Active Directory (AD) ist ein Verzeichnisdienst von Microsoft. Mittels Active Directory können Netzwerke entsprechend realer Unternehmensstrukturen nachgebildet und Berechtigungen und Zugriff auf Netzwerkressourcen zentral verwaltet werden. AD ist Teil des umfassenderen Bereichs des Identitäts- und Zugriffsmanagements (IAM) und kann durch Single-Sign-On (SSO) oder Mobile Device Management (MDM) ergänzt werden. Im Rahmen einer Enterprise Mobility Strategie wird Active Directory häufig für den mobilen Zugriff auf Unternehmensdaten genutzt.
Wie funktioniert Active Directory?
Grundlage eines Active Directory ist der Domain Controller. Sämtliche Aktionen, die ein Nutzer im Netzwerk ausführen möchte, werden über diese zentrale Steuerstelle überprüft und entsprechend der Identität des Benutzers autorisiert. Um den Nutzer korrekt zu identifizieren und ihm Zugriff auf für ihn bestimmte Ressourcen zu genehmigen, wird das Active Directory nach den Inhalten durchsucht.
Im Active Directory sind Informationen über Netzwerkobjekte (z. B. Benutzer, Gruppen, Systeme, Netzwerke, Anwendungen, digitale Assets und andere) und deren Beziehung zueinander gespeichert. Diese Datenbank ist hierarchisch aufgebaut und einzelne Einträge werden als Objekt in der Datenbank gespeichert. Diese Objekte sind in zwei Kategorien unterteilt: Konten und Ressourcen. Eigenschaften dieser Objekte werden als Attribute gespeichert. Konten sind neben Benutzerkonten auch Gruppen- und Computerkonten. Ressourcen sind Drucker- und Dateifreigaben aber auch klassische Ressourcen wie Räume oder Firmenfahrzeuge können hier abgebildet werden.
Wird beispielsweise ein neuer Benutzer angelegt, wird dieser im AD gespeichert. Im Anschluss kann dieser Benutzer als Mitglied in Gruppen aufgenommen werden und erhält so Zugriff auf Geräte, Server und Anwendungen. Dadurch kann die Struktur eines Unternehmens mit seinen Abteilungen, Fachbereichen und den zugehörigen Freigaben nachempfunden werden.
Wie sind Active Directories aufgebaut?
Active Directories können in mehrere grundlegende Komponenten aufgeteilt werden:
Schema
Was ist ein Active Directory Schema?
Das Schema eines AD ist ein Regelsatz, der für alle Einträge im Verzeichnis gilt. In diesem werden Objekttypen, Klassen, Attribute sowie die Syntax der Attribute definiert.
Konfiguration
Was ist die AD Konfiguration?
In der Konfiguration ist die Struktur des AD zu finden.
Domäne
Was sind Domänen im Windows-Verzeichnisdienst?
Die Abgrenzung einzelner Unternehmensbereiche erfolgt über so genannte Domänen. Jedem Unternehmensbereich wird eine Domain zugeordnet, beispielsweise “Buchhaltung”, “Management”, “Produktion”. Diese Domänen können hierarchisch in sogenannte Sub-Domänen gegliedert sein. In großen Organisationen gibt es häufig mehrere Domänen. Die erste Domäne (sozusagen das Unternehmen selbst) wird Root-Domäne genannt.
Innerhalb dieser Domänen lassen sich dann Sicherheits- und Verwaltungsrichtlinien realisieren. So können Zugriffe von Benutzern aus einem Bereich in einen anderen verwährt oder gestattet werden.
Ressourcen
Was sind Ressourcen in Active Directory?
Der System- oder Netzwerkadministrator teilt den Anwendern und Teilnehmern des Netzwerkes mit Hilfe von Microsoft Active Directory Ressourcen wie Computer, Server, Drucker, USB-Geräte, Kameras und Scanner zu. Die Ressourcen können für jeden Benutzer und jede Benutzergruppe spezifisch zugeteilt und mit Rechten versehen werden.
Administration
Was macht der Administrator?
