Was ist Active Directory?

Bei Active Directory (oft kurz einfach nur als "AD" bezeichnet) handelt es sich um einen zentralen Verzeichnisdienst (wie der Name schon sagt). Dieser wurde ursprünglich (etwa 1999) von Microsoft entwickelt, um bestimmte Probleme innerhalb von Windows-Netzwerken zu lösen. Mit AD ist es relativ einfach möglich Benutzer, Gruppen, Geräte und Ressourcen zu verwalten. In Zeiten, in denen viele Services in der Cloud gehostet werden, hat Microsoft angefangen "Azure AD" anzubieten, um auch hier Active Directory-Funktionalitäten bereitzustellen. Mittlerweile wurde "Azure AD" in "Microsoft Entra ID" umbenannt.

Wozu braucht man ein Active Directory?

Im Allgemeinen - wenn auch nicht ganz korrekt - kann man ein Active Directory mit einem Telefonbuch vergleichen. Es beinhaltet alle relevanten Informationen zu Nutzern, Gruppen, Ressourcen und Geräten. Mit Hilfe dieser Informationen kann ermittelt werden, wer auf welche Ressource innerhalb des Netzwerks zugreifen darf - und wer nicht. Active Directory ist damit das Kernstück der IT eines jeden Unternehmens, das primär auf Windows-Systemen basiert (und das sind die meisten Unternehmen). Aus Sicht des IT-Administrators ist AD ein unverzichtbares Werkzeug, um die IT-Infrastruktur eines Unternehmens zu verwalten und zu schützen.

Welche Aufbau und Struktur hat ein Active Directory?

Ein AD hat drei grundlegende Bestandteile:

  • - Schema - hier werden Typen von Objekten sowie deren Eigenschaften definiert
  • - Konfiguration - die Struktur des gesamten Verzeichnisses wird in dieser Komponente dargestellt
  • - Domäne - alle Informationen zu Objekten innerhalb einer Domäne werden in dieser Komponente gespeichert

Als Objekt wird im Allgemeinen beispielsweise ein Benutzer, ein Endgerät, eine Benutzergruppe oder Ressource bezeichnet. Jedes dieser Objekt kann Eigenschaften haben - so könnte ein Benutzer ein Attribut "email" oder "position" haben.

Ein Active Directory ist immer streng hierarchisch aufgebaut. Die oberste Ebene ist die Gesamtstruktur (Forest) - hierbei handelt es sich quasi um einen Verbund mehrerer Domänen. Innerhalb eines Forests gibt es dann einzelne Domänen, die wiederum in Organisationseinheiten (OU) unterteilt sind. In einer OU können dann wiederum Benutzer, Gruppen, Geräte und Ressourcen abgelegt werden. Diese Informationen werden auf so genannten Domaincontrollern gespeichert - quasi dem Herzstück eines Active Directory (hierzu weiter unten etwas mehr).

In der Praxis wird ein Active Directory sehr sorgfältig geplant und auf Basis von Standort, Aufgaben und IT-Rollen (bzw. Kombinationen davon) strukturiert.

Alle relevanten Informationen werden in speziellen Datenbanken abgelegt und strukturiert abgespeichert..

Welche Funktionen und Dienste bietet AD?

"Active Directory" ist ein recht breiter Begriff, der diverse Dienste umfassen kann - ohne auf Details einzugehen - hier eine Auswahl der wichtigsten Dienste und Funktionen:

  • - AD DS / AD Domain Services (Domänendienst)
  • - AD LDS / Lightweight Directory Services (eingeschränkte/einfache Version von AD DS
  • - AD FS / Federation Services (Authentifizerung externer Nutzer am AD sowie Single Sign-On)
  • - AD RMS / Rights Management Services (Rechteverwaltung)
  • - AD CS / Certificate Services (Zertifikatsverwaltung)

Bekannte und bis heute häufig verwendete Protokolle sind LDAP (Lightweight Directory Access Protocol), Kerberos sowie SMB. Mit diesen Protokollen können sich Nutzer authentifizieren, auf Ressourcen zugreifen und Daten austauschen. DNS ist ebenfalls ein Bestandteil und dient der Hostnamenauflösung - dies erlaubt die Kommunikation zwischen zwei Geräten im Netzwerk mittels Namen (z.B. "computer1.unternehmensname) statt IP-Adresse.

Domänencontroller und ihr Zweck

In einer AD Informationsinfrastruktur spielen die Domänencontroller (DC, Domaincontroller) eine wichtige Rolle. Diese Server sind für die Authentifizierung von Benutzern und Geräten zuständig. Sie stellen sicher, dass nur berechtigte Nutzer auf bestimmte Ressourcen zugreifen können. Domänencontroller sind also sozusagen die "Wächter" des Active Directory. Aus Angreiferperspektive ist ein Domaincontroller das Hauptziel - hat man diesen unter Kontrolle, so steht einem der Zugriff auf das gesamte Netzwerk offen. Entsprechend wichtig ist es, Domänencontroller besonders zu schützen.

Relevantes zu Active Directory

Mehr Informationsmaterial

Tools, um die IT-Sicherheit eines AD zu testen

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Active Directory? Schreib uns!

Damian Strobel
In großen Konzernen sind Active Directory Umgebungen häufig zu finden, genauso häufig findet man Fehler und falsche Konfigurationen. Wir helfen Ihnen bei der Absicherung Ihrer Active Directory Umgebung!