Active Directory

aus Wikipedia, der freien Enzyklopadie

Windows Server Active Directory
Basisdaten
Entwickler	Microsoft
Erscheinungsjahr	1999
Betriebssystem	Windows
Active Directory-Domanendienste

Active Directory (AD) heisst der mit Windows 2000 eingefuhrte Verzeichnisdienst von Microsoft Windows Server, dessen Kernkomponente auch als Active Directory Domain Services (AD DS) bezeichnet wird.

Bei einem solchen Verzeichnis (englisch directory) handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlussen (Besitzern) zuordnet.

Active Directory ermoglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner raumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Gerate wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und uberwachen.

Den Benutzern des Netzwerkes konnen Zugriffsbeschrankungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.

Seit Windows Server 2008 sind unter dem Begriff Active Directory funf verschiedene Serverrollen zusammengefasst:^[1]

• Active Directory Domain Services (Active-Directory-Domain-Verzeichnisdienst, AD DS) ist die aktuelle Version des ursprunglichen Verzeichnisdienstes und der zentrale Punkt der Domain- und Ressourcenverwaltung.
• Active Directory Lightweight Directory Services (Active-Directory-Lightweight-Verzeichnisdienst, ADLDS) ist eine funktional eingeschrankte Version des AD DS, die der Anbindung von Anwendungen oder Diensten, die LDAP-konforme Informationen aus dem Verzeichnis benotigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet.
• Active Directory Federation Services (Active-Directory-Verbunddienste, ADFS) dienen der webgestutzten Authentifizierung von Benutzern, wenn diese sich in Bereichen ausserhalb der AD-DS-Infrastruktur befinden.
• Active Directory Rights Management Services (Active-Directory-Rechteverwaltungsdienste, ADRMS) schutzen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.
• Active Directory Certificate Services (Active-Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.

Das LDAP-Protokoll ermoglicht es Computern, Anfragen auf eine einheitliche Weise an das Verzeichnis zu stellen, um beispielsweise Informationen uber Benutzer und deren Gruppenzugehorigkeit zu erhalten.

Kerberos ist ein Protokoll, mit welchem Benutzer auf einheitliche Weise zentral authentifiziert werden. Das ermoglicht ihnen dann den Zugriff auf verschiedene Server und Dienste innerhalb des Active Directory, ohne sich jeweils neu anmelden zu mussen (Single Sign-on).

Das SMB-Protokoll ermoglicht den Zugriff auf Dateien, die sich auf einem Server im Netzwerk befinden. Damit kann Active Directory z. B. Gruppenrichtlinien und Anmeldeskripte fur Client-Computer verfugbar machen.

DNS dient zur Ubersetzung von Computernamen in IP-Adressen. Damit ist es moglich, jeden Computer innerhalb des Active Directory per Namen zu erreichen. Mittels SRV-Ressourceneintragen werden ferner die Dienste des Active Directory den Client-Computern bekannt gemacht.

Active Directory ist in drei Teile aufgegliedert: Schema, Konfiguration und Domain.

• Ein Schema ist eine Schablone fur alle Active-Directory-Eintrage. Es definiert sowohl Objekttypen, ihre Klassen und Attribute als auch ihre Attributsyntax. Welche Objekttypen in Active Directory verfugbar sind, lasst sich durch die Definition neuer Typen beeinflussen. Das dafur zugrundeliegende Muster ist das ,,Schema", das die Objekte und ihre Attribute definiert.
• Die Konfiguration beschreibt die Active-Directory-Gesamtstruktur und deren Baume.
• Die Domain enthalt schliesslich alle Informationen, die sie selbst und die in ihr erstellten Objekte beschreiben.

