Active Directory
Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst für Windows-Netzwerke. Es bildet das Rückgrat der IT-Infrastruktur in den meisten Unternehmen und dient als zentrale Anlaufstelle für die Verwaltung von Benutzern, Computern, Gruppen und anderen Netzwerkressourcen.
Stell dir Active Directory wie ein umfassendes Adressbuch für dein gesamtes Unternehmensnetzwerk vor. Es speichert nicht nur Informationen über Benutzerkonten und ihre Passwörter, sondern auch über Computer, Drucker, Freigaben und Sicherheitsrichtlinien. Wenn du dich morgens an deinem Arbeitsplatz anmeldest, ist es Active Directory, das deine Anmeldedaten überprüft und dir Zugriff auf die Ressourcen gibt, für die du berechtigt bist.
Geschichte und Entwicklung
Microsoft führte Active Directory erstmals mit Windows 2000 Server im Jahr 2000 ein. Es löste das ältere Windows NT-Domänenmodell ab und markierte einen wichtigen Wendepunkt in der Netzwerkverwaltung. Während NT-Domänen flach strukturiert und in ihrer Skalierbarkeit begrenzt waren, bot Active Directory eine hierarchische, flexible Struktur.
Seitdem wurde Active Directory kontinuierlich weiterentwickelt. Mit Windows Server 2003 kamen verbesserte Sicherheitsfunktionen und eine bessere Replikation. Windows Server 2008 brachte neue Domänenfunktionsebenen und Read-Only Domain Controller (RODCs). Die jüngeren Versionen ab Windows Server 2012 legten den Grundstein für die Integration mit Cloud-Diensten wie Microsoft Azure.
Kernkomponenten von Active Directory
Active Directory ist hierarchisch aufgebaut und besteht aus mehreren verschachtelten Komponenten. Das Verständnis dieser Struktur ist grundlegend für die Arbeit mit AD.
Gesamtstruktur (Forest)
Die Gesamtstruktur (englisch: Forest) ist der oberste Container in Active Directory. Sie umfasst eine oder mehrere Domänen, die sich ein gemeinsames Schema und einen gemeinsamen globalen Katalog teilen. Ein Forest stellt eine Sicherheitsgrenze dar - Administratoren einer Gesamtstruktur haben standardmäßig keinen Zugriff auf andere Forests. Große Konzerne mit unterschiedlichen Geschäftsbereichen betreiben manchmal mehrere Forests, um die IT-Verwaltung zu trennen.
Domänen und Bäume (Domains und Trees)
Eine Domäne ist ein logischer Container für Benutzer, Computer und andere Objekte. Jede Domäne hat einen eindeutigen Namen (z.B. firma.local) und wird von mindestens einem Domain Controller verwaltet. Mehrere Domänen, die hierarchisch verbunden sind und einen gemeinsamen Namensraum teilen, bilden einen Baum (Tree). Beispielsweise könnten die Domänen vertrieb.firma.local und entwicklung.firma.local Teil desselben Baums sein.
Domain Controller
Domain Controller (DCs) sind die Server, auf denen Active Directory ausgeführt wird. Sie speichern eine vollständige Kopie der AD-Datenbank für ihre Domäne und bearbeiten Authentifizierungsanfragen. In einer robusten Infrastruktur betreibst du mindestens zwei Domain Controller pro Domäne - fällt einer aus, übernimmt der andere. Die DCs replizieren ihre Daten automatisch untereinander, sodass Änderungen (z.B. ein neues Benutzerpasswort) auf alle Controller verteilt werden.
Organisationseinheiten (OUs)
Organisationseinheiten sind Container innerhalb einer Domäne, mit denen du Objekte logisch gruppieren kannst. Sie spiegeln oft die Unternehmensstruktur wider - etwa OUs für verschiedene Abteilungen oder Standorte. Der große Vorteil: Du kannst auf OUs unterschiedliche Gruppenrichtlinien anwenden. So erhalten beispielsweise alle Computer in der OU "Buchhaltung" automatisch einen bestimmten Netzwerkdrucker zugewiesen.
