Was ist Active Directory?

Der wichtigste Active Directory-Service sind die Active Directory Domain Services (AD DS), die Teil des Windows Server-Betriebssystems sind. Die Server, auf denen AD DS ausgeführt wird, werden als Domänencontroller (DCs) bezeichnet. Unternehmen haben normalerweise mehrere DCs, und auf jedem von ihnen befindet sich eine Kopie des Verzeichnisses für die gesamte Domäne. Änderungen an dem Verzeichnis auf einem Domänencontroller, wie z. B. die Aktualisierung eines Kennworts oder das Löschen eines Benutzerkontos, werden auf den anderen DCs repliziert, damit diese immer auf dem neuesten Stand sind. Ein globaler Katalogserver ist ein DC, der eine vollständige Kopie aller Objekte im Verzeichnis seiner Domäne und eine Teilkopie aller Objekte speichert, die sich in allen anderen Domänen in der Gesamtstruktur befinden. So können Benutzer und Anwendungen Objekte aus allen Domänen ihrer Gesamtstruktur finden. Desktop-PCs, Laptops und andere Geräte, die Windows (und nicht Windows Server) ausführen, können Teil einer Active Directory-Umgebung sein, führen jedoch keine AD DS aus. AD DS beruhen auf mehreren etablierten Protokollen und Standards, wie z. B. LDAP (Lightweight Directory Access Protocol), Kerberos und DNS (Domain Name System).

Es ist wichtig zu wissen, dass Active Directory nur für lokale Microsoft-Umgebungen geeignet ist. Microsoft-Umgebungen in der Cloud nutzen Azure Active Directory. Dieser Service erfüllt den gleichen Zweck wie sein lokales Pendant. AD und Azure AD sind voneinander getrennt. Wenn Ihr Unternehmen jedoch über lokale und Cloud-basierte IT-Umgebungen (eine hybride Bereitstellung) verfügt, können sie jedoch auch bis zu einem gewissen Grad zusammenarbeiten.

Die Active Directory-Datenbank ist ein Verzeichnis mit Informationen zu den AD-Objekten in der Domäne. Häufige Arten von AD-Objekten sind Benutzer, Computer, Anwendungen, Drucker und freigegebene Ordner. Einige Objekte können andere Objekte enthalten (daher wird AD auch als „hierarchisch“ bezeichnet). Insbesondere Unternehmen vereinfachen häufig die Administration, indem sie AD-Objekte in Organisationseinheiten (OUs) organisieren und zur Optimierung der Sicherheit Benutzer in Gruppen einteilen. Diese OUs und Gruppen werden im Verzeichnis als Objekte gespeichert.

Objekte haben Attribute. Einige Attribute sind offensichtlich, während andere eher im Hintergrund bleiben. Beispielsweise besitzt ein Benutzerobjekt in der Regel Attribute wie den Namen, das Kennwort, die Abteilung und die E-Mail-Adresse der Person, aber auch Attribute, die nur wenige sehen, wie z. B. den eindeutigen Globally Unique Identifier (GUID), die Sicherheits-ID (SID), den Zeitpunkt der letzten Anmeldung und die Gruppenmitgliedschaft.

Datenbanken sind strukturiert, d. h. sie haben ein Design, das bestimmt, welche Arten von Daten darin gespeichert werden und wie diese Daten organisiert sind. Dieses Design wird als „Schema“ bezeichnet. Active Directory bildet davon keine Ausnahme: Das Schema enthält formale Definitionen für jede Objektklasse, die in der Active Directory-Gesamtstruktur erstellt werden kann und für jedes Attribut, dass in einem Active Directory-Objekt zulässig ist. AD hat ein Standardschema, das jedoch von den Administratoren gemäß den Geschäftsanforderungen angepasst werden kann. Dieses Schema sollte möglichst sorgfältig im Voraus geplant werden, da AD bei der Authentifizierung und bei Autorisierungen eine zentrale Rolle spielt und spätere Änderungen am Schema der AD-Datenbank den Geschäftsbetrieb erheblich beeinträchtigen können.