Immer gut strukturiert

Was ist ein Active Directory?

| Autor / Redakteur: Otto Geißler / Ulrike Ostler

Das Active Directory ist insbesondere für verteilte Netzwerkumgebungen ausgelegt.
Das Active Directory ist insbesondere für verteilte Netzwerkumgebungen ausgelegt. (Bild: © djama - stock.adob.com)

„Active Directory“ (AD) bezeichnet den zentralen Verzeichnisdienst von „Microsoft Windows Server“ für alle im Netzwerk verbundenen Objekte wie zum Beispiel User, Rechner, Dateiordner und Drucker. Mit einem AD lassen sich die eingetragenen Benutzerdaten, Zugriffsrechte sowie Security-Definitionen automatisch verwalten.

Der Gedanke hinter einem Active Directory (AD) ist die Nachbildung einer Organisationsstruktur durch die eines Netzwerks. Damit können Bereiche eines Unternehmens in so genannte „Domänen“ voneinander sauber abgegrenzt werden.

Das macht den Verzeichnisdienst zu einem der zentralen Instrumente im Hinblick auf die Verwaltung von Windows-basierten Netzwerken. Denn darin sind alle Geräte und Ressourcen eines Netzwerks sowie deren Attribute gespeichert.

Das Active Directory erleichtert nicht nur die Administration des Firmennetzwerks, sondern auch den Aufwand des Mitarbeiters beim Windows-Login. Mit nur einer einzigen zentralen Anmeldung kann er gleich auf alle ihm zugewiesenen Ressourcen (Drucker, Scanner, Internet, Ordner, Software, Datenbanken etc.) von den verschiedensten Rechnern des Unternehmens aus zugreifen. Administratoren sind mit dem Verzeichnisdienst Active Directory in der Lage, die Informationen der Objekte bereitzustellen, zu organisieren und natürlich auch zu überwachen.

Gleichzeitig können den Usern auf diese Weise Zugriffsbeschränkungen erteilt werden. Das bedeutet, es dürfen beispielsweise nur ausgewählte User für sie definierte Dateien ansehen oder bestimmte Dienste nutzen.

Active Directory und Server-Rollen

Seit Windows Server 2008 umfasst das Active Directory fünf verschiedene Server-Rollen. Dazu zählen die „Active Directory Domain Services“, „Active Directory Lightweight Directory Services“, „Active Directory Federation Services“, „Active Directory Rights Management Services“ und „Active Directory Certificate Services“.

Die aktuelle Version des ehemaligen Verzeichnisdienstes und der Kern der Domain- und Ressourcenverwaltung heißt Active Directory Domain Services (Active Directory Domain Verzeichnisdienst, ADDS). Eine funktional vereinfachte Version des ADDS wird als Active Directory Lightweight Directory Services (Active Directory Lightweight Verzeichnisdienst, ADLDS) bezeichnet. Das ADLDS dient der Anbindung von Anwendungen oder Services. Es wurde erstmals als Active Directory Application Mode (ADAM) in Windows Server 2003 zum Einsatz gebracht.

Sind die User einmal außerhalb der ADDS-Infrastruktur, so übernehmen die Active Directory Federation Services (Active Directory Verbunddienste, ADFS) die Web-gestützte Authentifizierung. Gegen unbefugte Einsicht schützen die Active Directory Rights Management Services (Active Directory Rechteverwaltungsdienste, ADRMS) mit kryptografischen Methoden. Und die Public-Key-Infrastruktur wird durch die Active Directory Certificate Services (Active Directory Zertifikatsdienste, ADCS) bereitgestellt.

Active Directory und einzelne Bausteine

Im Vergleich zu objektorientierten Verzeichnissystemen (eDirectory von Novell) gilt Active Directory als ein objektbasiertes beziehungsweise hierarchisches Verzeichnissystem. Die Datensätze heißen Objekte und deren Eigenschaften Attribute.

Die Objekte werden über ihren Namen und Attribute über ihren Typ identifiziert. Die Objekte teilen sich in zwei verschiedene Objektkategorien auf: Konten, zum Beispiel Benutzer-, Gruppen- und Computerkonten, und Ressourcen, etwa Datei- und Druckerfreigaben.

Jeder Verzeichnisdienst ist in drei Bausteine aufgegliedert: Schema, Konfiguration und Domain. Wobei das Schema ein Muster für alle Active-Directory-Einträge darstellt. Durch das Schema werden die Objekttypen, ihre Klassen und Attribute als auch ihre Attribut-Syntax bestimmt. Wogegen die Konfiguration die Gesamtstruktur des Active Directory als auch dessen Bäume beschreibt. Die Domain gibt Auskunft über alle Informationen, die sie selbst bezeichnet sowie über die in ihr eingetragenen Objekte.

Mehrere Domains im Verbund werden im Englischen als „Forest“ und im Deutschen „Gesamtstruktur“ bezeichnet. Die wesentlichen Informationen der im Active Directory eingetragenen Domains sind zentral im Globalen Katalog abrufbar. Alle Domains nutzen das gleiche Verzeichnis-Schema. Damit sind Sicherheitsinformationen (z. B. Nutzer-Rechte, Gruppen-Zuordnungen) und Schema-Erweiterungen über verschiedene Domains hinweg realisierbar.

Die Gesamtstruktur kann einzelne „Trees“ (Domains im gleichen DNS-Namensraum) aufweisen. Bereits eine einzelne Domain kann als eine Gesamtstruktur aufgefasst werden, die in der Folge um weitere Domains erweiterbar ist. Für Active Directory ist eine relationale, transaktionsorientierte Jet (Blue)-Datenbank mit „Write-Ahead-Logging“ im Einsatz.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45451808 / Definitionen)