Home » Windows » Windows Server » Active Directory » Was ist Active Directory?
- Anzeige -
Software Asset Management beim Fachmann

Tutorial - Was ist Active Directory?

Active Directory (kurz AD)

Mit Windows 2000 wurde das das "Active Directory" eingeführt. Das "Active Directory" ist ein Verzeichnisdienst von MS. Hierdurch wurden die einzelnen Verzeichnisdienste von Windows NT abgelöst und erheblich durch weitere Funktionen erweitert. Die zentrale Funktion von Active Directory ist als zentraler Verzeichnisdienst für alle Objekte (Drucker, Rechner, User usw.) zur dienen. Active Directory ist hierarchisch gegliedert.

Active Directory ist ein zentraler Verzeichnisdienst!

 

Was ist ein Verzeichnisdienst?

Ein Verzeichnisdienst ist eine Informationsquelle, in der Informationen über Objekte abgelegt werden. Auch ein Telefonbuch, indem Telefonnummern und Adressen zu bestimmten Namen abgelegt werden, kann man als Verzeichnisdienst ansehen.

Im Active-Directory Verzeichnisdienst sind alle Objekte, die es in einem Netzwerk gibt, abgelegt. Solche Objekte sind z.B. Benutzer, Gruppen oder Drucker.

Durch den Verzeichnisdienst ist ein Netzwerk leichter zu administrieren. Wenn z. B. ein User gesucht wird, dessen Name nicht bekannt ist, kann dieser über sein Attribute (Standort, Typ usw...) gesucht werden.

Der Active Directory-Verzeichnisdienst bietet folgende Merkmale:

Um die Vorteile von Active Directory in vollem Umfang nutzen zu können, muss auf dem Computer, der über das Netzwerk auf Active Directory zugreift, die erforderliche Clientsoftware ausgeführt werden. Das bedeutet, dass auf den Clients Betriebssystemversionen mit mindestens der PRO-Versionen eingesetzt werden müssen. Die HOME-Varianten lassen sich nicht korrekt mit einem Active-Directory verbinden.

Jeder Computer innerhalb einer DNS-Domäne wird durch seinen vollqualifizierten DNS-Domänennamen eindeutig identifiziert. Der vollqualifizierte Domänenname eines Computers mit Namen computer in der Domäne untergeordnet.untergeordnet.microsoft.com würde folgendermassen lauten: computer.untergeordnet.untergeordnet.microsoft.com.

 Einführung Acitve Directory

Active Directory arbeitet eng mit DNS zusammen. Active Directory und DNS verfügen über identische hierarchische Strukturen, was aber nicht heisst, dass der Active Directory Name der einer registrierten Internet-Domäne entsprechen muss. Obwohl Active Directory und DNS eigentlich getrennte Einheiten darstellen und für unterschiedliche Anwendungsbereiche implementiert wurden, haben die DNS- und Active Directory-Namespaces einer Organisation dieselbe Struktur. Zum Beispiel kann lars-web.com sowohl eine DNS- als auch eine Active Directory-Domäne sein.

DNS-Zonen können in Active Directory gespeichert werden. Bei Verwendung des DNS-Dienstes von Windows können Dateien für primäre Zonen zur Replikation auf andere Active Directory-Domänencontroller in Active Directory gespeichert werden.

Active Directory-Clients verwenden DNS für die Suche nach Domänencontrollern. Um einen Domänencontroller einer bestimmten Domäne zu lokalisieren, fordert ein Active Directory-Client spezifische Ressourceneinträge von seinem konfigurierten DNS-Server an.

Wie oben erwähnt, ist die logische Struktur des Active Directory eine Baumstruktur, die eine wirklichkeitsgetreue Abbildung einer gesamten Organisation ermöglicht.

Einführung Acitve Directory

Sie besteht aus:

Die erste Windows Domäne ist die so genannte Root-Domäne. Sie enthält alle Betriebsmasterfunktionen sowie einen Globalen Katalog. Eventuell vorhandene untergeordnete Domänen bilden den Domänenbaum (Domain Tree). Mehrere Domänenbäume bilden den so genannten Domänenwald (Forest).

