Kurz und Knapp: Was ist eine Active Directory?

Das zentrale Element in großen Netzwerken ist die Active Directory

Grundlagen

Sobald man sich mit Windows Server im Umfeld eines Unternehmens beschäftigt, taucht der Zusammenhang: Active Directory auf. Doch was ist das eigentlich, was steckt dahinter und wozu braucht man das. Prinzipiell kann man das Allgemein wie folgt definieren:

Die Active Directory (AD) ist ein Verzeichnisdienst im Windows Netzwerk, der alle Funktionen bereitstellt, mit denen die Ressourcen des Netzwerks organisiert, verwaltet und gesteuert werden können. Das Verzeichnis besitzt einen hierarchischen Aufbau. Innerhalb dieser Verzeichnishierarchie werden die Ressourcen logisch gruppiert. Durch die logische Anordnung von Ressourcen ist es möglich, Objekte anhand ihres Namens zu lokalisieren und nicht nach ihrer tatsächlichen Position.

Das klingt zunächst mal etwas verwirrend. Man muss allerdings als Erstes den Begriff Ressource klären. Dazu gehört alles was es so in einem Netzwerk gibt. (z.B. Benutzer, Computer, Gruppen, Drucker etc.) Diese können eben über einen gemeinsamen Verzeichnisdienst (AD) verwaltet werden. Die Active Directory ist eigentlich nur eine Datenbank, in der alles gespeichert wird. Durch das zentrale Speichern, ist es eben möglich aus dem kompletten Netzwerk auf diese Ressourcen zuzugreifen und diese auch zentral am Server (Domänencontroller) zu verwalten. Im Artikel: Wie installiert man einen Domänencontroller, geht es genau darum einen solchen Verzeichnisdienst zu installieren. Dort ist auch in einem Screenshot der Standardpfad der Datenbank ersichtlich.

Die Komponenten in der Active Directory

Einige Begrifflichkeiten in Bezug zur AD muss man für das Gesamtverständnis kennen. Hierzu gehören die folgenden:

Objekt: Das ist die kleinste Einheit, welche verwaltet werden kann. Wie oben bereits beschrieben, wird dadurch jede Netzwerkressource beschrieben wie z.B. Benutzer, Drucker etc.

Organisationseinheit (OU): Diese dienen dazu, um verschiedene Objekte zu gruppieren.

Domäne: Das ist die zentrale Einheit, welche auch die Active Directory beinhaltet. Sie ist auch eine Sicherheitsrichtlinie, den ein Zugriff kann nur über eine erfolgreiche Anmeldung erfolgen. Natürlich kann ein Netzwerk auch aus mehreren Domänen bestehen.

LDAP: Lightweight Directory Access Protocoll: Dieses Protokoll wird für den Zugriff auf den Verzeichnisdienst verwendet.

Nomenklatur eines in der AD gespeicherten Objektes

Wie oben bereits beschrieben, könnten die Objekte in der Active Directory über einen eindeutigen Namen angesprochen werden, welcher unabhängig vom eigentlichen Standort des Objektes ist.

Zur Veranschaulichung soll folgendes Beispiel dienen: Ein Drucker mit dem Namen HPjet5 befindet sich in der Organisationseinheit Entwicklung in der Domäne firma.de. Für die eindeutige Zuordnung gibt es drei spezielle Namen:

  • CN: Common Name = allgemeiner Name
  • OU: Organisationseinheit
  • DC: Domain Name Komponente

Angewandt auf das obige Beispiel, kann man das folgendermaßen aufschlüsseln:

/DC=DE, /DC=firma, /OU=Entwicklung, /CN=HPjet5

HPjet.Entwicklung.firma.de

Dieser komplette Name wird als Fully qualified domain name (FQDN) bezeichnet. Man kann sich das wie Vorname und Nachname bei einer Familie vorstellen. Die Familie Huber hat die Mitglieder Hans uns Maria. Dann gibt es einmal den Hans Huber und die Maria Huber. Da wäre hier im übertragenen Sinne der FQDN.