Dem Administrator ermöglicht das AD die zentrale Verwaltung der Benutzerrechte für einzelne Geräte oder Objekte. Netzwerkressourcen lassen sich für Anwender freischalten oder sperren. Schreibenden Zugriff auf den Verzeichnisdienst erhalten daher in der Regel nur die Administratoren des Netzwerks.
Zu den administrierbaren Ressourcen zählen unter anderem Speicherplatz, Zugriffsrechte auf Verzeichnisse, Nutzungsrechte von Anwendungen, Netzwerkdrucker, Peripheriegeräte und andere Netzwerkdienste.
Organisationseinheiten (OUs)
Was ist eine OU in Active Directory?
Organisationseinheiten (OUs) sind sogenannte Container, in denen Benutzer, Gruppen, Geräte und andere OUs organisiert werden. Diese Einheiten werden von Administratoren erstellt und verwaltet, um Objekte logisch zu ordnen und Gruppenrichtlinien anzuwenden.
Jede Domäne kann eine eigene OU enthalten. OUs können jedoch keine separaten Namensräume haben, da jeder Benutzer oder jedes Objekt in einer Domäne eindeutig sein muss. Beispielsweise kann ein Benutzerkonto mit demselben Benutzernamen nicht mehrfach angelegt werden.
Das Schema und die Konfiguration werden zwischen allen Domänen der Gesamtstruktur repliziert. Die Informationen und Richtlinien von Domänen werden nur innerhalb der jeweiligen Domäne ausgetauscht.
Wie funktioniert die Verifizierung in Active Directory?
Der Hauptdienst in Active Directory ist der Domänendienst (AD DS), der Verzeichnisinformationen speichert und die Interaktion des Benutzers mit der Domäne handhabt. AD DS verifiziert den Zugriff, wenn sich ein Benutzer bei einem Gerät anmeldet oder versucht, eine Verbindung zu einem Server über ein Netzwerk herzustellen. AD DS steuert, welche Benutzer Zugriff auf die einzelnen Ressourcen haben. So hat beispielsweise ein Administrator in der Regel eine andere Ebene des Datenzugriffs als ein Endbenutzer.
Andere Microsoft-Produkte wie Exchange Server und SharePoint Server sind auf AD DS angewiesen, um den Ressourcenzugriff zu ermöglichen. Der Server, der AD DS hostet, ist der Domänencontroller.
Hauptmerkmale in Active Directory-Domänendienste
Um vernetzte Elemente zu koordinieren, verwendet der Active Directory Domain Services ein abgestuftes Layout, das aus Domänen, Bäumen und Wäldern besteht, .
Ein Baum ist eine oder mehrere gruppierte Domänen. Die Baumstruktur verwendet einen zusammenhängenden Namensraum, um die Domänen in einer logischen Hierarchie zu organisieren. Bäume können als Vertrauensbeziehungen betrachtet werden, bei denen eine sichere Verbindung oder Vertrauen zwischen zwei Domänen geteilt wird. Man kann mehreren Domänen vertrauen, wobei eine Domäne einer zweiten und die zweite Domäne einer dritten Domäne vertrauen kann. Aufgrund der hierarchischen Natur dieses Aufbaus kann die erste Domäne der dritten Domäne implizit vertrauen, ohne dass ein explizites Vertrauen erforderlich ist.
Ein Wald ist eine Gruppe von mehreren Bäumen. Eine Gesamtstruktur wird durch das Schema festgelegt und besteht aus gemeinsam genutzten Katalogen, Verzeichnisschemata, Anwendungsinformationen und Domänenkonfigurationen.
Welche Vorteile bringt Active Directoy für Unternehmen?
Die Nutzung von Active Directory hat sowohl für die Administration von Benutzern als auch für die Produktivität der Mitarbeiter Vorteile. Innerhalb des Firmennetzwerkes können Mitarbeiter mit einer einzigen zentralen Anmeldung – dem Windows-Login – auf alle ihm zugeteilte Ressourcen zugreifen – und das von unterschiedlichen Rechnern aus. Die Arbeit des Mitarbeiters ist somit standort- und geräteunabhängig. Beispielsweise können Mitarbeiter so bei Besprechungen via Tablet oder Laptop auf Dateien zugreifen, ohne sie vorher umständlich an das Gerät schicken zu müssen.
