Active Directory bietet eine Reihe von Diensten, mit denen Administratoren ihre IT-Netzwerke verwalten können. Diese Dienste werden auf einem Windows-Server bereitgestellt, der als Domänencontroller bezeichnet wird. Active Directory Domain Services (AD DS) ist der am häufigsten verwendete Active Directory-Dienst. Er authentifiziert Active Directory-Objekte und autorisiert den Zugriff auf Netzwerkressourcen. AD DS speichert und organisiert Daten außerdem in einer logischen, hierarchischen Struktur und kann von überall im Netzwerk verwaltet werden. Zu den weiteren wichtigen AD-Diensten gehören Active Directory Federation Services (AD FS), Active Directory Certification Services (AD CS), Active Directory Lightweight Directory Services (AD LDS) und Active Directory Rights Management Services (AD RMS).
Lesen Sie weiter, um mehr über Active Directory und seine Dienste zu erfahren.
Active Directory bietet die folgenden Dienste zur
Sicherung und Wartung des Netzwerks Ihrer
Organisation.
Active Directory-Domänendienste (AD DS) sind einer der vielen Dienste, die von Active Directory angeboten werden. AD DS bietet die Flexibilität, Ihre Netzwerkressourcen von einer einzigen Konsole aus zu organisieren und zu verwalten.
Domänencontroller (DC) sind Active Directory-Server, die AD DS hosten. DCs sind für die Authentifizierung und Sicherheit von Active Directory-Objekten verantwortlich. DC sind die Schlüsselkomponenten in einer Active Directory-Umgebung und müssen daher jederzeit betriebsbereit sein. DC sind auf Ausfallsicherheit und Fehlertoleranz ausgelegt. Anwendungen und Clients verwenden das Lightweight Directory Access Protocol (LDAP), um mit DC zu interagieren. Eine LDAP-Abfrage wird verwendet, um Informationen aus Active Directory-Datenbanken abzurufen. Active Directory-Objekte werden in DC gespeichert. In einer Organisation mit mehreren DC werden Daten und daran vorgenommene Änderungen systematisch repliziert.
Der globale Katalog (Global Catalog; GC) ist ein Datenspeicherkatalog, der einem Buchindex entspricht. Der GC-Server ist ein DC, der die Suche nach und das Auffinden von Active Directory-Objekten aus jeder Domäne in einer Gesamtstruktur erleichtert. Der GC-Server enthält eine Kopie aller Objekte in seiner Domäne und eine Teilkopie von Objekten aus anderen Domänen in der Gesamtstruktur. Dies wird vom AD DS-Replikationssystem verwaltet.
Die gesamte Active Directory-Datenbank wird in der Datei ntds.dit gespeichert, und die darin enthaltenen Informationen werden in Verzeichnispartitionen (Namenskontexte) unterteilt. Die in einer Partition gespeicherten Daten hängen vom Partitionstyp ab, und jede Partition verfügt über einen unabhängigen Replikationsbereich.
Standardmäßig gibt es in Active Directory drei Partitionen:
Mit AD DS können Sie bei Bedarf auch Anwendungsverzeichnispartitionen konfigurieren.
Auf den Domänencontrollern sind außerdem verschiedene Rollen installiert, um sicherzustellen, dass die Replikation auf allen Domänencontrollern konsistent ist. Es gibt fünf Flexible Single Master Operation (FSMO)-Rollen, die auf verschiedenen Domänencontrollern installiert sind, um Situationen zu vermeiden, in denen der letzte Schreibvorgang gewinnt oder die Replikation nur von einem Master durchgeführt wird. Diese sind:
Der Domänencontroller mit der Schemamaster-Rolle verarbeitet Aktualisierungen des Active Directory-Schemas. Diese Rolle ist in einer Gesamtstruktur eindeutig.
Der DC mit dieser Rolle kann Domänen zu Ihrem Active Directory hinzufügen oder daraus entfernen. Wie bei der Schemamaster-Rolle gibt es nur eine pro Gesamtstruktur.
In einer Domäne gibt es nur einen Domänencontroller mit der PDC-Emulatorrolle (PDC = Primary Domain Controller). Dieser DC verarbeitet Kennwortänderungsanfragen, Zeitsynchronisierungen und fehlerhafte Kennwortversuche.
