AD-Struktur und Komponenten
1. Die logische Struktur
Active Directory ist hierarchisch organisiert.
Die oberste Ebene nennt sich Gesamtstruktur (Forest).
Darunter befinden sich Domänen, die wiederum in Organisationseinheiten (OUs) unterteilt werden.
Innerhalb der OUs liegen schließlich die Objekte – also Benutzer, Gruppen, Computer oder Drucker.
| Ebene | Beschreibung | Beispiel |
|---|---|---|
| Gesamtstruktur (Forest) | Oberste Ebene; fasst mehrere Domänen zusammen, die gemeinsame Sicherheits- und Schemaeinstellungen teilen. | firma.local und tochter.local |
| Domäne (Domain) | Verwaltungseinheit mit eigener Datenbank und eigenen Sicherheitsrichtlinien. | firma.local |
| Domänenbaum (Tree) | Gruppe von Domänen, die denselben Namensraum teilen. | firma.local, stuttgart.firma.local |
| Organisationseinheit (OU) | Logischer Container zur Gliederung innerhalb einer Domäne. | OU=IT, OU=Vertrieb |
| Objekt | Einzelner Eintrag im Verzeichnis, z. B. Benutzer, Gruppe, Computer. | Benutzer: max.mustermann |
Beispielhafte Baumstruktur
Gesamtstruktur: firma.local
│
├── Domäne: firma.local
│ ├── OU: IT
│ │ ├── Benutzer: max.mustermann
│ │ └── Computer: CLIENT-01
│ ├── OU: Vertrieb
│ │ └── Benutzer: lea.lernende
│ └── OU: Azubis
│ └── Benutzer: tom.azubi
│
└── Domäne: tochter.firma.local
└── OU: Buchhaltung
└── Benutzer: sabine.rechnung
Diese Darstellung zeigt die logische Organisation.
Sie sagt nichts darüber aus, wo die Server stehen oder wie sie miteinander verbunden sind –
das folgt im Abschnitt über die physische Struktur.
2. Der Domänenbaum (Tree)
Ein Forest kann mehrere Domänenbäume enthalten.
Ein Tree ist eine Gruppe von Domänen, die denselben zusammenhängenden Namensraum besitzen.
Beispiel:
Die Hauptdomäne heißt firma.local.
Erstellt man darunter stuttgart.firma.local oder konstanz.firma.local,
dann sind diese Domänen Teil desselben Domänenbaums.
| Begriff | Erklärung | Beispiel |
|---|---|---|
| Domänenbaum (Tree) | Eine oder mehrere Domänen mit gemeinsamem Namensraum. | firma.local → stuttgart.firma.local |
| Unterdomäne (Child Domain) | Domäne, die einer anderen Domäne untergeordnet ist. | stuttgart.firma.local |
| Übergeordnete Domäne (Parent Domain) | Domäne, von der eine Unterdomäne abstammt. | firma.local |
Darstellung eines Forests mit zwei Trees
Gesamtstruktur (Forest): firma.local
│
├── Tree 1: firma.local
│ ├── Domäne: firma.local
│ ├── Unterdomäne: stuttgart.firma.local
│ └── Unterdomäne: konstanz.firma.local
│
└── Tree 2: partnerfirma.local
├── Domäne: partnerfirma.local
└── Unterdomäne: it.partnerfirma.local
Jeder Tree hat seinen eigenen Namensraum,
aber alle Trees innerhalb einer Gesamtstruktur teilen sich dasselbe Schema
und können – innerhalb des Forests – miteinander zusammenarbeiten.
Wie genau diese Zusammenarbeit funktioniert, behandeln wir in einer späteren Lektion.
3. Objekte und das Schema
Alles im Active Directory ist ein Objekt.
Jedes Objekt besitzt eine Reihe von Attributen, die im Schema festgelegt sind.
Das Schema definiert also, welche Objekttypen existieren und welche Eigenschaften sie haben dürfen.
| Objekttyp | Wichtige Attribute | Beispiel |
|---|---|---|
| Benutzer | sAMAccountName, displayName, memberOf, mail | max.mustermann |
| Computer | name, operatingSystem, lastLogonTimestamp | CLIENT-01 |
| Gruppe | groupType, member | „Vertrieb“ |
| OU | ou, gPLink (verknüpfte Gruppenrichtlinien) | OU=IT |
Beispielabfrage in PowerShell
Get-ADUser max.mustermann -Properties *
Dieser Befehl zeigt alle Attribute, die das Schema für das Objekt user zulässt.
4. Die physische Struktur
Die physische Struktur beschreibt, wo sich die Server befinden
und wie sie miteinander Daten austauschen.
Dazu gehören Domain Controller, Standorte und die Replikation.
| Komponente | Funktion | Beispiel |
|---|---|---|
| Domain Controller (DC) | Speichert die AD-Datenbank und prüft Benutzeranmeldungen. | DC01.stuttgart.firma.local |
| Global Catalog (GC) | Enthält Teilinformationen aller Objekte, um Anmeldungen zu beschleunigen. | DC01 in Stuttgart |
| Standort (Site) | Physische oder logische Netzwerkregion, z. B. nach IP-Subnetzen gruppiert. | Standort „Stuttgart“ und „Konstanz“ |
| Replikation | Synchronisiert Änderungen zwischen Domain Controllern. | Neuer Benutzer auf DC01 erscheint auch auf DC02 |
| DNS | Ermöglicht Namensauflösung und Auffindbarkeit der Domain Controller. | _ldap._tcp.dc._msdcs.firma.local → DC01 |
Beispiel: Zwei Standorte mit Replikation
[Standort: Stuttgart] [Standort: Konstanz]
DC01 (Global Catalog) <────── Replikation ──────> DC02
│ │
Benutzer, Gruppen, OUs Benutzer, Gruppen, OUs
werden synchron gehalten werden synchron gehalten
Innerhalb eines Standorts replizieren Domain Controller häufig;
zwischen Standorten erfolgt die Replikation seltener, um Bandbreite zu sparen.
Wie dieser Mechanismus im Detail funktioniert, wird in einer späteren Lektion behandelt.
5. Zusammenspiel der Komponenten
Wenn sich ein Benutzer an einem Computer anmeldet, laufen mehrere Schritte ab:
Der Client fragt über DNS den nächstgelegenen Domain Controller ab.
Der Domain Controller prüft Benutzername und Kennwort.
Wenn das Konto in einer anderen Domäne liegt, hilft der Global Catalog, das Objekt zu finden.
Nach erfolgreicher Anmeldung wendet der DC Gruppenrichtlinien an und übergibt Anmeldeinformationen.
Änderungen (z. B. neue Gruppenmitgliedschaften) werden über Replikation verteilt.
Diese Vorgänge bilden das Grundprinzip des Active Directory-Betriebs und werden in den kommenden Lektionen detaillierter erklärt.
6. Zusammenfassung
| Bereich | Kernaussage |
|---|---|
| Logische Struktur | Forest → Tree → Domain → OU → Objekte |
| Physische Struktur | Domain Controller, Standorte und Replikation sichern Verfügbarkeit. |
| Schema | Legt fest, welche Objekttypen und Attribute existieren. |
| DNS | Grundlage für die Kommunikation zwischen Clients und DCs. |
| Global Catalog | Beschleunigt domänenübergreifende Abfragen und Anmeldungen. |