Im Zusammenhang mit Windows-Netzwerken wird häufig auch der Begriff Active Directory genannt. Für wenig versierte Anwender erklären wir in diesem Artikel, was damit gemeint ist und wofür man es benötigt.
AD ist ein Verzeichnisdienst von Microsoft für Windows Server.
In Windows-Netzwerken übernimmt das Active Directory die zentrale Verwaltung aller Objekte, Ressourcen und Richtlinien zum Anmelden und für Zugriffe im Netzwerk.
Mit Samba für Linux und Unix gibt es auch einen Active-Directory-Verzeichnisdienst, welcher die Grundfunktionen der Lösung von Microsoft bietet.
Inhalt
1. Das Active Directory ist essenzieller Bestandteil aller Windows-Netze
In Unternehmen mit mehreren Mitarbeitern arbeitet man nicht mit lokalen Konten, wie es für Privatanwender üblich ist. Stattdessen werden Benutzer, Computer, Drucker und andere Objekte in einem Windows-Netzwerk über eine zentrale Instanz gespeichert und verwaltet, dem Active Directory (AD). Mit Windows Server 2008 wurde zwar die neuere Bezeichnung Active Directory Domain Services (ADDS) eingeführt. Im Sprachgebrauch ist es aber bei Active Directory geblieben.
Bei AD bzw. ADDS handelt es sich um einen Verzeichnisdienst für Windows Server. Der Verzeichnisdienst speichert und strukturiert alle Objekte und Ressourcen des Netzwerks in einer Datenbank und stellt diese Informationen zentral für die Anmeldung und Zugriffe in dem Netzwerk zur Verfügung. Dazu gehören etwa Benutzer, deren Namen und Telefonnummer, Zugehörigkeit innerhalb des Unternehmens, Berechtigung, Computer, Drucker oder Gruppenrichtlinien.
Die Nutzung von AD hat in Windows-Netzwerken folgende Vorteile:
- Zentrale Verwaltung von allen Netzwerkobjekten, Rechten und Richtlinien
- Einfache Möglichkeit, das bestehende AD zu erweitern oder unterschiedliche Organisationsstrukturen abzubilden
- Replikation des AD und Ausfallsicherheit
- Integration anderer Verzeichnisdienste
2. Domäne und Domänenstruktur
Innerhalb des Active Directory gibt es Domänen. Hierbei handelt es sich um Organisationsgruppen, in welcher alle zu der Domäne gehörenden Objekte zusammengefasst werden, also Mitarbeiter, PCs, Geräte, Richtlinien für diese Anwender und so weiter. Über eine Domänenstruktur kann der Aufbau und Gliederung des Unternehmens auch im AD abgebildet werden.
2.1. DNS für die Namensgebung der Domänenstruktur im Active Directory
Die Namensgebung der Domänen erfolgt in Active Directory über das Domain Name System (DNS), welches auch im Internet Verwendung findet. Aus diesem Grunde gibt es in einem AD-Netzwerk auch einen DNS-Server, welcher die Namensauflösung im Netzwerk über eine feste IP-Adresse übernimmt.
Der Domänenname kann, muss aber keiner registrierten Domain entsprechen. Wenn Sie aber bereits eine Internet-Domäne besitzen, lässt sich diese auch im AD problemlos verwenden.
Dies hat den Vorteil, dass es sich um Ihre Domäne handelt und keine Namensauflösungsprobleme bei DNS entstehen, sollte der von Ihnen verwendete Domänenname bereits im Internet registriert sein oder in Zukunft registriert werden. Admins raten dazu, einfach ein Subdomain der Stammdomäne voranzustellen, also beispielsweise ad.wintotal.de.
Eine typische Gesamtstruktur könnte sich wie folgt darstellen.
ad.wintotal.de wäre die Stammdomäne.
Darunter gibt es weitere Domänen und Subdomänen, zum Beispiel:
- support.ad.wintotal.de
- buchhaltung.ad.wintotal.de
- redaktion.ad.wintotal.de
-> berlin.redaktion.ad.wintotal.de
-> muenchen.redaktion.ad.wintotal.de
Mit einer solchen Gliederung fällt die Rechtevergabe und Verwaltung den Administratoren erheblich leichter, da beispielsweise einfach allen Anwendern in der Domäne buchhaltung.ad.wintotal.de Zugriff auf die Buchhaltungsdaten gegeben wird, während nur redaktion.ad.wintotal.de auf das Content Management System zugreifen darf.
In der beispielhaften Domänenstruktur gibt es auch die externen Standorte wie Berlin oder München. Dies stellt für AD aber kein Problem dar, da die Struktur einer Domäne nicht an die physikalischen Standorte gebunden ist.
Strukturen in Active Directory: In diesem Leitfaden für Active Directory finden Sie zahlreiche „Best Practices“ zur Verschachtelung, Sicherheitsgruppen und Benutzerkonten mit AD sowie eine Auswahl der besten Tools für die AD-Sicherheit.
3. Der Domänencontroller übernimmt zentrale Aufgaben
Jede der Domänen und Subdomänen in Active Directory benötigt einen Domänencontroller (DC). Hierbei handelt es sich jeweils um einen Windows Server, der die Rolle eines Domänencontrollers delegiert bekommt und von da an alle für seine Domäne relevanten Objekte wie Benutzer, Freigaben, Drucker, Gruppenrichtlinien und Sicherheitsbeschränkungen speichert.
Im Server Manager in Windows Server kann die Serverrolle über „Verwalten“ festgelegt werden.
In dem folgenden Video ist der Aufbau einer AD-Domäne sehr anschaulich am Beispiel von Windows Server 2016 erklärt.