Was ist Active Directory (AD)? Der Verzeichnisdienst in Kurzfassung
Active Directory bildet die Grundlage von Millionen Windows-Netzwerken weltweit. Wie genau der Verzeichnisdienst funktioniert, einfach erklärt.
Was ist Active Directory?
Active Directory ist ein Verzeichnisdienst, der das Grundgerüst für Windows-Netzwerke bildet und daher in fast allen Unternehmen, Behörden und öffentlichen Einrichtungen verwendet wird. Bei einem Verzeichnisdienst handelt es sich im Wesentlichen um eine Datenbank, welche Informationen über alle Benutzer, Computer und Geräte des Netzwerks speichert. Über das Active Directory lassen sich diese Elemente darüber hinaus auch gruppieren, hierarchisch gliedern und mit unterschiedlichen Einstellungen versehen.
Eine Active Directory Instanz wird als Domäne bezeichnet und durch sogenannte Domain Controller (DC) verwaltet. Die Domain Controller agieren als zentrale Authorität im Netzwerk: Sie verwalten Richtlinien und Zugriffsrechte und authentifizieren Benutzer beim Windows-Logon. Zur Ausfallsicherheit nutzt man in der Regel mehrere Domain Controller, die jeweils dieselben Informationen enthalten und sich laufend gegenseitig aktualisieren (Replikation).
Kurz zusammengefasst lässt sich also sagen, dass Active Directory ist…
hierarchisch aufgebaut: Objekte innerhalb des AD lassen sich in Gruppen einteilen, durch verschachtelte Strukturen gliedern und somit unterschiedliche Regeln und Berechtigungen zuweisen.
zentral verwaltet: Die Elemente und Einstellungen einer Domäne sind in den Domain Controllern gespeichert, die diese Informationen untereinander replizieren und an die Computer und Geräte im Netzwerk kommunizieren.
flexibel erweiterbar: Eine AD-Domain kann durch Subdomains zu einem Baum (Tree) erweitert bzw. mehrere Trees zu einem Forest verbunden werden. Eine einzelne Domäne lässt sich durch Organisationseinheiten unterteilen.
Wie ist Active Directory aufgebaut?
Im Zentrum des Active Directory stehen die Domänen-Controller (DC). Dabei handelt es sich um Server, auf denen Informationen zu den Bestandteilen des Netzwerks gespeichert sind, also Benutzer, Computer und sonstige Geräte wie z.B. Drucker. Darüber hinaus steuern Domaincontroller auch Gruppenstrukturen, Organisationseinheiten und die Einstellungen der Gruppenrichtlinienobjekte, die sie auf die jeweiligen Netzwerkbereiche anwenden. Umgekehrt greifen Endgeräte auf die Domaincontroller zu, um z.B. zu verifizieren, ob ein Benutzer die korrekten Anmeldedaten beim Login eingegeben hat.
Domains können durch Unterdomains erweitert oder gemeinsam mit anderen Domains zu einer Gesamtstruktur (Forest) verbunden werden. Das kann etwa sinnvoll sein, wenn eine Organisation abweichende Domain-Einstellungen treffen oder bestimmte Daten und Dienste isolieren möchte. Näheres zu Forest-Strukturen in AD.
Um sicherzustellen, dass alle Netzwerk-Teilnehmer in einer Active Directory Umgebung erfolgreich miteinander kommunizieren können, sorgen dabei drei wichtige Dienste im Hintergrund für Ordnung.
DNS: Das Domain Name System (DNS) ist ein Protokoll zur Namensauflösung in Netzwerken, also der Verknüpfung eines Netzwerkpfads mit der damit verbundenen Ressource. Active Directory verwendet DNS zur Lokalisierung der Domain Controller durch Endgeräte und als Teil des Server Message Block (SMB), um das Aufrufen von Ressourcen im gemeinsamen Namensraum der Domäne zu ermöglichen.
Schema: Unter einem Schema versteht man ein Set an Regeln, welches die Objektklassen und zulässige Attribute im Active Directory festlegt. Das Schema bestimmt also die Struktur der Active Directory Datenbank und nach welchen Regeln diese zu befüllen ist.
Datenspeicher: Der Datenspeicher (Data Store) umfasst die eigentliche Active Directory Datenbank, sowie die Dienste und Protokolle, die den Zugriff auf die gespeicherten Daten steuern. Er ist unter anderem für die Authentifizierung der User und die Replikation der Controller verantwortlich.
Welche Dienste umfasst Active Directory?
Neben den Active Directory Domain Services (AD DS), welche die Grundlage des Verzeichnisdienstes bilden, enthält Active Directory verschiedene weitere Dienste, die einen je eigenen Funktionsbereich abdecken.
Lightweight Directory Services (AD LDS): Bei dem Lightweight Directory Service handelt es sich um eine reduzierte Form des Active Directory Verzeichnisdienstes, die über das LDAP-Protokoll aufgerufen werden kann. LDS wird primär dazu verwendet, um den Zugriff durch Drittanwendungen auf Benutzerinformationen aus dem AD zu ermöglichen.
Federation Services (AD FS): Der Föderationsdienst AD FS ermöglicht Single-Sign-On auf Basis der Windows-Anmeldung des Benutzers, zum Beispiel auf webbasierte Drittanwendungen. Dazu verwendet AD FS das Protokoll Security Assertion Markup Language (SAML). Rund um das Thema SSO gewinnen jedoch cloudbasierte Tools wie Entra ID zunehmend an Bedeutung.
Certificate Services (AD CS): Der Zertifikatsdienst AD DS betreibt die Public Key Infrastructure (PKI) für digitale Signaturen, verschlüsselte Kommunikation und die Nutzung von Transportprotokollen wie SSL bzw. TLS.
Active Directory Verwaltung
Ohne Active Directory als einheitliches Regelwerk und Datengrundlage wären größere Windows-Netzwerke kaum denkbar. Allerdings ist der Betrieb einer Active Directory Domäne auch mit Aufwand verbunden. Neben der Installation von AD und der Wartung der Domain Controller sind Admins dabei vor allem mit der Verwaltung der nötigen Objekte, Strukturen und Richtlinien beschäftigt.
Dabei ist es wichtig, sich mit Best Practices vertraut zu machen, die die Active Directory Verwaltung vereinfachen. Zum Beispiel empfiehlt es sich, Active Directory Berechtigungen nur über Gruppen zuzuweisen, um diese besser nachvollziehen zu können. Die Verschachtelung von Berechtigungsgruppen nach dem von Microsoft empfohlenen AGDLP-Prinzip erlaubt dabei die gesammelte Zuweisung aller Zugriffsrechte für eine bestimmte Geschäftsrolle.
Weitere wichtige Tipps finden Sie in unserem kostenlosen Best Practice Whitepaper!
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.