Definition

Was ist ein Active Directory?

| Autor / Redakteur: Stefan Luber / Andreas Donner

(© aga7ta - Fotolia)

Beim Active Directory handelt es sich um einen Verzeichnisdienst von Microsoft für Windows-Netzwerke. Das Active Directory ermöglicht es, die Struktur einer Organisation nachzubilden und die Verwendung von Netzwerkressourcen oder -objekten zentral zu verwalten.

Das Active Directory (AD) ist als Verzeichnisdienst eine der zentralen Komponenten zur Verwaltung von Windows-basierten Netzwerken. Im Verzeichnis sind die verschiedenen Geräte und Ressourcen eines Netzwerks inklusive ihrer Attribute gespeichert.

Mit Hilfe des Active Directories lässt sich die Struktur des Netzwerks mit seinen angeschlossenen Geräten der Struktur einer Organisation nachbilden. Einzelne Unternehmensbereiche sind über so genannte Domänen voneinander abgegrenzt.

Die Domänen können hierarchisch gegliedert sein. Über das Active Directory kann nach bestimmten Geräten oder Attributen gesucht werden. Dem Administrator ermöglicht das AD die zentrale Verwaltung der Benutzerrechte für einzelne Geräte oder Objekte. Netzwerkressourcen lassen sich für Anwender freischalten oder sperren. Schreibenden Zugriff auf den Verzeichnisdienst erhalten daher in der Regel nur die Administratoren des Netzwerks.

Zu den administrierbaren Ressourcen zählen unter anderem Speicherplatz, Zugriffsrechte auf Verzeichnisse, Nutzungsrechte von Anwendungen, Netzwerkdrucker, Peripheriegeräte und andere Netzwerkdienste.

Aufbau eines Active Directories

Ein Active Directory kann in drei grundlegende Komponenten aufgeteilt werden. Diese drei Komponenten sind:

  • das Schema
  • die Konfiguration
  • die Domäne

Das Schema bildet eine Art Schablone, die für alle Einträge im Verzeichnis Anwendung findet. Im Schema sind die Objekttypen, die Klassen, die Attribute und die Syntax der Attribute definiert. So ist es beispielsweise möglich, über den Objekttyp festzulegen, welche Objekte in das Verzeichnis aufgenommen werden.

Die Struktur des Active Directories ist in der Konfiguration zu finden. Die Domäne beinhaltet alle sie selbst und ihre Objekte beschreibenden Informationen. Diese Informationen sind für die Domäne spezifisch und daher nur auf den Domänencontrollern innerhalb der Domäne verfügbar. Schema und Konfiguration sind auf den Domänencontrollern der Gesamtstruktur vorhanden.

Die Datenbank des Verzeichnisdienstes arbeitet objektbasiert und ist hierarchisch aufgebaut. Die einzelnen Datensätze in der Datenbank werden als Objekte bezeichnet. Ihre Eigenschaften sind die Attribute. Je nach Typ des Objekts kann es unterschiedliche Attribute besitzen. Die Eindeutigkeit der Objekte ist über ihren Namen definiert.

Auch Gruppenrichtlinien lassen sich im Active Directory als Objekte speichern. Grundsätzlich besteht eine Unterteilung der Objekte in zwei Kategorien. Diese Kategorien sind die Konten und die Ressourcen. Zu den Ressourcen zählen beispielsweise Drucker- oder Dateifreigaben. Konten umfassen Computer-, Benutzer- oder Gruppenkonten.

Die einzelnen Objekte sind in Organisationseinheiten (Containern) abgelegt. Es können sowohl vordefinierte Container als auch über Subeinheiten erstellte Container verwendet werden. Eigenschaften eines Containers sind an untergeordnete Objektcontainer vererbbar. Die beschriebenen Eigenschaften des Verzeichnisdienstes erlauben es, Netzwerke nach logischen Strukturen flexibel und hierarchisch zu gliedern.

Die Netzwerkdomäne und der Domänencontroller

Die Nachbildung der Organisationsstruktur erfolgt über Domänen. Eine Domäne ist ein organisatorisch abgetrennter Netzbereich, in dem gleiche Sicherheitseinstellungen und -richtlinien gelten. Innerhalb der Domäne sind nur sie selbst betreffende Informationen gespeichert, die nicht auf andere Domänen übertragen werden.

