Kurz und Knapp: Was ist eine Active Directory?

Grundlagen

Sobald man sich mit Windows Server im Umfeld eines Unternehmens beschäftigt, taucht der Zusammenhang: Active Directory auf. Doch was ist das eigentlich, was steckt dahinter und wozu braucht man das. Prinzipiell kann man das Allgemein wie folgt definieren:

Die Active Directory (AD) ist ein Verzeichnisdienst im Windows Netzwerk, der alle Funktionen bereitstellt, mit denen die Ressourcen des Netzwerks organisiert, verwaltet und gesteuert werden können. Das Verzeichnis besitzt einen hierarchischen Aufbau. Innerhalb dieser Verzeichnishierarchie werden die Ressourcen logisch gruppiert. Durch die logische Anordnung von Ressourcen ist es möglich, Objekte anhand ihres Namens zu lokalisieren und nicht nach ihrer tatsächlichen Position.

Das klingt zunächst mal etwas verwirrend. Man muss allerdings als Erstes den Begriff Ressource klären. Dazu gehört alles was es so in einem Netzwerk gibt. (z.B. Benutzer, Computer, Gruppen, Drucker etc.) Diese können eben über einen gemeinsamen Verzeichnisdienst (AD) verwaltet werden. Die Active Directory ist eigentlich nur eine Datenbank, in der alles gespeichert wird. Durch das zentrale Speichern, ist es eben möglich aus dem kompletten Netzwerk auf diese Ressourcen zuzugreifen und diese auch zentral am Server (Domänencontroller) zu verwalten. Im Artikel: Wie installiert man einen Domänencontroller, geht es genau darum einen solchen Verzeichnisdienst zu installieren. Dort ist auch in einem Screenshot der Standardpfad der Datenbank ersichtlich.

Die Komponenten in der Active Directory

Einige Begrifflichkeiten in Bezug zur AD muss man für das Gesamtverständnis kennen. Hierzu gehören die folgenden:

Objekt: Das ist die kleinste Einheit, welche verwaltet werden kann. Wie oben bereits beschrieben, wird dadurch jede Netzwerkressource beschrieben wie z.B. Benutzer, Drucker etc.

Organisationseinheit (OU): Diese dienen dazu, um verschiedene Objekte zu gruppieren.

Domäne: Das ist die zentrale Einheit, welche auch die Active Directory beinhaltet. Sie ist auch eine Sicherheitsrichtlinie, den ein Zugriff kann nur über eine erfolgreiche Anmeldung erfolgen. Natürlich kann ein Netzwerk auch aus mehreren Domänen bestehen.

LDAP: Lightweight Directory Access Protocoll: Dieses Protokoll wird für den Zugriff auf den Verzeichnisdienst verwendet.

Nomenklatur eines in der AD gespeicherten Objektes

Wie oben bereits beschrieben, könnten die Objekte in der Active Directory über einen eindeutigen Namen angesprochen werden, welcher unabhängig vom eigentlichen Standort des Objektes ist.

Zur Veranschaulichung soll folgendes Beispiel dienen: Ein Drucker mit dem Namen HPjet5 befindet sich in der Organisationseinheit Entwicklung in der Domäne firma.de. Für die eindeutige Zuordnung gibt es drei spezielle Namen:

• CN: Common Name = allgemeiner Name
• OU: Organisationseinheit
• DC: Domain Name Komponente

Angewandt auf das obige Beispiel, kann man das folgendermaßen aufschlüsseln:

/DC=DE, /DC=firma, /OU=Entwicklung, /CN=HPjet5

HPjet.Entwicklung.firma.de

Dieser komplette Name wird als Fully qualified domain name (FQDN) bezeichnet. Man kann sich das wie Vorname und Nachname bei einer Familie vorstellen. Die Familie Huber hat die Mitglieder Hans uns Maria. Dann gibt es einmal den Hans Huber und die Maria Huber. Da wäre hier im übertragenen Sinne der FQDN.

Was versteht man unter einer Struktur (Tree)

Wenn man in der Active Directory weitere Domänen erstellt, und diese als sogenannte Subdomänen anlegt, erhält man eine Struktur. Wie im obigen Beispiel bei der Nomenklatur könnte man anstatt die OU Entwicklung, direkt eine Subdomäne mit dem Namen Entwicklung konfigurieren. Um eine Firmenstruktur abzubilden, könnten noch weitere Subdomänen erstellt werden. So z.B. Vertrieb. Die folgende Zeichnung zeigt das Prinzip einer Struktur im Sinne von Active Directory. Im Fachjargon spricht man bei einer Struktur immer von einem Tree.

Kennzeichen sind immer die folgenden:

• Sie besteht hierarchisch aus mindestens einer Domäne
• Besitzt ein gemeinsames Namensschema
• Hat einen fortlaufenden Namespace

Was versteht man unter einer Gesamtstruktur

Eine Gesamtstruktur setzt sich aus mehreren einzelnen Strukturen zusammen, wobei aber diese unterschiedliche Domänennamen besitzen. So findet das z.B. Verwendung, wenn zwei Firmen fusionieren, aber dabei jeweils den Domänennamen behalten. Im Fachjargon spricht man bei einer Gesamtstruktur von einem Forest.

Kennzeichen sind immer die folgenden:

• Hierarchisch aus mindestens einer Struktur
• Besitzen ein verschiedenes Namensschema
• Haben einen getrennten Namespace

Was sind Vertrauensstellungen

In der Regel werden innerhalb von Domänen automatisch Vertrauensstellungen angelegt. Dadurch wird ermöglicht, dass Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen können. Symbolisiert wird das ganze durch Pfeile.

Im folgendem Beispiel vertraut die Domäne X der Domäne Y und Y der Domäne Z. Aber X vertraut nicht automatisch der Domäne Z.  Es handelt sich hierbei um eine Unidirektionale, nichttransitive Vertrauensstellung. Das Gegenstück wäre natürlich, wenn sie sich alle vertrauen. Dann spricht man von einer Bidirektionalen, transitiven Vertrauensstellung.

Fazit

Es gibt natürlich noch viele weitere Begrifflichkeiten und Sachverhalte bzgl. einer Active Directory. Hierzu zählen unter anderem Globaler Katalog, Standorte oder auch die Betriebsmaster. Aber der Titel lautet Kurz & knapp und das sollte der Artikel auch bleiben. Ich denke die obigen Begrifflichkeiten und Erläuterung bieten auf jeden Fall einen ersten guten Überblick, was man unter einer Active Directory versteht.

Das könnte dich auch interessieren:

• Kurz und Knapp: Was sind Funktionsebenen in der Active Directory
• Kurz und Knapp: Was sind Betriebsmaster in der Active Directory?
• Benutzer in der Active Directory anlegen!
• Wo findet man eigentlich die Datenbank der Active Directoy am Windows Domänencontroller?
• Einen Snapshot der Active Directory Datenbank vom Domänencontroller des Windows Servers anfertigen