Active Directory Workshop Teil 2

Serverrollen im Überblick

| Autor / Redakteur: Thomas Joos / Andreas Donner

Ein wichtiger Bestandteil eines Active Directories ist die Vielzahl an Serverdiensten.
Ein wichtiger Bestandteil eines Active Directories ist die Vielzahl an Serverdiensten. (Bild: © profit_image - stock.adobe.com)

Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick.

Wer auf Active Directory setzt, muss natürlich zunächst eine Active-Directory-Domäne aufbauen. Dies erfolgt über die Systemrolle „Active Directory Domänendienste“, die auf einem Server installiert wird. Danach wird die Active-Directory-Gesamtstruktur eingerichtet. Anschließend lassen sich verschiedene Dienste nutzen, die das Verzeichnis für die Authentifizierung der Benutzer und Dienste sowie zur Speicherung der eigenen Konfiguration nutzen.

Domänencontroller und ihre Daten lassen sich schnell und einfach sichern und wiederherstellen. Das ist wichtig, da die Infrastrukturdienste, die Active Directory nutzen, ein stabiles und leistungsstarkes AD benötigen. Mit dem einen oder anderen Tipp aus dem Beitrag "Tipps & Tricks für Windows Server 2016" lassen sich auch komplexe Active Directory-Strukturen aufbauen.

Viele Serverdienste nutzen Active Directory

Viele Microsoft-Dienste nutzen Active Directory, um Benutzer zu authentifizieren, Daten zur Konfiguration zu speichern, oder um Benutzerfunktionen zu erweitern. Durch die Installation von Microsoft Exchange Server werden zum Beispiel die Benutzerattribute um zusätzliche Funktionen für E-Mail und Groupware erweitert (siehe Abbildung 1). Exchange-Funktionen integrieren sich direkt in die Eigenschaften der Benutzer (siehe Abbildung 2).

Active Directory verfügt über ein erweiterbares Schema, das es ermöglicht es, zusätzliche Informationen zu speichern. Diese Funktion wird von Exchange genutzt, aber auch anderen Diensten, wie System Center Configuration Manager. Bei der Installation solcher Dienste wird das Schema von Active Directory um die notwendigen Attribute und Klassen erweitert (siehe Abbildung 3). Allerdings setzen nicht alle Dienste das erweitern des Schemas voraus, wenn Active Directory genutzt werden soll. Nur die Dienste, die mit den Standarddaten in Active Directory nicht zurechtkommen und mehr Daten speichern müssen, erweitern das AD.

Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Der erste installierte Domänencontroller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters (siehe Abbildung 4).

Active Directory-Systemrollen nutzen

Neben Zusatz-Programmen von Microsoft, aber auch von Drittherstellern, nutzen einige Serverdienste von Microsoft ebenfalls Active Directory als Speicherort der Konfiguration oder zum Verwenden von Benutzerinformationen oder zur Authentifizierung. Die Serverrollen stehen über den Server-Manager zur Auswahl (siehe Abbildung 5).

  • Active Directory Lightweight Directory Services
  • Active Directory Domänendienste
  • Active Directory Rechteverwaltungsdienste
  • Active Directory Verbunddienste
  • Active Directory Zertifikatdienste

Active Directory Lightweight Directory Services (Active Directory light)

Bei Active Directory Lightweight Directory Services (ADLDS) handelt es sich um ein mini Active Directory, das unabhängig von Domänencontrollern funktioniert. ADLDS wird zum Beispiel verwendet, wenn ein Verzeichnis notwendig ist, aber keine umfangreichen Funktionen wie in Active Directory benötigt werden. Ein Beispiel für den Einsatz von ADLDS sind Edge-Transport-Server von Microsoft Exchange.

Active Directory Rechteverwaltungsdienste

Beim Active Directory Rechteverwaltungsdienst (Active Directory Rights Management Services, ADRMS (siehe Abbildung 6) handelt es sich um einen Dienst, der die Rechte für Dateien und Dokumente in Active Directory steuern kann (siehe Abbildung 7). Wie bei der Rechteverwaltung, lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen. Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell. Es lassen sich Richtlinien erstellen auf deren Basis Anwender Dokumente nutzen dürfen. Hier kann zum Beispiel gesteuert werden, ob Anwender Dokumente drucken oder per E-Mail versenden dürfen.

Active Directory-Zertifikatdienste – Zertifikate in AD nutzen

Der Einsatz einer internen Zertifizierungsstelle ist in Active Directory nahezu unerlässlich. Viele aktuelle Serversysteme von Microsoft oder auch Drittanbietern benötigen Zertifikate für den Zugriff. Beispiele dafür sind Exchange Server, die Remotedesktopdienste oder auch SharePoint. Aber auch der SQL Server benötigt ein Zertifikat, wenn Verbindungen verschlüsselt werden sollen.

Wer im Unternehmen mit Zertifikaten arbeitet, kann auf die Active Directory Zertifikatdienste setzen (siehe Abbildung 8). Computer und Server, die Mitglied in Active Directory sind, vertrauen automatisch Zertifikaten in den Diensten. Neben der Möglichkeit, Zertifikate über Gruppenrichtlinien zuzuweisen, stellen die Zertifikatdienste auch eine eigene Webseite zur Verfügung, mit denen sich Zertifikate abrufen lassen.

Active Directory-Verbunddienste – Active Directory erweitern

Über Active Directory Verbunddienste (Active Directory Federation Services, ADFS) können Unternehmen eine zentrale Authentifizierungsinfrastruktur aufbauen, die Single-Sign-On-Szenarien zwischen verschiedenen Active-Directory-Gesamtstrukturen bietet, aber auch Benutzer sicher für den Zugriff auf Office 365 und Microsoft Azure authentifiziert (siehe Abbildung 9). In Windows Server 2016 können sich auch Benutzerkonten in ADFS authentifizieren, die nicht aus einem Active Directory kommen. Beispiel dafür sind X.50000-kompatible LDAP-Verzeichnisse oder auch SQL-Datenbanken:

  • AD LDS
  • Apache DS
  • IBM Tivoli DS
  • Novell DS
  • Open LDAP
  • Open DJ
  • Open DS
  • Radiant Logic Virtual DS
  • Sun ONE v6, v7, v11

Passive Authentifizierungsmöglichkeiten wie SAML, OAuth, WS-Trust active authorization protocol und WS-Federation sind ebenfalls möglich.

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

03.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory ist hier eine ideale Lösung. Dieser fünfteilige Workshop zeigt, was Sie wissen müssen. lesen

Planung, Umsetzung und Betrieb eines Domänennetzes

Active Directory Workshop Teil 3

Planung, Umsetzung und Betrieb eines Domänennetzes

07.05.18 - Um ein Domänennetzwerk aufzubauen, sind nur wenige Schritte notwendig. Allerdings lassen sich diese nur sehr schwer rückgängig machen. Vor dem Aufbau eines Active Directory lohnt es sich also, gut zu planen. lesen

Azure AD: das Active Directory für die Cloud

Active Directory Workshop Teil 4

Azure AD: das Active Directory für die Cloud

09.05.18 - Mit Azure AD bietet Microsoft eine Active-Directory-Umgebung für die Cloud. Unternehmen müssen hierzu keinen eigenen Domänencontroller betreiben, können aber dennoch die Benutzerkonten lokaler Active-Directory-Umgebungen mit der Cloud synchronisieren. lesen

Administration von Domänen und AD-Strukturen

Active Directory Workshop Teil 5

Administration von Domänen und AD-Strukturen

14.05.18 - Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänencontroller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänencontroller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45271328 / Management-Software und -Tools)