Active Directory: Der Microsoft Verzeichnisdienst erklärt
Mit dem Microsoft Active Directory für Windows-Netzwerke lassen sich firmeninterne IT-Ressourcen zentral verwalten, Rechte- und Richtlinien bearbeiten und diverse Dienste überwachen. Wir erklären, was es mit dem Verzeichnisdienst auf sich hat und wie das AD von Windows funktioniert.
- Inklusive Wildcard-SSL-Zertifikat
- Inklusive Domain Lock
- Inklusive 2 GB E-Mail-Postfach
Active Directory: Definition
Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst für Windows-Netzwerke. Das AD spielt für Unternehmen mit komplexen IT-Ressourcen, Benutzerrechten und hierarchischen Arbeitsgruppen eine wichtige Rolle: Im Grunde kann man sich das Active Directory als Adress- und Telefonbuch vorstellen, nur mit viel mehr Möglichkeiten für Administratoren, gespeicherte Benutzer- und Objektdaten zu verwalten, zu bearbeiten, abzufragen und zu strukturieren. Die IT-Struktur einer Organisation lässt sich mithilfe des Verzeichnisdienstes in sogenannte Domänen gliedern und damit übersichtlich nachbilden.
Aufgabe und Funktion des Active Directory
Wie das Active Directory in Servern von Windows-Netzwerken funktioniert und welche Aufgaben es erfüllt, lässt sich am besten an einem Beispiel veranschaulichen: Stellen Sie sich ein großes Unternehmen mit 150 Mitarbeitern vor. Alle Mitarbeiter sind auf Bestandteile der firmeninterne IT-Infrastruktur wie Benutzerkonten, Drucker, Scanner und Rechtefreigaben auf Rechnern in verschiedenen Arbeitsgruppen angewiesen. Um die Verwaltung der IT-Ressourcen nicht für jeden Arbeitsplatz einzeln vorzunehmen, kann das Active Directory Unternehmensstrukturen abbilden, Benutzer- und Objektdaten speichern und Rechtefreigaben zentral verwalten und verteilen.
So muss zum Beispiel eine Passwortänderung nicht auf jedem Gerät vorgenommen werden, sondern nur einmal im AD. Auch System-Updates und -Upgrades lassen sich auf diese Weise zentral durchführen. Die AD-Verwaltung und der schreibende Zugriff auf IT-Ressourcen liegt in den Händen der Systemadministratoren. Zu den Aufgaben des Microsoft Active Directory zählen:
- Hierarchische Gliederung und Abbildung der internen IT-Ressourcen, Benutzer und Objekte (Hardware, Software, Benutzerrollen und Netzwerkbestandteile/-geräte/-dienste)
- Verwaltung und Strukturierung von Speicherplatz
- Freigabe und Sperrung von Zugriffs- und Anwendungsrechten (z.B. auf Verzeichnisse und Dienste)
- Sicherung und Schutz des Unternehmensnetzwerks
Nutzen Sie für Ihr Unternehmen die Vorteile das Windows Active Directory mit Microsoft 365 von IONOS inklusive aller Windows-Dienste.
Grundlegender Aufbau des AD in Windows-Netzwerken
Ein Active Directory besteht grundsätzlich aus drei zentralen Komponenten: Schema, Konfiguration und Domäne. Das Herzstück bilden dabei Domänen, die alle wichtigen Informationen zu IT-Ressourcen und Nutzern enthalten und das Netzwerk abbilden. Ebenso wichtig für die Gesamtstruktur sind die Datenbank und ihre Objekte. Wir werfen im Folgenden einen Blick auf die einzelnen Komponenten.
Schema
Wie der Name andeutet, dient das AD-Schema als eine Schablone für die benötigten und erlaubten Klassifikationen und Typen von AD-Einträgen. Dazu zählen Objekte samt Attributen, Klassen und die Syntax von Attributen. Das Schema legt mithilfe von Definitionen fest, welche Objekte im Netzwerk verfügbar sind bzw. verfügbar gemacht werden können.
Konfiguration
Während das Schema die möglichen Inhalte definiert, bildet die AD-Konfiguration die Struktur des Active Directory und aller enthaltener Objekte, Benutzerrollen und Freigaben ab. Dazu zählen unter anderem vorhandene Domänen, die Arbeitsgruppen im Rechnernetz untergliedern. Domänenspezifische Inhalte und Informationen sind wiederum nur über interne Domänencontroller der jeweiligen Domain verfügbar. Diese enthalten einen globalen Katalog mit allen wichtigen Informationen und Teilinformationen zum Schema, zur Konfiguration und zu anderen Domänen im selben Netzwerk. Mithilfe des globalen Katalogs lassen sich somit domänenübergreifend wichtige Teilinformationen suchen und abrufen.
