Active Directory einfach erklärt

Inhaltsverzeichnis

Active Directory ist ein Verzeichnisdienst von Microsoft Windows

Active Directory ist ein von Microsoft Windows verwendeter Verzeichnisdienst und eine der zentralen Komponenten zur Verwaltung von Windows-basierten Netzwerken.

Informationen zu Geräten, Ressourcen und Einstellungen werden in einer hierarchischen Datenbank verwaltet. Mit dem Active Directory ist es möglich, Änderungen zentral durchzuführen oder Informationen für verschiedene Applikationen zur Verfügung zu stellen.

Zur Änderung oder Abfrage von Informationen aus der Datenbank wird meistens das Lightweight Directory Access Protocol (LDAP) verwendet.

Wie ist Active Directory aufgebaut?

OU’s, Objekte und Wälder – beim Thema Active Directory wird man auf viele Begriffe stoßen, deren Aufgabe nicht auf den ersten Blick ersichtlich sind. In diesem Abschnitt klären wir ihre Bedeutung.

Die Domäne

Eine Domäne stellt einen eigenständigen Sicherheitsbereich dar. Active Directory umfasst mindestens eine Domäne.

Objekte

Einträge in der Datenbank des Active Directory werden als Objekte bezeichnet und mit Attributen ausgestattet. Objekte sind bspw. Benutzer-, Gruppen-, Computerkonten und Ressourcen.

Organisationseinheiten

Um Objekte zusammenzufassen bzw. zu strukturieren, kann man diese im Active Directory in Organisationseinheiten (OU’s) aufteilen/ bündeln. OU’s können in weitere OU’s unterteilt werden. Dies ermöglicht das Abbilden von hierarchischen Strukturen.

Gruppenrichtlinien

Gruppenrichtlinien sind spezielle Objekte im Active Directory, die es ermöglichen, spezifische Konfigurationen für Benutzer und Computer zu implementieren. Beispiele sind die Verbindung zu einem Gruppenlaufwerk oder die Einstellung von Netzwerk-Interfaces.

Der Tree

In einer Domäne des Active Directory kann man des Weiteren Subdomänen erstellen. Eine Domäne mit Subdomänen bildet eine „Struktur“, auch Tree genannt. Ein Tree besteht hierarchisch aus mindestens einer Domäne und besitzt ein gemeinsames Namensschema.

Der Forest

Eine „Gesamtstruktur“ oder auch „Forest“ setzt sich aus mehreren „Strukturen“/ „Trees“ zusammen. Diese haben aber jeweils ihr eigenes Namensschema.

Domänen-Controller

Die zentrale Verwaltung des Active Directory geschieht auf einem Domänen-Controller. Grundsätzlich benötigt man nur einen Windows Server, bei dem man mit der Installation von Active Directory Domänendiensten eine Domäne erstellt und diesen Server zum Domänen-Controller macht.

 

Mit dem Heraufstufen zum Domänen-Controller verliert der Windows Server jedoch jegliche lokalen Nutzer und Gruppen. Meldet man sich an einem Domänen-Controller an, meldet man sich quasi an der Domäne an. Bei anderen Servern gibt es jedoch weiterhin lokale Nutzer und Gruppen, auch wenn diese einer Domäne angehörig sind.

 

Um die Verfügbarkeit der Domäne sicherzustellen, empfiehlt es sich, mehrere Domänen-Controller einzusetzen.

Sind die Einstellungen Ihres Active Directory sicher?
Wir finden es für Sie heraus und führen Sie durch die Optimierung Ihrer IT Sicherheit.
Zur IT-Sicherheitsberatung

Benutzer und Computer

Windows unterstützt zwei Arten von Nutzeraccounts: Domänen-Accounts und lokale Accounts. Lokale Accounts sind auf jedem Computer lokal gespeichert, Domänen-Accounts auf dem Domänen-Controller. Benutzer, die einen Account in der Domäne besitzen, können sich (grundsätzlich) an jedem Computer, der in der Domäne ist, anmelden. Dazu wählt man bei einer interaktiven Anmeldung bei „Anmelden an“ entweder den lokalen Computer oder die Domäne aus.

Hier kommt das Thema Verfügbarkeit des Domänen-Controllers zum Tragen. Ist dieser nicht erreichbar, kann man sich an einem Computer nicht in der Domäne anmelden. Es gibt jedoch die Möglichkeit der Zwischenspeicherung von Domänen-Anmeldeinformationen auf Computern, um eine Anmeldung weiterhin zu ermöglichen. In Zeiten von Homeoffice und VPN-Verbindung ein unabdingbares Feature. Nutzeraccounts in einer Domäne müssen händisch durch einen Administrator erstellt werden.

Computer-Accounts bestehen grundsätzlich aus denselben Attributen wie Nutzeraccounts. Wird ein Computer in eine Domäne aufgenommen, wird automatisch ein Computer-Account im Active Directory erstellt. Jeder Computer-Account hat ein Passwort, um sich gegenüber dem Domänen-Controller zu autorisieren. Dieses Passwort wird automatisch erstellt und alle 30 Tage geändert.

Gruppen, Organisationseinheiten und Richtlinien

Um den Administrationsaufwand zu vereinfachen, besteht mit Active Directory die Möglichkeit, Benutzer in Gruppen zusammenzufassen. Ein gutes Beispiel ist, die hierarchische Struktur des Unternehmens durch Gruppen und Organisationseinheiten abzubilden. Alle Benutzer der Abteilung Buchhaltung sind Mitglied der Gruppe „Buchhaltung“. Die Gruppe „Buchhaltung“ ist in der gleichnamigen Organisationseinheit. Für diese Organisationseinheit kann man ggf. gezielt eine Richtlinie erstellen, die nur diese Abteilung betrifft.

Sollte die Buchhaltung einen neuen Mitarbeiter bekommen, erstellt der Administrator einen neuen Nutzeraccount und fügt diesen Account der Gruppe „Buchhaltung“ hinzu. Es ist nicht nötig, dem neuen Nutzer spezielle Berechtigungen zu erteilen. Diese erhält er durch die Berechtigungen bzw. Gruppenrichtlinien, die für die Organisationseinheit erstellt werden. Sollte ein Mitarbeiter die Firma verlassen, ist das Entfernen von Berechtigungen somit auch einfacher.

Das ganze Prinzip des Active Directory kann man mit der Abkürzung „AGDLP“ (Accounts, Globale Gruppe, Domänenlokale Gruppe, Permissiven) beschreiben.

Wenn Sie mehr wissen möchten:
Unter folgendem Link geht es zum zweiten Teil Active Directory Sicherheitsmanagment 

Sie möchten sich bei IT-Sicherheitsprofis informieren?
Rufen Sie uns einfach an oder nutzen SIe unser Kontaktformular!
Jetzt kontaktieren
Follow for more!
Newsletter Form

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!
ANDERE BEITRÄGE

Inhaltsverzeichnis

2 Antworten

Hast du Fragen oder Ergänzungen? Immer her damit!
Schreibe einen Kommentar und wir antworten so bald wie möglich!

Dein E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!