Was ist Active Directory? Konzepte und Architektur

Stell dir ein mittelständisches Unternehmen mit 200 Mitarbeitern vor. Jeder Mitarbeiter hat einen Laptop, jeder braucht Zugriff auf Dateiserver, Drucker und Fachanwendungen – aber mit unterschiedlichen Berechtigungen je nach Abteilung. Ohne ein zentrales Verzeichnis müsste jeder Admin auf jedem System jedes Benutzerkonto manuell pflegen. Bei 200 Mitarbeitern bedeutet das tausende von Konten auf dutzenden Systemen. Active Directory (AD) ist Microsofts Antwort auf dieses Problem: ein zentrales Verzeichnis, das alle Objekte des Netzwerks speichert und verwaltet.

Active Directory ist seit Windows 2000 der Standard in Windows-Unternehmensumgebungen. Es basiert auf zwei offenen Standards: LDAP (Lightweight Directory Access Protocol) als Abfragesprache für das Verzeichnis und Kerberos als Authentifizierungsprotokoll. Das bedeutet: AD ist kein proprietäres Microsoft-Geheimnis, sondern baut auf etablierten Internet-Standards auf – weshalb auch Linux- und macOS-Systeme in eine AD-Domäne integriert werden können.

1) Die vier Hierarchieebenen im Active Directory

AD ist hierarchisch aufgebaut – wie eine verschachtelte Ordnerstruktur. Ganz außen ist der Forest, dann kommen Domains, darin OUs (Organizational Units) und darin die eigentlichen Objekte wie Benutzer, Computer und Gruppen. Jede Ebene hat ihre eigene Bedeutung. Klicke eine Ebene für Details:

AD-Architektur – Ebenen anklicken für Details

🌳 Forest (Gesamtstruktur)

Der äußerste Rahmen – enthält alle Domains des Unternehmens

Der Forest ist die äußerste Grenze im Active Directory. Alles innerhalb desselben Forests teilt ein gemeinsames Schema (die Definition aller Objekttypen und Attribute) und eine gemeinsame Konfigurationspartition. Zwischen Forest-Mitgliedern gilt automatisch Vertrauen. Verschiedene Unternehmen haben verschiedene Forests. Ein Unternehmen hat in der Regel genau einen Forest. Der erste Domänencontroller, den du installierst, erstellt den Forest.

🌐 Domain (Domäne)

Verwaltungseinheit mit eigenem DNS-Namen – z.B. ad.firma.de

Eine Domain ist eine Verwaltungseinheit im Forest mit eigenem DNS-Namen. Sie hat eigene Domänencontroller, eigene Sicherheitsrichtlinien und eine eigene Datenbank (NTDS.dit). Benutzer melden sich immer an einer Domain an. Mehrere Domains im selben Forest (z.B. ad.firma.de und ad.tochter.de) teilen das Schema, haben aber eigene Administratoren und Policies.

📁 OU (Organizational Unit)

Container innerhalb einer Domain – für GPOs und Delegation

OUs sind Container innerhalb einer Domain – sie strukturieren Benutzer, Computer und Gruppen. Zwei Hauptfunktionen: (1) Gruppenrichtlinien auf eine OU anwenden, damit alle Objekte darin dieselben Einstellungen bekommen. (2) Administrative Delegation: einem OU-verantwortlichen nur Verwaltungsrechte für seine OU geben, nicht für die gesamte Domain.

🔷 Objekte (User, Computer, Gruppen, GPOs…)

Die eigentlichen Einträge im Verzeichnis

Jedes Objekt im AD hat einen eindeutigen Distinguished Name (DN), z.B. CN=Hans Mueller,OU=Verwaltung,DC=ad,DC=firma,DC=de. Objekte haben Attribute (Name, E-Mail, Passwort-Hash, Gruppenmitgliedschaft…). Das Schema definiert welche Attribute ein Objekttyp haben darf. Das Schema kann erweitert werden – z.B. installiert Exchange eigene AD-Schema-Erweiterungen für Mailbox-Attribute.

LDAP-Pfade lesen: CN=Hans Mueller,OU=Verwaltung,DC=ad,DC=firma,DC=de – von rechts nach links lesen: Domäne ad.firma.de, darin OU Verwaltung, darin Objekt Hans Mueller. CN = Common Name, OU = Organizational Unit, DC = Domain Component.

