Definition

Was ist ein Active Directory?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

Beim Active Directory handelt es sich um einen Verzeichnisdienst von Microsoft für Windows-Netzwerke. Das Active Directory ermöglicht es, die Struktur einer Organisation nachzubilden und die Verwendung von Netzwerkressourcen oder -objekten zentral zu verwalten.

Das Active Directory (AD) ist als Verzeichnisdienst eine der zentralen Komponenten zur Verwaltung von Windows-basierten Netzwerken. Im Verzeichnis sind die verschiedenen Geräte und Ressourcen eines Netzwerks inklusive ihrer Attribute gespeichert.

Mit Hilfe des Active Directories lässt sich die Struktur des Netzwerks mit seinen angeschlossenen Geräten der Struktur einer Organisation nachbilden. Einzelne Unternehmensbereiche sind über so genannte Domänen voneinander abgegrenzt.

Die Domänen können hierarchisch gegliedert sein. Über das Active Directory kann nach bestimmten Geräten oder Attributen gesucht werden. Dem Administrator ermöglicht das AD die zentrale Verwaltung der Benutzerrechte für einzelne Geräte oder Objekte. Netzwerkressourcen lassen sich für Anwender freischalten oder sperren. Schreibenden Zugriff auf den Verzeichnisdienst erhalten daher in der Regel nur die Administratoren des Netzwerks.

Zu den administrierbaren Ressourcen zählen unter anderem Speicherplatz, Zugriffsrechte auf Verzeichnisse, Nutzungsrechte von Anwendungen, Netzwerkdrucker, Peripheriegeräte und andere Netzwerkdienste.

Aufbau eines Active Directories

Ein Active Directory kann in drei grundlegende Komponenten aufgeteilt werden. Diese drei Komponenten sind:

  • das Schema
  • die Konfiguration
  • die Domäne

Das Schema bildet eine Art Schablone, die für alle Einträge im Verzeichnis Anwendung findet. Im Schema sind die Objekttypen, die Klassen, die Attribute und die Syntax der Attribute definiert. So ist es beispielsweise möglich, über den Objekttyp festzulegen, welche Objekte in das Verzeichnis aufgenommen werden.

Die Struktur des Active Directories ist in der Konfiguration zu finden. Die Domäne beinhaltet alle sie selbst und ihre Objekte beschreibenden Informationen. Diese Informationen sind für die Domäne spezifisch und daher nur auf den Domänencontrollern innerhalb der Domäne verfügbar. Schema und Konfiguration sind auf den Domänencontrollern der Gesamtstruktur vorhanden.

Die Datenbank des Verzeichnisdienstes arbeitet objektbasiert und ist hierarchisch aufgebaut. Die einzelnen Datensätze in der Datenbank werden als Objekte bezeichnet. Ihre Eigenschaften sind die Attribute. Je nach Typ des Objekts kann es unterschiedliche Attribute besitzen. Die Eindeutigkeit der Objekte ist über ihren Namen definiert.

Auch Gruppenrichtlinien lassen sich im Active Directory als Objekte speichern. Grundsätzlich besteht eine Unterteilung der Objekte in zwei Kategorien. Diese Kategorien sind die Konten und die Ressourcen. Zu den Ressourcen zählen beispielsweise Drucker- oder Dateifreigaben. Konten umfassen Computer-, Benutzer- oder Gruppenkonten.

Die einzelnen Objekte sind in Organisationseinheiten (Containern) abgelegt. Es können sowohl vordefinierte Container als auch über Subeinheiten erstellte Container verwendet werden. Eigenschaften eines Containers sind an untergeordnete Objektcontainer vererbbar. Die beschriebenen Eigenschaften des Verzeichnisdienstes erlauben es, Netzwerke nach logischen Strukturen flexibel und hierarchisch zu gliedern.

Die Netzwerkdomäne und der Domänencontroller

Die Nachbildung der Organisationsstruktur erfolgt über Domänen. Eine Domäne ist ein organisatorisch abgetrennter Netzbereich, in dem gleiche Sicherheitseinstellungen und -richtlinien gelten. Innerhalb der Domäne sind nur sie selbst betreffende Informationen gespeichert, die nicht auf andere Domänen übertragen werden.