Domäne
Domänen bilden im Active Directory die Grundlage für die hierarchische Strukturierung der Objekte, Arbeitsgruppen und Benutzer, die von Administratoren verwaltet werden. Ähnlich wie Verzeichnisse und Unterverzeichnisse enthält eine Domäne alle Informationen zu Objekten und Attributen, die nur die Domäne betreffen. Domänenspezifische Informationen lassen sich nur von anderen Domänen aufrufen, wenn diese im globalen Katalog enthalten sind. Alle weiteren Information sind nur auf den internen Domänencontroller verfügbar. Eine Domäne dient somit als wichtiges Strukturierungselement, das Verwaltungs- und Netzwerkeinheiten in Form von tatsächlichen Bereichen, Arbeitsgruppen und Abteilungen abgrenzt und Berechtigungen hierarchisch gliedert. Domänennamen werden wie bei klassischen DNS-Servern vergeben.
Datenbank und Objekte
Die Datenbank des Active Directory basiert ähnlich wie bei einem Microsoft Exchange Server auf der Microsoft Jet Engine. Sie ist objektbasiert und hierarchisch aufgebaut. Die Objekte stehen für die jeweiligen Datensätze sowie für Gruppenrichtlinien für IT-Ressourcen. Ihre Eigenschaften heißen Attribute und ihre Typen sind dementsprechend definiert. Unterteilt werden Objekte in die Kategorien „Konten“ (z.B. dienst- und benutzerbezogene Konten für Mitarbeiter, Gruppen oder Geräte) und „Ressourcen“ (z.B. Freigaben für Anwendungen und Dienste).
Objekte wiederum unterscheidet man in „Container“, die weitere vor- oder selbstdefinierte Objekte enthalten und „Nicht-Container“, die keine weiteren Objekte enthalten und auch Endknoten/Leaf heißen.
Vier wichtige technische AD-Komponenten
Um die einheitliche Kommunikation zwischen Computern, Anwendungen, Diensten, AD-Verzeichnissen und Domänen zu ermöglichen, kommen vier zentrale Standards zum Einsatz:
- LDAP (Lightweight Directory Access Protocol): Protokoll für einheitliche Anfragen an Active-Directory-Verzeichnisse
- Kerberos-Protokoll: Protokoll für zentrale, einheitliche Authentifizierung und Zugriffsreche von Benutzern in AD-Servern
- SMB (Server Message Block): Protokoll für Zugriffsrechte wie Gruppenrichtlinien oder Log-in-Skripte auf Dateien im AD-Netzwerk und auf Servern
- DNS (Domain Name System): System für die einheitliche Adressierung von Computernamen und Domänen im Active Directory
So funktioniert Hierarchie im Active Directory
Wer nur einen kurzen Blick darauf wirft, sieht das Active Directory vor lauter Bäumen nicht. Was nach schlechtem Wortwitz klingt, ist tatsächlich so, denn die Gesamtstruktur des AD nennt sich forest (dt. Wald) und kann mehrere trees (dt. Bäume) in Form von Stammdomänen und Unterdomänen eines DNS-Raums enthalten. Als unterste Einheit gelten Container, die in Domänen organisiert sind. Zusammengeschlossene Domänen bilden die Organisationsstruktur und Ressourcen des Unternehmens ab, können jedoch auch unabhängig von physischen und logischen Unternehmensstrukturen konfiguriert werden. So lassen sich in einer Domäne mehrere Standorte vereinen oder an einem Standort verschiedenen Domänen verwalten.
Für alle AD-Nutzer abrufbare Informationen sind
- das Schema,
- die Konfiguration
- und Domäneninformationen im globalen Katalog.
Auf domänenspezifische Daten lässt sich hingegen nur über die bereits erwähnten internen Domänencontroller zugreifen. Eine Domäne hat dabei meist zwei Controller, die durch Multimaster-Replikation, also Backupcontroller und AD-Kopien, Datenverlust verhindern.
Nutzerrechte, Domänen und Domänencontroller werden vom zuständigen Administrator organisiert und konfiguriert.
Vorteile des Active Directory
Die Vorteile des Active Directory für komplexe Windows-Netzwerke in Unternehmen im Überblick:
- Zentrale Verwaltung und Konfiguration von Freigaben, Rechten und Richtlinien für Nutzer, Gruppen, Dienste und Anwendungen
- Schutz vor Ausfällen und Datenverlust durch Multimaster-Replikation innerhalb der Domänenstruktur
- Abbildung und zentrale Konfiguration der Organisationsstruktur von Windows-Rechnernetzen
- Flexible Erweiterung und Skalierung der Domänenstrukturen
- Informationsschutz durch hierarchische Abgrenzung zwischen Bereichen, Abteilungen und Arbeitsgruppen mit unterschiedlichen Zugriffsrechten
- Kompatibilität mit weiteren Verzeichnisdiensten
- Kosten- und Aufwandsreduzierung durch zentralisierte Administration
- Daten zentral speichern, teilen und bearbeiten
- Serverstandort Deutschland (ISO 27001-zertifiziert)
- Höchste Datensicherheit im Einklang mit der DSGVO