Mobile-Menu

Grundlagen Domain Networking Microsoft-Verzeichnisdienste im Überblick

Von Thomas Bär 5 min Lesedauer

Anbieter zum Thema

Funktionen und Dienste gezielt Gruppen und Organisationen zur Verfügung zu stellen und Rechte und Zugriffe zu managen – das sind die Wesensmerkmale der Active Directories, von denen Microsoft nunmehr unterschiedliche Ausprägungen bietet.

Der Microsoft-Verzeichnisdienst Active Directory ist ab etwa einem Dutzend Clients Pflicht für jedes Netzwerk. Wir zeigen, was den Dienst ausmacht und für was er taugt.(Bild:  © Miha Creative - stock.adobe.com)
Der Microsoft-Verzeichnisdienst Active Directory ist ab etwa einem Dutzend Clients Pflicht für jedes Netzwerk. Wir zeigen, was den Dienst ausmacht und für was er taugt.
(Bild: © Miha Creative - stock.adobe.com)

Gern stellt sich die Frage, ob eine Computerdomäne überhaupt erforderlich ist. Wer in einer Bürogemeinschaft mit drei Personen zusammenarbeitet, kann dies mit den vielen Möglichkeiten des Datenaustauschs über E-Mails, lokale Dateifreigaben oder Online-Speicher auch gut hinbekommen. Jeder Computerbenutzer ist für seinen Computerarbeitsplatz in einem solchen Szenario in der Regel selbst komplett verantwortlich und verfügt meist über sehr hohe Rechte, was die Installation von Software oder Änderungsmöglichkeiten an den Einstellungen angeht.

Was mit weniger als einem Dutzend Benutzer noch recht gut funktionieren mag, ist ab einer größeren User-Anzahl aber immer schwieriger steuerbar. Insbesondere, wenn die beteiligten Personen weniger Computer-affin sind oder unterschiedliche Zugriffsrechte nötig sind, ist der lose Computerverbund, der im Zusammenspiel mit Microsoft Windows als „Arbeitsgruppe“ oder „Workgroup“ bezeichnet wird, nicht mehr das Mittel der Wahl.

Bildergalerie

Sobald sich Anwender an verschiedenen Computern anmelden und überall die ihnen bekannte Arbeitsumgebung benötigen, die Bereitstellung von Ressourcen gezielt und zentral verwaltet werden soll und eine feine Abstufung von Zugriffsrechten nicht mehr nur auf Personenbasis, sondern über einer Zuordnung von Personen zu Gruppen geschieht, ist der Moment erreicht, indem IT-Profis den Verzeichnisdienst ins Spiel bringen.

Ein Verzeichnisdienst ist ein System, das Informationen über Netzwerkressourcen, beispielsweise Computer, Benutzer, Drucker oder Dateien speichert und verwaltet. Ein Verzeichnisdienst bietet eine zentrale Datenbank, die es Benutzern und Systemen ermöglicht, schnell und einfach auf Netzwerkressourcen zuzugreifen.

In der Regel verwenden IT-Profis Verzeichnisdienste, um Informationen über Benutzer und deren Berechtigungen auf Ressourcen zentral zu speichern. Dadurch wird es Administratoren ermöglicht, Benutzerkonten und Zugriffsrechte zu verwalten und zu kontrollieren. Der Verzeichnisdienst der Firma Microsoft nennt sich Active Directory. Es gibt mit OpenLDAP für Linux/Unix, dem Novell eDirectory und dem Apple Open Directory aber auch weitere Verzeichnisdienste.

Elementare Bestandteile des lokalen AD

Eine Active Directory-Domäne (AD) ist eine logische Gruppierung von Computern, Benutzern und Ressourcen, die zentral verwaltet wird. Jede Domäne hat einen eindeutigen Namen und eine Hierarchie von Organisationseinheiten (OU), die die Benutzer, Gruppen und Computer enthalten.

Um einen Verzeichnisdienst wie Microsoft Active Directory zu verwenden, ist grundsätzlich ein Domänencontroller zwingend erforderlich. Der abgekürzt als DC bezeichnete Server ist die Maschine, die das Active Directory verwaltet und die Benutzerkonten, Gruppenrichtlinien und andere Netzwerkdienste bereitstellt.

Ein AD besteht aus einer weiteren Reihe von funktionalen Bestandteilen, die sehr eng miteinander verknüpft sind. Der Active-Directory-Domänendienst (AD DS) ist der Kerndienst des Active Directory, der die Sicherheit und Authentifizierung in einer Domäne bereitstellt. AD DS verwaltet die Benutzer- und Gruppenkonten, die Computeridentitäten, die Gruppenrichtlinien und andere Objekte im Active Directory.

Im Zusammenspiel mit dem AD sind Gruppenrichtlinien unverzichtbar. Gruppenrichtlinien sind eine Möglichkeit, Richtlinieneinstellungen auf Benutzerkonten, Gruppen oder Computern anzuwenden. Gruppenrichtlinien können Administratoren nutzen, um Sicherheitseinstellungen, Desktop- und Startmenükonfigurationen, Netzwerkeinstellungen und andere Einstellungen zentral zu verwalten.

