Active Directory – Grundlagen & Struktur

Was ist Active Directory?

Active Directory (AD) ist Microsofts zentraler Verzeichnisdienst für Windows-Netzwerke. Es ist die Schaltzentrale eines Windows-Unternehmensnetzwerks: Hier werden Benutzerkonten, Computerkonten, Gruppen, Richtlinien und Ressourcen zentral verwaltet.

Stell dir ein Unternehmen mit 200 Mitarbeitern vor. Ohne Active Directory müsste jeder Mitarbeiter auf jedem Computer einen eigenen Account haben – Passwortänderungen, Berechtigungsänderungen und Softwareinstallationen müssten auf jedem Gerät einzeln durchgeführt werden. Mit Active Directory meldet sich ein Mitarbeiter einmal mit seinen AD-Zugangsdaten an – und hat Zugriff auf alle für ihn freigegebenen Ressourcen im Netzwerk. Das nennt man Single Sign-On (SSO).

Active Directory basiert auf dem LDAP-Protokoll (Lightweight Directory Access Protocol) und nutzt Kerberos zur Authentifizierung.

Die Domäne – das Fundament

Eine Domäne ist die grundlegende Verwaltungseinheit in Active Directory. Sie fasst alle Benutzer, Computer und Ressourcen eines Netzwerks zusammen und definiert eine gemeinsame Sicherheitsgrenze.

Jede Domäne hat einen DNS-Namen (z.B. fisipedia.local oder firma.de) und einen NetBIOS-Namen (z.B. FISIPEDIA). Der DNS-Name ist der moderne Standard – NetBIOS ist ein Legacy-Überbleibsel.

Der erste Server der in einer Domäne eingerichtet wird heißt Domänencontroller (DC). Er speichert die AD-Datenbank (NTDS.dit) und beantwortet Authentifizierungsanfragen.

Die logische Struktur von Active Directory

Active Directory logische Struktur:

Forest (Gesamtstruktur)
└── Tree (Domänenstruktur)
    └── Domain (Domäne): fisipedia.de
        ├── OU (Organisationseinheit): Benutzer
        │   ├── OU: IT-Abteilung
        │   └── OU: Verwaltung
        ├── OU: Computer
        └── OU: Gruppen

Domäne (Domain)

Die grundlegende Verwaltungseinheit. Definiert eine gemeinsame Sicherheitsrichtlinie und Datenbank. Alle Objekte (Benutzer, Computer, Gruppen) gehören zu einer Domäne.

Organisationseinheit (OU – Organizational Unit)

Container innerhalb einer Domäne zur logischen Gliederung von Objekten. OUs können geschachtelt werden (OU in OU). Gruppenrichtlinien (GPOs) werden auf OUs angewendet. OUs spiegeln oft die Unternehmensstruktur wider (Abteilungen, Standorte).

Tree (Domänenstruktur)

Mehrere Domänen die einen gemeinsamen DNS-Namensraum teilen. Beispiel: fisipedia.de als Root-Domäne und berlin.fisipedia.de als Kind-Domäne. Zwischen ihnen besteht automatisch eine bidirektionale transitive Vertrauensstellung.

Forest (Gesamtstruktur)

Die oberste Ebene von Active Directory – eine Sammlung von Trees mit einer gemeinsamen Schema-Konfiguration. Der Forest definiert die Sicherheitsgrenze von Active Directory. Zwischen Forests müssen Vertrauensstellungen manuell konfiguriert werden.

Domänencontroller (DC)

Ein Domänencontroller ist ein Windows-Server mit der Rolle AD DS der für die Authentifizierung und Autorisierung in der Domäne zuständig ist. Aufgaben:

  • Authentifizierung von Benutzern und Computern (Kerberos)

  • Speicherung und Replikation der AD-Datenbank (NTDS.dit)

  • Anwendung von Gruppenrichtlinien

  • DNS-Dienste (in den meisten AD-Umgebungen)

In einer Produktionsumgebung sollte es immer mindestens zwei Domänencontroller geben – einen als Redundanz. Fällt der einzige DC aus, können sich keine Benutzer mehr anmelden.

FSMO-Rollen – besondere Aufgaben einzelner DCs

In einer Multi-DC-Umgebung übernehmen bestimmte DCs sogenannte FSMO-Rollen (Flexible Single Master Operations). Diese Rollen können nur von einem einzigen DC gleichzeitig ausgeübt werden:

FSMO-Rolle

Ebene

Aufgabe

Schema Master

Forest

Verwaltet Änderungen am AD-Schema

Domain Naming Master

Forest

Verwaltet das Hinzufügen/Entfernen von Domänen

PDC Emulator

Domäne

Zeitquelle für die Domäne, Passwortänderungen, Gruppenrichtlinien

RID Master

Domäne

Vergibt RID-Pools für SID-Erstellung

Infrastructure Master

Domäne

Aktualisiert domänenübergreifende Referenzen

Die AD-Datenbank – NTDS.dit

Alle Active-Directory-Objekte werden in der Datei NTDS.dit gespeichert (NT Directory Services Database). Diese Datei liegt standardmäßig unter C:\Windows\NTDS\. Sie enthält alle Benutzerkonten, Passwort-Hashes, Computerobjekte und Konfigurationsdaten.

Die NTDS.dit wird zwischen allen Domänencontrollern repliziert – Änderungen auf einem DC werden automatisch auf alle anderen DCs übertragen.

Kerberos – die Authentifizierung in AD

Active Directory nutzt Kerberos als Standard-Authentifizierungsprotokoll (Port 88). Der Ablauf vereinfacht:

  1. Benutzer meldet sich an → sendet Anmeldedaten an den Key Distribution Center (KDC) auf dem DC

  2. KDC prüft die Daten und stellt ein Ticket Granting Ticket (TGT) aus

  3. Möchte der Nutzer auf eine Ressource zugreifen (z.B. Dateiserver), tauscht er das TGT gegen ein Service Ticket aus

  4. Mit dem Service Ticket erhält er Zugriff auf die Ressource – ohne erneute Passwortabfrage (SSO)

Zusammenfassung

  • Active Directory ist der zentrale Verzeichnisdienst für Windows-Netzwerke – basiert auf LDAP und Kerberos

  • Logische Struktur: Forest → Tree → Domain → OU → Objekte

  • Die Domäne ist die grundlegende Verwaltungseinheit mit gemeinsamer Sicherheitsrichtlinie

  • OUs strukturieren Objekte innerhalb einer Domäne – Gruppenrichtlinien werden auf OUs angewendet

  • Domänencontroller speichern die AD-Datenbank (NTDS.dit) und replizieren sie untereinander

  • Mindestens zwei DCs pro Domäne für Redundanz empfohlen

  • FSMO-Rollen: fünf spezielle Rollen die nur ein DC gleichzeitig ausübt

  • Kerberos ist das Standard-Authentifizierungsprotokoll – ermöglicht Single Sign-On