Der Administrator vergibt die Rechte der Benutzer oder der Gruppen und legt einen eindeutigen Namen für die Domäne fest. Die Namen der Domänen basieren auf den Konventionen des Domain Name Systems (DNS). Die Netzwerkdomäne, von der alle anderen untergeordneten Domänen ausgehen, nennt sich Stammdomäne. Jede der Stammdomäne untergeordnete Domain besitzt in ihrem Namen den Namensteil der Stammdomäne. Die Gesamte Struktur kann völlig unabhängig von vorhandenen logischen oder physischen Strukturen aufgebaut sein. Sie ist weder an die Architektur des Netzwerks noch an die Standorte der Netzobjekte gebunden.

Eine Netzwerkdomäne kann mehrere Standorte aufnehmen. Gleichzeitig ist es möglich, an einem einzigen Standort mehrere Domänen zu konfigurieren. In der Regel bildet die Domain einzelne Abteilungen, Bereiche oder Arbeitsgruppen innerhalb des Unternehmens ab. Für die jeweilige Domäne übernimmt der Domänencontroller wichtige Funktionen.

Dabei handelt es sich um einem Server, der vom Administrator zum Domänencontroller erklärt wurde. Er stellt den Usern und Rechnern den Verzeichnisdienst Active Directory zur Verfügung und ist zum Anmelden, Authentifizieren oder zur Suche von Ressourcen und Objekten zu kontaktieren. Da bei einem Ausfall des Domänencontrollers wichtige Funktionen innerhalb der Domain wie das Anmelden der Benutzer nicht mehr möglich sind, sind in der Regel mindestens zwei Domänencontroller pro Netzwerkdomäne vorhanden. Nur so lässt sich eine hohe Verfügbarkeit der Netzwerkservices sicherstellen.

Replikation in der Domänenstruktur

Die Replikation der Daten des Domänencontrollers verhindert, dass es beim Ausfall eines Controllers zu Datenverlust oder Funktionseinschränkungen kommt. Noch unter Windows NT war es üblich, dass nur der Primary Domain Controller (PDC) Änderungen an der Datenbank vornehmen durfte. Die anderen Controller (Backup Domain Controller, BDC) hielten eine Sicherungskopie und konnten bei Bedarf zum Primary Controller gemacht werden.

Das Active Directory nutzt seit Windows 2000 die so genannte Multimaster-Replikation zwischen den Controllern. Die Datenbanken werden dabei in regelmäßigen Abständen repliziert und jedes Replikat ist beschreibbar. Alle Domänencontroller besitzen im Gegensatz zu Windows NT eine aktuelle, beschreibbare Kopie des Active Directories. Fällt ein Controller aus, gehen keine Informationen verloren und ein anderer Domänencontroller übernimmt seine Rolle.

Active Directory und DNS

Zwischen dem Active Directory und dem Domain Name System (DNS) besteht eine enge Verknüpfung. Die hierarchische Struktur von DNS und Active Directory ist identisch. Jeder Rechner in einer Netzwerkdomäne ist durch seinen voll qualifizierten DNS-Domänennamen eindeutig beschrieben. Allerdings muss der Name des Active Directories keiner registrierten Internet-Domäne entsprechen, er kann es aber. Unternehmen-xy.com kann beispielsweise sowohl eine Active Directory-Domäne als auch eine registrierte Internet-Domäne sein. Die Clients im Verzeichnisdienst verwenden das DNS, um den für sie zuständigen Domänencontroller zu finden. Sie wenden sich hierfür an ihren zuvor festgelegten DNS-Server.

Das Active Directory ohne Windows Server

Obwohl Active Directory der Verzeichnisdienst für Windows-Netzwerke ist, existieren auch Lösungen, die den Verzeichnisdienst auf anderen Betriebssystemen emulieren. Sie ermöglichen es Windows-Clients, sich an einer Domain anzumelden und die Ressourcen und Möglichkeiten eines Active Directories zu nutzen, ohne dass ein Windows-Server vorhanden sein muss. Beispiele hierfür sind die freie Software Samba für Linux-Systeme oder das von Novell entwickelte und für Linux und Windows erhältliche eDirectory.

Die Vorteile des Active Directories

Ein Active Directory bietet vor allem in großen Windows-basierten Netzwerken viele Vorteile. Die Vorteile sind zum Beispiel:

  • zentrale Rechte- und Richtlinienverwaltung
  • hohe Ausfallsicherheit durch Replikation
  • Zusammenarbeit mit anderen Verzeichnisdiensten
  • einfach zu erweitern
  • flexibel skalierbar
  • unterschiedlichste Organisationsstrukturen abbildbar
  • hohe Informationssicherheit

