angewiesen, ohne welches der Zugriff auf Ressourcen nicht möglich wäre. Dazu zählen Exchange Server und SharePoint Server. Der Server, der ein AD DS hostet ist der sogenannte Domänen Controller.

 

Dienste von Active Directory

AD umfasst unterschiedliche Dienste. Der wichtigste Dienst sind Domänendienste, also AD DS. Zusätzlich gibt es noch weitere Dienste wie:

 

  • AD LDS – ein leichtgewichtiger Verzeichnisdienst
  • LDAP – ein leichtgewichtiger Verzeichnisdienstzugriff
  • AD CS – Zertifikatsdienste
  • AD FS – Verbunddienste
  • AD RMS – Rechtemanagement Dienste.

 

Alle diese Dienste erweitern AD DS um weitere Verwaltungsfähigkeiten für die Verzeichnisverwaltung.

 

Lightweight Directory Services (LDS) – sie haben dieselbe Codebasis wie AD DS und ähnliche Funktionen. Allerdings kann AD LDS auf Servern in mehreren Instanzen ausgeführt werden. Es hält Verzeichnisdaten im Datenspeicher, wofür es das Protokoll Lightweight Directory Access Protocol (LDAP) verwendet.

 

Lightweight Directory Services Protocol (LDSP) ist ein Anwendungsprotokoll, mit dessen Hilfe Verzeichnisdienste über ein Netzwerk gepflegt und durchsucht werden können. Hierzu werden Objekte wie Nutzernamen und Passwörter im AD gespeichert und im Netzwerk als Objektdaten geteilt.

 

Active Directory Federation Services (AD FS) – Sie authentifizieren Nutzerzugriffe auf unterschiedliche Anwendungen mithilfe von SSO (Single Sign On). Damit muss sich der Nutzer lediglich einmal anmelden und kann alle Dienste nutzen, ohne sich für jeden Dienst einzeln anmelden zu müssen.

 

Zertifikatsdienste – Hiermit werden Zertifikate generiert, geteilt und verwaltet. Zertifikate verwenden Verschlüsselungen um den sicheren Austausch von Daten über das Internet zu ermöglichen.

 

Rights Management Serivces – Sie steuern die Verwaltung und Rechte von Informationen. Das bedeutet, Inhalte wie Mails oder Dokumente wie Microsoft Word, werden auf einem Server stets verschlüsselt, sodass der Zugriff begrenzt werden kann.

Wichtigste Merkmale von AD DS

 

Domänendienste von AD verwenden Layoutstrukturen, die aus Domänen, Bäumen und Wäldern bestehen.

 

Domänen

 

Einzelne Objekte, wie Nutzer oder Geräte, in derselben Datenbank sind in derselben Domäne zu finden und teilen sich eine DNS.

 

Bäume

 

Ein Baum besteht aus einer oder mehreren Domänen, die hierarchisch und logisch gruppiert sind. Sie werden oft auch als Vertrauensbeziehungen gesehen, da zwischen den einzelnen Domänen ein Vertrauen und/oder eine Verbindung besteht. Es kann mehreren Domänen vertraut werden, also Domäne eins vertraut Domäne zwei und Domäne zwei vertraut Domäne drei. Durch diese hierarchische Struktur kann Domäne eins implizit Domäne drei vertrauen, obwohl es kein explizites Vertrauen zwischen den beiden Domänen gibt.

 

Wälder

 

Ein Wald besteht aus einem oder mehreren Bäumen. Sie beinhalten für alle Bäume gemeinsame Kataloge, Anwendungsinformationen, Verzeichnisschemata und Konfigurationen der Domänen. Das Schema definiert hierbei Klassen und Attribute von Objekten in dem jeweiligen Wald. Der Wald ist nach Angaben von Microsoft die Sicherheitsgrenze des AD.

 

Organisationseinheiten (OU)

 

OUs organisieren Geräte, Gruppen und Nutzer. Alle Domänen können eine eigene OU enthalten, OUs haben jedoch keine Namensräume, weil jedes Objekt in einer Domäne eindeutig (unique) sein muss. So ist es unmöglich zwei Benutzerkonten mit demselben Benutzernamen zu erstellen.

 

Geschichte und Entwicklung von Active Directory

 

Bereits 1999 bot Microsoft eine erste Version von AD an, die schließlich mit dem Windows 2000 Server veröffentlicht wurde. Seither wurden mit jeder neuen Windows Server Version auch neue Funktionen zu AD hinzugefügt.

 

Windows Server 2003 fügte Wälder hinzu und ermöglichte die Position von Domänen innerhalb eines Waldes zu bearbeiten oder ändern.

 

Windows Server 2008 startete AD FS und die Domänenverwaltung wurde ab dieser Version als AD DS bezeichnet. AD wurde somit zum Sammelbegriff für alle unterstützten Verzeichnisdienste (was er bis heute ist).

 

Windows Server 2016 verbesserte die AD Sicherheit mit einigen Aktualisierungen von AD DS. Zudem wurden AD Umgebungen in Cloud- und hybride Umgebungen mitigiert. Ab dieser Version wurde PAM eingeführt. PAM überwacht Zugriffe auf ein Objekt und (falls Zugriffe erlaubt wurden) Aktionen durch den Nutzer. Mit PAM wurden Bastion-AD-Wälder eingeführt, die ermöglichen isolierte und sichere Wälder zur Verfügung zu stellen. Ab dieser Version wurden Unterstützungen für Geräte unter Windows Server 2003 eingestellt.

 

Im Dezember 2016 wurde Azure AD Connect veröffentlicht. Dieses ermöglicht ein lokales AD-System mit der Azure AD zu verbinden. Dadurch wird die SSO für Cloud-Dienste von Microsoft (beispielsweise Office 365) möglich. Azure AD Connect funktioniert mit Windows Server 2008, 2012, 2016 und 2019.

 

Domäne vs Arbeitsgruppe

 

Arbeitsgruppen sind Windows-Maschinen, die über ein Peer-to-Peer Netzwerk verbunden sind und bilden eine weitere Möglichkeit, wie Windows Maschinen in einem Netzwerk organisiert werden können. Sie ermöglichen den Computern im Netzwerk Dateien, Internetzugang, Ressourcen und Drucker im gleichen Netzwerk zu teilen. Mit der Peer-to-Peer Technologie braucht es keinen eigenen Server für Authentifizierung.

 

Unterschiede zwischen Arbeitsgruppen und Domänen:

 

  • Domänen können Computer aus unterschiedlichen lokalen Netzwerken hosten, Arbeitsgruppen können das nicht.
  • Domänen können mehr Computer hosten als Arbeitsgruppen. Arbeitsgruppen sind auf etwa 20 Computer beschränkt, während Domänen mehrere tausend Computer umfassen können.
  • Domänen brauchen wenigstens einen Server für die Authentifizierung der Zugriffe auf Ressourcen innerhalb der Domäne, was bei Arbeitsgruppen nicht nötig ist, weil alle Computer im Netzwerk Peers sind.
  • Domänen erfordern von Endnutzern gewisse Zugriffsinformationen wie Benutzernamen und Passwörter um sie zu authentifizieren, was bei Arbeitsgruppen nicht nötig ist.

War das hilfreich?

Weitere Artikel

Was ist Network Level Authentication?

Jetzt lesen

Active Directory Monitoring: Effizient Probleme erkennen und überwachen

Jetzt lesen

Wie kann man den RAM Speicher leeren?

Jetzt lesen

3 Einfache Wege um einen PC von einem anderen PC aus zu kontrollieren

Jetzt lesen

Stärken Sie Ihr IT-Team mit KI-gestützter IT

Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.