Active Directory Workshop Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

| Autor / Redakteur: Thomas Joos / Andreas Donner

Active Directory ist auch für kleinere Netze interessant. Unser Workshop zeigt, was ein Domänen-Netzwerk ist und worauf es ankommt.
Active Directory ist auch für kleinere Netze interessant. Unser Workshop zeigt, was ein Domänen-Netzwerk ist und worauf es ankommt. (Bild: © XtravaganT - stock.adobe.com)

Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory ist hier eine ideale Lösung. Dieser fünfteilige Workshop zeigt, was Sie wissen müssen.

Wenn in einem Unternehmensnetzwerk Computer-Nutzern verschiedene Berechtigungsstufen und Zugriffsfreigaben erteilt werden sollen, und diese Benutzer sich zudem mit ihrem persönlichen Benutzernamen und Kennwort an irgendeinem PC im Unternehmen mit ihren individuellen Rechten anmelden können sollen, ist es sinnvoll, diese Benutzer in einem zentralen Verzeichnis abzulegen. Denn in diesem Fall können die Anmeldungen nicht nur zentral überwacht, Benutzereinstellungen gesetzt und Kennwörter verwaltet werden, auch das individuelle Zuteilen von Berechtigungen und die Verwaltung von Gruppenmitgliedschaften kann so an den Benutzernamen gekoppelt und Client-unabhängig gesteuert werden.

Das erleichtert enorm die Verwaltung der Zugriffe auf Ressourcen im Netzwerk und erhöht die Sicherheit deutlich. Die Daten des Verzeichnisdienstes werden auf einem Domänencontroller gespeichert, weshalb mein ein Active-Directory-Netzwerk auch als Domänennetzwerk bezeichnet. Gibt es mehrere Domänencontroller im Netzwerk, replizieren diese ihre Daten untereinander, sodass im Grunde genommen alle Domänencontroller über die gleichen Daten verfügen und damit Redundanz schaffen.

Was ist Active Directory

Einfach ausgedrückt ist Active Directory ein Verzeichnisdienst, in dem Benutzernamen sowie die Namen von Computern, Arbeitsstationen und Servern gespeichert sind. Meldet sich ein Benutzer an, erkennt das Active Directory den Benutzernamen, authentifiziert ihn mit seinem Kennwort und erlaubt ihm die Anmeldung an den Computern, die Mitglied des Active Directorys sind. Administrator-Benutzer dürfen sich zusätzlich auch an Servern anmelden.

Damit eine solche Technik funktioniert, müssen die Daten der Computer sowie die Anmeldedaten der Anwender gespeichert werden. Das geschieht in der Active-Directory-Datenbank, die zwischen den Domänencontrollern repliziert wird. Eine Domäne ist eine Gruppe von Benutzern und Computern in Active Directory. Daher wird auch von einer Active-Directory-Domäne gesprochen.

Innerhalb einer Domäne, die zum Beispiel alle Benutzer einer Niederlassung zusammenfassen kann, können sich Benutzer anmelden und Ressourcen nutzen. Die Daten der Benutzer werden auf den Domänencontrollern gespeichert.

Verschiedene Domänen nutzen

In einer Active-Directory-Gesamtstruktur können mehrere Domänen betrieben und zusammen genutzt werden. Für jede Domäne gibt es eigene Domänencontroller. Berechtigungen lassen sich in allen Domänen der Active-Directory-Gesamtstruktur nutzen und Anwender können sich in allen Domänen anmelden. Verschiedene Domänen stellen dadurch eine Gruppierung eines Unternehmens dar. Viele Unternehmen teilen so zum Beispiel ihre Niederlassungen auf.

Ein Beispiel ist die Active-Directory-Gesamtstruktur „contoso.com“ (siehe Abbildung 1). Dabei handelt es sich um die erste Domäne in der Gesamtstruktur. Wenn ein Unternehmen eine weitere Aufteilung vornehmen will, zum Beispiel nach Abteilungen, kann es eine weitere Domäne mit der Bezeichnung „sales.contoso.com“ aufbauen. Domänen können auch untereinander aufgegliedert werden. So können zum Beispiel verschiedene Städte in der Sales-Abteilung eigene Domänen bekommen, zum Beispiel „dallas.sales.contoso.com“. Die Domäne „Dallas“ ist der Domäne „Sales“ und diese der Domäne „Contoso.com“ untergliedert. In jeder Domäne gibt es eigene Domänencontroller, die aber zu einer Active-Directory-Gesamtstruktur zusammengefasst sind.