2) Die wichtigsten AD-Protokolle

Active Directory ist kein einzelnes Protokoll, sondern ein Dienst der auf mehreren Netzwerkprotokollen aufbaut. Für den Alltag als Systemadministrator und für die IHK-Prüfung musst du wissen welche Protokolle für welche Funktion zuständig sind und welche Ports sie nutzen. Ohne diese Ports in der Firewall funktioniert AD nicht:

AD-Protokolle – Überblick

LDAP

Port 389 (LDAP) / 636 (LDAPS) / 3268 (Global Catalog)

Lightweight Directory Access Protocol – die Abfragesprache für das AD-Verzeichnis. Clients nutzen LDAP um Benutzer, Gruppen und Computer zu suchen. Auch Software wie Exchange oder Confluence spricht LDAP gegen das AD. LDAPS = LDAP über TLS (verschlüsselt).

Kerberos

Port 88 (TCP/UDP)

Das primäre Authentifizierungsprotokoll in AD-Domänen. Ticket-basiert: Der DC stellt Tickets aus, der Client präsentiert das Ticket beim Dienst – kein Passwort wird über das Netzwerk gesendet. Sicherer als NTLM. Details in Lektion 8.

DNS

Port 53 (TCP/UDP)

Active Directory ist vollständig von DNS abhängig. DCs registrieren sich über SRV-Records im DNS, damit Clients sie finden können. Ohne funktionierendes DNS kein AD. AD-integrierte DNS-Zonen replizieren automatisch zwischen DCs.

SMB / SYSVOL

Port 445 (TCP)

Server Message Block – Dateiprotokoll für Windows-Freigaben. SYSVOL (Gruppenrichtlinien-Dateien) wird per SMB zwischen DCs repliziert und von Clients abgerufen. Ohne SMB keine Gruppenrichtlinien.

RPC / Replikation

Port 135 + dynamische Ports

Remote Procedure Call – wird für die AD-Replikation zwischen DCs und für viele AD-Verwaltungstools benötigt. In Firewalls zwischen Sites müssen diese Ports freigegeben sein.

NTP

Port 123 (UDP)

Network Time Protocol – Kerberos toleriert maximal 5 Minuten Zeitdifferenz zwischen DC und Client. Wenn die Uhren auseinanderdriften, schlagen alle Kerberos-Authentifizierungen fehl. Der PDC-Emulator ist die Zeitquelle der Domäne.

Für die IHK-Prüfung merken: AD braucht DNS zwingend (SRV-Records), Kerberos für Authentifizierung (Port 88), LDAP für Verzeichnisabfragen (Port 389/636), und NTP-Synchronisation (max. 5 Minuten Abweichung). Diese vier sind die häufigsten Prüfungsthemen.

3) Was speichert das Active Directory?

Das AD ist eine Datenbank – die NTDS.dit (NT Directory Services Database). Sie liegt auf jedem Domänencontroller unter C:\Windows\NTDS\ntds.dit. Sie enthält alle Objekte: Benutzer mit Passwort-Hashes, Computer-Konten, Gruppen, GPO-Verknüpfungen, Schema-Definitionen und vieles mehr. Die NTDS.dit wird automatisch zwischen allen DCs der Domäne repliziert – Änderungen auf einem DC erscheinen nach kurzer Zeit auf allen anderen.

Partition	Inhalt	Replikationsbereich
Domain Partition	Benutzer, Computer, Gruppen, OUs, GPOs der Domain	Nur innerhalb der Domain
Configuration Partition	Sites, Replikationstopologie, Dienste	Gesamter Forest
Schema Partition	Objektklassen und Attributdefinitionen	Gesamter Forest
Global Catalog	Teilkopie aller Domain-Partitionen des Forests	Forest – lesend auf Port 3268

Zusammenfassung

Active Directory = zentrales Verzeichnis für Benutzer, Computer, Gruppen und Richtlinien. Hierarchie: Forest → Domain → OU → Objekte. Basiert auf LDAP (Abfragen), Kerberos (Authentifizierung) und DNS (Pflichtabhängigkeit). Datenbank NTDS.dit wird zwischen allen DCs repliziert. NTP-Synchronisation ist Pflicht für Kerberos (max. 5 Min. Abweichung).

Was ist Active Directory? Konzepte und Architektur

1) Die vier Hierarchieebenen im Active Directory

2) Die wichtigsten AD-Protokolle

3) Was speichert das Active Directory?

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title