Active Directory ist ein von Microsoft Windows verwendeter Verzeichnisdienst und eine der zentralen Komponenten zur Verwaltung von Windows-basierten Netzwerken.
Informationen zu Geräten, Ressourcen und Einstellungen werden in einer hierarchischen Datenbank verwaltet. Mit dem Active Directory ist es möglich, Änderungen zentral durchzuführen oder Informationen für verschiedene Applikationen zur Verfügung zu stellen.
Zur Änderung oder Abfrage von Informationen aus der Datenbank wird meistens das Lightweight Directory Access Protocol (LDAP) verwendet.
OU’s, Objekte und Wälder – beim Thema Active Directory wird man auf viele Begriffe stoßen, deren Aufgabe nicht auf den ersten Blick ersichtlich sind. In diesem Abschnitt klären wir ihre Bedeutung.
Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar. Active Directory umfasst mindestens eine Domäne.
Einträge in der Datenbank des Active Directory werden als Objekte bezeichnet und mit Attributen ausgestattet. Objekte sind bspw. Benutzer-, Gruppen-, Computerkonten und Ressourcen.
Um Objekte zusammenzufassen bzw. zu strukturieren, kann man diese im Active Directory in Organisationseinheiten (OU’s) aufteilen/ bündeln. OU’s können in weitere OU’s unterteilt werden. Dies ermöglicht das Abbilden von hierarchischen Strukturen.
Gruppenrichtlinien sind spezielle Objekte im Active Directory, die es ermöglichen, spezifische Konfigurationen für Benutzer und Computer zu implementieren. Beispiele sind die Verbindung zu einem Gruppenlaufwerk oder die Einstellung von Netzwerk-Interfaces.
In einer Domäne des Active Directory kann man des Weiteren Subdomänen erstellen. Eine Domäne mit Subdomänen bildet eine „Struktur“, auch Tree genannt. Ein Tree besteht hierarchisch aus mindestens einer Domäne und besitzt ein gemeinsames Namensschema.
Eine „Gesamtstruktur“ oder auch „Forest“ setzt sich aus mehreren „Strukturen“/ „Trees“ zusammen. Diese haben aber jeweils ihr eigenes Namensschema.
Die zentrale Verwaltung des Active Directory geschieht auf einem Domänen-Controller. Grundsätzlich benötigt man nur einen Windows Server, bei dem man mit der Installation von Active Directory Domänendiensten eine Domäne erstellt und diesen Server zum Domänen-Controller macht.
Mit dem Heraufstufen zum Domänen-Controller verliert der Windows Server jedoch jegliche lokalen Nutzer und Gruppen. Meldet man sich an einem Domänen-Controller an, meldet man sich quasi an der Domäne an. Bei anderen Servern gibt es jedoch weiterhin lokale Nutzer und Gruppen, auch wenn diese einer Domäne angehörig sind.
Um die Verfügbarkeit der Domäne sicherzustellen, empfiehlt es sich, mehrere Domänen-Controller einzusetzen.
Windows unterstützt zwei Arten von Nutzeraccounts: Domänen-Accounts und lokale Accounts. Lokale Accounts sind auf jedem Computer lokal gespeichert, Domänen-Accounts auf dem Domänen-Controller. Benutzer, die einen Account in der Domäne besitzen, können sich (grundsätzlich) an jedem Computer, der in der Domäne ist, anmelden. Dazu wählt man bei einer interaktiven Anmeldung bei „Anmelden an“ entweder den lokalen Computer oder die Domäne aus.
Hier kommt das Thema Verfügbarkeit des Domänen-Controllers zum Tragen. Ist dieser nicht erreichbar, kann man sich an einem Computer nicht in der Domäne anmelden. Es gibt jedoch die Möglichkeit der Zwischenspeicherung von Domänen-Anmeldeinformationen auf Computern, um eine Anmeldung weiterhin zu ermöglichen. In Zeiten von Homeoffice und VPN-Verbindung ein unabdingbares Feature. Nutzeraccounts in einer Domäne müssen händisch durch einen Administrator erstellt werden.
Computer-Accounts bestehen grundsätzlich aus denselben Attributen wie Nutzeraccounts. Wird ein Computer in eine Domäne aufgenommen, wird automatisch ein Computer-Account im Active Directory erstellt. Jeder Computer-Account hat ein Passwort, um sich gegenüber dem Domänen-Controller zu autorisieren. Dieses Passwort wird automatisch erstellt und alle 30 Tage geändert.
Um den Administrationsaufwand zu vereinfachen, besteht mit Active Directory die Möglichkeit, Benutzer in Gruppen zusammenzufassen. Ein gutes Beispiel ist, die hierarchische Struktur des Unternehmens durch Gruppen und Organisationseinheiten abzubilden. Alle Benutzer der Abteilung Buchhaltung sind Mitglied der Gruppe „Buchhaltung“. Die Gruppe „Buchhaltung“ ist in der gleichnamigen Organisationseinheit. Für diese Organisationseinheit kann man ggf. gezielt eine Richtlinie erstellen, die nur diese Abteilung betrifft.
Sollte die Buchhaltung einen neuen Mitarbeiter bekommen, erstellt der Administrator einen neuen Nutzeraccount und fügt diesen Account der Gruppe „Buchhaltung“ hinzu. Es ist nicht nötig, dem neuen Nutzer spezielle Berechtigungen zu erteilen. Diese erhält er durch die Berechtigungen bzw. Gruppenrichtlinien, die für die Organisationseinheit erstellt werden. Sollte ein Mitarbeiter die Firma verlassen, ist das Entfernen von Berechtigungen somit auch einfacher.
Das ganze Prinzip des Active Directory kann man mit der Abkürzung „AGDLP“ (Accounts, Globale Gruppe, Domänenlokale Gruppe, Permissiven) beschreiben.
Wenn Sie mehr wissen möchten:
Unter folgendem Link geht es zum zweiten Teil Active Directory Sicherheitsmanagment
2 Antworten
find ich gut *daumen hoch*
Vielen Dank 🙂