Der Administrator vergibt die Rechte der Benutzer oder der Gruppen und legt einen eindeutigen Namen für die Domäne fest. Die Namen der Domänen basieren auf den Konventionen des Domain Name Systems (DNS). Die Netzwerkdomäne, von der alle anderen untergeordneten Domänen ausgehen, nennt sich Stammdomäne. Jede der Stammdomäne untergeordnete Domain besitzt in ihrem Namen den Namensteil der Stammdomäne. Die Gesamte Struktur kann völlig unabhängig von vorhandenen logischen oder physischen Strukturen aufgebaut sein. Sie ist weder an die Architektur des Netzwerks noch an die Standorte der Netzobjekte gebunden.

Eine Netzwerkdomäne kann mehrere Standorte aufnehmen. Gleichzeitig ist es möglich, an einem einzigen Standort mehrere Domänen zu konfigurieren. In der Regel bildet die Domain einzelne Abteilungen, Bereiche oder Arbeitsgruppen innerhalb des Unternehmens ab. Für die jeweilige Domäne übernimmt der Domänencontroller wichtige Funktionen.

Dabei handelt es sich um einem Server, der vom Administrator zum Domänencontroller erklärt wurde. Er stellt den Usern und Rechnern den Verzeichnisdienst Active Directory zur Verfügung und ist zum Anmelden, Authentifizieren oder zur Suche von Ressourcen und Objekten zu kontaktieren. Da bei einem Ausfall des Domänencontrollers wichtige Funktionen innerhalb der Domain wie das Anmelden der Benutzer nicht mehr möglich sind, sind in der Regel mindestens zwei Domänencontroller pro Netzwerkdomäne vorhanden. Nur so lässt sich eine hohe Verfügbarkeit der Netzwerkservices sicherstellen.

Replikation in der Domänenstruktur

Die Replikation der Daten des Domänencontrollers verhindert, dass es beim Ausfall eines Controllers zu Datenverlust oder Funktionseinschränkungen kommt. Noch unter Windows NT war es üblich, dass nur der Primary Domain Controller (PDC) Änderungen an der Datenbank vornehmen durfte. Die anderen Controller (Backup Domain Controller, BDC) hielten eine Sicherungskopie und konnten bei Bedarf zum Primary Controller gemacht werden.

Das Active Directory nutzt seit Windows 2000 die so genannte Multimaster-Replikation zwischen den Controllern. Die Datenbanken werden dabei in regelmäßigen Abständen repliziert und jedes Replikat ist beschreibbar. Alle Domänencontroller besitzen im Gegensatz zu Windows NT eine aktuelle, beschreibbare Kopie des Active Directories. Fällt ein Controller aus, gehen keine Informationen verloren und ein anderer Domänencontroller übernimmt seine Rolle.

Active Directory und DNS

Zwischen dem Active Directory und dem Domain Name System (DNS) besteht eine enge Verknüpfung. Die hierarchische Struktur von DNS und Active Directory ist identisch. Jeder Rechner in einer Netzwerkdomäne ist durch seinen voll qualifizierten DNS-Domänennamen eindeutig beschrieben. Allerdings muss der Name des Active Directories keiner registrierten Internet-Domäne entsprechen, er kann es aber. Unternehmen-xy.com kann beispielsweise sowohl eine Active Directory-Domäne als auch eine registrierte Internet-Domäne sein. Die Clients im Verzeichnisdienst verwenden das DNS, um den für sie zuständigen Domänencontroller zu finden. Sie wenden sich hierfür an ihren zuvor festgelegten DNS-Server.

Das Active Directory ohne Windows Server

Obwohl Active Directory der Verzeichnisdienst für Windows-Netzwerke ist, existieren auch Lösungen, die den Verzeichnisdienst auf anderen Betriebssystemen emulieren. Sie ermöglichen es Windows-Clients, sich an einer Domain anzumelden und die Ressourcen und Möglichkeiten eines Active Directories zu nutzen, ohne dass ein Windows-Server vorhanden sein muss. Beispiele hierfür sind die freie Software Samba für Linux-Systeme oder das von Novell entwickelte und für Linux und Windows erhältliche eDirectory.