Die ersten beiden Teile von Active Directory werden zwischen allen Domain Controllern der Gesamtstruktur repliziert, wahrend die Domain-spezifischen Informationen grundsatzlich nur innerhalb der jeweiligen Domain, also auf ihren jeweiligen Domain Controllern, verfugbar sind. Deshalb existiert in jeder Domain zusatzlich ein sogenannter Globaler Katalog. Er reprasentiert alle Informationen der eigenen Domain und enthalt zusatzlich wichtige Teilinformationen der anderen Domain der Gesamtstruktur und ermoglicht damit z. B. Domain-ubergreifende Suchoperationen.

Active Directory verwendet zur Speicherung der Informationen uber die Netzwerkobjekte eine Jet (Blue)-Datenbank, die Microsoft auch fur den Exchange Server einsetzt. Sie ist relational, transaktionsorientiert und benutzt ein ,,Write-Ahead-Logging". Die Active-Directory-Datenbank ist auf 16 Terabytes begrenzt und jeder Domain Controller kann bis zu 2 Milliarden Objekte anlegen.

Die Datenbankdatei ,,NTDS.DIT" enthalt drei Haupttabellen: die ,,schema table" zur Speicherung der Schemata, die ,,link table" zur Speicherung der Objekt-Struktur und die ,,data table" zur Speicherung der Daten.

ESE (extensible storage engine) ordnet die nach einem relationalen Modell abgespeicherten Active-Directory-Daten nach einem vorgegebenen Schema in einem hierarchischen Modell an.

Unter Windows 2000 benutzt Active Directory die Jet-basierende ESE98-Datenbank.

Im Gegensatz zum objektorientierten Verzeichnissystem eDirectory von NetIQ ist Active Directory eher als objektbasiert - und hierarchisch - zu bezeichnen.

Die Datensatze in der Datenbank werden in Active Directory als ,,Objekte" und deren Eigenschaften als ,,Attribute" definiert. Die Attribute sind abhangig von ihrem Typ definiert. Objekte werden eindeutig uber ihren Namen identifiziert.

Die Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinien-Objekten gespeichert. Diese sind ebenfalls Domains und Standorten zugeordnet.

Objekte lassen sich in zwei Haupt-Kategorien einteilen:

• Konten, wie zum Beispiel Benutzer-, Gruppen- und Computerkonten
• Ressourcen, wie zum Beispiel Datei- und Druckerfreigaben

Die moglicherweise bis zu vielen Millionen Objekte werden in Containern (Organisationseinheiten), auch OUs (Organizational Unit) genannt, abgelegt. Einige Container sind vordefiniert, beliebige weitere Organisationseinheiten konnen mit Subeinheiten (Unterorganisationseinheiten) erstellt werden. Als objektbasiertes System unterstutzt Active Directory die Vererbung von Eigenschaften eines Objektcontainers an untergeordnete Objekte, die auch wieder Container sein konnen. Dadurch erlaubt es Active Directory, Netzwerke logisch und hierarchisch aufzubauen.

Der Verbund mehrerer zusammengehoriger Domains heisst im englischen Original ,,forest", deutsch ,,Gesamtstruktur". Die wichtigsten Informationen aller enthaltenen Domains sind zentral im Globalen Katalog abrufbar, ausserdem benutzen alle Domains dasselbe Verzeichnis-Schema. Die Verwendung von Sicherheitsinformationen (z. B. Nutzer-Rechte/-Gruppen-Zuordnungen) sowie Schema-Erweiterungen sind so Domain-ubergreifend moglich. Die Gesamtstruktur kann verschiedene Baume (trees) enthalten, das sind jeweils Domains, die im selben DNS-Namensraum liegen (z. B. buchhaltung.meinefirma.de und meinefirma.de). Auch eine einzelne Domain bildet schon eine Gesamtstruktur, die spater um weitere Domains erganzt werden kann.^[2]

Eine Organisationseinheit (OU) ist ein Containerobjekt, das zum Gruppieren anderer Objekte im AD dient. Eine OU kann neben Objekten auch andere OUs enthalten. Die frei definierbare Hierarchie der OUs vereinfacht die Administration von Active Directory. In der Regel richtet sie sich nach den Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens. Die OUs sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden konnen.