Ein fiktives Beispiel - die internationale Firma workhard: Die Firma ist in mehreren Ländern vertreten und hat in diesen auch mehrere Niederlassungen:

Einführung Acitve Directory

Für eine weitere Unterteilung wird in jeder Niederlassung eine Organisationseinheit (OE = Orignazatial Unit = OU) eingerichtet. Die Administratoren der Niederlassungen haben in Ihrer OU Vollzugriffsrechte.

Einführung Acitve Directory

Es gilt: Mehrere Domänen im gleichen DNS-Namespace (also Domänen, die die über dieselbe Stammdomäne verfügen) bilden einen Domänenbaum.

Ein Domänenwald ist eine Gruppe von Domänenbäumen mit unterschiedlichen DNS-Namensäumen (de.workhard.net, es.workhard.net, ik.workhard.net, fr.workhard.net).

Alle Domänenbäume nutzen jedoch das Schema, die Konfiguration sowie den globalen Katalog der Root-Domäne.

 

Was ist ein Domänencontroller?

Bei einem Domänencontroller handelt es sich um einen unter Windows Server ausgeführten Computer mit wichtigen Funktionen für das AD. Netzwerkbenutzern und Computern wird der Active Directory-Verzeichnisdienst zur Verfügung gestellt. Domänencontroller dienen zur Speicherung von Verzeichnisdaten und zur Verwaltung von Interaktionen zwischen Benutzern und Domänen, darunter Benutzeranmeldungen, Authentifizierungen und Verzeichnissuchen.

Eine Domäne enthält einen oder mehrere Domänencontroller. Eine kleine Organisation benötigt möglicherweise nur eine Domäne mit zwei Domänencontrollern, um hohe Verfügbarkeit und Fehlertoleranz zu gewährleisten. Um hohe Verfügbarkeit und Fehlertoleranz in größeren Unternehmen mit zahlreichen Netzwerkstandorten sicherzustellen, sind mehrere Domänencontroller pro Standort erforderlich.

In jeder Active Directory-Gesamtstruktur gibt es mindestens fünf verschiedene Funktionen des Betriebsmasters, die einem oder mehreren Domänencontrollern zugewiesen werden, die sog. FSMO-Rollen oder Betriebsmasterfunktionen.

Es gibt keine Trennung mehr zwischen primären Domänencontrollern und Sicherungsdomänencontrollern. Änderungen in einem Domänencontroller werden automatisch auf allen weiteren Domänencontrollern repliziert.

Übersicht über Domänen

Durch eine Domäne auch wird ein Sicherheitsbereich definiert. Das Verzeichnis beinhaltet eine oder mehrere Domänen, von denen jede über eigene Sicherheitsrichtlinien und Vertrauensstellungen mit anderen Domänen verfügt.

Eine einzelne Domäne kann sich über mehrere physische Standorte erstrecken. Eine Unterteilung auf verschiedene Subnetze lässt sich ebenfalls abbilden. Dies sollte auch genutzt werden, da so sichergestellt ist, dass Benutzer jedes Standortes auch die richtigen, für sie zuständigen Server kontaktieren.

Domänenstrukturen

Einführung Acitve Directory

Alle Domänen, die über dieselbe Stammdomäne verfügen, bilden sozusagen einen fortlaufenden Namespace. Dies bedeutet, dass sich der Domänenname einer untergeordneten Domäne aus dem Namen der übergeordneten Domäne plus dem angehängten Namen der untergeordneten Domäne zusammensetzt.

In der Abbildung ist subdomäne1.microsoft.com eine untergeordnete Domäne von microsoft.com und die übergeordnete Domäne von subdomäne1.microsoft.com. Die Domäne  microsoft.com ist die übergeordnete Domäne von subdomäne1.microsoft.com und gleichzeitig die Stammdomäne dieser Struktur.

