Eine Einführung in Active Directory: Was du wissen solltest

Grundlegendes zur Active Directory

Sobald man sich mit Windows Server im Umfeld eines Unternehmens beschäftigt, taucht der Zusammenhang: Active Directory auf. Doch was ist das eigentlich, was steckt dahinter und wozu benötigt man das? Prinzipiell kann man das Allgemein wie folgt definieren:

Die Active Directory (AD) ist ein Verzeichnisdienst im Windows Netzwerk, der alle Funktionen bereitstellt, mit denen die Ressourcen des Netzwerks organisiert, verwaltet und gesteuert werden können.

Das Verzeichnis besitzt einen hierarchischen Aufbau. Innerhalb dieser Verzeichnishierarchie werden die Ressourcen logisch gruppiert. Durch die logische Anordnung von Ressourcen ist es möglich, Objekte anhand ihres Namens zu lokalisieren und nicht nach ihrer tatsächlichen Position.

Das klingt zunächst mal etwas verwirrend. Man muss allerdings als Erstes den Begriff Ressource klären. Dazu gehört alles, was es so in einem Netzwerk gibt. (z. B. Benutzer, Computer, Gruppen, Drucker etc.) Diese können eben über einen gemeinsamen Verzeichnisdienst (AD) verwaltet werden.

Die Active Directory ist eigentlich eine Datenbank, in der alles gespeichert wird. Durch das zentrale Speichern ist es eben möglich aus dem kompletten Netzwerk auf diese Ressourcen zuzugreifen und diese auch zentral am Server (Domänencontroller) zu verwalten.

Wie installiert man die Active Directory?

Die Installation erfolgt am einfachsten über den Server-Manager. Dort wird über Rollen & Features die Rolle Active Directory Domänendienste installiert. Damit erhält man zunächst die Domänendienste.

In einem weiteren Schritt wird dann der Server in der Regel noch zu einem Domänencontroller hochgestuft. Eine detaillierte Vorgehensweise liefert die folgende Anleitung: Wie installiert man einen Domänencontroller. Dieser Anleitung kannst du auch gleich die Standardpfade der Active Directory Datenbank entnehmen. Sofern man den Standardpfad nicht ändert, befinden sich diese Dateien im Verzeichnis c:\Windows\NTDS.

Mehr Details liefert der Beitrag: Wo findet man eigentlich die Datenbank der Active Directoy am Windows Domänencontroller?

Die Komponenten in der Active Directory

Einige Begrifflichkeiten in Bezug zur AD muss man für das Gesamtverständnis kennen. Hierzu gehören die folgenden:

Objekt: Das ist die kleinste Einheit, welche verwaltet werden kann. Wie oben bereits erläutert, wird dadurch jede Netzwerkressource beschrieben, wie Benutzer, Drucker etc.

Organisationseinheit (OU): Diese dienen dazu, um verschiedene Objekte zu gruppieren.

Domäne: Das ist die zentrale Einheit, welche auch die Active Directory beinhaltet. Sie ist auch eine Sicherheitsrichtlinie, den ein Zugriff kann nur über eine erfolgreiche Anmeldung erfolgen. Natürlich kann ein Netzwerk auch aus mehreren Domänen bestehen.

LDAP: Lightweight Directory Access Protocoll: Dieses Protokoll wird für den Zugriff auf den Verzeichnisdienst verwendet.

Nomenklatur eines in der AD gespeicherten Objektes

Wie oben bereits beschrieben, könnten die Objekte in der Active Directory über einen eindeutigen Namen angesprochen werden, welcher unabhängig vom eigentlichen Standort des Objektes ist.

Zur Veranschaulichung soll folgendes Beispiel dienen: Ein Drucker mit dem Namen HPjet5 befindet sich in der Organisationseinheit Entwicklung in der Domäne firma.de. Für die eindeutige Zuordnung gibt es drei spezielle Namen:

  • CN: Common Name = allgemeiner Name
  • OU: Organisationseinheit
  • DC: Domain Name Komponente

Angewandt auf das obige Beispiel, kann man das folgendermaßen aufschlüsseln:

/DC=DE, /DC=firma, /OU=Entwicklung, /CN=HPjet5

HPjet.Entwicklung.firma.de

Dieser komplette Name wird als Fully qualified domain name (FQDN) bezeichnet. Man kann sich das wie Vorname und Nachname bei einer Familie vorstellen. Die Familie Huber hat die Mitglieder Hans uns Maria.

Dann gibt es einmal den Hans Huber und die Maria Huber. Da wäre hier im übertragenen Sinne der FQDN.

Was versteht man unter einer Struktur (Tree)

Wenn man in der AD weitere Domänen erstellt, und diese als sogenannte Subdomänen anlegt, erhält man eine Struktur. Wie im obigen Beispiel bei der Nomenklatur könnte man anstatt die OU Entwicklung, direkt eine Subdomäne mit dem Namen Entwicklung konfigurieren.

Um eine Firmenstruktur abzubilden, könnten noch weitere Subdomänen erstellt werden. So z. B. Vertrieb. Die folgende Zeichnung zeigt das Prinzip einer Struktur im Sinne von Active Directory. Im Fachjargon spricht man bei einer Struktur immer von einem Tree.

