Active Directory einfach erklärt

Active Directory ist ein Verzeichnisdienst von Microsoft Windows

Active Directory ist ein von Microsoft Windows verwendeter Verzeichnisdienst und ist eine der Zentralen Komponenten zur Verwaltung von Windows basierten Netzwerken.

Informationen zu Geräten, Ressourcen und Einstellungen werden in einer hierarchischen Datenbank verwaltet. Mit dem Active Directory ist es möglich, Änderungen zentral durchzuführen oder Informationen für verschiedene Applikationen zur Verfügung zu stellen.

Zur Änderung oder Abfrage von Informationen aus der Datenbank wird meistens das Lightweight Directory Access Protocol (LDAP) verwendet.

Wie ist Active Directory aufgebaut?

OU’s, Objekte und Wälder – beim Thema Active Directory wird man auf viele Begriffe stoßen, deren Aufgabe nicht auf den ersten Blick ersichtlich ist.

Die Domäne

Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar. Active Directory umfasst mindestens eine Domäne.

Objekte

Einträge in der Datenbank des Active Directory werden als Objekte bezeichnet und mit Attributen ausgestattet. Objekte sind bspw. Benutzer-, Gruppen-, Computerkonten und Ressourcen.

Organisationseinheiten

Um Objekte zusammenzufassen bzw. zu strukturieren, kann man diese im Active Directory in Organisationseinheiten (OU’s) aufteilen/bündeln. OU’s können auch in OU’s unterteilt werden. Dies ermöglicht das Abbilden von hierarchischen Strukturen.

Gruppenrichtlinien

Gruppenrichtlinien sind spezielle Objekte im Active Directory, die es ermöglichen, spezifische Konfigurationen für Benutzer und Computer zu implementieren. Beispielsweise die Verbindung zu einem Gruppenlaufwerk, oder die Einstellung von Netzwerk-Interfaces.

Der Tree

n einer Domäne des Active Directory kann man des Weiteren Subdomänen erstellen. Eine Domäne mit Subdomänen bildet eine „Struktur“, auch Tree genannt. Ein Tree besteht hierarchisch aus mindestens einer Domäne und besitzt ein gemeinsames Namensschema.

Der Forest

Eine „Gesamtstruktur“ oder auch „Forest“ setzt sich aus mehreren „Strukturen“ / „Trees“ zusammen. Diese haben aber jeweils ihr eigenes Namensschema.

Domänen-Controller

Die zentrale Verwaltung des Active Directory geschieht auf einem Domänen-Controller. Grundsätzlich benötigt man nur einen Windows Server, bei dem man mit der Installation von Active Directory Domänendiensten eine Domäne erstellt und diesen Server zum Domänen-Controller macht.

 

Mit dem Heraufstufen zum Domänen-Controller verliert der Windows Server jedoch jegliche lokalen Nutzer und Gruppen. Meldet man sich an einem Domänen-Controller an, meldet man sich quasi an der Domäne an. Bei anderen Servern gibt es jedoch weiterhin lokale Nutzer und Gruppen, auch wenn diese einer Domäne angehörig sind.

 

Um die Verfügbarkeit der Domäne sicherzustellen, empfiehlt es sich, mehrere Domänen-Controller einzusetzen.

Sind die Daten Deines IT-Systems ausreichend geschützt?
Optimiere mit uns jetzt Deine Datenschutzmaßnahmen.
Zur IT-Sicherheitsberatung

Benutzer und Computer

Windows unterstützt zwei Arten von Nutzeraccounts: Domänen-Accounts und lokale Accounts. Lokale Accounts sind auf jedem Computer lokal gespeichert, Domänen-Accounts auf dem Domänen-Controller. Benutzer, die einen Account in der Domäne besitzen, können sich (grundsätzlich) an jedem Computer, der in der Domäne ist, anmelden. Dazu wählt man bei einer interaktiven Anmeldung bei „Anmelden an“ entweder den lokalen Computer oder die Domäne aus.

Hier kommt das Thema Verfügbarkeit des Domänen-Controllers zum Tragen. Ist dieser nicht erreichbar, kann man sich an einem Computer nicht in der Domäne anmelden. Es gibt jedoch die Möglichkeit der Zwischenspeicherung von Domänen-Anmeldeinformationen auf Computern, um eine Anmeldung weiterhin zu ermöglichen. In Zeiten von Homeoffice und VPN-Verbindung ein unabdingbares Feature. Nutzeraccounts in einer Domäne müssen händisch durch einen Administrator erstellt werden.

Computer-Accounts bestehen grundsätzlich aus denselben Attributen wie Nutzeraccounts. Wird ein Computer in eine Domäne aufgenommen, wird automatisch ein Computer-Account im Active Directory erstellt. Jeder Computer-Account hat ein Passwort, um sich gegenüber dem Domänen-Controller zu autorisieren. Dieses Passwort wird automatisch erstellt und alle 30 Tage geändert.

Du möchtest Dich weiter bei IT-Sicherheitsprofis informieren?
Ruf uns einfach an oder nutze unser Kontaktformular!
Jetzt kontaktieren

Gruppen und Organisationseinheiten und Richtlinien

Um den Administrationsaufwand zu vereinfachen, besteht mit Active Directory die Möglichkeit, Benutzer in Gruppen zusammenzufassen. Ein gutes Beispiel ist die hierarchische Struktur des Unternehmens durch Gruppen und Organisationseinheiten abzubilden. Alle Benutzer der Abteilung Buchhaltung sind Mitglied der Gruppe „Buchhaltung“. Die Gruppe „Buchhaltung“ ist in der gleichnamigen Organisationseinheit. Für diese Organisationseinheit kann man ggf. gezielt eine Richtlinie erstellen, die nur diese Abteilung betrifft.

Sollte die Buchhaltung einen neuen Mitarbeiter bekommen, erstellt der Administrator einen neuen Nutzeraccount und fügt diesen Account der Gruppe „Buchhaltung“ hinzu. Es ist nicht nötig, dem neuen Nutzer spezielle Berechtigungen zu erteilen. Diese erhält er durch die Berechtigungen bzw. Gruppenrichtlinien, die für die Organisationseinheit erstellt werden. Sollte ein Mitarbeiter die Firma verlassen, ist das Entfernen von Berechtigungen somit auch einfacher.

Das ganze Prinzip des Active Directory kann man mit der Abkürzung „AGDLP“ (Accounts, Globale Gruppe, Domänenlokale Gruppe, Permissiven) beschreiben.

ANDERE BEITRÄGE
Configuration Management Darstellung Knowledge Base
Configuration Management

Was ist Configuration Management? Konfigurationsmanagement oder im englischen Configuration Management (CM) ist ein Prozess zur Herstellung und Erhaltung eines einheitlichen

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.