Vertrauensstellungen

Zwischen Windows-Domänen innerhalb einer Struktur bestehen bidirektionale, transitive Vertrauensstellungen. Da diese Vertrauensstellungen bidirektional und transitiv sind, verfügt eine neu eingerichtete Windows-Domäne in einer Domänenstruktur oder Gesamtstruktur direkt über Vertrauensstellungen mit allen anderen Windows 2000-Domänen in der Domänen- oder Gesamtstruktur. Dank dieser Vertrauensstellungen kann ein Benutzer mit einem einzigen Anmeldevorgang gegenüber allen Domänen in der Domänen- oder Gesamtstruktur authentifiziert werden. Dies bedeutet jedoch nicht gleichzeitig, dass der authentifizierte Benutzer auch in allen Domänen der Gesamtstruktur über Rechte und Berechtigungen verfügt. Da eine Domäne einen eigenen Sicherheitsbereich darstellt, müssen Rechte und Berechtigungen pro Domäne zugewiesen werden.

Gesamtstruktur (Forest)

Eine Gesamtstruktur setzt sich aus mehreren Domänenstrukturen zusammen. Die Domänenstrukturen in einer Gesamtstruktur haben keinen fortlaufenden Namespace. Ein Beispiel: Obwohl die beiden Domänenstrukturen microsoft.com und microsoftasia.com beide über eine untergeordnete Domäne mit dem Namen "Support" verfügen können, würden die DNS-Namen dieser untergeordneten Domänen support.microsoft.com und support.microsoftasia.com lauten und aus diesem Grund keinen gemeinsamen Namespace aufweisen.

Einführung Acitve Directory

Eine Gesamtstruktur verfügt jedoch über eine Stammdomäne. Bei der Stammdomäne der Gesamtstruktur handelt sich um die erste in der Gesamtstruktur erstellte Domäne. Zwischen den Stammdomänen aller Domänenstrukturen der Gesamtstruktur und der Stammdomäne der Gesamtstruktur werden transitive Vertrauensstellungen eingerichtet. In der Abbildung ist microsoft.com die Stammdomäne der Gesamtstruktur. Die Stammdomänen der anderen Domänenstrukturen microsofteurope.com und microsoftasia.com verfügen über transitive Vertrauensstellungen mit microsoft.com. Dies ist erforderlich, damit die Vertrauensstellungen auf alle Domänenstrukturen der Gesamtstruktur ausgedehnt werden können.

Alle Windows-Domänen in allen Domänenstrukturen einer Gesamtstruktur haben gemeinsam:

Vertrauensstellungen zwischen Domänen

Eine Vertrauensstellung ist eine Beziehung zwischen zwei Domänen, durch die Benutzer einer Domäne authentifiziert werden können, der sich in einer anderen Domäne befindet. Eine Vertrauensstellung zwischen Domänen wird immer nur zwischen zwei Domänen aufgebaut: der vertrauenden und der vertrauenswürdigen Domäne.

Einführung Acitve Directory

In der ersten Abbildung sind die Vertrauensstellungen durch einen Pfeil gekennzeichnet (dieser zeigt auf die vertrauenswürdige Domäne).

Unter Windows sind alle Vertrauensstellungen in einem Tree transitiv und bidirektional. Beide Domänen in einer Vertrauensstellung vertrauen sich automatisch gegenseitig.

Einführung Acitve Directory

Aus der Abbildung ist ersichtlich: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C (sofern sie über die entsprechenden Berechtigungen verfügen) auf Ressourcen in Domäne A zugreifen.

Anmerkung

Wenn ein Benutzer von einem Domänencontroller authentifiziert wird, bedeutet dies nicht unbedingt, dass er auf die Ressourcen in dieser Domäne zugreifen kann. Dies wird ausschliesslich durch die Rechte und Berechtigungen bestimmt, die dem Benutzerkonto vom Domänenadministrator für die vertrauende Domäne erteilt wurden.

Active Directory Datenbank

Die Active Directory Datenbank ist die Datenbank einer Domäne. Sie enthält Informationen über Objekte wie Benutzer, Gruppen, Computer, Drucker, Freigaben...) Änderungen in ihr werden zwischen allen Domänencontrollern innerhalb der Domäne und der Domänengesamtstruktur repliziert und stehen somit den Benutzern im LAN zur Verfügung.

Per Standard ist der Speicherort Stammverzeichnis:\NTDS. Die Partition, auf der gespeichert wird, muss eine NTFS-Partition sein. Der Speicherort kann angepasst werden, es empfiehlt sich, hierbei auf Partitionen mit Redundanz auszuweichen, da die Objektdatenbank sehr wichtig ist.

