Definition

Was ist ein Active Directory?

| Autor / Redakteur: Stefan Luber / Andreas Donner

(© aga7ta - Fotolia)

Beim Active Directory handelt es sich um einen Verzeichnisdienst von Microsoft für Windows-Netzwerke. Das Active Directory ermöglicht es, die Struktur einer Organisation nachzubilden und die Verwendung von Netzwerkressourcen oder -objekten zentral zu verwalten.

Das Active Directory (AD) ist als Verzeichnisdienst eine der zentralen Komponenten zur Verwaltung von Windows-basierten Netzwerken. Im Verzeichnis sind die verschiedenen Geräte und Ressourcen eines Netzwerks inklusive ihrer Attribute gespeichert.

Mit Hilfe des Active Directories lässt sich die Struktur des Netzwerks mit seinen angeschlossenen Geräten der Struktur einer Organisation nachbilden. Einzelne Unternehmensbereiche sind über so genannte Domänen voneinander abgegrenzt.

Die Domänen können hierarchisch gegliedert sein. Über das Active Directory kann nach bestimmten Geräten oder Attributen gesucht werden. Dem Administrator ermöglicht das AD die zentrale Verwaltung der Benutzerrechte für einzelne Geräte oder Objekte. Netzwerkressourcen lassen sich für Anwender freischalten oder sperren. Schreibenden Zugriff auf den Verzeichnisdienst erhalten daher in der Regel nur die Administratoren des Netzwerks.

Zu den administrierbaren Ressourcen zählen unter anderem Speicherplatz, Zugriffsrechte auf Verzeichnisse, Nutzungsrechte von Anwendungen, Netzwerkdrucker, Peripheriegeräte und andere Netzwerkdienste.

Aufbau eines Active Directories

Ein Active Directory kann in drei grundlegende Komponenten aufgeteilt werden. Diese drei Komponenten sind:

  • das Schema
  • die Konfiguration
  • die Domäne

Das Schema bildet eine Art Schablone, die für alle Einträge im Verzeichnis Anwendung findet. Im Schema sind die Objekttypen, die Klassen, die Attribute und die Syntax der Attribute definiert. So ist es beispielsweise möglich, über den Objekttyp festzulegen, welche Objekte in das Verzeichnis aufgenommen werden.

Die Struktur des Active Directories ist in der Konfiguration zu finden. Die Domäne beinhaltet alle sie selbst und ihre Objekte beschreibenden Informationen. Diese Informationen sind für die Domäne spezifisch und daher nur auf den Domänencontrollern innerhalb der Domäne verfügbar. Schema und Konfiguration sind auf den Domänencontrollern der Gesamtstruktur vorhanden.

Die Datenbank des Verzeichnisdienstes arbeitet objektbasiert und ist hierarchisch aufgebaut. Die einzelnen Datensätze in der Datenbank werden als Objekte bezeichnet. Ihre Eigenschaften sind die Attribute. Je nach Typ des Objekts kann es unterschiedliche Attribute besitzen. Die Eindeutigkeit der Objekte ist über ihren Namen definiert.

Auch Gruppenrichtlinien lassen sich im Active Directory als Objekte speichern. Grundsätzlich besteht eine Unterteilung der Objekte in zwei Kategorien. Diese Kategorien sind die Konten und die Ressourcen. Zu den Ressourcen zählen beispielsweise Drucker- oder Dateifreigaben. Konten umfassen Computer-, Benutzer- oder Gruppenkonten.

Die einzelnen Objekte sind in Organisationseinheiten (Containern) abgelegt. Es können sowohl vordefinierte Container als auch über Subeinheiten erstellte Container verwendet werden. Eigenschaften eines Containers sind an untergeordnete Objektcontainer vererbbar. Die beschriebenen Eigenschaften des Verzeichnisdienstes erlauben es, Netzwerke nach logischen Strukturen flexibel und hierarchisch zu gliedern.

Die Netzwerkdomäne und der Domänencontroller

Die Nachbildung der Organisationsstruktur erfolgt über Domänen. Eine Domäne ist ein organisatorisch abgetrennter Netzbereich, in dem gleiche Sicherheitseinstellungen und -richtlinien gelten. Innerhalb der Domäne sind nur sie selbst betreffende Informationen gespeichert, die nicht auf andere Domänen übertragen werden.