Die Active-Directory-Struktur
Die Active-Directory-Struktur

Kennzeichen sind immer die folgenden:

  • Sie besteht hierarchisch aus mindestens einer Domäne
  • Besitzt ein gemeinsames Namensschema
  • Hat einen fortlaufenden Namespace

Was versteht man unter einer Gesamtstruktur

Eine Gesamtstruktur setzt sich aus mehreren einzelnen Strukturen zusammen, wobei aber diese unterschiedliche Domänennamen besitzen. So findet das z. B. Verwendung, wenn zwei Firmen fusionieren, aber dabei jeweils den Domänennamen behalten. Im Fachjargon spricht man bei einer Gesamtstruktur von einem Forest.

Kennzeichen sind immer die folgenden:

  • Hierarchisch aus mindestens einer Struktur
  • Besitzen ein verschiedenes Namensschema
  • Haben einen getrennten Namespace
Die Active Directory Gesamtstruktur
Die Active Directory Gesamtstruktur

Was sind Vertrauensstellungen

In der Regel werden innerhalb von Domänen automatisch Vertrauensstellungen angelegt. Dadurch wird ermöglicht, dass Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen können. Symbolisiert wird das Ganze durch Pfeile.

Active-Directory-Vertrauensstellungen
Active-Directory-Vertrauensstellungen

In dem folgenden Beispiel vertraut die Domäne X der Domäne Y und Y der Domäne Z. Aber X vertraut nicht automatisch der Domäne Z.  Es handelt sich hierbei um eine unidirektionale, nichttransitive Vertrauensstellung.

Das Gegenstück wäre natürlich, wenn sie sich alle vertrauen. Dann spricht man von einer bidirektionalen, transitiven Vertrauensstellung.

Was sind Funktionsebenen in der Active Directory

Bei der Installation einer Active Directory und damit dem Hochstufen zum Domänencontroller stößt man zwangsläufig auf den Begriff der Funktionsebenenen.

Funktionsebenen sind für das Netzwerk essenziell und man muss sich immer genau überlegen, welche Server man zu einer Domäne hinzufügen möchte, genauer gesagt welche alten Server noch in der Domäne vorhanden bleiben sollen.

Im Prinzip werden dabei Funktionen zur Verfügung gestellt. Nicht jede alte Server-Version kann mit neuen Funktionen umgehen. Mehr Detail zu den Funktionsebenen kannst du dem Artikel: Kurz und knapp: Was sind Funktionsebenen in der Active Directory, entnehmen.

Was sind Betriebsmaster in der Active Directory?

Genauso wie die Funktionsebenen sind auch die Betriebsmaster für einen Domänencontroller essenziell. Man spricht in diesem Zusammenhang von FSMOs. Das heißt Fexible Single Master Operation. Hierbei handelt es sich um sehr sensible Funktionen, welche für eine ordentliche Funktionsweise der Active Directory absolut notwendig sind.

Welche Betriebsmaster es gibt und mehr Details hierzu kannst du dem folgenden Beitrag entnehmen: Kurz und knapp: Was sind Betriebsmaster in der Active Directory?

Wie erstellt man einen Snapshot der Active Directory Datenbank

Wie bereits oben erläutert, ist die Datenbank der Active Directory das zentrale Element. Umso wichtiger ist es, diese kontinuierliche zu sichern. Hierfür gibt es verschieden Optionen, so u. a. die Konfiguration einer AD Replikation.

Wenn man jedoch Änderungen durchführt, so lässt sich von der Datenbank auch ein sogenannter Snapshot erstellen. Das ist im Prinzip ein Abbild des aktuellen Zustandes. Aber Achtung: Ein Snapshot ersetzt nicht die kontinuierliche Sicherung.

Für die Erstellung eines Snapshots, eignet sich am besten die Kommandozeile. Eine detaillierte Anleitung findest du im Artikel:

Einen Snapshot der AD Datenbank vom Domänencontroller des Windows Servers anfertigen.

Ausblick zur Active Directory

Es gibt natürlich noch viele weitere Begrifflichkeiten und Sachverhalte bzgl. einer AD. Hierzu zählen unter anderem globaler Katalog, Standorte oder auch die Betriebsmaster.

Aber der Titel lautet Kurz & knapp und das sollte der Artikel auch bleiben. Ich denke, die obigen Begrifflichkeiten und Erläuterung bieten auf jeden Fall einen ersten guten Überblick, was man unter einer Active Directory versteht.

Empfehlenswerte Bücher

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 10.11.2023

5c27149dec4d463e814c4f8dea0e0ad0

Weiterführende Artikel zur Active Directory


Steigere dein Wissen

Kostenlose Befehlsreferenzen und E-Books herunterladen

Mehr Informationen zu den kostenlosen Materialien.


5 Kommentare zu „Eine Einführung in Active Directory: Was du wissen solltest“

  1. Sehr interessanter und verständlicher Artikel. Jedoch sind einige Tippfehler dabei, die den Lesefluss stören und den Artikel irgendwie unseriös wirken lassen. Sehr ärgerlich.

    1. Hallo, ja leider kann das mal passieren. Vielen Dank für den Hinweis. Ich werde den Artikel überarbeiten. Gruß Markus

  2. Hallo,

    danke für den Artikel. Ich habe nach einer Erklärung für Begriffe wie OE, Domäne und Gruppen gesucht. Scheint ein Mangelgebiet zu sein.
    Grußgruẞ

    Peterrrrr

  3. Toller Artikel!
    Kurze, einfache & verständliche Erklärungen vieler für Netzwerke relevanter Begriffe, sehr gelungen mMn.
    Danke!

  4. Pingback: IT Security Tutorial - Der 5 Schritte Guide mit Tipps (2023)

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen