Einführung in Active Directory
Active Directory (AD) ist ein Verzeichnisdienst von Microsoft.
Es handelt sich um eine zentrale Datenbank, die Informationen über Benutzer, Computer, Gruppen, Drucker und viele andere Objekte im Netzwerk speichert und verwaltet.
AD ist das „Herzstück“ eines Windows-basierten Firmennetzwerks.
Es sorgt dafür, dass Benutzer sich einheitlich anmelden können und nur die Ressourcen sehen, für die sie berechtigt sind.
Kurz gesagt:
AD ist die Schaltzentrale für Identitäten, Rechte und Regeln in einem Unternehmen.
2) Warum AD? – Ein Beispiel
Firma „Beispiel GmbH“ mit 120 Mitarbeitenden und 80 PCs:
Ohne AD
Benutzerkonten müssten auf jedem PC einzeln angelegt werden.
Passwortrichtlinien und Zugriffsrechte wären überall unterschiedlich.
Ein Abteilungswechsel würde stundenlange manuelle Änderungen erfordern.
Mit AD
Benutzerkonto wird einmal zentral im AD angelegt.
Mitarbeitende können sich an jedem PC der Domäne anmelden.
Gruppenrichtlinien (GPOs) verbinden automatisch Netzlaufwerke, setzen Sicherheitseinstellungen oder installieren Software.
Ein Rollenwechsel (z. B. vom Azubi in den Vertrieb) wird durch Verschieben in eine andere Gruppe erledigt.
3) Die Hierarchie – so ist AD aufgebaut
Active Directory ist hierarchisch organisiert (Baumstruktur).
Active Directory (Forest)
│
├─ Domäne: firma.local
│ ├─ OU: Benutzer
│ │ ├─ Max.Mustermann (User)
│ │ └─ Erika.Musterfrau (User)
│ ├─ OU: Computer
│ │ ├─ PC-01
│ │ └─ PC-02
│ └─ OU: Abteilungen
│ ├─ Vertrieb
│ │ ├─ Gruppe: GG_Vertrieb
│ │ └─ User: vertrieb1
│ └─ IT
│ ├─ Gruppe: GG_IT_Admins
│ └─ Server: SRV-DC01 (Domänencontroller)
│
└─ Domäne: partner.local
└─ OU: Externe
└─ User: extern1
Forest: Gesamtes AD-Gebilde (kann mehrere Domänen enthalten).
Domäne: Logische Verwaltungseinheit mit eigener Sicherheitsgrenze.
OU (Organizational Unit): Container, um Benutzer, Computer und Gruppen sinnvoll zu strukturieren.
Objekte: Benutzer, Computer, Drucker oder Gruppen, die im AD gespeichert sind.
4) Zentrale Begriffe und Konzepte
| Begriff | Erklärung | Beispiel |
|---|---|---|
| Domänencontroller (DC) | Server, der AD bereitstellt; enthält die Datenbank ntds.dit. | SRV-DC01 |
| Benutzerkonto | Repräsentiert eine Person im Netzwerk. | Max.Mustermann |
| Computerobjekt | Repräsentiert einen PC oder Server in der Domäne. | PC-01 |
| Gruppe | Bündelt Konten zur Rechtevergabe. | GG_Vertrieb |
| OU (Organizational Unit) | Strukturierungseinheit im AD; erleichtert Delegation und Richtlinien. | OU=Vertrieb |
| GPO (Gruppenrichtlinie) | Regeln und Konfigurationen, die automatisch angewendet werden. | Passwortregeln, Netzlaufwerke, Sperrbildschirm |
| Kerberos | Standard-Authentifizierungsprotokoll in AD. | Ticketbasierte Anmeldung |
| DNS | Namensauflösung; Clients finden den DC über DNS-SRV-Records. | _ldap._tcp.dc._msdcs.firma.local |
5) Wie läuft eine Anmeldung ab?
Benutzer gibt Benutzername/Passwort am PC ein.
Der PC fragt per DNS einen Domänencontroller.