Der Administrator vergibt die Rechte der Benutzer oder der Gruppen und legt einen eindeutigen Namen für die Domäne fest. Die Namen der Domänen basieren auf den Konventionen des Domain Name Systems (DNS). Die Netzwerkdomäne, von der alle anderen untergeordneten Domänen ausgehen, nennt sich Stammdomäne. Jede der Stammdomäne untergeordnete Domain besitzt in ihrem Namen den Namensteil der Stammdomäne. Die Gesamte Struktur kann völlig unabhängig von vorhandenen logischen oder physischen Strukturen aufgebaut sein. Sie ist weder an die Architektur des Netzwerks noch an die Standorte der Netzobjekte gebunden.

Eine Netzwerkdomäne kann mehrere Standorte aufnehmen. Gleichzeitig ist es möglich, an einem einzigen Standort mehrere Domänen zu konfigurieren. In der Regel bildet die Domain einzelne Abteilungen, Bereiche oder Arbeitsgruppen innerhalb des Unternehmens ab. Für die jeweilige Domäne übernimmt der Domänencontroller wichtige Funktionen.

Dabei handelt es sich um einem Server, der vom Administrator zum Domänencontroller erklärt wurde. Er stellt den Usern und Rechnern den Verzeichnisdienst Active Directory zur Verfügung und ist zum Anmelden, Authentifizieren oder zur Suche von Ressourcen und Objekten zu kontaktieren. Da bei einem Ausfall des Domänencontrollers wichtige Funktionen innerhalb der Domain wie das Anmelden der Benutzer nicht mehr möglich sind, sind in der Regel mindestens zwei Domänencontroller pro Netzwerkdomäne vorhanden. Nur so lässt sich eine hohe Verfügbarkeit der Netzwerkservices sicherstellen.

Replikation in der Domänenstruktur

Die Replikation der Daten des Domänencontrollers verhindert, dass es beim Ausfall eines Controllers zu Datenverlust oder Funktionseinschränkungen kommt. Noch unter Windows NT war es üblich, dass nur der Primary Domain Controller (PDC) Änderungen an der Datenbank vornehmen durfte. Die anderen Controller (Backup Domain Controller, BDC) hielten eine Sicherungskopie und konnten bei Bedarf zum Primary Controller gemacht werden.

Das Active Directory nutzt seit Windows 2000 die so genannte Multimaster-Replikation zwischen den Controllern. Die Datenbanken werden dabei in regelmäßigen Abständen repliziert und jedes Replikat ist beschreibbar. Alle Domänencontroller besitzen im Gegensatz zu Windows NT eine aktuelle, beschreibbare Kopie des Active Directories. Fällt ein Controller aus, gehen keine Informationen verloren und ein anderer Domänencontroller übernimmt seine Rolle.

Active Directory und DNS

Zwischen dem Active Directory und dem Domain Name System (DNS) besteht eine enge Verknüpfung. Die hierarchische Struktur von DNS und Active Directory ist identisch. Jeder Rechner in einer Netzwerkdomäne ist durch seinen voll qualifizierten DNS-Domänennamen eindeutig beschrieben. Allerdings muss der Name des Active Directories keiner registrierten Internet-Domäne entsprechen, er kann es aber. Unternehmen-xy.com kann beispielsweise sowohl eine Active Directory-Domäne als auch eine registrierte Internet-Domäne sein. Die Clients im Verzeichnisdienst verwenden das DNS, um den für sie zuständigen Domänencontroller zu finden. Sie wenden sich hierfür an ihren zuvor festgelegten DNS-Server.

Das Active Directory ohne Windows Server

Obwohl Active Directory der Verzeichnisdienst für Windows-Netzwerke ist, existieren auch Lösungen, die den Verzeichnisdienst auf anderen Betriebssystemen emulieren. Sie ermöglichen es Windows-Clients, sich an einer Domain anzumelden und die Ressourcen und Möglichkeiten eines Active Directories zu nutzen, ohne dass ein Windows-Server vorhanden sein muss. Beispiele hierfür sind die freie Software Samba für Linux-Systeme oder das von Novell entwickelte und für Linux und Windows erhältliche eDirectory.