Diese Rolle ist für eine Domäne eindeutig, und der DC mit dieser Rolle weist anderen DCs in der Domäne Kennungen (eine Domänensicherheits-ID (SID) und eine eindeutige relative ID (RID)) zu.
Der DC mit dieser Rolle kümmert sich um domänenübergreifende Aktualisierungen und Verweise. Die Infrastrukturmaster-Rolle sollte sich auf einem DC befinden, der kein GC-Server ist.
DCs reagieren auf Authentifizierungsanfragen und autorisieren den Zugriff auf Ressourcen basierend auf den festgelegten Berechtigungen. AD DS protokolliert alle diese Anfragen, ihren Status, die Benutzeraktivität und die an Active Directory-Objekten vorgenommenen Änderungen.
Active Directory speichert Informationen in einem logischen, hierarchischen Framework, um die Active Directory-Verwaltung zu optimieren. Ein Objekt ist die grundlegende Entität in einem Active Directory, während ein Forest die höchste Entität darstellt.
Mit einem Schema in Active Directory können Sie festlegen, welche Objekte in Ihrem Active Directory gespeichert werden können. Jedes Objekt verfügt über eine Reihe von Attributen, die auf seinem Klassenschema basieren. Das Schema ist erweiterbar und kann je nach den Anforderungen einer Organisation strukturiert werden. Änderungen am Schema sind jedoch irreversibel, daher sollte es nur aktualisiert oder geändert werden, wenn dies unbedingt erforderlich ist.
Active Directory speichert Netzwerkressourcen und zugehörige Informationen als Objekte. Benutzerkonten, Computerkonten, Kontakte, Gruppen, Organisationseinheiten und freigegebene Ordner sind die verschiedenen Objekte, die in Active Directory zu finden sind.
Objekte, die authentifiziert werden können – Benutzerkonten, Computerkonten und Gruppen – werden als Sicherheitsprinzipale bezeichnet, andere Objekte wie Drucker als Ressourcen. Attribute wie sAMAccountName oder userPrincipalName sind für ein Objekt eindeutig und können nicht dupliziert werden. Active Directory-Objekte in einer Domäne haben einen eindeutigen globalen Bezeichner und eine SID, die sich relativ zu den Domänen ändert. SIDs werden von dem DC bereitgestellt, der mit der RID-Master-FSMO-Rolle ausgestattet ist.
Objekte können je nach administrativen Anforderungen in Organisationseinheiten (OUs) oder Gruppen gruppiert werden. OUs in Active Directory sind Containerobjekte und können Objekte wie Benutzerkonten, Computer oder andere OUs in der Domäne enthalten, die als verschachtelte OUs bezeichnet werden. Durch die Konfiguration von OUs können Sie die Struktur einer Organisation abbilden, Gruppenrichtlinien anwenden und Verwaltungsrechte delegieren.
Objekte können je nach administrativen Anforderungen in Organisationseinheiten (OUs) oder Gruppen gruppiert werden. OUs in Active Directory sind Containerobjekte und können Objekte wie Benutzerkonten, Computer oder andere OUs in der Domäne enthalten, die als verschachtelte OUs bezeichnet werden. Durch die Konfiguration von OUs können Sie die Struktur einer Organisation abbilden, Gruppenrichtlinien anwenden und Verwaltungsrechte delegieren.
Mit Active Directory-Gruppen können Sie die Sicherheitsprinzipale in Ihrem Active Directory organisieren, um die Verwaltung zu vereinfachen. In Active Directory gibt es zwei verschiedene Gruppen: Sicherheits- und Verteilergruppen.
Sicherheitsgruppen werden verwendet, um Berechtigungen und Benutzerrechte zuzuweisen. Sie sind auch E-Mail-aktiviert, sodass sie zum gleichzeitigen Senden von Nachrichten an alle ihre Mitglieder verwendet werden können. Jede Sicherheitsgruppe hat einen Gruppenbereich, der bestimmt, inwieweit die zugewiesenen Berechtigungen und Benutzerrechte in Active Directory gelten. Es gibt drei Gruppenbereiche: universell, global und lokal in der Domäne.
