Mit dem Microsoft Active Directory für Windows-Netzwerke lassen sich fir­men­in­ter­ne IT-Res­sour­cen zentral verwalten, Rechte- und Richt­li­ni­en be­ar­bei­ten und diverse Dienste über­wa­chen. Wir erklären, was es mit dem Ver­zeich­nis­dienst auf sich hat und wie das AD von Windows funk­tio­niert.

KI-Assistent kostenlos – Ihr smarter All­tags­hel­fer
  • DSGVO-konform & sicher gehostet in Deutsch­land
  • Pro­duk­ti­vi­tät steigern – weniger Aufwand, mehr Output
  • Direkt im Browser starten – ohne In­stal­la­ti­on

Active Directory: De­fi­ni­ti­on

Active Directory (AD) ist ein von Microsoft ent­wi­ckel­ter Ver­zeich­nis­dienst für Windows-Netzwerke. Das AD spielt für Un­ter­neh­men mit komplexen IT-Res­sour­cen, Be­nut­zer­rech­ten und hier­ar­chi­schen Ar­beits­grup­pen eine wichtige Rolle: Im Grunde kann man sich das Active Directory als Adress- und Te­le­fon­buch vor­stel­len, nur mit viel mehr Mög­lich­kei­ten für Ad­mi­nis­tra­to­ren, ge­spei­cher­te Benutzer- und Ob­jekt­da­ten zu verwalten, zu be­ar­bei­ten, ab­zu­fra­gen und zu struk­tu­rie­ren. Die IT-Struktur einer Or­ga­ni­sa­ti­on lässt sich mithilfe des Ver­zeich­nis­diens­tes in so­ge­nann­te Domänen gliedern und damit über­sicht­lich nach­bil­den.

Aufgabe und Funktion des Active Directory

Wie das Active Directory in Servern von Windows-Netz­wer­ken funk­tio­niert und welche Aufgaben es erfüllt, lässt sich am besten an einem Beispiel ver­an­schau­li­chen: Stellen Sie sich ein großes Un­ter­neh­men mit 150 Mit­ar­bei­tern vor. Alle Mit­ar­bei­ter sind auf Be­stand­tei­le der fir­men­in­ter­ne IT-In­fra­struk­tur wie Be­nut­zer­kon­ten, Drucker, Scanner und Rech­te­frei­ga­ben auf Rechnern in ver­schie­de­nen Ar­beits­grup­pen an­ge­wie­sen. Um die Ver­wal­tung der IT-Res­sour­cen nicht für jeden Ar­beits­platz einzeln vor­zu­neh­men, kann das Active Directory Un­ter­neh­mens­struk­tu­ren abbilden, Benutzer- und Ob­jekt­da­ten speichern und Rech­te­frei­ga­ben zentral verwalten und verteilen.

So muss zum Beispiel eine Pass­wor­t­än­de­rung nicht auf jedem Gerät vor­ge­nom­men werden, sondern nur einmal im AD. Auch System-Updates und -Upgrades lassen sich auf diese Weise zentral durch­füh­ren. Die AD-Ver­wal­tung und der schrei­ben­de Zugriff auf IT-Res­sour­cen liegt in den Händen der Sys­tem­ad­mi­nis­tra­to­ren. Zu den Aufgaben des Microsoft Active Directory zählen:

  • Hier­ar­chi­sche Glie­de­rung und Abbildung der internen IT-Res­sour­cen, Benutzer und Objekte (Hardware, Software, Be­nut­zer­rol­len und Netz­werk­be­stand­tei­le/-geräte/-dienste)
  • Ver­wal­tung und Struk­tu­rie­rung von Spei­cher­platz
  • Freigabe und Sperrung von Zugriffs- und An­wen­dungs­rech­ten (z.B. auf Ver­zeich­nis­se und Dienste)
  • Sicherung und Schutz des Un­ter­neh­mens­netz­werks
Bild: Vereinfachtes Schaubild des Active Directory
Mit dem Windows Active Directory lassen sich Freigaben, Nut­zer­kon­ten und IT-Res­sour­cen hier­ar­chisch or­ga­ni­sie­ren.
Tipp

Nutzen Sie für Ihr Un­ter­neh­men die Vorteile das Windows Active Directory mit Microsoft 365 von IONOS inklusive aller Windows-Dienste.

Grund­le­gen­der Aufbau des AD in Windows-Netz­wer­ken

Ein Active Directory besteht grund­sätz­lich aus drei zentralen Kom­po­nen­ten: Schema, Kon­fi­gu­ra­ti­on und Domäne. Das Herzstück bilden dabei Domänen, die alle wichtigen In­for­ma­tio­nen zu IT-Res­sour­cen und Nutzern enthalten und das Netzwerk abbilden. Ebenso wichtig für die Ge­samt­struk­tur sind die Datenbank und ihre Objekte. Wir werfen im Folgenden einen Blick auf die einzelnen Kom­po­nen­ten.

Schema

Wie der Name andeutet, dient das AD-Schema als eine Schablone für die be­nö­tig­ten und erlaubten Klas­si­fi­ka­tio­nen und Typen von AD-Einträgen. Dazu zählen Objekte samt At­tri­bu­ten, Klassen und die Syntax von At­tri­bu­ten. Das Schema legt mithilfe von De­fi­ni­tio­nen fest, welche Objekte im Netzwerk verfügbar sind bzw. verfügbar gemacht werden können.

Kon­fi­gu­ra­ti­on

Während das Schema die möglichen Inhalte definiert, bildet die AD-Kon­fi­gu­ra­ti­on die Struktur des Active Directory und aller ent­hal­te­ner Objekte, Be­nut­zer­rol­len und Freigaben ab. Dazu zählen unter anderem vor­han­de­ne Domänen, die Ar­beits­grup­pen im Rech­ner­netz un­ter­glie­dern. Do­mä­nen­spe­zi­fi­sche Inhalte und In­for­ma­tio­nen sind wiederum nur über interne Do­mä­nen­con­trol­ler der je­wei­li­gen Domain verfügbar. Diese enthalten einen globalen Katalog mit allen wichtigen In­for­ma­tio­nen und Teil­in­for­ma­tio­nen zum Schema, zur Kon­fi­gu­ra­ti­on und zu anderen Domänen im selben Netzwerk. Mithilfe des globalen Katalogs lassen sich somit do­mä­nen­über­grei­fend wichtige Teil­in­for­ma­tio­nen suchen und abrufen.

Domäne

Domänen bilden im Active Directory die Grundlage für die hier­ar­chi­sche Struk­tu­rie­rung der Objekte, Ar­beits­grup­pen und Benutzer, die von Ad­mi­nis­tra­to­ren verwaltet werden. Ähnlich wie Ver­zeich­nis­se und Un­ter­ver­zeich­nis­se enthält eine Domäne alle In­for­ma­tio­nen zu Objekten und At­tri­bu­ten, die nur die Domäne betreffen. Do­mä­nen­spe­zi­fi­sche In­for­ma­tio­nen lassen sich nur von anderen Domänen aufrufen, wenn diese im globalen Katalog enthalten sind. Alle weiteren In­for­ma­ti­on sind nur auf den internen Do­mä­nen­con­trol­ler verfügbar. Eine Domäne dient somit als wichtiges Struk­tu­rie­rungs­ele­ment, das Ver­wal­tungs- und Netz­werk­ein­hei­ten in Form von tat­säch­li­chen Bereichen, Ar­beits­grup­pen und Ab­tei­lun­gen abgrenzt und Be­rech­ti­gun­gen hier­ar­chisch gliedert. Do­mä­nen­na­men werden wie bei klas­si­schen DNS-Servern vergeben.

Datenbank und Objekte

Die Datenbank des Active Directory basiert ähnlich wie bei einem Microsoft Exchange Server auf der Microsoft Jet Engine. Sie ist ob­jekt­ba­siert und hier­ar­chisch aufgebaut. Die Objekte stehen für die je­wei­li­gen Da­ten­sät­ze sowie für Grup­pen­richt­li­ni­en für IT-Res­sour­cen. Ihre Ei­gen­schaf­ten heißen Attribute und ihre Typen sind dem­entspre­chend definiert. Un­ter­teilt werden Objekte in die Ka­te­go­rien „Konten“ (z.B. dienst- und be­nut­zer­be­zo­ge­ne Konten für Mit­ar­bei­ter, Gruppen oder Geräte) und „Res­sour­cen“ (z.B. Freigaben für An­wen­dun­gen und Dienste).

Objekte wiederum un­ter­schei­det man in „Container“, die weitere vor- oder selbst­de­fi­nier­te Objekte enthalten und „Nicht-Container“, die keine weiteren Objekte enthalten und auch Endknoten/Leaf heißen.