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

So nutzen Sie die neue Windows Desktop-Virtualisierung

Windows Virtual Desktop – Microsofts neue Version für Remote Desktops

So nutzen Sie die neue Windows Desktop-Virtualisierung

Mit Windows Virtual Desktop, ehemals Remote Desktop modern Infrastructure genannt, will Microsoft seine Remotedesktop-Dienste deutlich verbessern und Funktionen aus Microsoft Azure integrieren. Im Fokus stehen bessere und schnellere Clients, mehr Sicherheit und Authentifizierung mit Azure Active Directory. Wir geben einen Überblick. lesen

Edge Browser bringt Internet Explorer zurück

Microsoft zeigt Quantencomputing, Kubernetes und Kampagnen

Edge Browser bringt Internet Explorer zurück

Der Internet Explorer kehrt zurück, die Begrenzungen traditioneller Dokumente verblassen und Werkzeuge für Quantencomputing werden als Open Source bereitgestellt – das sind nur drei der zahlreichen Ankündigungen von Microsoft auf der Build 2019. lesen

Mehr Sicherheit in Azure-Umgebungen

Best Practices für den Weg in die Microsoft-Cloud

Mehr Sicherheit in Azure-Umgebungen

Als natürliche Erweiterung der lokalen Angebote von Microsoft ermöglicht die Azure Cloud seit einigen Jahren die praktische Einrichtung von Hybrid-Cloud-Umgebungen. Was das Thema Security betrifft, gibt es jedoch einige gängige Missverständnisse, weiß Palo Alto Networks. lesen

Volle Kontrolle über das Active Directory

Quest Recovery Manager

Volle Kontrolle über das Active Directory

Quest Software hat den Quest Recovery Manager for Active Directory (RMAD), Disaster Recovery Edition, auf den Markt gebracht. Mit dieser Lösung haben Unternehmen die Möglichkeit, Änderungen an ihrer Active-Directory-Umgebung anzuzeigen und bis hin zur Bare-Metal-Ebene sichern und wiederherstellen zu können. lesen

Azure Files – Verwaltete Freigaben in der Cloud

SMB-Zugriffe auf Dateifreigaben in Microsoft Azure

Azure Files – Verwaltete Freigaben in der Cloud

Mit Azure Files lassen sich Dateifreigaben in Microsoft Azure erstellen, auf die Anwender oder auch andere Ressourcen mit SMB zugreifen können. Azure Files benötigt keine virtuellen Server in der Cloud, sondern ist vollständig verwaltet. Die Daten lassen sich in lokale Rechenzentren synchronisieren. lesen

10 digitale Aufräumtipps für IT-Profis

Digitaler Frühjahrsputz

10 digitale Aufräumtipps für IT-Profis

Mit den ersten warmen Tagen des nahenden Frühlings überkommt viele das Bedürfnis, alles frisch zu machen. Für alle IT-Profis, die das Gefühl haben, ihre IT hätte einen digitalen Frühjahrsputz nötig, haben die IT-Experten von SolarWinds zehn Tipps zusammengestellt. lesen

So steuern Sie das Active Directory flexibel

Domänencontroller unter Windows Server 2016/2019 herauf- und herabstufen

So steuern Sie das Active Directory flexibel

Active-Directory-Domänencontroller können flexibel zu einem Mitgliedsserver herabgestuft und Mitgliedsserver problemlos zu einem Domänencontroller heraufgestuft werden. Die einzelnen Rollen lassen sich dabei zwischen Servern übertragen. Wir zeigen, wann dies sinnvoll ist und erläutern die Vorgehensweisen. lesen

So stellen Sie Dateiserver hochverfügbar bereit

DFS, Cluster, SOFS, Storage Spaces Direct und Replikation

So stellen Sie Dateiserver hochverfügbar bereit

Microsoft bietet auf Windows-Servern verschiedene Möglichkeiten, um Dateiserver hochverfügbar zu betreiben. Wir zeigen in diesem Beitrag die Möglichkeiten am Beispiel von Windows Server 2019. Vieles lässt sich aber auch mit Windows Server 2016 umsetzen – auch für kleinere Netzwerke. lesen

PAM: Privileged Account Management

Die Sicherheitsrisiken privilegierter Admin-Konten

PAM: Privileged Account Management

Ganz gleich ob sie „nur“ Zugriff auf die Be­triebs­sys­teme oder (was wohl häufiger der Fall sein dürfte) auf das gesamte Unter­neh­mens­netz­werk haben: Administratoren haben sehr viel Macht sowohl über die IT- als auch über die Business-Ressourcen. Ihre „Privilegierten Konten“ können sich dabei allerdings auch schnell zu einer Gefahr entwickeln: Ein Überblick über PAM-Techniken und -Ansätze, die solche Probleme lösen sollen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44797940 / Definitionen)