Was ist Active Directory und wie funktioniert es?
Was ist Active Directory?
Bei Active Directory (AD) handelt es sich um eine Kombination aus Datenbank und Services, die Benutzer mit den Netzwerkressourcen verbinden, die sie zum Erledigen ihrer Arbeit benötigen.
Die Datenbank (oder das Verzeichnis) enthält wichtige Informationen zu Ihrer Umgebung, einschließlich der Benutzer und Computer und der jeweiligen Berechtigungen. In der Datenbank könnten beispielsweise 100 Benutzerkonten mit Details wie der Position, der Telefonnummer und dem Kennwort der einzelnen Personen aufgelistet sein. Auch ihre Berechtigungen werden aufgeführt.
Die Services kontrollieren einen Großteil der Aktivitäten in Ihrer IT-Umgebung. Sie stellen insbesondere die Echtheit der Identität aller Personen sicher (Authentifizierung), wobei sie in der Regel die eingegebene Benutzer-ID und das zugehörige Kennwort prüfen. Außerdem gewähren sie ihnen nur Zugang zu den Daten, die sie wirklich nutzen dürfen (Autorisierung).
Lesen Sie weiter, um mehr zu den Vorteilen von Active Directory und seiner Funktionsweise sowie den Inhalten einer Active Directory-Datenbank zu erfahren.
Was sind die Vorteile von Active Directory?
Active Directory erleichtert Administratoren und Endbenutzern die Arbeit und verbessert gleichzeitig die Sicherheit von Unternehmen. Administratoren profitieren von einer zentralen Benutzer- und Berechtigungsverwaltung sowie einer zentralen Kontrolle über Computer- und Benutzerkonfigurationen durch die AD-Gruppenrichtlinien-Funktion. Benutzer können nach einmaliger Authentifizierung nahtlos auf alle Ressourcen in der Domäne zugreifen, für die sie autorisiert sind (Single Sign-on). Darüber hinaus werden die Dateien in einem zentralen Repository gespeichert. Dort können sie zur Vereinfachung der Zusammenarbeit für andere Benutzer freigegeben und von den IT-Teams ordnungsgemäß gesichert werden, um die Business Continuity sicherzustellen.
Wie funktioniert Active Directory?
Der wichtigste Active Directory-Service sind die Active Directory Domain Services (AD DS), die Teil des Windows Server-Betriebssystems sind. Die Server, auf denen AD DS ausgeführt wird, werden als Domänencontroller (DCs) bezeichnet. Unternehmen haben normalerweise mehrere DCs, und auf jedem von ihnen befindet sich eine Kopie des Verzeichnisses für die gesamte Domäne. Änderungen an dem Verzeichnis auf einem Domänencontroller, wie z. B. die Aktualisierung eines Kennworts oder das Löschen eines Benutzerkontos, werden auf den anderen DCs repliziert, damit diese immer auf dem neuesten Stand sind. Ein globaler Katalogserver ist ein DC, der eine vollständige Kopie aller Objekte im Verzeichnis seiner Domäne und eine Teilkopie aller Objekte speichert, die sich in allen anderen Domänen in der Gesamtstruktur befinden. So können Benutzer und Anwendungen Objekte aus allen Domänen ihrer Gesamtstruktur finden. Desktop-PCs, Laptops und andere Geräte, die Windows (und nicht Windows Server) ausführen, können Teil einer Active Directory-Umgebung sein, führen jedoch keine AD DS aus. AD DS beruhen auf mehreren etablierten Protokollen und Standards, wie z. B. LDAP (Lightweight Directory Access Protocol), Kerberos und DNS (Domain Name System).
Es ist wichtig zu wissen, dass Active Directory nur für lokale Microsoft-Umgebungen geeignet ist. Microsoft-Umgebungen in der Cloud nutzen Azure Active Directory. Dieser Service erfüllt den gleichen Zweck wie sein lokales Pendant. AD und Azure AD sind voneinander getrennt. Wenn Ihr Unternehmen jedoch über lokale und cloudbasierte IT-Umgebungen (eine hybride Bereitstellung) verfügt, können sie jedoch auch bis zu einem gewissen Grad zusammenarbeiten.
Wie ist Active Directory strukturiert?
AD umfasst drei Hauptebenen: Domänen, Strukturen und Gesamtstrukturen. Eine Domäne ist eine Gruppe von zugehörigen Benutzern, Computern und anderen AD-Objekten, wie z. B. alle AD-Objekte für die Hauptgeschäftsstelle Ihres Unternehmens. Mehrere Domänen bilden eine Struktur und mehrere Strukturen können in einer Gesamtstruktur gruppiert werden.
Denken Sie daran, dass eine Domäne eine Verwaltungsgrenze darstellt. Die Objekte für eine bestimmte Domäne werden in einer einzigen Datenbank gespeichert und können gemeinsam verwaltet werden. Eine Gesamtstruktur stellt eine Sicherheitsgrenze dar. Objekte in verschiedenen Gesamtstrukturen können nur miteinander interagieren, wenn die Administratoren der jeweiligen Gesamtstrukturen eine Vertrauensstellung zwischen diesen einrichten. Wenn Sie beispielsweise verschiedene voneinander unabhängige Geschäftseinheiten haben, empfiehlt sich die Erstellung mehrerer Gesamtstrukturen.
Was befindet sich in der Active Directory-Datenbank?
Die Active Directory-Datenbank ist ein Verzeichnis mit Informationen zu den AD-Objekten in der Domäne. Häufige Arten von AD-Objekten sind Benutzer, Computer, Anwendungen, Drucker und freigegebene Ordner. Einige Objekte können andere Objekte enthalten (daher wird AD auch als „hierarchisch“ bezeichnet). Insbesondere Unternehmen vereinfachen häufig die Administration, indem sie AD-Objekte in Organisationseinheiten (OUs) organisieren und zur Optimierung der Sicherheit Benutzer in Gruppen einteilen. Diese OUs und Gruppen werden im Verzeichnis als Objekte gespeichert.
Objekte haben Attribute. Einige Attribute sind offensichtlich, während andere eher im Hintergrund bleiben. Beispielsweise besitzt ein Benutzerobjekt in der Regel Attribute wie den Namen, das Kennwort, die Abteilung und die E-Mail-Adresse der Person, aber auch Attribute, die nur wenige sehen, wie z. B. den eindeutigen Globally Unique Identifier (GUID), die Sicherheits-ID (SID), den Zeitpunkt der letzten Anmeldung und die Gruppenmitgliedschaft.
Datenbanken sind strukturiert, d. h. sie haben ein Design, das bestimmt, welche Arten von Daten darin gespeichert werden und wie diese Daten organisiert sind. Dieses Design wird als „Schema“ bezeichnet. Active Directory bildet davon keine Ausnahme: Das Schema enthält formale Definitionen für jede Objektklasse, die in der Active Directory-Gesamtstruktur erstellt werden kann und für jedes Attribut, dass in einem Active Directory-Objekt zulässig ist. AD hat ein Standardschema, das jedoch von den Administratoren gemäß den Geschäftsanforderungen angepasst werden kann. Dieses Schema sollte möglichst sorgfältig im Voraus geplant werden, da AD bei der Authentifizierung und bei Autorisierungen eine zentrale Rolle spielt und spätere Änderungen am Schema der AD-Datenbank den Geschäftsbetrieb erheblich beeinträchtigen können.
Wo kann ich mehr über Active Directory erfahren?
Active Directory ist für den Erfolg von Unternehmen heutzutage von entscheidender Bedeutung. Diese zusätzlichen Informationsseiten zeigen Ihnen Best Practices in den Kernbereichen von Active Directory: