Organisationen aller Größen auf der ganzen Welt verwenden Active Directory, um Berechtigungen zu verwalten und den Zugriff auf kritische Netzwerkressourcen zu steuern. Aber was genau ist es und wie kann es Ihrem Unternehmen potenziell helfen?

Was ist Active Directory?

Active Directory (AD) ist ein Verzeichnisdienst, der auf Microsoft Windows Server ausgeführt wird. Die Hauptfunktion von Active Directory besteht darin, Administratoren die Verwaltung von Berechtigungen und die Kontrolle des Zugriffs auf Netzwerkressourcen zu ermöglichen. In Active Directory werden Daten als Objekte gespeichert, zu denen Benutzer, Gruppen, Anwendungen und Geräte gehören, und diese Objekte werden nach ihrem Namen und ihren Attributen kategorisiert.

Was sind Active Directory-Domänendienste?

Active Directory-Domänendienste (Active Directory Domain Services, AD DS) sind eine Kernkomponente von Active Directory und stellen den primären Mechanismus zur Authentifizierung von Benutzern und zur Bestimmung der Netzwerkressourcen bereit, auf die sie zugreifen können. AD DS bietet außerdem zusätzliche Funktionen wie Single Sign-On (SSO), Sicherheitszertifikate, LDAP und Zugriffsrechteverwaltung.

Die hierarchische Struktur von Active Directory-Domänendiensten

AD DS organisiert Daten in einer hierarchischen Struktur, die aus Domänen, Bäumen und Gesamtstrukturen besteht, wie unten beschrieben.

Domänen: Eine Domäne stellt eine Gruppe von Objekten wie Benutzer, Gruppen und Geräte dar, die sich dieselbe AD-Datenbank teilen. Sie können sich eine Domain als Zweig in einem Baum vorstellen. Eine Domain hat die gleiche Struktur wie Standarddomains und Subdomains, z. yourdomain.com und sales.yourdomain.com .

Bäume: Ein Baum besteht aus einer oder mehreren Domänen, die in einer logischen Hierarchie zusammengefasst sind. Da Domänen in einem Baum verwandt sind, sollen sie einander „vertrauen“.

Gesamtstruktur: Eine Gesamtstruktur ist die höchste Organisationsebene in AD und enthält eine Gruppe von Bäumen. Die Bäume in einer Gesamtstruktur können sich auch gegenseitig vertrauen und Verzeichnisschemata, Kataloge, Anwendungsinformationen und Domänenkonfigurationen gemeinsam nutzen.

Organisationseinheiten: Eine Organisationseinheit wird verwendet, um Benutzer, Gruppen, Computer und andere Organisationseinheiten zu organisieren.

Container: Ein Container ähnelt einer Organisationseinheit, im Gegensatz zu einer Organisationseinheit ist es jedoch nicht möglich, ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) mit einem generischen Active Directory-Container zu verknüpfen.

Andere Active Directory-Dienste

Neben Active Directory-Domänendiensten gibt es eine Handvoll anderer kritischer Dienste, die AD bereitstellt. Einige dieser Dienste wurden unten aufgeführt:

Lightweight Directory Services: AD LDS ist ein LDAP-Verzeichnisdienst (Lightweight Directory Access Protocol). Es bietet nur eine Teilmenge der AD DS-Funktionen, wodurch es vielseitiger ist, wo es ausgeführt werden kann. Es kann beispielsweise als eigenständiger Verzeichnisdienst ausgeführt werden, ohne dass eine vollständige Implementierung von Active Directory integriert werden muss.

Zertifikatdienste: Sie können Verschlüsselungszertifikate erstellen, verwalten und freigeben, mit denen Benutzer Informationen sicher über das Internet austauschen können.

Active Directory Federation Services: ADFS ist eine Single Sign-On (SSO) -Lösung für AD, die es Mitarbeitern ermöglicht, mit einem einzigen Satz von Anmeldeinformationen auf mehrere Anwendungen zuzugreifen und so die Benutzererfahrung zu vereinfachen.

Rechteverwaltungsdienste: AD RMS ist eine Reihe von Tools, die bei der Verwaltung von Sicherheitstechnologien helfen, mit denen Unternehmen ihre Daten schützen können. Solche Technologien umfassen Verschlüsselung, Zertifikate und Authentifizierung und decken eine Reihe von Anwendungen und Inhaltstypen ab, z. B. E-Mails und Word-Dokumente.

