Suchen

Active Directory Workshop Teil 2 Serverrollen im Überblick

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick.

Firmen zum Thema

Ein wichtiger Bestandteil eines Active Directories ist die Vielzahl an Serverdiensten.
Ein wichtiger Bestandteil eines Active Directories ist die Vielzahl an Serverdiensten.
(Bild: © profit_image - stock.adobe.com)

Wer auf Active Directory setzt, muss natürlich zunächst eine Active-Directory-Domäne aufbauen. Dies erfolgt über die Systemrolle „Active Directory Domänendienste“, die auf einem Server installiert wird. Danach wird die Active-Directory-Gesamtstruktur eingerichtet. Anschließend lassen sich verschiedene Dienste nutzen, die das Verzeichnis für die Authentifizierung der Benutzer und Dienste sowie zur Speicherung der eigenen Konfiguration nutzen.

Domänencontroller und ihre Daten lassen sich schnell und einfach sichern und wiederherstellen. Das ist wichtig, da die Infrastrukturdienste, die Active Directory nutzen, ein stabiles und leistungsstarkes AD benötigen. Mit dem einen oder anderen Tipp aus dem Beitrag "Tipps & Tricks für Windows Server 2016" lassen sich auch komplexe Active Directory-Strukturen aufbauen.

Bildergalerie
Bildergalerie mit 9 Bildern

Viele Serverdienste nutzen Active Directory

Viele Microsoft-Dienste nutzen Active Directory, um Benutzer zu authentifizieren, Daten zur Konfiguration zu speichern, oder um Benutzerfunktionen zu erweitern. Durch die Installation von Microsoft Exchange Server werden zum Beispiel die Benutzerattribute um zusätzliche Funktionen für E-Mail und Groupware erweitert (siehe Abbildung 1). Exchange-Funktionen integrieren sich direkt in die Eigenschaften der Benutzer (siehe Abbildung 2).

Active Directory verfügt über ein erweiterbares Schema, das es ermöglicht es, zusätzliche Informationen zu speichern. Diese Funktion wird von Exchange genutzt, aber auch anderen Diensten, wie System Center Configuration Manager. Bei der Installation solcher Dienste wird das Schema von Active Directory um die notwendigen Attribute und Klassen erweitert (siehe Abbildung 3). Allerdings setzen nicht alle Dienste das erweitern des Schemas voraus, wenn Active Directory genutzt werden soll. Nur die Dienste, die mit den Standarddaten in Active Directory nicht zurechtkommen und mehr Daten speichern müssen, erweitern das AD.

Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Der erste installierte Domänencontroller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters (siehe Abbildung 4).

Active Directory-Systemrollen nutzen

Neben Zusatz-Programmen von Microsoft, aber auch von Drittherstellern, nutzen einige Serverdienste von Microsoft ebenfalls Active Directory als Speicherort der Konfiguration oder zum Verwenden von Benutzerinformationen oder zur Authentifizierung. Die Serverrollen stehen über den Server-Manager zur Auswahl (siehe Abbildung 5).

  • Active Directory Lightweight Directory Services
  • Active Directory Domänendienste
  • Active Directory Rechteverwaltungsdienste
  • Active Directory Verbunddienste
  • Active Directory Zertifikatdienste

Active Directory Lightweight Directory Services (Active Directory light)

Bei Active Directory Lightweight Directory Services (ADLDS) handelt es sich um ein mini Active Directory, das unabhängig von Domänencontrollern funktioniert. ADLDS wird zum Beispiel verwendet, wenn ein Verzeichnis notwendig ist, aber keine umfangreichen Funktionen wie in Active Directory benötigt werden. Ein Beispiel für den Einsatz von ADLDS sind Edge-Transport-Server von Microsoft Exchange.

Active Directory Rechteverwaltungsdienste

Beim Active Directory Rechteverwaltungsdienst (Active Directory Rights Management Services, ADRMS (siehe Abbildung 6) handelt es sich um einen Dienst, der die Rechte für Dateien und Dokumente in Active Directory steuern kann (siehe Abbildung 7). Wie bei der Rechteverwaltung, lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen. Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell. Es lassen sich Richtlinien erstellen auf deren Basis Anwender Dokumente nutzen dürfen. Hier kann zum Beispiel gesteuert werden, ob Anwender Dokumente drucken oder per E-Mail versenden dürfen.

Bildergalerie
Bildergalerie mit 9 Bildern

Active Directory-Zertifikatdienste – Zertifikate in AD nutzen

Der Einsatz einer internen Zertifizierungsstelle ist in Active Directory nahezu unerlässlich. Viele aktuelle Serversysteme von Microsoft oder auch Drittanbietern benötigen Zertifikate für den Zugriff. Beispiele dafür sind Exchange Server, die Remotedesktopdienste oder auch SharePoint. Aber auch der SQL Server benötigt ein Zertifikat, wenn Verbindungen verschlüsselt werden sollen.

Wer im Unternehmen mit Zertifikaten arbeitet, kann auf die Active Directory Zertifikatdienste setzen (siehe Abbildung 8). Computer und Server, die Mitglied in Active Directory sind, vertrauen automatisch Zertifikaten in den Diensten. Neben der Möglichkeit, Zertifikate über Gruppenrichtlinien zuzuweisen, stellen die Zertifikatdienste auch eine eigene Webseite zur Verfügung, mit denen sich Zertifikate abrufen lassen.

Active Directory-Verbunddienste – Active Directory erweitern

Über Active Directory Verbunddienste (Active Directory Federation Services, ADFS) können Unternehmen eine zentrale Authentifizierungsinfrastruktur aufbauen, die Single-Sign-On-Szenarien zwischen verschiedenen Active-Directory-Gesamtstrukturen bietet, aber auch Benutzer sicher für den Zugriff auf Office 365 und Microsoft Azure authentifiziert (siehe Abbildung 9). In Windows Server 2016 können sich auch Benutzerkonten in ADFS authentifizieren, die nicht aus einem Active Directory kommen. Beispiel dafür sind X.50000-kompatible LDAP-Verzeichnisse oder auch SQL-Datenbanken:

  • AD LDS
  • Apache DS
  • IBM Tivoli DS
  • Novell DS
  • Open LDAP
  • Open DJ
  • Open DS
  • Radiant Logic Virtual DS
  • Sun ONE v6, v7, v11

Passive Authentifizierungsmöglichkeiten wie SAML, OAuth, WS-Trust active authorization protocol und WS-Federation sind ebenfalls möglich.

Active Directory im Fokus
Bildergalerie mit 37 Bildern

(ID:45271328)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist