Active Directory Workshop, Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

| Autor / Redakteur: Thomas Joos / Andreas Donner

Active Directory ist auch für kleinere Netze interessant. Unser Workshop zeigt, was ein Domänen-Netzwerk ist und worauf es ankommt.
Active Directory ist auch für kleinere Netze interessant. Unser Workshop zeigt, was ein Domänen-Netzwerk ist und worauf es ankommt. (Bild: © XtravaganT - stock.adobe.com)

Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory (AD) hat sich zum De-facto Standard entwickelt. Hier ein Einstieg.

Wenn in einem Unternehmensnetzwerk Computer-Nutzern verschiedene Berechtigungsstufen und Zugriffsfreigaben erteilt werden sollen, und diese Benutzer sich zudem mit ihrem persönlichen Benutzernamen und Kennwort an irgendeinem PC im Unternehmen mit ihren individuellen Rechten anmelden können sollen, ist es sinnvoll, diese Benutzer in einem zentralen Verzeichnis abzulegen. Denn in diesem Fall können die Anmeldungen nicht nur zentral überwacht, Benutzereinstellungen gesetzt und Kennwörter verwaltet werden, auch das individuelle Zuteilen von Berechtigungen und die Verwaltung von Gruppenmitgliedschaften kann so an den Benutzernamen gekoppelt und Client-unabhängig gesteuert werden.

Das erleichtert enorm die Verwaltung der Zugriffe auf Ressourcen im Netzwerk und erhöht die Sicherheit deutlich. Die Daten des Verzeichnisdienstes werden auf einem Domänencontroller gespeichert, weshalb mein ein Active-Directory-Netzwerk auch als Domänennetzwerk bezeichnet. Gibt es mehrere Domänen-Controller im Netzwerk, replizieren diese ihre Daten untereinander, so dass im Grunde genommen alle Domänen-Controller über die gleichen Daten verfügen und damit Redundanz schaffen.

Was ist Active Directory?

Einfach ausgedrückt ist Active Directory ein Verzeichnisdienst, in dem Benutzernamen sowie die Namen von Computern, Arbeitsstationen und Servern gespeichert sind. Meldet sich ein Benutzer an, erkennt das Active Directory den Benutzernamen, authentifiziert ihn mit seinem Kennwort und erlaubt ihm die Anmeldung an den Computern, die Mitglied des Active Directory sind. Administrator-Benutzer dürfen sich zusätzlich auch an Servern anmelden.

Damit eine solche Technik funktioniert, müssen die Daten der Computer sowie die Anmeldedaten der Anwender gespeichert werden. Das geschieht in der Active-Directory-Datenbank, die zwischen den Domänencontrollern repliziert wird. Eine Domäne ist eine Gruppe von Benutzern und Computern in Active Directory. Daher wird auch von einer Active-Directory-Domäne gesprochen.

Innerhalb einer Domäne, die zum Beispiel alle Benutzer einer Niederlassung zusammenfassen kann, können sich Benutzer anmelden und Ressourcen nutzen. Die Daten der Benutzer werden auf den Domänencontrollern gespeichert.

Verschiedene Domänen nutzen

In einer Active-Directory-Gesamtstruktur können mehrere Domänen betrieben und zusammen genutzt werden. Für jede Domäne gibt es eigene Domänencontroller. Berechtigungen lassen sich in allen Domänen der Active-Directory-Gesamtstruktur nutzen und Anwender können sich in allen Domänen anmelden. Verschiedene Domänen stellen dadurch eine Gruppierung eines Unternehmens dar. Viele Unternehmen teilen so zum Beispiel ihre Niederlassungen auf.

Ein Beispiel ist die Active-Directory-Gesamtstruktur „contoso.com“ (siehe: Abbildung 1). Dabei handelt es sich um die erste Domäne in der Gesamtstruktur. Wenn ein Unternehmen eine weitere Aufteilung vornehmen will, zum Beispiel nach Abteilungen, kann es eine weitere Domäne mit der Bezeichnung „sales.contoso.com“ aufbauen. Domänen können auch untereinander aufgegliedert werden. So können zum Beispiel verschiedene Städte in der Sales-Abteilung eigene Domänen bekommen, zum Beispiel „dallas.sales.contoso.com“. Die Domäne „Dallas“ ist der Domäne „Sales“ und diese der Domäne „Contoso.com“ untergliedert. In jeder Domäne gibt es eigene Domänen-Controller, die aber zu einer Active-Directory-Gesamtstruktur zusammengefasst sind.