Schema
Das Schema definiert, welche Objekttypen (Klassen) und Eigenschaften (Attribute) in Active Directory gespeichert werden können. Es legt beispielsweise fest, dass ein Benutzerobjekt Attribute wie "Vorname", "Nachname" und "E-Mail-Adresse" haben kann. Das Schema basiert auf dem X.500-Standard und ist erweiterbar - Anwendungen wie Microsoft Exchange fügen eigene Attribute hinzu.
Authentifizierung und Protokolle
Active Directory setzt auf zwei zentrale Protokolle für die Kommunikation und Authentifizierung: LDAP für Verzeichnisabfragen und Kerberos für die sichere Anmeldung.
LDAP (Lightweight Directory Access Protocol)
LDAP ist das Protokoll, über das Anwendungen mit Active Directory kommunizieren. Wenn du beispielsweise im Adressbuch von Outlook nach einem Kollegen suchst, stellt Outlook eine LDAP-Abfrage an den Domain Controller. LDAP läuft standardmäßig auf Port 389 (unverschlüsselt) bzw. Port 636 (verschlüsselt mit TLS). Mit LDAP kannst du Objekte suchen, lesen und - mit entsprechenden Berechtigungen - auch ändern.
Kerberos-Authentifizierung
Kerberos ist das primäre Authentifizierungsprotokoll in Active Directory und deutlich sicherer als das ältere NTLM. Der Name stammt aus der griechischen Mythologie - Kerberos war der dreiköpfige Höllenhund, der den Eingang zur Unterwelt bewachte.
Bei der Kerberos-Authentifizierung erhältst du nach erfolgreicher Anmeldung ein sogenanntes Ticket Granting Ticket (TGT). Mit diesem Ticket kannst du dann Service Tickets für verschiedene Netzwerkressourcen anfordern, ohne dein Passwort erneut eingeben zu müssen. Das ist der Grund, warum du dich in einer Windows-Domäne nur einmal anmelden musst und dann auf Dateifreigaben, Drucker und andere Dienste zugreifen kannst - das sogenannte Single Sign-On (SSO).
Gruppenrichtlinien (GPOs)
Group Policy Objects (GPOs) sind eines der mächtigsten Werkzeuge in Active Directory. Mit Gruppenrichtlinien kannst du Einstellungen für Benutzer und Computer zentral definieren und automatisch durchsetzen - ohne jeden Rechner einzeln konfigurieren zu müssen.
Typische Einsatzszenarien für GPOs:
- Sicherheitsrichtlinien: Passwortlänge, Komplexität und Ablaufzeit festlegen
- Desktop-Konfiguration: Hintergrundbilder, Startmenü-Einträge, Desktop-Symbole
- Software-Verteilung: Programme automatisch auf Computern installieren
- Netzwerkeinstellungen: Drucker zuweisen, Laufwerke verbinden
- Windows-Firewall: Regeln zentral konfigurieren
- Browser-Einstellungen: Startseiten, Sicherheitszonen, Proxy-Konfiguration
GPOs werden hierarchisch vererbt: Richtlinien auf Domänenebene gelten für alle Objekte, können aber durch Richtlinien auf OU-Ebene überschrieben werden. Diese Vererbung ermöglicht es dir, allgemeine Regeln für das gesamte Unternehmen zu definieren und gleichzeitig spezielle Anforderungen einzelner Abteilungen zu berücksichtigen.
