Was ist das Active Directory? Dienste im Überblick
AD DS, LDS, FS – Bei so vielen Kürzeln ist es nicht leicht, den Überblick zu behalten. Die wichtigsten Active Directory Dienste im tenfold Glossar.
Allgemeines
Active Directory ist der Verzeichnisdienst von Microsoft Server. In Active Directory werden Netzwerkobjekte der Organisation verwaltet, wie zum Beispiel:
- Benutzer
- Gruppen
- Computer
- Drucker
- Ordnerfreigaben
Active Directory wurde erstmals mit Windows Server 2000 bereitgestellt und wird seither kontinuierlich erweitert und verbessert. Seit der Version Windows Server 2008 besteht Active Directory aus fünf Diensten:
Active Directory Domain Services (AD DS)
Domain Services bildet die zentrale Komponente jedes Windows Domänennetzwerks. In AD DS werden Geräte und Benutzer der Domäne gespeichert. AD DS fungiert gleichzeitig als Authentifizierungsservice für die im Active Directory verwalteten Benutzer (Kontrolle auf gültige Anmeldungsinformationen, wenn ein Benutzer sich am Netzwerk anmelden möchte). Der Betrieb von AD DS erfolgt durch spezielle Windows Server, sogenannte Domain Controller (dt. Domänencontroller).
In vielen Organisationen nimmt das AD DS eine sehr wichtige Rolle ein, da andere Dienste enorm von ihm abhängen. Dazu zählen unter anderem: Gruppenrichtlinien, Exchange Server, SharePoint Server sowie zahlreiche Drittanwendungen und Dienste, welche eine Schnittstelle zu AD DS implementieren (zum Beispiel über das LDAP-Netzwerkprotokoll).
Lightweight Directory Services (AD LDS)
Wie der Name schon sagt, bietet LDS eine leichtgewichtige Alternative zu AD DS. Bei LDS ist es nicht notwendig, eine Domänenstruktur aufzubauen und dafür Domain Controller zu betreiben. Stattdessen bildet es einen reinen Verzeichnisdienst zur Speicherung von Informationen. Zum Zugriff auf die Informationen bietet LDS eine LDAP-Schnittstelle an.
In der Praxis wird LDS oftmals dazu genutzt, Benutzer- und Gruppeninformationen für Drittanwendungen zu verwalten. Das ist insbesondere dann praktikabel, wenn mehrere Anwendungen auf die gleichen Benutzerinformationen zugreifen müssen, da diese nur einmalig in LDS gespeichert und verwaltet werden müssen.
Federation Services
Die Federation Services bilden einen Dienst für Single Sign On (SSO). Damit wird es Benutzern ermöglicht, sich mit Ihren Anmeldungsinformationen nicht nur an der lokalen Windows Domäne, sondern auch bei definierten, domänenfremden Diensten (vordergründig Web-Applikationen) anmelden zu können. AD FS hat durch Office 365 wesentlich an Bedeutung gewonnen, da über AD FS ein Single Sign On mit den Anwendungen aus Office 365 möglich wird. Für den Betrieb von AD FS ist eine AD DS-Infrastruktur Voraussetzung.
Rights Management Service (AD RMS)
Dieser Dienst stellt sicher, das bestimmte Ressourcen durch kryptografische Methoden (Verschlüsselung) vor unberechtigten Zugriffen geschützt werden.
Certificate Services (AD CS)
Der Zertifikatsdienst stellt eine Public Key Infrastructure (PKI) zur Verfügung. Mithilfe der Certificate Services können Organisationen Dokumente digital signieren, E-Mails verschlüsseln und Webserver mit den Zugriffsprotokollen SSL bzw. TLS absichern.
Siehe auch
Active Directory Sicherheit (Tipps zur Absicherung des AD)
Azure AD vs AD DS (Unterschiede von lokalem und Azure AD)
ADGLP (Rollenbasierte Berechtigungsvergabe über verschachtelte Gruppen)
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.