In großen Unternehmen kann es innerhalb einer Gesamtstruktur, auch Forest genannt, zwei verschiedene Strukturen, auch Trees genannt, geben. Diese beiden Strukturen sind Teil eines gemeinsamen Verzeichnisses, haben aber zwei verschiedene Namensräume. Im oben genannten Beispiel (siehe Abbildung 1) sind das die beiden Strukturen (Trees) „microsoft.com“ und „contoso.com“, die Bestandteil der Active Directory-Gesamtstruktur „contoso.com“ sind. In dieser Gesamtstruktur gibt es die Domänen:

  • Microsoft.com
  • De.microsoft.com
  • Contoso.com
  • Sales.contoso.com
  • Dallas.contoso.com

Zwischen den verschiedenen Domänen lassen sich auch Berechtigungen delegieren. So kann eine Gruppe, also ein Verbund verschiedener Benutzerkonten, aus der Domäne „contoso.com“ das Recht erhalten, auf eine Freigabe eines Servers zuzugreifen, der Mitglied der Domäne „de.microsoft.com“ ist. Um auf eine Dateifreigabe eines Servers zuzugreifen, muss ein Benutzer sich mit einem Konto anmelden, das über die entsprechenden Berechtigungen verfügt (siehe: Abbildung 2).

Das wird durch das Active Directory gesteuert – genauer, durch die Domänen-Controller der jeweiligen Domäne (siehe: Abbildung 3). Die Domänen-Controller und ihre Daten lassen sich darüber hinaus auch schnell und einfach sichern und wiederherstellen.

Konkreter Nutzen eines Active Directory

Auch für kleine Unternehmen ist der Einsatz von Active Directory sinnvoll. So lassen sich die Benutzernamen und Kennwörter definieren, mit denen die Benutzer sich an ihren PCs anmelden. Gibt es gemeinsame Datenfreigaben, dann können Unternehmen mit Berechtigungen arbeiten und den Benutzerkonten Rechte für die Freigabe zuteilen.

Außerdem lassen sich zentrale Sicherheitsrichtlinien vorgeben und Skripte definieren. Meldet sich ein Benutzer an seinem Computer an, erhält er dadurch automatisch Zugriff auf die Dateifreigaben, die er benötigt, und das genau mit den Rechten, die er braucht. Dadurch können Mitarbeiter im Team arbeiten und die Daten werden durch granulare Berechtigungen geschützt.

Häufig unterstützen viele Server-Anwendungen wie E-Mail, CRM/ERP und andere Lösungen die Authentifizierung über Active Directory. Dazu gehören auch Datenbank-Server wie „Microsoft SQL-Server“ sowie die meisten bis alle anderen Microsoft-Lösungen für Unternehmen.

Melden sich Benutzer an ihrem PC an, können Sie damit auf alle Ressourcen zugreifen, ohne sich erneut anmelden zu müssen. Das erleichtert die Arbeit der Anwender, die sich zudem auch nicht verschiedene Benutzernamen und Kennwörter merken müssen.

Auch Drucker lassen sich in den meisten Fällen an Active Directory anbinden. Mit etwas Konfiguration können die Anwendungen automatisiert über Richtlinien installiert werden, wenn sich ein Anwender an seinem PC anmeldet.

Auch kleine Unternehmen profitieren

Microsoft bietet Active Directory auch für sehr kleine Unternehmen an. Mit „Windows Server 2016 Essentials“ beispielsweise erhalten Unternehmen einen zentralen Server inklusive Active Directory. Hier sind auch die Verwaltungs-Tools sehr einfach (siehe: Abbildung 4) und erlauben die Anbindung von wenigen Benutzern an ein Active Directory, inklusive der einfachen Steuerung von Freigaben und Berechtigungen im Netzwerk (siehe: Abbildung 5). Die Daten der Anwender werden ebenfalls auf dem Server mit „Windows Server 2016 Essentials“ gespeichert, der auch als Domänen-Controller fungiert.

Server-Rollen im Überblick

Active Directory Workshop, Teil 2

Server-Rollen im Überblick

11.05.18 - Active Directory (AD) besteht nicht nur aus Domänen-Controller, sondern aus einer Vielzahl weiterer Server-Dienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Hier ein Überblick: lesen

*Thomas Joos schreibt IT-Fachbücher und -Artikel. Auf DataCenter-Insider füllt er seinen eigenen Blog mit Tipps und Tricks für Administratoren: „Toms Admin Blog

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45289541 / Anwendungen)