Active Directory
Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst fuer Windows-Netzwerke. Es bildet das Rueckgrat der IT-Infrastruktur in den meisten Unternehmen und dient als zentrale Anlaufstelle fuer die Verwaltung von Benutzern, Computern, Gruppen und anderen Netzwerkressourcen.
Stell dir Active Directory wie ein umfassendes Adressbuch fuer dein gesamtes Unternehmensnetzwerk vor. Es speichert nicht nur Informationen ueber Benutzerkonten und ihre Passwoerter, sondern auch ueber Computer, Drucker, Freigaben und Sicherheitsrichtlinien. Wenn du dich morgens an deinem Arbeitsplatz anmeldest, ist es Active Directory, das deine Anmeldedaten ueberprueft und dir Zugriff auf die Ressourcen gibt, fuer die du berechtigt bist.
Geschichte und Entwicklung
Microsoft fuehrte Active Directory erstmals mit Windows 2000 Server im Jahr 2000 ein. Es loeste das aeltere Windows NT-Domaenenmodell ab und markierte einen wichtigen Wendepunkt in der Netzwerkverwaltung. Waehrend NT-Domaenen flach strukturiert und in ihrer Skalierbarkeit begrenzt waren, bot Active Directory eine hierarchische, flexible Struktur.
Seitdem wurde Active Directory kontinuierlich weiterentwickelt. Mit Windows Server 2003 kamen verbesserte Sicherheitsfunktionen und eine bessere Replikation. Windows Server 2008 brachte neue Domaenenfunktionsebenen und Read-Only Domain Controller (RODCs). Die juengeren Versionen ab Windows Server 2012 legten den Grundstein fuer die Integration mit Cloud-Diensten wie Microsoft Azure.
Kernkomponenten von Active Directory
Active Directory ist hierarchisch aufgebaut und besteht aus mehreren verschachtelten Komponenten. Das Verstaendnis dieser Struktur ist grundlegend fuer die Arbeit mit AD.
Gesamtstruktur (Forest)
Die Gesamtstruktur (englisch: Forest) ist der oberste Container in Active Directory. Sie umfasst eine oder mehrere Domaenen, die sich ein gemeinsames Schema und einen gemeinsamen globalen Katalog teilen. Ein Forest stellt eine Sicherheitsgrenze dar - Administratoren einer Gesamtstruktur haben standardmaessig keinen Zugriff auf andere Forests. Grosse Konzerne mit unterschiedlichen Geschaeftsbereichen betreiben manchmal mehrere Forests, um die IT-Verwaltung zu trennen.
Domaenen und Baeume (Domains und Trees)
Eine Domaene ist ein logischer Container fuer Benutzer, Computer und andere Objekte. Jede Domaene hat einen eindeutigen Namen (z.B. firma.local) und wird von mindestens einem Domain Controller verwaltet. Mehrere Domaenen, die hierarchisch verbunden sind und einen gemeinsamen Namensraum teilen, bilden einen Baum (Tree). Beispielsweise koennten die Domaenen vertrieb.firma.local und entwicklung.firma.local Teil desselben Baums sein.
Domain Controller
Domain Controller (DCs) sind die Server, auf denen Active Directory ausgefuehrt wird. Sie speichern eine vollstaendige Kopie der AD-Datenbank fuer ihre Domaene und bearbeiten Authentifizierungsanfragen. In einer robusten Infrastruktur betreibst du mindestens zwei Domain Controller pro Domaene - faellt einer aus, uebernimmt der andere. Die DCs replizieren ihre Daten automatisch untereinander, sodass Aenderungen (z.B. ein neues Benutzerpasswort) auf alle Controller verteilt werden.
Organisationseinheiten (OUs)
Organisationseinheiten sind Container innerhalb einer Domaene, mit denen du Objekte logisch gruppieren kannst. Sie spiegeln oft die Unternehmensstruktur wider - etwa OUs fuer verschiedene Abteilungen oder Standorte. Der grosse Vorteil: Du kannst auf OUs unterschiedliche Gruppenrichtlinien anwenden. So erhalten beispielsweise alle Computer in der OU "Buchhaltung" automatisch einen bestimmten Netzwerkdrucker zugewiesen.