Eine Moglichkeit der Unterteilung sind Standorte. Diese stellen eine raumliche Gliederung der IP-Unternetze innerhalb der Gesamt-Topologie dar.

Die schnellen Netzwerke (LAN) der Standorte sind meistens durch langsamere Netzwerke (WAN) untereinander verbunden. Die Standort-Bildung ist deshalb wichtig fur die Kontrolle des Netzwerkverkehrs, der durch Replikationsvorgange entsteht. Domains konnen Standorte enthalten, und Standorte konnen Domains beinhalten.

Es ist fundamental, die Infrastruktur der Unternehmensinformationen in eine hierarchische Aufteilung in Domains und Organisationseinheiten sorgfaltig zu planen. Hierfur haben sich Aufteilungen hinsichtlich geografischer Orte, Aufgaben oder IT-Rollen oder einer Kombination aus diesen Modellen als nutzlich erwiesen.

Unter Windows NT, das noch eine Nutzerdatenbank ohne hierarchische Strukturen enthielt, gab es pro Domain immer einen ausgezeichneten Controller, den primaren Domain Controller (PDC), der Anderungen an dieser Nutzer- und Computerdatenbank (SAM) ausfuhren durfte. Alle anderen Domain Controller replizierten diese und dienten als Nur-Lese-Sicherungskopien, um im Bedarfsfall zu einem PDC hochgestuft werden zu konnen.

Dagegen nutzt Active Directory fur die Replikation des Verzeichnisses zwischen den Domain Controllern eine sogenannte Multimaster-Replikation. Das hat den Vorteil, dass sich jedes Replikat beschreiben und synchronisieren lasst. Somit ist bei verteilten Implementierungen eine lokale Administration vollstandig moglich. Im Gegensatz zu Windows-NT-Domains besitzen ab Windows 2000 alle Domain Controller (DC) eine beschreibbare Kopie der Active-Directory-Datenbank. Die Veranderung eines Attributes auf einem der DCs wird in regelmassigen Intervallen an alle anderen DCs weitergegeben (repliziert). Dadurch sind alle DCs auf demselben Stand. Der Ausfall eines DCs ist fur die Active-Directory-Datenbank unerheblich, da keine Informationen verloren gehen. Das Replikationsintervall kann je nach Anderungshaufigkeit auf 15 oder mehr Minuten eingestellt werden. Windows 2000 Server repliziert das AD standardmassig nach spatestens 5 Minuten, Windows Server 2003 repliziert es standardmassig nach spatestens 15 Sekunden. Da eine Replikation uber hochstens 3 Hops geht, erhalt man je nach verwendeter Serverversion 15 Minuten bzw. 45 Sekunden als Replikationsintervall fur eine Domain.

Active Directory unterstutzt eine Benennung und den Zugriff uber UNC/URL- und LDAP-URL-Namen. Intern wird die LDAP-Version X.500 fur die Namensstruktur verwendet. Jedes Objekt hat einen vollqualifizierten Namen (distinguished name, DN). Ein Druckobjekt heisst beispielsweise ,,LaserDrucker3" in der organisatorischen Einheit ,,Marketing" und der Domain ,,foo.org". Der voll qualifizierte Name ist somit ,,CN=LaserDrucker3,OU=Marketing,DC=foo,DC=org". ,,CN" steht hierbei fur ,,common name". ,,DC" ist die Domain-Objekt-Klasse (domain component), die aus sehr vielen Teilen bestehen kann. Die Objekte konnen auch nach der UNC/URL-Notation bezeichnet werden. Diese zeichnet sich durch eine umgekehrte Reihenfolge der Bezeichner aus, welche durch Schragstriche voneinander getrennt sind. Das obige Objekt konnte somit auch mit ,,foo.org/Marketing/LaserDrucker3" bezeichnet werden. Um Objekte innerhalb der Container anzusprechen, werden relative Namen (relative distinguished names, RDNs) verwendet. Dies ware fur den Laserdrucker ,,CN=LaserDrucker3". Jedes Objekt hat neben seinem global eindeutigen Namen eine ebenfalls global eindeutige 128 Bit lange Nummer (globally unique identifier, GUID). Diese wird ublicherweise als Zeichenfolge dargestellt und andert sich auch beim Umbenennen des Objekts nicht. Weiterhin kann jedes Benutzer- und Computerobjekt auch eindeutig uber seinen zugeordneten UPN (User Principal Name) angesprochen werden, der den Aufbau ,,Objektname"@,,Domainname" hat.

Das AD bildet das Herzstuck der Verwaltung von Objekten in zentral administrierten Windows-Umgebungen.

Dieses System erfordert besonderen Schutz vor Angriffen. Zu den empfohlenen Massnahmen gehoren beispielsweise:

• Beachtung grundlegender Sicherheitseinstellungen
• keine Installation von zusatzlichen Diensten auf Domain Controllern
• Nutzung der aktuellen Domain- und Gesamtstrukturfunktionsebene
• Verschlusselung von Active Directory-Laufwerke mit Bitlocker
• Local Administrator Password Solution (LAPS).^[3][4]

Windows LAPS (kurz LAPS, en. Local Administrator Password Solution, Lokales-Administratorkennwort-Losung) ist ein von Microsoft entwickeltes Windows-Feature zum Schutz lokaler Kennworter von in das Active Directory integrierten Geraten.^[5] Eine erste Version von LAPS wurde 2015 veroffentlicht.^[6][7] Die lokalen Passworter sind zufallig generiert und werden in regelmassigen Intervallen automatisch geandert.

Haufig wird in grosseren Umgebungen fur alle Gerate dasselbe lokale Passwort vergeben. LAPS ermoglicht es, auf jedem System ein individuelles Passwort zu hinterlegen, wodurch es Angreifer schwerer haben eine ganze Umgebung zu ubernehmen.

Seit April 2023 ist LAPS erstmals Systemkomponente.^[8][9] Die Verwaltung erfolgt per Gruppenrichtlinienobjekt (GPO).^[10]

Es existieren neben Active Directory weitere Verzeichnisdienste, die zwar LDAP und Kerberos implementieren, jedoch nicht AD-kompatibel sind. Einige Software-Produkte emulieren jedoch auch ein Active Directory. Damit konnen Windows- und andere Clients ohne zusatzlich aufgebrachte Software einer Domain beitreten und einen Grossteil der Moglichkeiten eines Active Directory, wie z. B. die zentrale Authentifizierung und Verwaltung, nutzen, ohne dass Windows Server eingesetzt wird.

Neben Windows Server kann auch die freie Software Samba fur Linux- und Unix-Systeme einen weitgehend Active-Directory-kompatiblen Verzeichnisdienst zur Verfugung stellen. Die aktuelle Version 4 kann damit einen Windows-Server in vielen Fallen ersetzen.^[11] Dies wurde nicht zuletzt durch die Unterstutzung, die das Samba-Projekt von Microsoft direkt erhalten hatte, moglich.^[12]

Ahnliche Funktionen wie Active Directory bietet das von Novell entwickelte NetIQ eDirectory. Es ist fur Windows sowie fur Linux verfugbar und erlaubt anders als Active Directory auch die Verwaltung einer inhomogenen IT-Infrastruktur. Mittels des Aufsatzes Domain Services for Windows kann eDirectory ein Active Directory emulieren.

• Flexible single master operations - Bestimmte Operationen in Active Directory konnen nur auf besonders dafur vorgesehenen Servern, den Operations Masters, ausgefuhrt werden.
• Active Directory Services Interfaces ist eine Programmierschnittstelle, die das Verwalten eines Active Directory auch ohne grafische Benutzeroberflache ermoglicht.