Der Server, auf dem AD DS gehostet wird, wird als Domänencontroller (DC) bezeichnet. Ein Domänencontroller kann auch zur Authentifizierung bei anderen MS-Produkten verwendet werden, z. B. Exchange Server, SharePoint Server, SQL Server, Dateiserver und mehr.

Erste Schritte mit Windows Active Directory

Eine umfassende Schritt-für-Schritt-Anleitung zum Einrichten von Active Directory auf Windows Server geht über den Rahmen dieses Artikels hinaus. Stattdessen werde ich eine grundlegende Zusammenfassung der zur Installation von AD erforderlichen Schritte bereitstellen, die Sie zumindest in die richtige Richtung weisen sollten. Angenommen, Sie haben bereits Windows Server (2016) installiert, müssen Sie…

• Ändern Sie Ihre DNS-Einstellungen so, dass Ihre Server-IP-Adresse der primäre DNS-Server ist.
• Öffnen Sie den Server-Manager, auf den Sie über PowerShell zugreifen können, indem Sie sich als Administrator anmelden und ServerManager eingeben.exe.
• Klicken Sie im Fenster Server-Manager auf Rollen und Features hinzufügen und klicken Sie auf die Schaltfläche Weiter, um den Setup-Vorgang zu starten.
• Aktivieren Sie im Fenster Serverrollen auswählen das Kontrollkästchen Active Directory-Domänendienste. Ein Popup-Fenster wird angezeigt. Klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter, um fortzufahren.
• Klicken Sie weiter auf die Schaltfläche Weiter, bis Sie zum letzten Bildschirm gelangen. Wenn Sie nicht wissen, was Sie tun, sollten Sie die Standardeinstellungen so belassen, wie sie sind.
• Wenn Sie das Ende des Assistenten erreicht haben, klicken Sie auf Installieren und warten Sie, bis der Installationsvorgang abgeschlossen ist.

Sobald Sie Active Directory-Domänendienste installiert haben, müssen Sie Ihre Installation konfigurieren, einschließlich Ändern von Standardkennwörtern, Einrichten von Organisationseinheiten, Domänen, Baumstrukturen und Gesamtstrukturen. Wie bereits erwähnt, geht eine detaillierte Erläuterung der Einrichtung und Konfiguration von Active Directory über den Rahmen dieses Artikels hinaus. Detaillierte aktuelle Anweisungen finden Sie in der offiziellen Dokumentation.

Was ist Azure Active Directory?

Angesichts der Tatsache, dass immer mehr Unternehmen ihre Geschäftsabläufe in die Cloud verlagern, hat Microsoft Azure Active Directory (Azure AD) eingeführt, eine cloudbasierte Version von Windows AD, die auch mit lokalen AD-Implementierungen synchronisiert werden kann. Azure AD soll das Rückgrat von Office 365 und anderen Azure-Produkten sein; Es kann jedoch auch in andere Cloud-Dienste und -Plattformen integriert werden. Einige der Unterschiede zwischen Windows und Azure AD sind wie folgt.

Kommunikation: Azure AD verwendet eine REST-API, während Windows AD wie bereits erwähnt LDAP verwendet.

Authentifizierung: Windows AD verwendet Kerberos und NTLM für die Authentifizierung, während Azure AD seine eigenen integrierten webbasierten Authentifizierungsprotokolle verwendet.

Struktur: Im Gegensatz zu Windows AD, das nach Organisationseinheiten, Bäumen, Gesamtstrukturen und Domänen organisiert ist, verwendet Azure AD eine flache Struktur von Benutzern und Gruppen.

Geräteverwaltung: Im Gegensatz zu Windows AD kann Azure AD über mobile Geräte verwaltet werden. Azure AD stützt sich nicht auf Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), um zu bestimmen, welche Geräte und Server eine Verbindung zum Netzwerk herstellen können.

Wenn Sie einen Artikel über Active Directory lesen, ist es sehr wahrscheinlich, dass Sie es noch nicht verwenden. In diesem Fall ist es möglicherweise besser, mit Azure AD als mit Windows AD zu beginnen. Einer der Hauptgründe, warum Sie Windows AD verwenden möchten, ist, wenn Sie große Mengen wertvoller Daten speichern und ein Team erfahrener IT-Experten Ihr Cybersicherheitsprogramm verwaltet.

Wenn Sie sehen möchten, wie Lepide Active Directory Auditor Ihnen hilft, Active Directory zu auditieren und AD-Sicherheit zu gewährleisten, vereinbaren Sie noch heute eine Demo mit einem unserer Ingenieure oder laden Sie die kostenlose Testversion herunter.