Der DC prüft die Daten und erstellt ein Kerberos-Ticket.
Mit diesem Ticket kann der Benutzer Ressourcen nutzen (Dateiserver, Drucker, Anwendungen).
Gruppenrichtlinien werden vom DC geladen und angewendet.
6) Rechtevergabe mit AGDLP
Ein gängiges Muster für Rechtevergabe ist AGDLP:
A = Accounts (Benutzerkonten)
G = Global Groups (Abteilungs-/Rollengruppen)
DL = Domain Local Groups (Ressourcengruppen)
P = Permissions (Rechte auf Ordner, Drucker etc.)
So funktioniert es:
Benutzer → Mitglied in einer globalen Gruppe (z. B.
GG_Vertrieb).Globale Gruppe → Mitglied in einer Domain Local Group (
DL_Projekte_RW).Domain Local Group → bekommt Rechte (z. B. Lesen/Schreiben) auf den Ordner.
Vorteil:
Benutzerwechsel = Gruppenmitgliedschaft ändern. Keine Rechte neu setzen.
7) Vorteile von Active Directory
| Vorteil | Auswirkung in der Praxis |
|---|---|
| Zentrale Verwaltung | Benutzer, Computer und Gruppen an einer Stelle pflegen. |
| Einheitliche Anmeldung | Single Sign-On für PCs, Drucker, Server und Anwendungen. |
| Sicherheit | Passwort- und Zugriffskontrolle zentral durchgesetzt. |
| Effizienz | Änderungen wirken sofort für alle Objekte in der Domäne. |
| Skalierbarkeit | Funktioniert in kleinen Netzwerken ebenso wie in Konzernen mit 100.000+ Benutzern. |
| Redundanz | Mehrere DCs sorgen für Ausfallsicherheit. |
8) Typische Stolperfallen
DNS falsch konfiguriert → Anmeldung an Domäne schlägt fehl.
Rechte direkt auf Benutzer gesetzt → unübersichtlich, schwer wartbar.
OU-Struktur nicht geplant → GPOs können nicht gezielt angewendet werden.
Alles mit Domänen-Admin lösen → Sicherheitsrisiko. Besser: Delegation über OUs.
9) Exkurs: Azure Active Directory (Azure AD / Entra ID)
Neben dem klassischen Active Directory gibt es die Cloud-Variante: Azure Active Directory (heute: Entra ID).
Azure ist die Cloud-Plattform von Microsoft (vergleichbar mit AWS oder Google Cloud).
Azure AD ist der cloudbasierte Identitäts- und Zugriffsservice.
Er speichert Benutzerkonten für Dienste wie Microsoft 365, Teams, Exchange Online.
Unterstützt moderne Anmeldeverfahren wie OAuth2, OpenID Connect, MFA.
Hat keine klassischen OUs oder GPOs – Verwaltung läuft über Cloud-Policies.
Abgrenzung:
Active Directory (AD DS, on-premises):
Für PCs, Server und interne Unternehmensnetzwerke.
Authentifizierung über Kerberos/NTLM.
Mit OUs, Gruppenrichtlinien, Domänen.
Azure AD (Entra ID, Cloud):
Für Cloud-Dienste, Apps und mobile Zugriffe.
Authentifizierung über moderne Webprotokolle.
Kein klassisches AD, sondern Identitätsmanagement aus der Cloud.
Praxis heute:
Viele Unternehmen nutzen eine Hybrid-Lösung:
Benutzer werden im lokalen AD angelegt.
Konten werden mit Azure AD synchronisiert.
Ergebnis: Gleiche Identität für lokales Netzwerk und Cloud-Apps (z. B. Teams, SharePoint, OneDrive).
10) Merksätze
Ohne DNS funktioniert kein AD.
Rechte werden an Gruppen, nicht an Benutzer vergeben.
OU-Struktur planen, bevor man Objekte anlegt.
On-Premises AD = Kerberos & GPOs; Azure AD = Cloud-Identitäten & moderne Authentifizierung.