Die Vorteile des Active Directories

Ein Active Directory bietet vor allem in großen Windows-basierten Netzwerken viele Vorteile. Die Vorteile sind zum Beispiel:

  • zentrale Rechte- und Richtlinienverwaltung
  • hohe Ausfallsicherheit durch Replikation
  • Zusammenarbeit mit anderen Verzeichnisdiensten
  • einfach zu erweitern
  • flexibel skalierbar
  • unterschiedlichste Organisationsstrukturen abbildbar
  • hohe Informationssicherheit

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Verbindliches Benutzerprofil in Windows 10 einrichten

Benutzereinstellungen zentral steuern

Verbindliches Benutzerprofil in Windows 10 einrichten

Auch in Windows 10 spielen Benutzerprofile noch eine wichtige Rolle. Das System speichert hier lokale Daten der Benutzer, sowie deren Einstellungen. Mit verbindlichen Profilen lassen sich diese Einstellungen fest vorgeben. Administratoren können damit verhindern, dass Anwender nicht autorisierte Anpassungen durchführen und so die Sicherheit und Stabilität des Systems gefährden. lesen

PRTG versus Nagios

Kommerzielle Monitoring-Software gegen Open Source

PRTG versus Nagios

Fällt eine Komponente im Unternehmens-Netzwerk aus oder verlässt die zuvor vom IT-Profi definierten Parametergrenzen, protokolliert eine Monitoring-Software diese Ereignisse und beginnt im Idealfall mit automatisierten Gegenmaßnahmen oder der Aktivierung einer Benachrichtigungskette. Doch welche Lösung ist die beste? Wir haben das kostenpflichtige Paessler PRTG dem kostenfreien Nagios gegenübergestellt. lesen

10 Stolpersteine beim Einsatz von Active Directory

Falsch verteilte Serverdienste, Probleme mit Betriebsmastern & Co.

10 Stolpersteine beim Einsatz von Active Directory

Beim Einsatz von Active Directory müssen Administratoren viele Stolpersteine beachten, damit die Umgebung korrekt funktioniert. Wir zeigen 10 besonders häufige Probleme und Fehlkonfigurationen in Active Directory und erläutern, wie man sie behebt. lesen

Red Hat Ansible Engine 2.6 verfügbar

Unterstützung für AWS, VMware, Microsoft und Infoblox

Red Hat Ansible Engine 2.6 verfügbar

Red Hat Ansible Engine 2.6 ist verfügbar. Der Anbieter bewirbt das Update des Orchestrierungswerkzeugs mit vereinfachter Multi-Cloud-Provisionierung und Windows-Automation, neuen Netzwerkfunktionen sowie einer verbesserten Erweiterbarkeit. lesen

Das Windows Admin Center in der Praxis

Installation des Gateways, Konfiguration und Verwaltung von Windows-Servern

Das Windows Admin Center in der Praxis

Das Windows Admin Center ist das neue Werkzeug, mit dem Administratoren über einen Webbrowser die verschiedenen Server und Arbeitsstationen zentral verwalten können. Microsoft erweitert mit neuen Versionen die Funktionen des Admin Centers ständig. Wir zeigen die Einrichtung. lesen

Herausforderung in Active Directory erkennen und lösen

Erst Drittanbieter-Tools machen das AD praktikabel

Herausforderung in Active Directory erkennen und lösen

Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher. lesen

Microsoft-Verzeichnisdienst auf dem Prüfstand

Active-Directory-Infrastrukturanalyse

Microsoft-Verzeichnisdienst auf dem Prüfstand

MSG Services bietet Unternehmen an, mit einer Active-Directory-Infrastrukturanalyse den Status des Microsoft-Verzeichnisdienstes zu prüfen. Firmen erhielten so eine Entscheidungsgrundlage, um ihr Active Directory gezielt zu optimieren und, falls nötig, dessen Cloud-Konnektivität herzustellen. lesen

10 Tipps für Active-Directory-Administratoren

Mehr Sicherheit, Stabilität und Schutz

10 Tipps für Active-Directory-Administratoren

Die Verwaltung von Active Directory ist keine einfache Angelegenheit. Mit diesen 10 einfachen Schritten lassen sich Probleme in Active Directory aber bereits im Vorfeld vermeiden, Datenverlust verhindern und Betriebssicherheit herstellen. lesen

eBook

So behalten Sie alle Netzwerk-Endgeräte im Griff

eBook "Client Lifecycle Management in der Praxis"

Die permanent wachsende Welt der vernetzten Endgeräte stellt IT-Verantwortlich und Administratoren ständig vor neuen Herausforderungen. Deshalb sind gerade hier Softwarelösungen gefragt, die den Profis dabei helfen, den gesamtem Lebenszyklus von Client-Systemen fest im Griff zu behalten. Doch der Wandel macht auch vor dem Client Lifecycle Management (CLM) nicht halt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44797940 / Definitionen)