Was versteht man unter einer Struktur (Tree)

Wenn man in der Active Directory weitere Domänen erstellt, und diese als sogenannte Subdomänen anlegt, erhält man eine Struktur. Wie im obigen Beispiel bei der Nomenklatur könnte man anstatt die OU Entwicklung, direkt eine Subdomäne mit dem Namen Entwicklung konfigurieren. Um eine Firmenstruktur abzubilden, könnten noch weitere Subdomänen erstellt werden. So z.B. Vertrieb. Die folgende Zeichnung zeigt das Prinzip einer Struktur im Sinne von Active Directory. Im Fachjargon spricht man bei einer Struktur immer von einem Tree.

Die Active-Directory-Struktur
Die Active-Directory-Struktur

Kennzeichen sind immer die folgenden:

  • Sie besteht hierarchisch aus mindestens einer Domäne
  • Besitzt ein gemeinsames Namensschema
  • Hat einen fortlaufenden Namespace

Was versteht man unter einer Gesamtstruktur

Eine Gesamtstruktur setzt sich aus mehreren einzelnen Strukturen zusammen, wobei aber diese unterschiedliche Domänennamen besitzen. So findet das z.B. Verwendung, wenn zwei Firmen fusionieren, aber dabei jeweils den Domänennamen behalten. Im Fachjargon spricht man bei einer Gesamtstruktur von einem Forest.

Kennzeichen sind immer die folgenden:

  • Hierarchisch aus mindestens einer Struktur
  • Besitzen ein verschiedenes Namensschema
  • Haben einen getrennten Namespace
Die Active Directory Gesamtstruktur
Die Active Directory Gesamtstruktur

Was sind Vertrauensstellungen

In der Regel werden innerhalb von Domänen automatisch Vertrauensstellungen angelegt. Dadurch wird ermöglicht, dass Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen können. Symbolisiert wird das ganze durch Pfeile.

Active-Directory-Vertrauensstellungen
Active-Directory-Vertrauensstellungen

Im folgendem Beispiel vertraut die Domäne X der Domäne Y und Y der Domäne Z. Aber X vertraut nicht automatisch der Domäne Z.  Es handelt sich hierbei um eine Unidirektionale, nichttransitive Vertrauensstellung. Das Gegenstück wäre natürlich, wenn sie sich alle vertrauen. Dann spricht man von einer Bidirektionalen, transitiven Vertrauensstellung.

Fazit

Es gibt natürlich noch viele weitere Begrifflichkeiten und Sachverhalte bzgl. einer Active Directory. Hierzu zählen unter anderem Globaler Katalog, Standorte oder auch die Betriebsmaster. Aber der Titel lautet Kurz & knapp und das sollte der Artikel auch bleiben. Ich denke die obigen Begrifflichkeiten und Erläuterung bieten auf jeden Fall einen ersten guten Überblick, was man unter einer Active Directory versteht.

Das könnte dich auch interessieren:

4 Kommentare

  1. Sehr interessanter und verständlicher Artikel. Jedoch sind einige Tippfehler dabei, die den Lesefluss stören und den Artikel irgendwie unseriös wirken lassen. Sehr ärgerlich.

    • Hallo, ja leider kann das mal passieren. Vielen Dank für den Hinweis. Ich werde den Artikel überarbeiten. Gruß Markus

  2. Hallo,

    danke für den Artikel. Ich habe nach einer Erklärung für Begriffe wie OE, Domäne und Gruppen gesucht. Scheint ein Mangelgebiet zu sein.
    Grußgruẞ

    Peterrrrr

  3. Toller Artikel!
    Kurze, einfache & verständliche Erklärungen vieler für Netzwerke relevanter Begriffe, sehr gelungen mMn.
    Danke!

Kommentare sind deaktiviert.