Schema
Das Schema definiert, welche Objekttypen (Klassen) und Eigenschaften (Attribute) in Active Directory gespeichert werden koennen. Es legt beispielsweise fest, dass ein Benutzerobjekt Attribute wie "Vorname", "Nachname" und "E-Mail-Adresse" haben kann. Das Schema basiert auf dem X.500-Standard und ist erweiterbar - Anwendungen wie Microsoft Exchange fuegen eigene Attribute hinzu.
Authentifizierung und Protokolle
Active Directory setzt auf zwei zentrale Protokolle fuer die Kommunikation und Authentifizierung: LDAP fuer Verzeichnisabfragen und Kerberos fuer die sichere Anmeldung.
LDAP (Lightweight Directory Access Protocol)
LDAP ist das Protokoll, ueber das Anwendungen mit Active Directory kommunizieren. Wenn du beispielsweise im Adressbuch von Outlook nach einem Kollegen suchst, stellt Outlook eine LDAP-Abfrage an den Domain Controller. LDAP laeuft standardmaessig auf Port 389 (unverschluesselt) bzw. Port 636 (verschluesselt mit TLS). Mit LDAP kannst du Objekte suchen, lesen und - mit entsprechenden Berechtigungen - auch aendern.
Kerberos-Authentifizierung
Kerberos ist das primaere Authentifizierungsprotokoll in Active Directory und deutlich sicherer als das aeltere NTLM. Der Name stammt aus der griechischen Mythologie - Kerberos war der dreikoepfige Hoellenhund, der den Eingang zur Unterwelt bewachte.
Bei der Kerberos-Authentifizierung erhaeltst du nach erfolgreicher Anmeldung ein sogenanntes Ticket Granting Ticket (TGT). Mit diesem Ticket kannst du dann Service Tickets fuer verschiedene Netzwerkressourcen anfordern, ohne dein Passwort erneut eingeben zu muessen. Das ist der Grund, warum du dich in einer Windows-Domaene nur einmal anmelden musst und dann auf Dateifreigaben, Drucker und andere Dienste zugreifen kannst - das sogenannte Single Sign-On (SSO).
Gruppenrichtlinien (GPOs)
Group Policy Objects (GPOs) sind eines der maechtigsten Werkzeuge in Active Directory. Mit Gruppenrichtlinien kannst du Einstellungen fuer Benutzer und Computer zentral definieren und automatisch durchsetzen - ohne jeden Rechner einzeln konfigurieren zu muessen.
Typische Einsatzszenarien fuer GPOs:
- Sicherheitsrichtlinien: Passwortlaenge, Komplexitaet und Ablaufzeit festlegen
- Desktop-Konfiguration: Hintergrundbilder, Startmenue-Eintraege, Desktop-Symbole
- Software-Verteilung: Programme automatisch auf Computern installieren
- Netzwerkeinstellungen: Drucker zuweisen, Laufwerke verbinden
- Windows-Firewall: Regeln zentral konfigurieren
- Browser-Einstellungen: Startseiten, Sicherheitszonen, Proxy-Konfiguration
GPOs werden hierarchisch vererbt: Richtlinien auf Domaenenebene gelten fuer alle Objekte, koennen aber durch Richtlinien auf OU-Ebene ueberschrieben werden. Diese Vererbung ermoeglicht es dir, allgemeine Regeln fuer das gesamte Unternehmen zu definieren und gleichzeitig spezielle Anforderungen einzelner Abteilungen zu beruecksichtigen.
