Definition

Was ist ein Active Directory?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

Beim Active Directory handelt es sich um einen Verzeichnisdienst von Microsoft für Windows-Netzwerke. Das Active Directory ermöglicht es, die Struktur einer Organisation nachzubilden und die Verwendung von Netzwerkressourcen oder -objekten zentral zu verwalten.

Das Active Directory (AD) ist als Verzeichnisdienst eine der zentralen Komponenten zur Verwaltung von Windows-basierten Netzwerken. Im Verzeichnis sind die verschiedenen Geräte und Ressourcen eines Netzwerks inklusive ihrer Attribute gespeichert.

Mit Hilfe des Active Directories lässt sich die Struktur des Netzwerks mit seinen angeschlossenen Geräten der Struktur einer Organisation nachbilden. Einzelne Unternehmensbereiche sind über so genannte Domänen voneinander abgegrenzt.

Die Domänen können hierarchisch gegliedert sein. Über das Active Directory kann nach bestimmten Geräten oder Attributen gesucht werden. Dem Administrator ermöglicht das AD die zentrale Verwaltung der Benutzerrechte für einzelne Geräte oder Objekte. Netzwerkressourcen lassen sich für Anwender freischalten oder sperren. Schreibenden Zugriff auf den Verzeichnisdienst erhalten daher in der Regel nur die Administratoren des Netzwerks.

Zu den administrierbaren Ressourcen zählen unter anderem Speicherplatz, Zugriffsrechte auf Verzeichnisse, Nutzungsrechte von Anwendungen, Netzwerkdrucker, Peripheriegeräte und andere Netzwerkdienste.

Aufbau eines Active Directories

Ein Active Directory kann in drei grundlegende Komponenten aufgeteilt werden. Diese drei Komponenten sind:

  • das Schema
  • die Konfiguration
  • die Domäne

Das Schema bildet eine Art Schablone, die für alle Einträge im Verzeichnis Anwendung findet. Im Schema sind die Objekttypen, die Klassen, die Attribute und die Syntax der Attribute definiert. So ist es beispielsweise möglich, über den Objekttyp festzulegen, welche Objekte in das Verzeichnis aufgenommen werden.

Die Struktur des Active Directories ist in der Konfiguration zu finden. Die Domäne beinhaltet alle sie selbst und ihre Objekte beschreibenden Informationen. Diese Informationen sind für die Domäne spezifisch und daher nur auf den Domänencontrollern innerhalb der Domäne verfügbar. Schema und Konfiguration sind auf den Domänencontrollern der Gesamtstruktur vorhanden.

Die Datenbank des Verzeichnisdienstes arbeitet objektbasiert und ist hierarchisch aufgebaut. Die einzelnen Datensätze in der Datenbank werden als Objekte bezeichnet. Ihre Eigenschaften sind die Attribute. Je nach Typ des Objekts kann es unterschiedliche Attribute besitzen. Die Eindeutigkeit der Objekte ist über ihren Namen definiert.

Auch Gruppenrichtlinien lassen sich im Active Directory als Objekte speichern. Grundsätzlich besteht eine Unterteilung der Objekte in zwei Kategorien. Diese Kategorien sind die Konten und die Ressourcen. Zu den Ressourcen zählen beispielsweise Drucker- oder Dateifreigaben. Konten umfassen Computer-, Benutzer- oder Gruppenkonten.

Die einzelnen Objekte sind in Organisationseinheiten (Containern) abgelegt. Es können sowohl vordefinierte Container als auch über Subeinheiten erstellte Container verwendet werden. Eigenschaften eines Containers sind an untergeordnete Objektcontainer vererbbar. Die beschriebenen Eigenschaften des Verzeichnisdienstes erlauben es, Netzwerke nach logischen Strukturen flexibel und hierarchisch zu gliedern.

Die Netzwerkdomäne und der Domänencontroller

Die Nachbildung der Organisationsstruktur erfolgt über Domänen. Eine Domäne ist ein organisatorisch abgetrennter Netzbereich, in dem gleiche Sicherheitseinstellungen und -richtlinien gelten. Innerhalb der Domäne sind nur sie selbst betreffende Informationen gespeichert, die nicht auf andere Domänen übertragen werden.

Der Administrator vergibt die Rechte der Benutzer oder der Gruppen und legt einen eindeutigen Namen für die Domäne fest. Die Namen der Domänen basieren auf den Konventionen des Domain Name Systems (DNS). Die Netzwerkdomäne, von der alle anderen untergeordneten Domänen ausgehen, nennt sich Stammdomäne. Jede der Stammdomäne untergeordnete Domain besitzt in ihrem Namen den Namensteil der Stammdomäne. Die Gesamte Struktur kann völlig unabhängig von vorhandenen logischen oder physischen Strukturen aufgebaut sein. Sie ist weder an die Architektur des Netzwerks noch an die Standorte der Netzobjekte gebunden.