Die Datenbank wird in einer Datei mit dem Namen NTS.DIT gespeichert. Sie enthält:

Während des Heraufstufens zum Domänencontoller wird die Datei NTDS.DIT vom Ordner Stammverzeichnis\SYTEM32 in das angegebene Verzeichnis kopiert. Die Active-Directory-Dienste werden gestartet. Falls andere Domänencontroller vorhanden sind, wird die Datei durch Replikation aktualisiert.

Wichtig für das AD ist ausserdem der Ordner Stammverzeichnis\SYSVOL. In ihm werden Skripte, Gruppenrichtlinienobjekte  gespeichert. Der Ordner muss sich ebenfalls auf einer NTFS-Partition befinden.

Organisationseinheiten

Mit Organisationseinheiten (OE, Origanisation Units, OU) können Strukturen geschaffen werden, die die Administration vereinfachen. Mit ihnen kann man die Unternehmensstruktur abbilden.  Durch die Verwendung von Organisationseinheiten kann die Anzahl der für das Netzwerk benötigten Domänen u. U. minimiert werden. Ziel sollte es bei der AD-Planung immer sein, so wenig wie möglich Domänen zu verwenden und statt dessen auf Organisationseinheiten auszuweichen. Organisationseinheiten sind Active Directory-Container, denen Sie Benutzer, Gruppen, Computer und andere Organisationseinheiten hinzufügen können.

Eine Organisationseinheit stellt den kleinsten Bereich oder die kleinste Einheit dar, der Gruppenrichtlinieneinstellungen zugewiesen oder an die Administratorrechte delegiert werden können.

Einführung Acitve Directory

Organisationseinheiten können weitere Organisationseinheiten enthalten.

Einem Benutzer können Administratorrechte für alle Organisationseinheiten in einer Domäne oder für eine einzelne Organisationseinheit erteilt werden. Es ist nicht erforderlich, dass der Administrator einer Organisationseinheit Administratorrechte für weitere Organisationseinheiten innerhalb der Domäne besitzt.

Im eingangs gezeigten Beispiel wurde für ein internationales Unternehmen für jedes Land eine Child-Domäne gebildet. Pro Niederlassung wurde eine OE gebildet.

Eine OE kann Objekte enthalten:

Bei der Verwaltung von OE sind Regeln zu beachten:

OEs erstellen Sie unter "Active Directory-Benutzer und-Computer". Klicken sie mit der rechten Maustaste auf das Domänenobjekt oder eine andere Organisationseinheit, in der Sie eine Organisationseinheit erstellen wollen und zeigen sie auf "NEU" und klicken sie anschliessend auf ORGANISATIONSEINHEIT.

Übersicht über "Active Directory-Standorte und -Dienste"

Dem AD einen Namen vergeben

Zunächst ist der DNS-Namespace des Active Directory festzulegen. Der DNS-Namespace ist ein Domänenenname der obersten Ebene im Active Directory. An den Namensraum sind die Domänenhierarchie, Vertrauensstellungen und die Replikationen geknüpft. Entweder wird der DNS-Namespace nach einem bereits registrierten externen Internet-DNS Namensraum oder als eigenständiger losgelöster DNS-Namensraum vergebenen.

Es gibt bei beiden Modellen Vor- und Nachteile. Im Ergebnis wird aber der Administrationsaufwand bei identischem internen und externen DNS-Namensraum erheblich höher sein. Microsoft empfiehlt daher für den AD-Namensraum eine Subdomäne des externen Namenraums zu vergeben. Z.B. www.lars-web.com -> ad.lars-web.com. Andere Quellen favorisieren Lösungen wie lars-web.local. Kristisch wird die letzte Lösung ist, wenn local jemals ein offizielle Top-Level Domain für das Internet werden sollte. Dann sind  Probleme mit der Namensauflösung vorprogrammiert sind. Andere Experten empfehlen daher auch, einen offiziellen Namen zu vergeben und diesen einfach nicht im Internet zu verwenden.

Das Active Directory bedient sich der sog. Multimasterreplikation und ermöglicht es jedem Windows Domänencontroller innerhalb der Gesamtstruktur, Anforderungen, einschliesslich Verzeichnisänderungen durch Benutzer, zu verarbeiten.