Active Directory Domain Services vs. Microsoft Entra ID
Mit dem Aufstieg von Cloud-Diensten hat Microsoft Microsoft Entra ID (frueher Azure Active Directory) eingefuehrt. Obwohl beide "Active Directory" im Namen tragen, handelt es sich um unterschiedliche Dienste mit verschiedenen Einsatzzwecken.
| Aspekt | AD DS (On-Premises) | Microsoft Entra ID (Cloud) |
|---|---|---|
| Standort | Lokale Server im Unternehmen | Microsoft Azure Cloud |
| Primaerer Einsatz | Windows-Netzwerke, Dateiserver, Drucker | Cloud-Apps, Microsoft 365, SaaS |
| Authentifizierung | Kerberos, NTLM | OAuth 2.0, OpenID Connect, SAML |
| Verwaltung | Gruppenrichtlinien (GPOs) | Conditional Access, Intune |
| Geraete | Windows-Computer in der Domaene | Beliebige Geraete, BYOD |
In der Praxis setzen viele Unternehmen heute auf eine Hybrid-Loesung: AD DS verwaltet die lokale Infrastruktur, waehrend Entra ID fuer Cloud-Anwendungen wie Microsoft 365 zustaendig ist. Mit Azure AD Connect werden Benutzerkonten zwischen beiden Systemen synchronisiert, sodass Mitarbeiter mit denselben Anmeldedaten sowohl auf lokale als auch auf Cloud-Ressourcen zugreifen koennen.
Typische Einsatzszenarien
Active Directory bildet das Fundament der IT-Infrastruktur in Unternehmen jeder Groesse. Hier sind die wichtigsten Anwendungsfaelle:
Zentrale Benutzerverwaltung
Neue Mitarbeiter erhalten ein AD-Benutzerkonto, das ihnen automatisch Zugriff auf alle benoetigten Ressourcen gibt. Wenn jemand das Unternehmen verlaesst, deaktivierst du das Konto an einer zentralen Stelle - und sofort sind alle Zugaenge gesperrt. Ohne Active Directory muesste die IT-Abteilung jeden einzelnen Dienst separat verwalten.
Zugriffskontrolle und Berechtigungen
Mit AD-Gruppen steuerst du, wer auf welche Ressourcen zugreifen darf. Ein Mitarbeiter aus der Buchhaltung gehoert zur Gruppe "Buchhaltung" und erhaelt damit automatisch Zugriff auf die entsprechenden Dateifreigaben. Wechselt er in eine andere Abteilung, aenderst du nur seine Gruppenmitgliedschaft.
Sicherheit und Compliance
Active Directory unterstuetzt Unternehmen bei der Einhaltung von Sicherheitsstandards. Ueber Gruppenrichtlinien setzt du Passwortrichtlinien durch, erzwingst Bildschirmsperren und konfigurierst die Windows-Firewall. Das BSI IT-Grundschutz-Kompendium enthaelt spezifische Empfehlungen fuer den sicheren Betrieb von Active Directory.
Active Directory in der Praxis
Wer als Fachinformatiker fuer Systemintegration arbeitet, wird taeglich mit Active Directory zu tun haben. Von der Einrichtung neuer Benutzerkonten ueber die Konfiguration von Gruppenrichtlinien bis zur Fehlersuche bei Anmeldeproblemen - AD-Kenntnisse gehoeren zum Kernwissen im Bereich Systemintegration.
Die wichtigsten Verwaltungswerkzeuge sind "Active Directory Users and Computers" fuer die Objektverwaltung, der "Group Policy Management Editor" fuer Richtlinien und PowerShell fuer die Automatisierung. Mit PowerShell-Befehlen wie Get-ADUser, New-ADUser oder Set-ADGroupMember kannst du wiederkehrende Aufgaben effizient automatisieren.
Quellen und weiterfuehrende Links
- Microsoft Learn: Active Directory Domain Services - Offizielle Microsoft-Dokumentation
- Microsoft Entra ID Dokumentation - Cloud-Identitaetsdienst
- RFC 4120: Kerberos V5 - Spezifikation des Authentifizierungsprotokolls
- RFC 4511: LDAP - Protokollspezifikation fuer Verzeichnisdienste
- BSI IT-Grundschutz - Sicherheitsempfehlungen