Was ist ein Active Directory (AD)?

Was ist ein Active Directory (AD)?

Das Active Directory (AD) ist für die IT-Abteilung das Gleiche, wie eine HR-Software für die Personalabteilung. Ähnlich zu einem Verzeichnis oder Telefonbuch. Es ist die wichtigste Datenquelle für alle IT-bezogenen Angelegenheiten.

Ein Active Directory ermöglicht den Zugriff auf das Netzwerk und schützt dieses, insbesondere vor unbefugten Zugriffen. Um Netzwerksicherheit und den rechtmäßigen Zugang sicherzustellen, werden innerhalb des AD verschiedene Objekte definiert. Die wichtigsten Objekte sind Benutzer, Gruppen und Organisationseinheiten.

Haben Sie von Novell Netware gehört? Wahrscheinlich nicht, es sei denn, Sie sind ein Technik-Liebhaber. Um es kurz zu machen: Bis Ende der 1990er Jahre war es eines der Tools, die für die Verwaltung von Windows-Computern verwendet wurden.

Novell Netware und ähnliche Systeme wurden mit der Zeit älter. Und so führte Microsoft 1999 Active Directory (AD) als Verzeichnisdienst für Windows-Domänennetzwerke ein.1

Die Bedeutung des Active Directory

Ursprünglich auf die zentrale Verwaltung von Domänen ausgerichtet, umfasst ein Active Directory heute alle Arten von verzeichnis- und identitätsbezogener Verwaltung. Mit einem AD kann eine IT-Abteilung Benutzer in Gruppen und Untergruppen organisieren. Außerdem können IT-Teams damit Zugriffsrechte auf Dateien verwalten, so dass nur bestimmte Benutzer Zugriff auf sensible Ressourcen, Informationen und Daten haben.

Wenn ein Mitglied der IT-Abteilung Informationen über einen Computer, einen Server, eine Hardwareressource, einen freigegebenen Ordner oder eine Benutzergruppe in einer Windows-Netzwerkdomäne suchen muss, greift er über das AD oder andere damit verbundene Softwaretools darauf zu. Als einer der populärsten Verzeichnisdienste der Welt verlassen sich Organisationen aller Größen und Branchen auf AD, wenn es um die Benutzerverwaltung geht.

Was bedeutet ADFS?

Active Directory Federation Services (ADFS) ermöglicht auf Microsoft Betriebssystemen, Single Sign-On (SSO). User haben über einmaliges anmelden schnell und unkompliziert Zugriff auf all ihre Anwendungen.

Microsoft stellt ADFS zur Verfügung, welches ermöglicht, Endbenutzern auf der Grundlage ihres Active Directory-Kontos Single Sign-On-Funktionen anzubieten. Beim Start von Office 365 ist es nicht mehr erforderlich, ein Passwort einzugeben. Ein Benutzer, welcher in der AD-Domäne angemeldet ist, erhält sofortigen Zugriff. Alle Authentifizierungen werden direkt mit dem lokal installierten Active Directory verglichen.

Mit einer IDaaS Lösung wie HelloID sind Sie nicht mehr auf lokale Server- und Softwareinstallationen angewiesen.

Die drei Ebenen eines Active Directory

Die logische Struktur eines Active Directory ist eine hierarchische Organisation aller Benutzer, Computer und anderer physischer Ressourcen. Diese Struktur umfasst drei Hauptebenen:

• Domänen
• Bäume (Trees)
• Gesamtstruktur (Forest)

Lassen Sie uns diese Begriffe einmal verbildlicht definieren.

Objekte wie Benutzer oder Geräte (z.B. Drucker usw.), die alle dieselbe Datenbank verwenden, können in einer einzigen „Domäne“ gruppiert werden. Domänen wurden in Windows NT eingeführt. Wenn mehrere Domänen zu einer einzigen Gruppe zusammengefasst werden, spricht man von einem „Baum“ oder auch einer Struktur.

Wenn mehrere „Bäume“ (Trees) gruppiert sind, spricht man sinnbildlich von einem „Forest“ zu Deutsch Gesamtstruktur.

Forests bilden die größte Domänenverwaltung. Die Gesamtstruktur kann verschiedene Bäume (trees) enthalten, das sind jeweils Domänen, die im selben DNS-Namensraum liegen (z. B. identitymanagement.tools4ever.de und tools4ever.de).

Neben Domänen, Bäumen und der Gesamtstruktur gibt es drei weitere Bestandteile der AD-Speicherarchitektur:

• Domain Name System (DNS) Support
• Schema
• Datenspeicher

„DNS“ ist ein Dienst zur Namensauflösung und ist ein weltweiter Verzeichnisdienst, der den Namensraum des Internets verwaltet. Jeder Internetnutzer navigiert zu Websites über Domänennamen (URL), aber Webbrowser verwenden IP-Adressen. Einfach ausgedrückt übernimmt die DNS die Auflösung hinter den Kulissen, um eine reibungslose Benutzererfahrung zu bieten.

