IT Explained:

Active Directory




Was ist Active Directory?

 

Active Directory (AD) ist ein Verzeichnisdienst zur Verwendung in einer Windows-Server-Umgebung. Dabei handelt es sich um eine verteilte, hierarchische Datenbankstruktur, die Infrastrukturinformationen zum Auffinden, Sichern, Verwalten und Organisieren von Computer- und Netzwerkressourcen wie Dateien, Benutzern, Gruppen, Peripheriegeräten und Netzwerkgeräten bereitstellt.

Active Directory ist Microsofts eigener Verzeichnisdienst zur Verwendung in Windows-Domänennetzwerken. Er bietet Authentifizierungs- und Autorisierungsfunktionen und stellt ein Rahmenwerk für ähnliche Dienste zur Verfügung. Beim Verzeichnis selbst handelt es sich um eine LDAP-Datenbank, die vernetzte Objekte enthält. Active Directory setzt das Windows-Server-Betriebssystem ein.

Wenn über Active Directory gesprochen wird, ist damit gewöhnlich „Active Directory Domain Services“ gemeint, wodurch vollständige integrierte Authentifizierungs- und Autorisierungsdienste bereitgestellt werden.

Vor Windows 2000 war es für Microsofts Authentifizierungs- und Autorisierungsmodell erforderlich, dass ein Netzwerk in Domänen unterteilt und diese Domänen dann mit einem komplizierten und manchmal unvorhersehbaren System aus uni- und bidirektionalen Vertrauensstellungen verbunden wurden. Active Directory wurde in Windows 2000 eingeführt, um Verzeichnisdienste für größere, komplexere Umgebungen bereitzustellen.

Andere „Active Directory“-Dienste

 

Im Laufe der Zeit hat Microsoft unter der Bezeichnung „Active Directory“ weitere Dienste hinzugefügt.

Active Directory Lightweight Directory Services

Bei dieser leichten „Domain Services“-Version wurde die Komplexität reduziert und es wurden einige erweiterte Funktionen beseitigt, um nur die grundlegende Verzeichnisdienstfunktionalität ohne Verwendung von Domänencontrollern, Gesamtstrukturen oder Domänen anzubieten. Sie wird gewöhnlich in kleinen, einzelnen Büronetzwerkumgebungen eingesetzt.

„Active Directory“-Zertifikatdienste

Zertifikatdienste bieten Zertifizierungen und unterstützen „Public Key“-Infrastruktur (PKI). Dieser Dienst kann Anmeldeinformationen mit öffentlichem Schlüssel für Verschlüsselungen speichern, validieren, erzeugen und widerrufen, anstatt Schlüssel extern oder lokal zu generieren.

„Active Directory“-Verbunddienste

Hiermit wird ein webbasierter Authentifizierungs- und Autorisierungsdienst mit einmaliger Anmeldung hauptsächlich für organisationsübergreifende Verwendungen bereitgestellt. So kann sich ein Unternehmer an seinem eigenen Netzwerk anmelden und ebenfalls für den Zugang zum Netzwerk des Kunden autorisiert werden.

Active Directory Rights Management Services

Dies ist ein Rechteverwaltungsdienst, der Autorisierungen über ein Modell mit gewährtem oder verweigertem Zugriff hinaus aufschlüsselt, und der die Möglichkeiten eines Benutzers bei der Handhabung bestimmter Dateien oder Dokumente einschränkt. Die Rechte und Einschränkungen sind an das Dokument gebunden anstatt an den Benutzer. Diese Rechte werden häufig verwendet, um Ausdrucken, Kopieren oder Screenshots eines Dokuments zu verhindern.

Struktur von Active Directory

 

Ein Schlüsselmerkmal der „Active Directory“-Struktur besteht in delegierter Autorisierung und effizienter Replikation. Jeder Teil der AD-Organisationsstruktur begrenzt entweder die Autorisierung oder die Replikation auf diesen jeweiligen Unterabschnitt.

Gesamtstruktur

Die Gesamtstruktur ist die höchste Ebene der Organisationshierarchie. Eine Gesamtstruktur stellt eine Sicherheitsbegrenzung innerhalb einer Organisation dar. Eine Gesamtstruktur ermöglicht es, die Autoritätsdelegierung innerhalb einer einzigen Umgebung zu isolieren. So kann ein Administrator volle Zugriffsrechte und Berechtigungen erhalten, jedoch nur für eine spezielle Teilmenge von Ressourcen. Es ist möglich, nur eine einzige Gesamtstruktur in einem Netzwerk zu verwenden. Die Informationen zur Gesamtstruktur werden auf allen Domänencontrollern in allen Domänen innerhalb der Gesamtstruktur gespeichert.