In großen Unternehmen kann es innerhalb einer Gesamtstruktur, auch Forest genannt, zwei verschiedene Strukturen, auch Trees genannt, geben. Diese beiden Strukturen sind Teil eines gemeinsamen Verzeichnisses, haben aber zwei verschiedene Namensräume. Im oben genannten Beispiel (siehe Abbildung 1) sind das die beiden Strukturen (Trees) „microsoft.com“ und „contoso.com“, die Bestandteil der Active Directory-Gesamtstruktur „contoso.com“ sind. In dieser Gesamtstruktur gibt es die Domänen:

  • Microsoft.com
  • De.microsoft.com
  • Contoso.com
  • Sales.contoso.com
  • Dallas.contoso.com

Zwischen den verschiedenen Domänen lassen sich auch Berechtigungen delegieren. So kann zum Beispiel eine Gruppe, also ein Verbund verschiedener Benutzerkonten, aus der Domäne „contoso.com“ das Recht erhalten, auf eine Freigabe eines Servers zuzugreifen, der Mitglied der Domäne „de.microsoft.com“ ist. Um auf eine Dateifreigabe eines Servers zuzugreifen, muss ein Benutzer sich mit einem Konto anmelden, das über die entsprechenden Berechtigungen verfügt (siehe Abbildung 2).

Das wird durch das Active Directory gesteuert – genauer, durch die Domänencontroller der jeweiligen Domäne (siehe auch Abbildung 3). Die Domänencontroller und ihre Daten lassen sich darüber hinaus auch schnell und einfach sichern und wiederherstellen.

Konkreter Nutzen eines Active Directory

Auch für kleine Unternehmen ist der Einsatz von Active Directory sinnvoll. So lassen sich die Benutzernamen und Kennwörter definieren, mit denen die Benutzer sich an ihren PCs anmelden. Gibt es gemeinsame Datenfreigaben, dann können Unternehmen mit Berechtigungen arbeiten und den Benutzerkonten Rechte für die Freigabe zuteilen. Außerdem lassen sich zentrale Sicherheitsrichtlinien vorgeben und Skripte definieren. Meldet sich ein Benutzer an seinem Computer an, erhält er dadurch automatisch Zugriff auf die Dateifreigaben, die er benötigt, und das genau mit den Rechten, die er braucht. Dadurch können Mitarbeiter im Team arbeiten und die Daten werden durch granulare Berechtigungen geschützt.

Häufig unterstützen viele Serveranwendungen wie E-Mail, CRM/ERP und andere Lösungen die Authentifizierung über Active Directory. Dazu gehören auch Datenbank-Server wie Microsoft SQL-Server sowie die meisten bis alle anderen Microsoft-Lösungen für Unternehmen. Melden sich Benutzer an ihrem PC an, können Sie damit auf alle Ressourcen zugreifen, ohne sich erneut anmelden zu müssen. Das erleichtert die Arbeit der Anwender, die sich zudem auch nicht verschiedene Benutzernamen und Kennwörter merken müssen.

Auch Drucker lassen sich in den meisten Fällen an Active Directory anbinden. Mit etwas Konfiguration können sogar die Anwendungen automatisch über Richtlinien installiert werden, wenn sich ein Anwender an seinem PC anmeldet. Das entlastet das IT-Personal. Mit dem einen oder anderen Tipp aus dem Beitrag „Tipps & Tricks für Windows Server 2016“ lassen sich auch komplexe Active Directory-Strukturen aufbauen.

Auch kleine Unternehmen profitieren

Microsoft bietet Active Directory auch für sehr kleine Unternehmen an. Mit Windows Server 2016 Essentials bspw. erhalten Unternehmen einen zentralen Server inklusive Active Directory. Hier sind auch die Verwaltungstools sehr einfach (siehe Abbildung 4) und erlauben die Anbindung von wenigen Benutzern an ein Active Directory, inklusive der sehr einfachen Steuerung der Freigaben und Berechtigungen im Netzwerk (siehe Abbildung 5). Die Daten der Anwender werden ebenfalls auf dem Server mit Windows Server 2016 Essentials gespeichert, der auch als Domänencontroller fungiert.

Serverrollen im Überblick

Active Directory Workshop Teil 2

Serverrollen im Überblick

04.05.18 - Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick. lesen

Planung, Umsetzung und Betrieb eines Domänennetzes

Active Directory Workshop Teil 3

Planung, Umsetzung und Betrieb eines Domänennetzes

07.05.18 - Um ein Domänennetzwerk aufzubauen, sind nur wenige Schritte notwendig. Allerdings lassen sich diese nur sehr schwer rückgängig machen. Vor dem Aufbau eines Active Directory lohnt es sich also, gut zu planen. lesen

Azure AD: das Active Directory für die Cloud

Active Directory Workshop Teil 4

Azure AD: das Active Directory für die Cloud

09.05.18 - Mit Azure AD bietet Microsoft eine Active-Directory-Umgebung für die Cloud. Unternehmen müssen hierzu keinen eigenen Domänencontroller betreiben, können aber dennoch die Benutzerkonten lokaler Active-Directory-Umgebungen mit der Cloud synchronisieren. lesen

Administration von Domänen und AD-Strukturen

Active Directory Workshop Teil 5

Administration von Domänen und AD-Strukturen

14.05.18 - Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänencontroller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänencontroller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45271320 / Management-Software und -Tools)