• Ulf B. Simon-Weidner, Florian Frommherz: Active Directory - Deployment, Administration und Troubleshooting. Heinemann Verlag 2010, ISBN 978-3-941034-06-8.
• Carlo Westbrook: Active Directory in Windows Server 2012 R2 - Planung und praktischer Einsatz in Windows-Netzwerken. CertPro-PRESS 2016, ISBN 978-3-944749-02-0.

• Stefan Halder: Active Directory FAQ Wiki. In: Sector7G. 1. April 2008, archiviert vom Original (nicht mehr online verfugbar) am 31. Mai 2009; abgerufen am 2. Februar 2008.
• Ulrich B. Boddenberg: Windows Server 2008. 2. Auflage. Galileo-Press, Bonn 2009, ISBN 978-3-8362-1327-1, Kapitel 8: Active Directory Domain-Dienste, S. 213-402 (online lesbar: OpenBook-Ausgabe (Memento vom 12. Dezember 2008 im Internet Archive)).
• Thomas Drilling: Uberblick uber Active Directory: Geordnet. In: ADMIN 05/2011: Performance Tuning. Heinemann-Verlag, September 2011, S. 86-91; abgerufen am 29. Februar 2012.
• Stephanie Knecht-Thurmann: Active Directory Grundlagen. In: knecht-consult.de. 22. Februar 2003, archiviert vom Original (nicht mehr online verfugbar) am 16. April 2005; abgerufen am 2. Oktober 2023.

1. | Active Directory Services. Microsoft Corporation, 25. Marz 2009, abgerufen am 7. Oktober 2010 (englisch): ,,Active Directory services include [...] (AD CS), [...] (AD DS), [...] (AD FS), [...] (AD LDS), and [...] (AD RMS)"
2. | Stephanie Knecht-Thurmann: Active Directory-Strukturen. In: knecht-consult.de. 22. Februar 2003, archiviert vom Original (nicht mehr online verfugbar) am 12. Mai 2005; abgerufen am 2. Oktober 2023.
3. | APP.2.2 Active Directory Domain Services. In: www.bsi.bund.de. Bundesamt fur Sicherheit in der Informationstechnik, 2023, abgerufen am 12. Februar 2024.
4. | Thomas Joos: Active Directory harten und vor Angriffen schutzen. In: www.security-insider.de. 17. Januar 2023, abgerufen am 12. Februar 2024.
5. | Was ist das Windows LAPS? In: learn.microsoft.com. Microsoft, 14. Dezember 2023, abgerufen am 12. Februar 2024.
6. | Michael Schneider: Windows LAPS. Lokale Adminpassworter neu aufgelegt. In: www.scip.ch. 18. Mai 2023, abgerufen am 12. Februar 2024.
7. | Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 - Microsoft Support. Abgerufen am 14. Februar 2024.
8. | Wolfgang Sommergut: Windows LAPS: Neue Funktionen, Management mit PowerShell, GPOs und Intune. www.windowspro.de. 12. April 2023, abgerufen am 12. Februar 2024.
9. | Erste Schritte mit Windows LAPS und Windows Server Active Directory. In: learn.microsoft.com. Microsoft, 6. Dezember 2023, abgerufen am 12. Februar 2024.
10. | Konfigurieren von Richtlinieneinstellungen fur Windows LAPS. In: learn.microsoft.com. Microsoft, 4. Januar 2024, abgerufen am 12. Februar 2024.
11. | Samba Team Releases Samba 4.0 (englisch), www.samba.org, 19. Februar 2013
12. | Peter Siering: Samba 4 kommt. SambaXP 2010 - Konferenz zum freien Windows-Server. Heise online, Dezember 2010, abgerufen am 14. Juli 2014.

Abgerufen von ,,https://de.wikipedia.org/w/index.php?title=Active_Directory&oldid=261473352"

Kategorien:

• Windows-Betriebssystemkomponente
• Microsoft