Vier wichtige tech­ni­sche AD-Kom­po­nen­ten

Um die ein­heit­li­che Kom­mu­ni­ka­ti­on zwischen Computern, An­wen­dun­gen, Diensten, AD-Ver­zeich­nis­sen und Domänen zu er­mög­li­chen, kommen vier zentrale Standards zum Einsatz:

  • LDAP (Light­weight Directory Access Protocol): Protokoll für ein­heit­li­che Anfragen an Active-Directory-Ver­zeich­nis­se
  • Kerberos-Protokoll: Protokoll für zentrale, ein­heit­li­che Au­then­ti­fi­zie­rung und Zu­griffs­re­che von Benutzern in AD-Servern
  • SMB (Server Message Block): Protokoll für Zu­griffs­rech­te wie Grup­pen­richt­li­ni­en oder Log-in-Skripte auf Dateien im AD-Netzwerk und auf Servern
  • DNS (Domain Name System): System für die ein­heit­li­che Adres­sie­rung von Com­pu­ter­na­men und Domänen im Active Directory

So funk­tio­niert Hier­ar­chie im Active Directory

Wer nur einen kurzen Blick darauf wirft, sieht das Active Directory vor lauter Bäumen nicht. Was nach schlech­tem Wortwitz klingt, ist tat­säch­lich so, denn die Ge­samt­struk­tur des AD nennt sich forest (dt. Wald) und kann mehrere trees (dt. Bäume) in Form von Stamm­do­mä­nen und Un­ter­do­mä­nen eines DNS-Raums enthalten. Als unterste Einheit gelten Container, die in Domänen or­ga­ni­siert sind. Zu­sam­men­ge­schlos­se­ne Domänen bilden die Or­ga­ni­sa­ti­ons­struk­tur und Res­sour­cen des Un­ter­neh­mens ab, können jedoch auch un­ab­hän­gig von phy­si­schen und logischen Un­ter­neh­mens­struk­tu­ren kon­fi­gu­riert werden. So lassen sich in einer Domäne mehrere Standorte vereinen oder an einem Standort ver­schie­de­nen Domänen verwalten.

Für alle AD-Nutzer abrufbare In­for­ma­tio­nen sind

  • das Schema,
  • die Kon­fi­gu­ra­ti­on
  • und Do­mä­nen­in­for­ma­tio­nen im globalen Katalog.

Auf do­mä­nen­spe­zi­fi­sche Daten lässt sich hingegen nur über die bereits erwähnten internen Do­mä­nen­con­trol­ler zugreifen. Eine Domäne hat dabei meist zwei Con­trol­ler, die durch Mul­ti­mas­ter-Re­pli­ka­ti­on, also Back­up­con­trol­ler und AD-Kopien, Da­ten­ver­lust ver­hin­dern.

Hinweis

Nut­zer­rech­te, Domänen und Do­mä­nen­con­trol­ler werden vom zu­stän­di­gen Ad­mi­nis­tra­tor or­ga­ni­siert und kon­fi­gu­riert.

Vorteile des Active Directory

Die Vorteile des Active Directory für komplexe Windows-Netzwerke in Un­ter­neh­men im Überblick:

  • Zentrale Ver­wal­tung und Kon­fi­gu­ra­ti­on von Freigaben, Rechten und Richt­li­ni­en für Nutzer, Gruppen, Dienste und An­wen­dun­gen
  • Schutz vor Ausfällen und Da­ten­ver­lust durch Mul­ti­mas­ter-Re­pli­ka­ti­on innerhalb der Do­mä­nen­struk­tur
  • Abbildung und zentrale Kon­fi­gu­ra­ti­on der Or­ga­ni­sa­ti­ons­struk­tur von Windows-Rech­ner­net­zen
  • Flexible Er­wei­te­rung und Ska­lie­rung der Do­mä­nen­struk­tu­ren
  • In­for­ma­ti­ons­schutz durch hier­ar­chi­sche Ab­gren­zung zwischen Bereichen, Ab­tei­lun­gen und Ar­beits­grup­pen mit un­ter­schied­li­chen Zu­griffs­rech­ten
  • Kom­pa­ti­bi­li­tät mit weiteren Ver­zeich­nis­diens­ten
  • Kosten- und Auf­wands­re­du­zie­rung durch zen­tra­li­sier­te Ad­mi­nis­tra­ti­on
HiDrive Cloud-Speicher
Ihr sicherer Online-Speicher
  • Daten zentral speichern, teilen und be­ar­bei­ten
  • Ser­ver­stand­ort Deutsch­land (ISO 27001-zer­ti­fi­ziert)
  • Höchste Da­ten­si­cher­heit im Einklang mit der DSGVO
Zum Hauptmenü