Sind alle Computer durch eine breitbandige Netzwerkverbindung miteinander verbunden, dann verursacht die zufällige Auswahl eines Domänencontrollers möglicherweise keine Probleme. Umfangreiche Installationen, in denen ein schmalbandiges WAN (Wide Area Network) zum Einsatz kommt, können jedoch extrem ineffizient arbeiten. Dies wäre z.B. der Fall., wenn sich Benutzer in Frankfurt über eine DFÜ-Verbindung bei einem Domänencontroller in Paris authentifizieren. Mit "Active Directory-Standorte und -Dienste" kann dies durch den Einsatz von Standorten optimieren.

Sie verwenden "Active Directory-Standorte und -Dienste", um Informationen zur physischen Struktur des Netzwerkes im Active Directory zu veröffentlichen. Mit Hilfe dieser Informationen bestimmt Active Directory, auf welche Weise Verzeichnisinformationen repliziert und Dienstanforderungen verarbeitet werden.

Die Zuordnung von Computern zu Standorten erfolgt auf der Grundlage ihrer Position in einem Subnetz oder in einer Gruppe gut verbundener Subnetze. Ähnlich wie Postleitzahlen, unter denen ein bestimmter Bereich von Postanschriften zusammengefasst wird, bieten Subnetze eine einfache Möglichkeit zur Darstellung von Netzwerkgruppierungen. Subnetze sind so ausgelegt, dass physische Informationen zu den Netzwerkverbindungen schnell und einfach an das Verzeichnis übertragen werden können.

Standorte vereinfachen Aufgaben im AD

Authentifizierung

Bei der Anmeldung eines Clients über ein Domänenkonto sucht die Anmelderoutine zuerst nach Domänencontrollern, die sich im selben Standort wie der Client befinden. Dadurch bleibt der Netzwerkverkehr auf den lokalen Standort beschränkt, und die Effizienz des Authentifizierungsprozesses nimmt zu.

Replikation

Verzeichnisinformationen werden sowohl innerhalb als auch zwischen Standorten repliziert. Das Active Directory repliziert Daten innerhalb eines Standortes häufiger als zwischen verschiedenen Standorten. Diese Vorgehensweise schafft einen Ausgleich zwischen der Nachfrage nach möglichst aktuellen Verzeichnisinformationen und den durch die verfügbare Netzwerkbandbreite vorgegebenen Beschränkungen.

Sie können die Datenreplikation im Active Directory anpassen, indem Sie mit Hilfe von Standortverknüpfungen festlegen, auf welche Weise die einzelnen Standorte verbunden sind. Die Informationen zur Verknüpfung der Standorte werden von Active Directory zur Erstellung von Verbindungsobjekten verwendet. Diese Objekte ermöglichen eine effiziente Replikation und gewährleisten Fehlertoleranz.

Dabei können Sie folgendes konfigurieren;

Anhand dieser Informationen bestimmt Active Directory, welche Standortverknüpfung für die Datenreplikation verwendet wird.

Normalerweise werden Informationen zwischen Standorten von allen Domänencontrollern ausgetauscht. Sie können jedoch stärkeren Einfluss auf das Replikationsverhalten nehmen, indem Sie einen Bridgeheadserver für die standortübergreifende Replikation von Informationen benennen. Richten Sie einen Bridgeheadserver ein, wenn anstelle eines beliebigen verfügbaren Servers ein dedizierter Server für die standortübergreifende Replikation bereitgestellt werden soll. Ein Bridgeheadserver kann auch eingerichtet werden, wenn die Netzwerkinstallation Proxyserver, z. B. für das Senden und Empfangen von Informationen durch einen Firewall, umfasst.

Gruppen

Gruppen sind Objekte in Active Directory oder auf dem lokalen Computer, die Benutzer, Kontakte, Computer und andere Gruppen enthalten können. Gruppen werden für folgende Zwecke verwendet:

Es gibt zwei Arten von Gruppen:

Mit Hilfe von Sicherheitsgruppen werden Benutzer, Computer und andere Gruppen in Gruppen zusammengefasst, die bequem verwaltet werden können. Administratoren sollten Ressourcenberechtigungen (z. B. für Dateifreigaben, Drucker usw.) vorzugsweise den jeweiligen Sicherheitsgruppen und nicht einzelnen Benutzern zuweisen. So werden die Berechtigungen nur einmalig der Gruppe und nicht mehrere Male einzelnen Benutzern zugewiesen (=>Vereinfachung). Jedes der Gruppe hinzugefügte Konto erhält automatisch die für die Gruppe definierten Rechte und Berechtigungen nach vorheriger Ab- und wieder Anmeldung.

