Einführung in Active Directory
1. Was ist Active Directory?
Active Directory (AD) ist ein Verzeichnisdienst, den Microsoft mit Windows Server eingeführt hat.
Ein Verzeichnisdienst ist eine Art zentrale Datenbank, die Informationen über Benutzer, Computer und Ressourcen in einem Netzwerk speichert.
Statt dass jeder Computer selbst weiß, welche Benutzer sich anmelden dürfen,
gibt es eine zentrale Stelle, die das verwaltet: das Active Directory.
| Vergleich | Ohne Active Directory | Mit Active Directory |
|---|---|---|
| Benutzerverwaltung | Jeder Rechner hat eigene Benutzerkonten | Zentrale Benutzerkonten im AD |
| Rechte & Gruppen | Auf jedem PC separat eingestellt | Einmal definiert, überall gültig |
| Anmeldung | Lokal am Gerät | Domänenanmeldung über Netzwerk |
| Verwaltung | Manuell, pro Rechner | Zentral über Server und Gruppenrichtlinien |
Active Directory ist also das zentrale Gehirn eines Windows-Netzwerks.
Es entscheidet, wer sich anmelden darf, welche Ressourcen jemand sehen darf
und welche Regeln auf Computer und Benutzer angewendet werden.
2. Warum Active Directory?
In kleinen Netzwerken mit wenigen Rechnern kann man Benutzer lokal anlegen.
In größeren Umgebungen (z. B. Schulen, Firmen, Verwaltungen) wird das schnell unübersichtlich.
Beispiel:
Ein Azubi arbeitet an zehn verschiedenen PCs.
Ohne AD bräuchte er zehn Konten – eines pro Gerät.
Mit AD hat er ein einziges Konto, das überall gilt.
Vorteile:
zentrale Benutzer- und Rechteverwaltung,
einheitliche Passwortrichtlinien,
automatische Netzlaufwerke und Drucker,
Gruppenrichtlinien (z. B. Sicherheitseinstellungen, Softwareverteilung),
und geringerer Administrationsaufwand.
3. Grundprinzip der Domäne
Das Herzstück des AD ist die Domäne.
Eine Domäne ist ein logischer Zusammenschluss von Computern, Benutzern und Gruppen, die gemeinsam verwaltet werden.
Wenn ein Computer einer Domäne beitritt, vertraut er dem Domain Controller (DC).
Der DC überprüft alle Anmeldungen und gibt Richtlinien an die Mitglieder weiter.
Beispiel
Domäne: firma.local
Benutzer:
max.mustermannComputer:
CLIENT-01Gruppen:
IT,Vertrieb,Azubis
Der Benutzer kann sich nun an jedem Computer der Domäne anmelden –
solange der DC erreichbar ist und die Anmeldung bestätigt.
4. Ablauf einer Domänenanmeldung
Wenn sich ein Benutzer anmeldet, laufen im Hintergrund mehrere Schritte ab.
| Schritt | Vorgang | Beschreibung |
|---|---|---|
| 1 | Benutzer gibt Anmeldedaten ein | z. B. DOMÄNE\benutzer oder benutzer@firma.local |
| 2 | Client sucht Domain Controller | über DNS (Service-Records wie _ldap._tcp.dc._msdcs.firma.local) |
| 3 | Authentifizierung | DC prüft Benutzername und Kennwort |
| 4 | Antwort | DC erlaubt oder verweigert den Zugriff |
| 5 | Anmeldung abgeschlossen | GPOs und Anmeldeskripte werden ausgeführt |
Domänenanmeldung – klarer 4-Schritte-Flow
Client → Anfrage → Domain Controller → Antwort & Richtlinien
Der Benutzer merkt davon kaum etwas – in wenigen Sekunden ist die Anmeldung abgeschlossen.
Damit das funktioniert, müssen Netzwerk, DNS und Domain Controller korrekt konfiguriert sein.