Eine Netzwerkdomäne kann mehrere Standorte aufnehmen. Gleichzeitig ist es möglich, an einem einzigen Standort mehrere Domänen zu konfigurieren. In der Regel bildet die Domain einzelne Abteilungen, Bereiche oder Arbeitsgruppen innerhalb des Unternehmens ab. Für die jeweilige Domäne übernimmt der Domänencontroller wichtige Funktionen.

Dabei handelt es sich um einem Server, der vom Administrator zum Domänencontroller erklärt wurde. Er stellt den Usern und Rechnern den Verzeichnisdienst Active Directory zur Verfügung und ist zum Anmelden, Authentifizieren oder zur Suche von Ressourcen und Objekten zu kontaktieren. Da bei einem Ausfall des Domänencontrollers wichtige Funktionen innerhalb der Domain wie das Anmelden der Benutzer nicht mehr möglich sind, sind in der Regel mindestens zwei Domänencontroller pro Netzwerkdomäne vorhanden. Nur so lässt sich eine hohe Verfügbarkeit der Netzwerkservices sicherstellen.

Replikation in der Domänenstruktur

Die Replikation der Daten des Domänencontrollers verhindert, dass es beim Ausfall eines Controllers zu Datenverlust oder Funktionseinschränkungen kommt. Noch unter Windows NT war es üblich, dass nur der Primary Domain Controller (PDC) Änderungen an der Datenbank vornehmen durfte. Die anderen Controller (Backup Domain Controller, BDC) hielten eine Sicherungskopie und konnten bei Bedarf zum Primary Controller gemacht werden.

Das Active Directory nutzt seit Windows 2000 die so genannte Multimaster-Replikation zwischen den Controllern. Die Datenbanken werden dabei in regelmäßigen Abständen repliziert und jedes Replikat ist beschreibbar. Alle Domänencontroller besitzen im Gegensatz zu Windows NT eine aktuelle, beschreibbare Kopie des Active Directories. Fällt ein Controller aus, gehen keine Informationen verloren und ein anderer Domänencontroller übernimmt seine Rolle.

Active Directory und DNS

Zwischen dem Active Directory und dem Domain Name System (DNS) besteht eine enge Verknüpfung. Die hierarchische Struktur von DNS und Active Directory ist identisch. Jeder Rechner in einer Netzwerkdomäne ist durch seinen voll qualifizierten DNS-Domänennamen eindeutig beschrieben. Allerdings muss der Name des Active Directories keiner registrierten Internet-Domäne entsprechen, er kann es aber. Unternehmen-xy.com kann beispielsweise sowohl eine Active Directory-Domäne als auch eine registrierte Internet-Domäne sein. Die Clients im Verzeichnisdienst verwenden das DNS, um den für sie zuständigen Domänencontroller zu finden. Sie wenden sich hierfür an ihren zuvor festgelegten DNS-Server.

Das Active Directory ohne Windows Server

Obwohl Active Directory der Verzeichnisdienst für Windows-Netzwerke ist, existieren auch Lösungen, die den Verzeichnisdienst auf anderen Betriebssystemen emulieren. Sie ermöglichen es Windows-Clients, sich an einer Domain anzumelden und die Ressourcen und Möglichkeiten eines Active Directories zu nutzen, ohne dass ein Windows-Server vorhanden sein muss. Beispiele hierfür sind die freie Software Samba für Linux-Systeme oder das von Novell entwickelte und für Linux und Windows erhältliche eDirectory.

Die Vorteile des Active Directories

Ein Active Directory bietet vor allem in großen Windows-basierten Netzwerken viele Vorteile. Die Vorteile sind zum Beispiel:

  • zentrale Rechte- und Richtlinienverwaltung
  • hohe Ausfallsicherheit durch Replikation
  • Zusammenarbeit mit anderen Verzeichnisdiensten
  • einfach zu erweitern
  • flexibel skalierbar
  • unterschiedlichste Organisationsstrukturen abbildbar
  • hohe Informationssicherheit