Baumstruktur

Bei einer Baumstruktur handelt es sich um eine Gruppe von Domänen. Die Domänen innerhalb einer Baumstruktur teilen sich denselben Stamm-Namespace. Obwohl eine Baumstruktur einen gemeinsam genutzten Namespace hat, stellen Baumstrukturen keine Begrenzungen für Sicherheit oder Replikation dar.

Domänen

Jede Gesamtstruktur enthält eine Stammdomäne. Zusätzliche Domänen können verwendet werden, um weitere Unterteilungen innerhalb einer Gesamtstruktur zu schaffen. Der Zweck einer Domäne besteht darin, das Verzeichnis zur Kontrolle von Replikationen in kleinere Abschnitte aufzuteilen. Eine Domäne begrenzt „Active Directory“-Replikationen ausschließlich auf die anderen Domänencontroller innerhalb derselben Domäne. Zum Beispiel müsste ein Büro in Oakland keine AD-Daten von einem Büro in Pittsburg replizieren. Dadurch wird Bandbreite eingespart und Schäden durch eine eventuelle Sicherheitsverletzung werden eingeschränkt.

Jeder Domänencontroller in einer Domäne hat eine identische Kopie der „Active Directory“-Datenbank dieser Domäne, die durch ständige Replikation aktuell gehalten wird.

Während Domänen auch im vorherigen, auf Windows-NT basierenden Modell verwendet wurden und immer noch eine Sicherheitsbarriere darstellen, wird empfohlen, nicht ausschließlich Domänen zur Kontrolle von Replikationen einzusetzen, sondern stattdessen Organisationseinheiten zu verwenden, um Sicherheitsberechtigungen zu gruppieren und einzuschränken.

Organisationseinheiten

Eine Organisationseinheit ermöglicht die Gruppierung der Autorität über eine Teilmenge von Ressourcen aus einer Domäne. Eine Organisationseinheit bietet eine Sicherheitsbegrenzung bei erhöhten Berechtigungen und Autorisierungen, schränkt jedoch die Replikation von AD-Objekten nicht ein.

Organisationseinheiten werden verwendet, um die Kontrolle innerhalb funktioneller Gruppierungen zu delegieren. Organisationseinheiten sollten genutzt werden, um Sicherheit und Rollen zwischen Gruppen zu implementieren und zu begrenzen, während Domänen eingesetzt werden sollten, um „Active Directory“-Replikationen unter Kontrolle zu halten.

 

Onboarding Script Banner

Domänencontroller


Domänencontroller sind Windows-Server, die die „Active Directory“-Datenbank enthalten und „Active Directory“-relevante Funktionen einschließlich Authentifizierung und Autorisierung ausführen. Ein Domänencontroller ist jeder Windows-Server, der mit der Domänencontroller-Rolle installiert wird.

Auf jedem Domänencontroller ist eine Kopie der „Active Directory“-Datenbank mit Informationen zu allen Objekten innerhalb derselben Domäne gespeichert. Außerdem werden auf jedem Domänencontroller das Schema für die Gesamtstruktur sowie alle Informationen zur Gesamtstruktur gespeichert. Auf einem Domänencontroller werden keine Kopie eines Schemas oder Informationen aus einer anderen Gesamtstruktur gespeichert, auch wenn sie sich im selben Netzwerk befinden.

Spezialisierte Domänencontroller-Rollen

Spezialisierte Domänencontroller-Rollen werden genutzt, um spezifische Funktionen auszuführen, die auf Standard-Domänencontrollern nicht zur Verfügung stehen. Diese Masterrollen werden dem ersten Domänencontroller zugewiesen, der in jeder Gesamtstruktur oder Domäne erstellt wurde. Ein Administrator kann die Rollen jedoch manuell neu zuweisen.

Schemamaster

Es existiert nur ein Schemamaster pro Gesamtstruktur. Er enthält die Masterkopie des Schemas, das von allen anderen Domänencontrollern verwendet wird. Das Vorhandensein einer Masterkopie garantiert, dass alle Objekte auf dieselbe Art definiert werden.

Domänennamenmaster

Es existiert nur ein Domänennamenmaster pro Gesamtstruktur. Der Domänenmaster garantiert, dass alle Objektnamen eindeutig sind, und versieht ggf. in anderen Verzeichnissen gespeicherte Objekte mit Querverweisen.

Infrastrukturmaster

Es gibt einen Infrastrukturmaster pro Domäne. Der Infrastrukturmaster bewahrt die Liste gelöschter Objekte und überwacht Verweise für Objekte in anderen Domänen.

Relativer Bezeichner-Master

Es gibt einen relativen Bezeichner-Master pro Domäne. Er verfolgt die Zuweisung und Erstellung eindeutiger Sicherheits-IDs (SIDs) über die gesamte Domäne hinweg.