Verteilergruppen können lediglich als E-Mail-Verteilerlisten eingesetzt werden. Sie können nicht zum Filtern von Gruppenrichtlinieneinstellungen verwendet werden. Sie haben keine Sicherheitsfunktionen.

Unterschied AD-Gruppen und Organisationseinheiten

Organisationseinheiten werden im Gegensatz zu Gruppen für die Zusammenfassung von Objekten innerhalb einer Einzeldomäne verwendet. Sie dienen jedoch nicht zur Übertragung von Mitgliedschaften. Die Verwaltung einer Organisationseinheit und der darin enthaltenen Objekte kann an einen einzelnen Administrator oder an eine Gruppe delegiert werden.

Gruppenrichtlinienobjekte können auf Standorte, Domänen oder Organisationseinheiten, jedoch niemals auf Gruppen angewendet werden. Ein Gruppenrichtlinienobjekt ist eine Gruppe von Einstellungen, die sich auf Benutzer oder Computer auswirkt. Mit Hilfe von Gruppenmitgliedschaften werden die Gruppenrichtlinienobjekte herausgefiltert, die Einfluss auf die Benutzer und Computer an einem Standort bzw. in einer Domäne oder Organisationseinheit haben.

Serverfunktionen / Serverrollen

Windows Server können mit verschiedenen Serverfunktionen ausgeführt werden.

Domänencontroller / Mitgliedsserver / Eigenständige Server

Domänencontroller

Mitgliedsserver

Ein Mitgliedsserver ist zwar Mitglied einer Domäne, aber kein Domänencontroller. Er verarbeitet keine Kontoanmeldungen, ist nicht an Active Directory-Replikationen beteiligt und speichert keine Richtlinieninformationen zur Domänensicherheit.

Mitgliedsserver werden in der Regel eingesetzt als:

Bis einschliesslich Server 2003 wurde die jeweilige Funktion einfach per Installation der entsprechenden Software zugewiesen. Mit Server 2008 hat Microsoft den Begriff  "Rolle" eingeführt. Man fügt daher dem Server z.B. die Rolle Datei- und Speicherdienste hinzu.

Eigenständige Server

Ein eigenständiger Server ist ein unter Windows Server ausgeführter Computer, der keiner Active-DirectoryDomäne angehört. Ist Windows Server als Mitglied einer Arbeitsgruppe installiert, handelt es sich bei dem betreffenden Server um einen eigenständigen Server.

Eigenständige Server können Ressourcen mit anderen Computern im Netzwerk gemeinsam nutzen, profitieren jedoch nicht von den Vorteilen von Active Directory.

Quellen / weitere Informationen




War der Artikel hilfreich? Ich freue mich sehr über Likes, Shares oder Links von Deiner Website darauf. Danke Dir.

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.
 

Anonymous
Posts: 5
Comment
Re: Tutorial: Was ist Active Directory?
Reply #5 on : Sun October 30, 2016, 11:45:52
Super Artikel! Vielen Dank!

Posts: 2
Comment
Re: Re: Tutorial: Was ist Active Directory?
Reply #4 on : Thu October 27, 2016, 22:45:09
Super. Vielen Dank!
Anonymous
Posts: 5
Comment
Re: Tutorial: Was ist Active Directory?
Reply #3 on : Thu October 27, 2016, 19:48:25
Danke, hat mir sehr geholfen!! Sehr gut erklärt :)

Posts: 2
Comment
Re: Re: Tutorial: Was ist Active Directory?
Reply #2 on : Tue August 09, 2016, 20:10:35
Vielen Dank. Dein Kommentar freut mich sehr.
T. S.
Posts: 5
Comment
Re: Tutorial: Was ist Active Directory?
Reply #1 on : Tue August 09, 2016, 11:19:48
Ein ausgezeichneter und gut verständlicher Artikel!