Verteilergruppen sind nur E-Mail-aktiviert und können nur zum Versenden von E-Mails verwendet werden. Sie sind in einer Exchange-Umgebung äußerst praktisch.
Objekte im selben Netzwerk und mit ähnlichen Sicherheitsbeschränkungen können logisch in einer Domäne gruppiert werden. Domänen können Unterdomänen enthalten, die als untergeordnete Domänen bezeichnet werden. Änderungen an Domänen werden ständig im Kontext der Domänennamen aktualisiert.
Domänen in Active Directory, die eine gemeinsame Stamm- und Vertrauensstellung haben, bilden einen Baum. Alle diese Komponenten bilden zusammen einen Forest. Ein Forest in Active Directory enthält Domänen, die eine gemeinsame Struktur, einen gemeinsamen GC und ein gemeinsames Schema aufweisen. Er dient als Sicherheitsbeschränkung und kann von anderen Active Directory-Forests nur dann aufgerufen werden, wenn eine Vertrauensstellung zwischen ihnen konfiguriert ist.
Objekte im selben Netzwerk und mit ähnlichen Sicherheitsbeschränkungen können logisch in einer Domäne gruppiert werden. Domänen können Unterdomänen enthalten, die als untergeordnete Domänen bezeichnet werden. Änderungen an Domänen werden ständig im Kontext der Domänennamen aktualisiert.
Domänen in Active Directory, die eine gemeinsame Stamm- und Vertrauensstellung haben, bilden einen Baum. Alle diese Komponenten bilden zusammen einen Forest. Ein Forest in Active Directory enthält Domänen, die eine gemeinsame Struktur, einen gemeinsamen GC und ein gemeinsames Schema aufweisen. Er dient als Sicherheitsbeschränkung und kann von anderen Active Directory-Forests nur dann aufgerufen werden, wenn eine Vertrauensstellung zwischen ihnen konfiguriert ist.
Active Directory dient als zentrales Verwaltungstool und ist in hohem Maße skalierbar. Mit Active Directory können Sie Ihr IT-Netzwerk von einer einzigen Konsole aus überwachen. Active Directory ermöglicht die Anpassung von Objekten an die Anforderungen Ihrer Organisation. Es verfügt über eine integrierte Replikationsfunktion, mit der Sie Daten auf die DCs in Ihrem Netzwerk verteilen können. Außerdem ist eine Sicherungs- und Wiederherstellungsfunktion enthalten, mit der Sie Informationen nach Bedarf wiederherstellen können, sobald sie konfiguriert wurden.
Insgesamt hilft Active Directory bei der Verwaltung Ihres IT-Netzwerks – aber achten Sie darauf, es sorgfältig zu strukturieren, denn es kann über Erfolg oder Misserfolg Ihres Unternehmens entscheiden.
Administrative Aufgaben wie das Erstellen, Ändern und Löschen von Objekten, das Zurücksetzen von Passwörtern und die Zugriffssteuerung können über die Active Directory-Benutzer- und -Computerkonsole (ADUC) ausgeführt werden. Active Directory-Objekte können auch mit PowerShell-Skripten verwaltet werden. Der GC-Server, die Active Directory-Replikation, Standorte, Subnetze und andere zugehörige Einstellungen können im Active Directory-Snap-In „Standorte und Dienste“ konfiguriert werden.
Eine Gruppenrichtlinie in Active Directory ermöglicht Ihnen die Konfiguration der Windows-Umgebung von Benutzern und Computern. Richtlinieneinstellungen und -präferenzen werden gruppiert und in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) zusammengefasst. GPOs können auf OU-, Domänen- oder Standortebene angewendet werden. Sie können mit dem lokalen Gruppenrichtlinien-Editor oder der Gruppenrichtlinien-Verwaltungskonsole geändert werden.
Neben den von Microsoft bereitgestellten Snap-Ins kann Active Directory auch mit ADManager Plus verwaltet werden, einer Lösung für die Verwaltung und Berichterstellung von Active Directory.
Testen Sie Active Directory 30 Tage lang kostenlos