Active Directory Domain Services vs. Microsoft Entra ID
Mit dem Aufstieg von Cloud-Diensten hat Microsoft Microsoft Entra ID (früher Azure Active Directory) eingeführt. Obwohl beide "Active Directory" im Namen tragen, handelt es sich um unterschiedliche Dienste mit verschiedenen Einsatzzwecken.
| Aspekt | AD DS (On-Premises) | Microsoft Entra ID (Cloud) |
|---|---|---|
| Standort | Lokale Server im Unternehmen | Microsoft Azure Cloud |
| Primärer Einsatz | Windows-Netzwerke, Dateiserver, Drucker | Cloud-Apps, Microsoft 365, SaaS |
| Authentifizierung | Kerberos, NTLM | OAuth 2.0, OpenID Connect, SAML |
| Verwaltung | Gruppenrichtlinien (GPOs) | Conditional Access, Intune |
| Geräte | Windows-Computer in der Domäne | Beliebige Geräte, BYOD |
In der Praxis setzen viele Unternehmen heute auf eine Hybrid-Lösung: AD DS verwaltet die lokale Infrastruktur, während Entra ID für Cloud-Anwendungen wie Microsoft 365 zuständig ist. Mit Azure AD Connect werden Benutzerkonten zwischen beiden Systemen synchronisiert, sodass Mitarbeiter mit denselben Anmeldedaten sowohl auf lokale als auch auf Cloud-Ressourcen zugreifen können.
Typische Einsatzszenarien
Active Directory bildet das Fundament der IT-Infrastruktur in Unternehmen jeder Größe. Hier sind die wichtigsten Anwendungsfälle:
Zentrale Benutzerverwaltung
Neue Mitarbeiter erhalten ein AD-Benutzerkonto, das ihnen automatisch Zugriff auf alle benötigten Ressourcen gibt. Wenn jemand das Unternehmen verlässt, deaktivierst du das Konto an einer zentralen Stelle - und sofort sind alle Zugänge gesperrt. Ohne Active Directory müsste die IT-Abteilung jeden einzelnen Dienst separat verwalten.
Zugriffskontrolle und Berechtigungen
Mit AD-Gruppen steuerst du, wer auf welche Ressourcen zugreifen darf. Ein Mitarbeiter aus der Buchhaltung gehört zur Gruppe "Buchhaltung" und erhält damit automatisch Zugriff auf die entsprechenden Dateifreigaben. Wechselt er in eine andere Abteilung, änderst du nur seine Gruppenmitgliedschaft.
Sicherheit und Compliance
Active Directory unterstützt Unternehmen bei der Einhaltung von Sicherheitsstandards. Über Gruppenrichtlinien setzt du Passwortrichtlinien durch, erzwingst Bildschirmsperren und konfigurierst die Windows-Firewall. Das BSI IT-Grundschutz-Kompendium enthält spezifische Empfehlungen für den sicheren Betrieb von Active Directory.
Active Directory in der Praxis
Wer als Fachinformatiker für Systemintegration arbeitet, wird täglich mit Active Directory zu tun haben. Von der Einrichtung neuer Benutzerkonten über die Konfiguration von Gruppenrichtlinien bis zur Fehlersuche bei Anmeldeproblemen - AD-Kenntnisse gehören zum Kernwissen im Bereich Systemintegration.
Die wichtigsten Verwaltungswerkzeuge sind "Active Directory Users and Computers" für die Objektverwaltung, der "Group Policy Management Editor" für Richtlinien und PowerShell für die Automatisierung. Mit PowerShell-Befehlen wie Get-ADUser, New-ADUser oder Set-ADGroupMember kannst du wiederkehrende Aufgaben effizient automatisieren.
Quellen und weiterführende Links
- Microsoft Learn: Active Directory Domain Services - Offizielle Microsoft-Dokumentation
- Microsoft Entra ID Dokumentation - Cloud-Identitätsdienst
- RFC 4120: Kerberos V5 - Spezifikation des Authentifizierungsprotokolls
- RFC 4511: LDAP - Protokollspezifikation für Verzeichnisdienste
- BSI IT-Grundschutz - Sicherheitsempfehlungen