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

DNS in Windows Server 2016 sicher betreiben

Schutz vor Manipulation, Hackern und versehentlichem Löschen

DNS in Windows Server 2016 sicher betreiben

Die Namensauflösung im Netzwerk spielt auch für die Sicherheit eine wichtige Rolle. Manipulieren Hacker DNS-Zonen, kann es passieren, dass Anwender auf kompromittierte Server zugreifen, Dienste ausfallen oder Daten verloren gehen. Es lohnt sich also, DNS vor Angriffen abzusichern. lesen

7 typische Fehler im Umgang mit Active Directory

Ein kritischer Blick auf Einstellungen, Compliance und strategische Pläne lohnt sich

7 typische Fehler im Umgang mit Active Directory

Das Active Directory (AD) stellt viele mächtige Funktionen bereit, um Windows Server, Nutzerrollen und Zugriffsrechte zu verwalten. Allerdings sind weder die Handhabung noch die Verwaltung immer transparent. Deshalb kann es leicht zu Fehleinstellungen kommen, durch die ein Unternehmen seine Angriffsfläche für böswillige Hacker erhöht. lesen

TeamViewer Tensor ab sofort verfügbar

Fernsteuerung und -zugriff mit Enterprise-Features

TeamViewer Tensor ab sofort verfügbar

TeamViewer bietet eine auf Enterprises zugeschnittene Plattform für Fernsteuerung, Support und Zusammenarbeit an. Die skalierbare SaaS Tensor sei auditierbar, bequem zu verwalten und lasse sich in gängige Plattformen im Unternehmensumfeld einbinden. lesen

Notes-Migration mit digitaler Komfortzone

Von Notes zu Sharepoint in 6 Schritten

Notes-Migration mit digitaler Komfortzone

„Microsoft Sharepoint“ hat sich als Collaboration- und Digitalisierungsplattform gegenüber „IBM Notes“ durchgesetzt. Die Migration von Notes-Anwendungen nach Sharepoint galt jedoch bislang als schwierig und extrem aufwändig. Moderne Rapid Application Development Tools (RAD) können aber viel Zeit, Geld und Nerven sparen. lesen

Verbindliches Benutzerprofil in Windows 10 einrichten

Benutzereinstellungen zentral steuern

Verbindliches Benutzerprofil in Windows 10 einrichten

Auch in Windows 10 spielen Benutzerprofile noch eine wichtige Rolle. Das System speichert hier lokale Daten der Benutzer, sowie deren Einstellungen. Mit verbindlichen Profilen lassen sich diese Einstellungen fest vorgeben. Administratoren können damit verhindern, dass Anwender nicht autorisierte Anpassungen durchführen und so die Sicherheit und Stabilität des Systems gefährden. lesen

PRTG versus Nagios

Kommerzielle Monitoring-Software gegen Open Source

PRTG versus Nagios

Fällt eine Komponente im Unternehmens-Netzwerk aus oder verlässt die zuvor vom IT-Profi definierten Parametergrenzen, protokolliert eine Monitoring-Software diese Ereignisse und beginnt im Idealfall mit automatisierten Gegenmaßnahmen oder der Aktivierung einer Benachrichtigungskette. Doch welche Lösung ist die beste? Wir haben das kostenpflichtige Paessler PRTG dem kostenfreien Nagios gegenübergestellt. lesen

10 Stolpersteine beim Einsatz von Active Directory

Falsch verteilte Serverdienste, Probleme mit Betriebsmastern & Co.

10 Stolpersteine beim Einsatz von Active Directory

Beim Einsatz von Active Directory müssen Administratoren viele Stolpersteine beachten, damit die Umgebung korrekt funktioniert. Wir zeigen 10 besonders häufige Probleme und Fehlkonfigurationen in Active Directory und erläutern, wie man sie behebt. lesen

Red Hat Ansible Engine 2.6 verfügbar

Unterstützung für AWS, VMware, Microsoft und Infoblox

Red Hat Ansible Engine 2.6 verfügbar

Red Hat Ansible Engine 2.6 ist verfügbar. Der Anbieter bewirbt das Update des Orchestrierungswerkzeugs mit vereinfachter Multi-Cloud-Provisionierung und Windows-Automation, neuen Netzwerkfunktionen sowie einer verbesserten Erweiterbarkeit. lesen

Das Windows Admin Center in der Praxis

Installation des Gateways, Konfiguration und Verwaltung von Windows-Servern

Das Windows Admin Center in der Praxis

Das Windows Admin Center ist das neue Werkzeug, mit dem Administratoren über einen Webbrowser die verschiedenen Server und Arbeitsstationen zentral verwalten können. Microsoft erweitert mit neuen Versionen die Funktionen des Admin Centers ständig. Wir zeigen die Einrichtung. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44797940 / Definitionen)