Active Directory Workshop, Teil 2

Server-Rollen im Überblick

| Autor / Redakteur: Thomas Joos / Andreas Donner

Ein wichtiger Bestandteil eines Active Directories ist die Vielzahl an Serverdiensten.
Ein wichtiger Bestandteil eines Active Directories ist die Vielzahl an Serverdiensten. (Bild: © profit_image - stock.adobe.com)

Active Directory (AD) besteht nicht nur aus Domänen-Controller, sondern aus einer Vielzahl weiterer Server-Dienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Hier ein Überblick:

Wer auf Active Directory setzt, muss zunächst eine Active-Directory-Domäne aufbauen. Dies erfolgt über die Systemrolle „Active Directory Domänendienste“, die auf einem Server installiert wird. Danach wird die Active-Directory-Gesamtstruktur eingerichtet. Anschließend lassen sich verschiedene Dienste nutzen, die das Verzeichnis für die Authentifizierung der Benutzer und Dienste sowie zur Speicherung der eigenen Konfiguration nutzen.

Domänen-Controller und ihre Daten lassen sich schnell und einfach sichern und wiederherstellen. Das ist wichtig, da die Infrastrukturdienste, die Active Directory nutzen, ein stabiles und leistungsstarkes AD benötigen.

Viele Server-Dienste nutzen Active Directory

Viele Microsoft-Dienste nutzen Active Directory, um Benutzer zu authentifizieren, Daten zur Konfiguration zu speichern, oder um Benutzerfunktionen zu erweitern. Durch die Installation von „Microsoft Exchange Server“ werden zum Beispiel die Benutzerattribute um zusätzliche Funktionen für E-Mail und Groupware erweitert (siehe: Abbildung 1). Exchange-Funktionen integrieren sich direkt in die Eigenschaften der Benutzer (siehe: Abbildung 2).

Active Directory verfügt über ein erweiterbares Schema, das es ermöglicht es, zusätzliche Informationen zu speichern. Diese Funktion wird von Exchange genutzt, aber auch anderen Diensten, wie „System Center Configuration Manager“. Bei der Installation solcher Dienste wird das Schema von Active Directory um die notwendigen Attribute und Klassen erweitert (siehe: Abbildung 3).

Allerdings setzen nicht alle Dienste das erweitern des Schemas voraus, wenn Active Directory genutzt werden soll. Nur die Dienste, die mit den Standarddaten in Active Directory nicht zurechtkommen und mehr Daten speichern müssen, erweitern das AD.

Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Der erste installierte Domänen-Controller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters (siehe: Abbildung 4).

Active Directory-Systemrollen nutzen

Neben Zusatz-Programmen von Microsoft, aber auch von Drittherstellern, nutzen einige Server-Dienste von Microsoft ebenfalls Active Directory als Speicherort der Konfiguration oder zum Verwenden von Benutzerinformationen oder zur Authentifizierung. Die Serverrollen stehen über den Server-Manager zur Auswahl (siehe: Abbildung 5).

  • Active Directory Lightweight Directory Services
  • Active Directory Domänendienste
  • Active Directory Rechteverwaltungsdienste
  • Active Directory Verbunddienste
  • Active Directory Zertifikatdienste

Active Directory Lightweight Directory Services (Active Directory light)

Bei Active Directory Lightweight Directory Services (ADLDS) handelt es sich um ein mini Active Directory, das unabhängig von Domänencontrollern funktioniert. ADLDS wird zum Beispiel verwendet, wenn ein Verzeichnis notwendig ist, aber keine umfangreichen Funktionen wie in Active Directory benötigt werden. Ein Beispiel für den Einsatz von ADLDS sind Edge-Transport-Server von Microsoft Exchange.

Active Directory Rechteverwaltungsdienste

Beim Active Directory Rechteverwaltungsdienst („Active Directory Rights Management Services“, ADRMS (siehe: Abbildung 6) handelt es sich um einen Dienst, der die Rechte für Dateien und Dokumente in Active Directory steuern kann (siehe: Abbildung 7). Wie bei der Rechteverwaltung, lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen.

Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell. Es lassen sich Richtlinien erstellen auf deren Basis Anwender Dokumente nutzen dürfen. Hier kann zum Beispiel gesteuert werden, ob Anwender Dokumente drucken oder per E-Mail versenden dürfen.

Active Directory-Zertifikatdienste

Der Einsatz einer internen Zertifizierungsstelle ist in Active Directory nahezu unerlässlich. Viele aktuelle Server-Systeme von Microsoft oder auch Drittanbietern benötigen Zertifikate für den Zugriff. Beispiele dafür sind Exchange Server, die Remotedesktop-Dienste oder auch „Sharepoint“. Aber auch der „SQL Server“ benötigt ein Zertifikat, wenn Verbindungen verschlüsselt werden sollen.

Wer im Unternehmen mit Zertifikaten arbeitet, kann auf die Active Directory Zertifikatdienste setzen (siehe: Abbildung 8). Computer und Server, die Mitglied in Active Directory sind, vertrauen automatisch Zertifikaten in den Diensten. Neben der Möglichkeit, Zertifikate über Gruppenrichtlinien zuzuweisen, stellen die Zertifikatdienste auch eine eigene Webseite zur Verfügung, mit denen sich Zertifikate abrufen lassen.

Active Directory-Verbunddienste

Über Active Directory Verbunddienste (Active Directory Federation Services, ADFS) können Unternehmen eine zentrale Authentifizierungsinfrastruktur aufbauen, die Single-Sign-On-Szenarien zwischen verschiedenen Active-Directory-Gesamtstrukturen bietet, aber auch Benutzer sicher für den Zugriff auf „Office 365“ und „Microsoft Azure“ authentifiziert (siehe: Abbildung 9). In „Windows Server 2016“ können sich auch Benutzerkonten in ADFS authentifizieren, die nicht aus einem Active Directory kommen. Beispiel dafür sind „X.50000“-kompatible LDAP-Verzeichnisse oder auch SQL-Datenbanken:

  • AD LDS
  • Apache DS
  • IBM Tivoli DS
  • Novell DS
  • Open LDAP
  • Open DJ
  • Open DS
  • Radiant Logic Virtual DS
  • Sun ONE v6, v7, v11

Passive Authentifizierungsmöglichkeiten wie SAML, OAuth, WS-Trust active authorization protocol und WS-Federation sind ebenfalls möglich.

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop, Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

09.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory (AD) hat sich zum De-facto Standard entwickelt. Hier ein Einstieg. lesen

*Thomas Joos schreibt IT-Fachbücher, -Artikel und auf DataCenter-Insider seinen eigenen Blog: „Toms Admin-Blog“.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45289621 / Anwendungen)