Für IT-Administrator bietet Active Directory den klaren Vorteil, dass alle Objekte – also Benutzer, Rechner, Drucker, Dateiordner usw. – zentral verwaltet werden können. Dies erleichtert die Administration aller Objekte in einem Netzwerk immens. Bei Einstellung eines neuen Mitarbeiters oder Kauf eines neuen Geräts können so die Zugriffsrechte unkompliziert und zentral vergeben werden, ohne dass der Administrator die Rechteeinstellungen an jedem einzelnen Gerät vornehmen muss.
Active Directory unterstützt also die Strukturierung des Netzwerkes und bildet die Organisation technisch mit allen Rechten und Berechtigung nach.
Funktioniert die Zugriffsberechtigung auch mobil?
Gerade in der Corona-Krise hat sich gezeigt, dass mobiles Arbeiten oder Home Office wichtige Bestandteile der modernen Arbeitswelt sind. Häufige besteht für Unternehmen hier die Schwierigkeit, dass Mitarbeiter trotzdem Zugriff auf Unternehmensdokumente erhalten müssen, ohne dass Berechtigungsstrukturen verloren gehen. In der Vergangenheit stellte dies viele Unternehmen vor große Herausforderungen. Häufig wurden hier umständlich VPN-Verbindungen eingerichtet oder E-Mails mit Dateien hin- und hergeschickt.
Mittlerweile haben Unternehmen unterschiedliche Lösungen entwickelt, wie Unternehmen standortsungebunden arbeiten können. Die Software-Lösung io:drive von bellmatec hat in dem Zusammenhang den weiteren Vorteil, dass sie Active Directory unterstützt. Bestehende Zugriffberechtigungen werden von der Anwendung übernommen. So können Mitarbeiter auch von Zuhause aus arbeiten und haben dieselben Berechtigungen wie am Rechner im Büro.
Geschichte des Active Directory
1999 stellte Microsoft erstmals seinen neuen Verzeichnisdienst Active Directory vor. Ein Jahr später wurde AD dann mit Windows 2000 Server veröffentlicht. Seither wird der Dienst mit jedem neuen Windows Server-Release kontinuierlich weiterentwickelt.
Wichtige Weiterentwicklungen des AD
Eines des wichtigsten Updates kam mit dem Windows Server 2003. Mit dieser Aktualisierung ermöglichte Microsoft es Administratoren, Wälder hinzuzufügen sowie die Position von Domänen innerhalb von Wäldern zu bearbeiten und zu ändern. Einziger Nachteil: Domänen auf Windows Server 2000 nicht neuere AD-Updates, die in Server 2003 ausgeführt wurden, nicht unterstützen.
Mit Windows Server 2008 wurde der Active Directory Federations Service (AD FS) eingeführt. Außerdem hat Microsoft das Verzeichnis für die Domänenverwaltung in AD DS umbenannt, und AD wurde zu einem Überbegriff für die von ihm unterstützten verzeichnisbasierten Dienste.
Seit dem Windows Server 2016 ist es möglich die Active-Dorectoy-Umgebungen in Cloud- oder Hybrid-Cloud-Umgebungen zu migrieren. Außerdem wurden mit dieser Aktualisierung diverse Sicherheitsupdate integriert. Unter anderem hat Microsoft das Privileged Access Management (PAM) hinzugefügt. Dieses überwachte den Zugriff auf ein Objekt, die Art des gewährten Zugriffs und die vom Benutzer durchgeführten Aktionen. PAM fügte AD-Bastion-Wälder hinzu, um eine zusätzliche sichere und isolierte Waldumgebung zu schaffen. Mit Windows Server 2016 ist die Unterstützung für Geräte auf Windows Server 2003 beendet worden.
Im Dezember 2016 veröffentlichte Microsoft Azure AD Connect. Mit diesem Dienst konnte nun ein lokales Active Directory-System mit Azure Active Directory (Azure AD) zu verbinden. Dies ermöglichte Single Sign On (SSO) für Microsofts-Cloud-Dienste wie Office 365. Azure AD Connect funktioniert mit Systemen, auf denen Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 und Windows Server 2016 laufen.
Bilder: Gerd Altmann | Pixabay, Microsoft