AD-Struktur und Komponenten
Active Directory ist nicht nur eine Datenbank, sondern ein komplexes System, das hierarchisch aufgebaut ist. Um es zu verstehen, betrachten wir die wichtigsten Bausteine:
1) Forest, Tree, Domäne
Ein Active Directory ist wie ein Wald („Forest“), in dem es Bäume („Trees“) gibt. Jeder Baum hat eine oder mehrere Domänen.
Active Directory (Forest)
│
├─ Tree: firma.local
│ ├─ Domäne: firma.local
│ └─ Domäne: berlin.firma.local
│
└─ Tree: partner.net
└─ Domäne: partner.net
Forest
Oberste Ebene des Active Directory.
Enthält alle Domänen, Trees und Objekte.
Gemeinsames Schema (definiert, welche Objekte existieren dürfen) und gemeinsame Konfigurationsdaten.
Tree
Sammlung von Domänen mit zusammenhängendem Namensraum.
Beispiel:
firma.localundberlin.firma.local.
Domäne
Zentrale Verwaltungseinheit mit Benutzern, Gruppen, Computern.
Eigene Sicherheitsgrenze (z. B. eigene Admins, eigene Richtlinien).
Beispiel:
firma.local.
Praxis:
Ein Konzern betreibt einen Forest. Jede Landesgesellschaft (Deutschland, Frankreich, Spanien) ist eine eigene Domäne.
2) Organizational Units (OUs)
OUs sind Container, die innerhalb einer Domäne erstellt werden.
Sie dienen zur Strukturierung und Verwaltung von Objekten.
Domäne: firma.local
│
├─ OU: Abteilungen
│ ├─ Vertrieb
│ └─ IT
│
└─ OU: Computer
├─ PCs
└─ Server
In OUs kann man Objekte ablegen (Benutzer, Computer).
Gruppenrichtlinien (GPOs) wirken auf OUs.
Verwaltung kann delegiert werden („Helpdesk darf nur die OU ‚Azubis‘ verwalten“).
3) Objekte
Alles im AD ist ein Objekt.
| Objekttyp | Bedeutung | Beispiel |
|---|---|---|
| Benutzer | Repräsentiert eine Person | Max.Mustermann |
| Gruppe | Bündelt Benutzerkonten | GG_Vertrieb |
| Computer | Repräsentiert einen PC oder Server | PC-01, SRV-DC01 |
| Drucker | Freigegebener Netzwerkdrucker | Drucker-01 |
| Kontakt | Externer Ansprechpartner (kein Login) | support@partner.net |
4) Domänencontroller (DC)
Ein Domänencontroller ist ein Server, auf dem Active Directory läuft.
Er hält eine Kopie der AD-Datenbank und übernimmt wichtige Aufgaben:
Authentifizierung (z. B. Anmeldung mit Benutzername/Passwort).
Autorisierung (z. B. darf Benutzer X auf Ordner Y zugreifen?).
Gruppenrichtlinien bereitstellen.
Replikation mit anderen DCs (jeder DC hat eine Kopie der AD-Datenbank).
Praxis:
Kleine Firma: 2 DCs (Haupt- und Backupserver).
Konzern: Dutzende DCs weltweit, die die Datenbank synchronisieren.
5) Sites
„Sites“ sind physische Standorte im AD, die für Netzwerktopologie und Replikation wichtig sind.
Forest: firma.local
│
├─ Site: Berlin
│ ├─ DC-Berlin01
│ └─ DC-Berlin02
│
└─ Site: München
└─ DC-Muc01
Sites werden über IP-Subnetze definiert.
Vorteil: Replikation läuft über schnelle, lokale Links innerhalb einer Site.
Über langsame WAN-Verbindungen wird die Replikation optimiert.
Praxis:
Berlin und München haben jeweils eigene DCs, die lokal schnell replizieren. Zwischen Berlin ↔ München läuft die Replikation nur stündlich.
6) FSMO-Rollen (Flexible Single Master Operations)
Obwohl AD „multimaster“ ist (jeder DC kann Änderungen annehmen), gibt es einige Aufgaben, die nur ein bestimmter DC ausführen darf. Diese nennt man FSMO-Rollen.
| Rolle | Aufgabe | Typisches Problem bei Ausfall |
|---|---|---|
| Schema Master | Änderungen am Schema (z. B. neue Objektklassen). | Keine Schemaänderungen möglich. |
| Domain Naming Master | Neue Domänen in Forest aufnehmen/löschen. | Keine neuen Domänen möglich. |
| RID Master | Vergibt RID-Pools für eindeutige SID-Erstellung. | Keine neuen Objekte anlegen nach Poolerschöpfung. |
| PDC Emulator | Zeitsynchronisation, Kennwortrücksetzung, „Master“ für Abwärtskompatibilität. | Probleme bei Logins, falsche Zeit. |
| Infrastructure Master | Übersetzt Objekt-IDs zwischen Domänen. | Veraltete Gruppenmitgliedschaften bei Multi-Domain-Umgebungen. |
Praxis:
In kleinen Umgebungen laufen alle FSMO-Rollen meist auf einem einzigen DC.
In großen Umgebungen verteilt man sie gezielt.
7) Replikation
Jeder DC speichert eine Kopie der AD-Datenbank.
Änderungen werden an andere DCs weitergegeben („Multimaster-Replikation“).
Innerhalb einer Site schnell und häufig, zwischen Sites zeitgesteuert.
Konflikte werden anhand von Timestamps und einer eindeutigen ID aufgelöst.
Praxis:
Benutzer ändert in München sein Passwort → wird an DC in München sofort gespeichert → innerhalb weniger Sekunden auch in Berlin verfügbar.
8) Zusammenspiel von AD-Komponenten – Beispiel
Ein neuer Mitarbeiter fängt in Berlin an:
Konto wird im AD (OU „Vertrieb“) erstellt.
Domänencontroller in Berlin repliziert die Änderung.
Mitarbeiter meldet sich am PC an → DC-Berlin01 prüft Passwort.
Mitarbeiter erhält Zugriff auf Netzlaufwerk, da seine Gruppe (
GG_Vertrieb) Mitglied in einer Domain-Local-Gruppe (DL_Vertrieb_RW) ist, die Rechte auf den Ordner hat.Die Änderung wird nachts auch an München repliziert, sodass der Mitarbeiter sich dort ebenfalls anmelden könnte.
Merksätze
Forest = gesamtes AD, Domäne = Sicherheitsgrenze, OU = Strukturierung.
Alles im AD ist ein Objekt.
Domänencontroller stellen Anmeldung, GPOs und Replikation bereit.
FSMO-Rollen sind Spezialaufgaben, die nur ein DC übernehmen darf.
Sites dienen zur Optimierung von Replikation und Anmeldung in verteilten Umgebungen.