5. Authentifizierungsmethoden
Active Directory verwendet hauptsächlich zwei Protokolle für Authentifizierung:
| Protokoll | Funktionsweise | Bemerkung |
|---|---|---|
| Kerberos | Der Client erhält vom DC ein Ticket, das später zur Anmeldung an Ressourcen (z. B. Datei-Server) verwendet wird. Das Passwort selbst wird nicht ständig übertragen. | Standard in modernen Windows-Netzwerken |
| NTLM (NT LAN Manager) | Älteres Verfahren, bei dem Passwort-Hashes über das Netzwerk gehen. | Wird nur noch genutzt, wenn Kerberos nicht möglich ist |
Beide Methoden dienen dem gleichen Ziel:
sichere Anmeldung ohne Klartext-Passwörter im Netzwerk.
Details zu den Protokollen werden in einer späteren Lektion behandelt.
6. Wichtige Komponenten
| Komponente | Aufgabe | Beispiel |
|---|---|---|
| Domain Controller (DC) | Server, der Benutzer und Computer authentifiziert und das Verzeichnis verwaltet. | DC01.firma.local |
| Active Directory-Datenbank (NTDS.dit) | Enthält alle Objekte und Attribute. | liegt auf jedem DC |
| DNS | Sorgt dafür, dass Clients den richtigen DC finden. | _ldap._tcp.dc._msdcs.firma.local |
| Client | Computer, der Mitglied der Domäne ist und AD-Dienste nutzt. | CLIENT-01 |
7. Praktisches Beispiel
Ein Unternehmen hat folgende Umgebung:
| Element | Wert |
|---|---|
| Domäne | firma.local |
| Domain Controller | DC01 |
| Benutzer | anna.schmidt, tom.azubi |
| Gruppen | Vertrieb, IT, Azubis |
| Computer | CLIENT-01, CLIENT-02 |
Anmeldevorgang für anna.schmidt:
Sie startet ihren PC
CLIENT-01.Windows fragt nach Benutzername und Passwort.
Der PC sucht über DNS den DC
DC01.Der DC überprüft das Konto in der AD-Datenbank.
Nach erfolgreicher Anmeldung werden die Laufwerke, Drucker und Richtlinien geladen.
8. Bedeutung für Administratoren
Mit AD lassen sich:
Benutzer zentral anlegen oder sperren,
Passwortrichtlinien durchsetzen,
Software und Updates über Gruppenrichtlinien verteilen,
Berechtigungen domänenweit steuern,
und die gesamte Umgebung konsistent verwalten.
Beispiel:
Ein Administrator kann per Gruppenrichtlinie festlegen,
dass alle Azubis das gleiche Netzlaufwerk „H:\Azubis“ automatisch verbinden.
Diese Regel gilt, egal an welchem PC sie sich anmelden.
9. Wichtige Begriffe dieser Lektion
| Begriff | Bedeutung | Beispiel |
|---|---|---|
| Active Directory (AD) | Zentrale Datenbank für Benutzer, Gruppen, Computer und Richtlinien. | Verwaltung über „Active Directory-Benutzer und -Computer“ |
| Domäne | Logischer Verbund von Rechnern mit gemeinsamer Verwaltung. | firma.local |
| Domain Controller (DC) | Server, der Anmeldungen prüft und das AD bereitstellt. | DC01 |
| Kerberos | Ticketbasiertes Authentifizierungsprotokoll. | Standard bei Windows-Anmeldung |
| NTLM | Älteres Authentifizierungsprotokoll. | Fallback, wenn Kerberos nicht funktioniert |
| DNS | Namensauflösungsdienst, unverzichtbar für AD-Kommunikation. | _ldap._tcp.dc._msdcs.firma.local |
| Benutzerkonto | Digitale Identität eines Nutzers im AD. | tom.azubi |
| OU (Organisationseinheit) | Container zur Strukturierung von Objekten. | OU=Azubis |
| Gruppenrichtlinie (GPO) | Sammlung zentraler Einstellungen, die automatisch angewendet werden. | Passwortlänge, Netzlaufwerke, Sperrzeiten |