Die Vorteile des Active Directories

Ein Active Directory bietet vor allem in großen Windows-basierten Netzwerken viele Vorteile. Die Vorteile sind zum Beispiel:

  • zentrale Rechte- und Richtlinienverwaltung
  • hohe Ausfallsicherheit durch Replikation
  • Zusammenarbeit mit anderen Verzeichnisdiensten
  • einfach zu erweitern
  • flexibel skalierbar
  • unterschiedlichste Organisationsstrukturen abbildbar
  • hohe Informationssicherheit

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Wie Zero Trust traditionelle VPN-Strategien verdrängt

Zero Trust Network Access: Mikrosegmentierung auf Anwendungsebene

Wie Zero Trust traditionelle VPN-Strategien verdrängt

Das Zero Trust-Modell wurde entwickelt, weil die Unterschiede zwischen „externen“ und „internen“ Bereichen der IT-Systeme immer mehr verschwimmen. Mitarbeiter werden zunehmend mobil und befinden sich mit ihren Geräten sowohl innerhalb als auch außerhalb des Firmennetzes. Der vertrauensbasierte Umgang mit Mitarbeitern und Geräten wird so immer schwerer umzusetzen. lesen

Kostenlose Virtualisierungs­lö­sung mit vielen Funktionen

Microsoft Hyper-V Server 2019

Kostenlose Virtualisierungs­lö­sung mit vielen Funktionen

Auch für Windows Server 2019 stellt Microsoft wieder seine Virtualisierungslösung Hyper-V Server kostenlos zur Verfügung. Hyper-V Server 2019 verfügt über alle Virtualisierungsfunktionen von Hyper-V 2019 in der DataCenter Edition. lesen

Privilegien und Kontrolle für externe Mitarbeiter

Virtueller Wachmann filmt Externe

Privilegien und Kontrolle für externe Mitarbeiter

Bei der Zusammenarbeit über Unternehmensgrenzen hinweg gilt es, User mit erweiterten Privilegien und Zugriffsmöglichkeiten kontrolliert ins Netzwerk einzubinden. Mit „Privileged Access Management“ werden Zugriffe auf kritische Systeme und Daten sogar gefilmt. lesen

So binden Sie virtuelle Desktops über AWS ein

Windows 10 und Linux aus der Amazon-Cloud im Netzwerk verfügbar machen

So binden Sie virtuelle Desktops über AWS ein

Amazon bietet in seinem Clouddienst AWS auch die Möglichkeit virtuelle Desktops mit Windows 10 oder Linux bereitzustellen. Dadurch ersparen sich Unternehmen den Betrieb eigener Arbeitsstationen und deren Bereitstellung. lesen

Active Directory Management mit dem „Red Forest“

Enhanced Security Administrative Environment

Active Directory Management mit dem „Red Forest“

Fast alle Unternehmen verlassen sich auf das Active Directory als primären Authentifizie­rungs­mechanismus in ihrem Netzwerk. Dadurch ist Active Directory auch das beliebteste Ziel von Angriffen. Ein zusätzliches Maß an Sicherheit soll Microsofts Active Directory Red Forest Design, alias Enhanced Security Administrative Environment (ESAE) bieten. lesen

So richten Sie Active Directory für AWS Workspaces ein

Arbeitsstationen in die Cloud auslagern und an Active Directory anbinden

So richten Sie Active Directory für AWS Workspaces ein

Amazon bietet in seinem Clouddienst AWS die Möglichkeit, Arbeitsstationen zu betreiben, die sich wiederum an lokale Active-Directory-Umgebungen anbinden lassen. Wir zeigen in diesem Beitrag was dabei wichtig ist. lesen

Die wichtigsten Berichte zur Audit-Vorbereitung

Checkliste für Prüfungsberichte

Die wichtigsten Berichte zur Audit-Vorbereitung

Eine gute Vorbereitung auf den nächsten Audit ist sinnvoll, aber nicht immer weiß man genau, worauf man sich vor dem Eintreffen der Auditoren konzentrieren sollte und welche Fragen sie stellen werden. Für die Einhaltung gesetzlicher Vorschriften ist insbesondere der Überblick über den Datenzugriff von grundlegender Bedeutung. lesen

So verwalten Sie mobile Geräte in Office 365

Microsoft packt Intune-Funktionen in Office 365

So verwalten Sie mobile Geräte in Office 365

Unternehmen, die auf Office 365 setzen, können für die mobilen Geräte wie Smartphones, Tablets und Notebooks, die sich mit Office 365 verbinden, die integrierte Verwaltung für mobile Geräte nutzen. Dadurch lassen sich Smartphones und Tablets sicher an Office 365 anbinden. lesen

Kostenlose Verwaltungs-Tools für das Active Directory

Netwrix Active Directory Admin-Toolkit

Kostenlose Verwaltungs-Tools für das Active Directory

Das Unternehmen Netwrix bietet, neben seinen kommerziellen Tools, auch Freeware-Werkzeuge an, mit denen Active Directory überwacht und verwaltet werden kann. Wir stellen die Tools vor und erläutern deren Funktion. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44797940 / Definitionen)