Ein „Schema“ ist ein Satz von Regeln, der die Klassen von Objekten und Attributen im Verzeichnis, die Beschränkungen und Grenzen für Instanzen dieser Objekte und das Format ihrer Namen definiert. Es enthält Definitionen für alle Objekte, die zum Speichern von Informationen im Verzeichnis verwendet werden.

Der „Datenspeicher“ ist der Teil des Verzeichnisses, der die Speicherung und den Abruf von Daten auf jedem Domänencontroller verwaltet. Die Datenspeicher verwenden die vom Schema erstellten Definitionen, um die Datenintegrität zu gewährleisten. Alle Objekte werden daher einheitlich erstellt, und alle Domänencontroller verwenden die gleiche Objektdefinition.

AD Globaler Katalog

Active Directory enthält auch Informationen über jedes Objekt, den so genannten globalen Katalog und verfügt über einen Abfrage- und Indexmechanismus sowie einen Replikationsdienst.

Wie Sie sehen können, würde die manuelle Verwaltung all dieser Prozesse eine große, engagierte IT-Abteilung erfordern. Es gibt jedoch viele automatisierte Tools, die die IT-Abteilung bei der Benutzerverwaltung des Authentifizierungssystems unterstützen.

Active Directory-Domänendienste

Active Directory bietet auch so genannte „Active Directory Domain Services“ (ADDS).  Diese Dienste helfen der IT-Abteilung bei der Verwaltung von Client-Systemen. Zu diesen Diensten gehören die folgenden:

• Domänendienste
• Zertifikatsdienste
• Lightweight Directory-Dienste
• Verzeichnisverbunddienste
•  Rechteverwaltung

Ein Domain Controller (zu Deutsch Bereichssteuerung, häufig auch Domänencontroller) ist ein Server zur zentralen Authentifizierung von Computern und Benutzern in einem Netzwerk. Dieser Controller authentifiziert und autorisiert alle Benutzer innerhalb des Netzwerks. Zu seinen Aufgaben gehört die Durchsetzung der Sicherheit, die Installation von Software und Updates, die Verwaltung des Speichers und vieles mehr.

„Domänendienste“ beziehen sich auf die Speicherung zentraler Daten durch das AD und die verwaltete Kommunikation zwischen Benutzern und Domänen. Dazu gehören die Anmeldeauthentifizierung, Suchfunktionen und mehr.

„Zertifikatsdienste“ sind definiert als die Erstellung, Verteilung und Verwaltung von sicheren Zertifikaten.

„Lightweight Directory Services“ unterstützen verzeichnisfähige Anwendungen, die das offene LDAP-Protokoll (Lightweight Directory Access Protocol) verwenden. Dabei handelt es sich um ein herstellerneutrales, dem Industriestandard entsprechendes Anwendungsprotokoll für den Zugriff auf und die Verwaltung von verteilten Verzeichnisinformationsdiensten über ein Internet-Protokoll-Netzwerk.

Der nächste Dienst, „Directory Federation Services“, bietet Single Sign-On für die Benutzerauthentifizierung. Die Anwendungssicherheit wird durch ein auf Ansprüchen basierendes Autorisierungsmodell für die Zugriffskontrolle gewährleistet.

„Rights Management“ oder auch die Rechteverwaltung konzentriert sich natürlich auf den Schutz von urheberrechtlich geschützten Informationen durch Zugriffskontrollen.

Zukunftsfähiges Identity Management dank der Azure AD Cloud

Microsoft hat Azure AD im Jahr 2015 eingeführt, um IT-Infrastrukturen, Systeme, Anwendungen, Speicher und andere Ressourcen zunehmend in der Cloud zu hosten. Nach Angaben des Unternehmens ist Azure die nächste Generation von Identity und Access Management (IAM-Lösungen) für die Cloud.  Dieses Verzeichnis bietet Unternehmen eine Identity-as-a-Service (IDaaS)-Lösung für Anwendungen in der Cloud und on-Premise.

Auch wenn immer mehr Unternehmen auf Cloud-Dienste umsteigen, bleibt das Active Directory ein Tool, auf das sich Unternehmen bei vielen notwendigen Funktionen verlassen, insbesondere bei der Verwaltung von Einzelanmeldungen und lokalen Systemen, Anwendungen und Ressourcen.

Das Entfernen des AD hätte folgende Auswirkungen auf die IT-Infrastruktur:

• Gemeinsame Verwaltung von Druckern
•  Kontrolle von gemeinsam genutzten Daten und Backups
• Verwaltung von Windows-Updates
• Gruppenrichtlinien
• Problemlose Verteilung von Software

Active Directory ist nach wie vor ein zuverlässiges und relativ kostengünstiges Tool für die Benutzerverwaltung eines Computernetzwerks. Das bereits erwähnte LDAP ist ebenfalls weit verbreitet, was bedeutet, dass AD bei IT-Abteilungen eine beliebte Wahl ist. Auch wenn Azure eingeführt wurde, bleibt Active Directory der Standard in der Branche.

1. Techterms.com: Active Directory
2. ebd.
3. Active Directory Domain Services Overview
4. ebd.
5. Compare Active Directory to Azure Active Directory
6. The Future of Active Directory – TrueStack
7. ebd.