Ordnung im Netzwerkdschungel Was ist ein Active Directory?
Anbieter zum Thema
Active Directory ist ein Verzeichnisdienst von Microsoft für Windows-basierte Netzwerke. Er ermöglicht unter anderem die zentrale Verwaltung von IT-Ressourcen und Benutzern sowie die Durchsetzung und Überwachung von Zugriffsrechten und Richtlinien.
(Bild: © djama - stock.adobe.com)
Active Directory (AD) lässt sich am ehesten mit einem äußerst umfangreichen Adressbuch vergleichen: In einem hierarchisch aufgebauten Verzeichnis werden alle Ressourcen und Objekte innerhalb eines Windows-Netzwerks inklusive ihrer Attribute gespeichert, verwaltet und organisiert. Durch die bereichsabhängige Gliederung in einzelne Domänen lässt sich so die gesamte Struktur einer Organisation übersichtlich abbilden.
Aufbau eines Active Directory
Der grundlegende Aufbau eines Active Directory besteht aus drei wesentlichen Segmenten: Das Schema dient als eine Art Schablone für alle Einträge. Es definiert unter anderem Objekttypen, deren Klassen und Attribute sowie die entsprechende Syntax. Die zweite Säule eines AD stellt die Konfiguration dar. In ihr wird die Gesamtstruktur („Forest“) des Active Directory abgebildet.
Als drittes Hauptsegment enthält die Domäne alle sie selbst und ihre Objekte beschreibenden Informationen. Diese sind domänenspezifisch und nur auf den jeweils für die Verwaltung zuständigen internen Domänencontrollern verfügbar. Schema und Konfiguration sind dagegen auf den Domänencontrollern der Gesamtstruktur zu finden.
Domänen und ihre Subdomänen bilden innerhalb der Gesamtstruktur sogenannte „Trees“ („Bäume“). Sie ermöglichen die organisatorische Abgrenzung einzelner Bereiche einschließlich eigener Sicherheitseinstellungen und -richtlinien. Letztere lassen sich auch über mehrere Domänen hinweg definieren. Damit sind Domänen ein wesentlicher Faktor bei der Nachbildung der jeweiligen Organisationsstruktur. Jede Domäne hat eine eindeutige Bezeichnung, die der Namensgebung bei DNS-Servern („Domain Name System“) entspricht.
Objekte und Attribute
Die kleinsten Verwaltungseinheiten innerhalb des Active Directory werden als Objekte bezeichnet. Sie stellen die Datensätze in der AD-Datenbank dar, sind eindeutig benannt und in die Hauptkategorien Konten und Ressourcen unterteilt. Die in den Objekten hinterlegten Eigenschaften hängen vom jeweiligen Objekttyp ab und werden wiederum als Attribute bezeichnet. Objekte enthalten beispielsweise Benutzer-, Gruppen- und Computerkonten oder Datei-, Anwendungs- und Druckerfreigaben.
Um unter den oftmals Millionen von Objekten für Ordnung zu sorgen, werden Objekte in Organisationseinheiten (OU, „Container“) abgelegt, die wiederum weitere Unterorganisationseinheiten umfassen können. Eine Vererbung von Eigenschaften eines Containers an untergeordnete Objekte ist dabei möglich, was den logischen und hierarchischen Aufbau des Verzeichnisses begünstigt. Enthält ein Container keine weiteren Objekte, wird er auch als „Nicht-Container“ oder „Leaf“ bezeichnet.
Kommunikation und Praxiseinsatz
Vier zentrale Standardprotokolle sorgen für eine reibungslose Kommunikation: Das Lightweight Directory Access Protocol (LDAP) verarbeitet die Anfragen an das Active Directory, während Kerberos für Authentifizierung und Zugriffsrechte zuständig ist. Das SMB-Protokoll („Server Message Block“) sorgt für Datei-, Druck- und andere Serverdienste im Netzwerk, während das Domain Name System einen einheitlichen Namensraum bereitstellt. Fällt das Active Directory aus, kann dies ernsthafte Folgen für den Betrieb aller Anwendungen im Netzwerk haben. Aus diesem Grund sind Redundanzen und Multimaster-Replikation integriert, um Informationsverluste bei Server- oder Domänencontrollerausfällen zu vermeiden.
Dank der detaillierten Abbildung der gesamten Organisation macht das Active Directory den IT-Administratoren das Arbeitsleben leichter. Sie können zum Beispiel die verfügbaren Ressourcen zentral verwalten sowie Zugriffsrechte und Freigaben mit wenig Aufwand an einzelne User, ganze Benutzergruppen oder auch Dienste und Anwendungen verteilen. Zudem wird für den Schutz des Unternehmensnetzwerks gesorgt, da Anwender und Applikationen nur Zugriff auf Ressourcen haben, die für sie tatsächlich relevant sind. Anwender selbst werden nach einem zentralen Login vom Domänencontroller authentifiziert und mit ihren zugewiesenen Rollen und Zugriffsrechten versehen. Insgesamt führt dies zu reduziertem Administrationsaufwand, mehr Übersicht und Schutz von sensiblen Informationen sowie letztlich geringeren Betriebskosten.
Artikelfiles und Artikellinks
Link: Active Directory Workshop, Teil 1, AD für Einsteiger – Wozu dient der Verzeichnisdienst
Link: Active Directory Workshop, Teil 2, Server-Rollen im Überblick
Link: Active Directory Workshop, Teil 3, Planung, Umsetzung und Betrieb eines Domänennetzes
Link: Active Directory Workshop, Teil 4, Azure AD: das Active Directory für die Cloud
Link: Active Directory Workshop, Teil 5, Administration von Domänen und AD-Strukturen
(ID:45451808)
Author: Julia Luna
Last Updated: 1703482204
Views: 468
Rating: 4.3 / 5 (86 voted)
Reviews: 90% of readers found this page helpful
Name: Julia Luna
Birthday: 1965-10-24
Address: 2694 Samantha Isle, New Stephaniefort, OH 09857
Phone: +3989737641439662
Job: Pilot
Hobby: Playing Chess, Painting, DIY Electronics, Origami, Role-Playing Games, Running, Running
Introduction: My name is Julia Luna, I am a unswerving, esteemed, unwavering, welcoming, courageous, spirited, intrepid person who loves writing and wants to share my knowledge and understanding with you.