Gruppenrichtlinien wirken sich auf verschiedene Objekte in einem Active Directory aus. Und typischerweise auch auf die verschiedenen Sicherheitsprinzipale wie Benutzerkonten, Gruppen, Computerkonten und Dienstkonten. Aber nicht nur Gruppenrichtlinien können auf diese Objekte einwirken, Administratoren vergeben auch ganz klassisch über Sicherheitsidentitäten Zugriffsrechte auf diese Ressourcen im Netzwerk.

Plastisch dargestellt ist es über das Zusammenwirken möglich, festzulegen, dass sich ein Mitarbeiter zu einer bestimmten Zeit an einem Computer anmelden kann und welche Daten er einsehen kann. An einem anderen PC, beispielsweise einem Laptop angemeldet, ist der Datenzugriff für denselben Benutzer beispielsweise anders als an dem Computer im Unternehmensgebäude. Damit ein solches Szenario funktioniert, müssen die Computer der Domäne beigetreten sein und auch der Benutzer muss der Domäne bekannt sein.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Wichtig zu wissen: Ohne eine funktionierende Namensauflösung arbeitet ein Active Directory nicht richtig. Der für die Namensauflösung zuständige DNS-Server, der die Host-Namen von und in IP-Adressen übersetzt, ist daher eine zwingend erforderliche Ressource.

AAD – oder das teilweise AD

In einer Zeit, in der sich Cloud-Techniken immer weiterentwickeln und immer mehr Dienste direkt über Serversysteme zur Anwendung kommen, die über das Internet erreichbar sind, wirkt das lokal installierte und betriebene Active Directory möglicherweise etwas altbacken. Microsoft als Hersteller von Windows und dem Active Directory bietet mit Microsoft Azure auch eine erfolgreiche und etablierte Cloud-Plattform an und wird auch nicht müde, der Welt zu erklären, dass einzig dies die richtige Zukunftstechnologie ist. Wahrlich, die Möglichkeiten, die sich im Zusammenspiel mit der Cloud ergeben, sind beeindruckend und vielfältig.

Stand heute ist häufig nur die Kombination aus einem on-premises eingerichteten Active Directory und dem Cloud-Dienst wirklich die zielführende Variante. Und Windows Server, die als virtuelle Maschinen in einer Azure- oder AWS-Umgebung durch den Administrator betrieben werden, sind zwar faktisch Cloud-Ressourcen, jedoch eher in der Ausprägung Infrastructure as a Service (IaaS).

Aber auch ohne einen dedizierten Domänencontroller ist im Azure-Umfeld ein Hauch von Verzeichnisdienstfunktionalität zu haben. Das mit AAD abgekürzte System „Azure Active Directory“ ist ein cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst und steuert alle Zugriffe innerhalb von Azure, um beispielweise den Ressourcenzugriff gezielt einzuschränken. Passenderweise heißt eine Azure Active Directory Instanz von Microsoft „Tenant“, was so viel wie Mieter heißt.

Praktischerweise kann ein Administrator ein AAD mit einem lokalen Active Directory verbinden. Hierbei kommt es zu einem Abgleich von den Anmeldedaten zwischen AD und dem Cloud-Service. Sobald ein Benutzer, ob im privaten Umfeld oder geschäftlich, einen Cloud-Dienst von Microsoft verwendet, nutzt dieser Anwender auch ein Azure Active Directory.

Das AAD ist aber kein „echtes Active Directory“, sondern ein leistungsreduziertes Identitäts- und Anmeldesystem. Essenzielle Komponenten, die Administratoren aus dem AD-Bereich kennen und nutzen, sind im AAD nicht vorhanden. Diese fehlenden Strukturen wären beispielsweise Organisationseinheiten (OUs) und Computerobjekte.

AADS – Modernes Verzeichnis

Erst durch die Verwendung der Azure Active Directory Services stehen auch diese Elemente zur Verfügung. Neben dem im Leistungsumfang reduzierten AAD existiert ein weiterer Plattformdienst, der ein klassisches Active Directory auf Azure-Ebene bereitstellt. Hat ein Administrator virtuelle Maschinen in Azure im Einsatz, ohne dass ein Domänencontroller explizit implementiert werden soll, kann er stattdessen die Active Directory Domain Services (ADDS) verwenden. ADDS bietet letztendlich alle Funktionen eines ADs als wäre ein DC auf einer virtuellen Maschine installiert.

Praktischerweise bietet Microsoft mit AzureAD Connect eine kostenfreie Software an, mit der ein lokal betriebenes Active Directory mit einem Azure AD synchronisiert werden kann. Administratoren haben mit dem Programm die Möglichkeit festzulegen, ob nur einzelne OUs im lokalen Verzeichnis mit dem Cloud-Dienst abgeglichen werden oder alle Daten.

Letztendlich, und das ist unübersehbar, verschmelzen die lokalen und Cloud-basierten Verzeichnisdienstfunktionen zunehmend und es ist nur eine Frage der Zeit, bis die primäre Anwendung den Internet-Diensten zufällt. Dennoch ist es immer noch möglich, seine Verwaltungsumgebung weitgehend abgetrennt vom Internet zu betreiben, wenn beispielsweise hohe Sicherheitsanforderung einen solchen Schritt erfordern.

Active Directory im Fokus
Bildergalerie mit 71 Bildern

(ID:49308994)