Primärer Domänencontrolleremulator

Es gibt nur einen primären Domänencontrolleremulator (PDC-Emulator) pro Domäne. Er hat die Aufgabe, Abwärtskompatibilität für die älteren, auf Windows-NT basierenden Domänensysteme sicherzustellen. Er reagiert auf Anforderungen an einen PDC genauso, wie es ein alter PDC getan hätte.

Datenspeicher

Speicherung und Abruf von Daten an jedem Domänencontroller werden vom Datenspeicher gehandhabt. Der Datenspeicher setzt sich aus drei Ebenen zusammen. Die untere Ebene ist die eigentliche Datenbank. Die mittlere Ebene besteht aus Dienstkomponenten, dem Verzeichnissystem-Agent, der Datenbankebene und der Extensible Storage Engine (ESE). Die obere Ebene umfasst die Verzeichnisspeicherdienste, das LDAP („Lightweight Directory Access“-Protokoll), die Replikationsschnittstelle, die Messaging-API (MAPI) und den Sicherheitskonto-Manager.

 

Domain Name System


Active Directory enthält Standortinformationen zu Objekten, die in der Datenbank gespeichert sind, nutzt jedoch DNS (Domain Name System), um Domänencontroller zu suchen.

Innerhalb des aktiven Verzeichnisses hat jede Domäne einen DNS-Domänennamen, und jeder verbundene Computer hat einen DNS-Namen innerhalb derselben Domäne.

Objekte

Alle Inhalte in Active Directory werden als Objekte gespeichert. Die Klasse könnte auch als der „Typ“ eines Objekts im Schema definiert werden. Die Attribute sind die Komponenten des Objekts – die Attribute eines Objekts werden durch seine Klasse definiert.

Objekte müssen innerhalb des Schemas definiert werden, bevor Daten im Verzeichnis gespeichert werden können. Sobald sie definiert wurden, werden Daten im aktiven Verzeichnis als individuelle Objekte gespeichert. Jedes Objekt muss eindeutig sein und ein einzelnes Element repräsentieren, z. B. einen Benutzer, einen Computer oder eine eindeutige Gruppe von Elementen (z. B. eine Benutzergruppe).

Die beiden primären Objekttypen sind Ressourcen und Sicherheitsprinzipale. Sicherheitsprinzipalen werden Sicherheits-IDs (SIDs) zugewiesen, Ressourcen jedoch nicht.

 

Replikation


Active Directory setzt aus vielen Gründen mehrere Domänencontroller ein, u. a. für Lastenausgleich und Fehlertoleranz. Damit das funktionieren kann, muss jeder Domänencontroller eine vollständige Kopie der eigenen „Active Directory“-Datenbank seiner Domäne haben. Durch Replikation wird sichergestellt, dass jeder Controller eine aktuelle Kopie der Datenbank hat.

Replikation wird durch die Domäne eingeschränkt. Domänencontroller an unterschiedlichen Domänen führen untereinander keine Replikationen aus, noch nicht einmal innerhalb derselben Gesamtstruktur. Jeder Domänencontroller ist gleich. Obwohl frühere Windows-Versionen primäre und sekundäre Domänencontroller hatten, gibt es bei Active Directory nichts Derartiges. Gelegentlich kommt es zu Verwirrung, weil die Bezeichnung „Domänencontroller“ des alten, vertrauensbasierten Systems bei Active Directory weiterhin verwendet wird.

Replikation funktioniert mit einem „Pull-System“, was bedeutet, dass ein Domänencontroller die Informationen von einem anderen Domänencontroller anfordert oder „abzieht“, anstatt dass jeder Domänencontroller Daten zu anderen Controllern schickt. Standardmäßig fordern Domänencontroller alle 15 Sekunden Replikationsdaten an. Manche Hochsicherheits-Ereignisse lösen ein sofortiges Replikationsereignis aus, z. B. eine Kontosperrung.

Es werden nur Änderungen repliziert. Um Genauigkeit innerhalb eines Systems mit mehreren Mastern zu gewährleisten, verfolgt jeder Domänencontroller Änderungen und fordert die Aktualisierungen nur ab der letzten Replikation an. Änderungen werden in der gesamten Domäne mit einem Speichern-und-Weiterleiten-Mechanismus repliziert, so dass jede Änderung auf Anforderung repliziert wird, auch wenn die Änderung nicht ihren Ursprung in demjenigen Domänencontroller hatte, der auf die Replikationsanforderung reagiert.

Dadurch wird einerseits übermäßiger Datenverkehr verhindert, und andererseits lässt sich das System konfigurieren um sicherzustellen, dass jeder Domänencontroller seine Replikationsdaten vom gewünschten Server anfordert. Zum Beispiel kann ein Remotestandort mit einer schnellen und einer langsamen Verbindung zu anderen Standorten mit Domänencontrollern an jeder Verbindung einen „Preis“ festsetzen. Dadurch erfolgt die Replikationsanforderung über die schnellere Verbindung.