Ich möchte kurz etwas zu Active Directory im Allgemeinen sagen. Was sind Active Directory-Domänendienste und wofür braucht man sie überhaupt? Diese Frage werde ich im Folgenden beantworten. Active Directory-Domänendienste (AD DS) sind ein zentraler Bestandteil von Microsofts Verzeichnisdiensten, die zur Verwaltung von Benutzern, Computern und anderen Ressourcen in einem Netzwerk dienen. Sie bieten eine zentrale Authentifizierung und Autorisierung und erleichtern die Verwaltung durch zentrale Richtlinien und Gruppenrichtlinien. Mit AD DS können Administratoren effizient und sicher die gesamte Netzwerkstruktur verwalten und den Zugriff auf Ressourcen steuern.
Inhalte des Artikels
Eine Domäne ist ein sogenannter "Herrschaftsbereich mit zentraler Verwaltung". Sie stellt eine administrative Grenze innerhalb eines Netzwerks dar. In einer Domäne werden alle Ressourcen wie Benutzerkonten, Computer und Dienste zentral verwaltet. Diese zentrale Verwaltung erleichtert die Administration, da Richtlinien und Sicherheitsmaßnahmen einheitlich angewendet werden können. Außerdem ermöglicht es eine Domäne, den Zugriff auf Netzwerkressourcen effizient zu steuern und zu sichern, wodurch die Verwaltung und der Betrieb des Netzwerks vereinfacht werden.
Ein Domänencontroller wird benötigt, um diese begrenzte Domäne zu verwalten und zu managen. Zudem managt er die Authentifizierung und die Autorisierung. Bei der Authentifizierung prüft der Domänencontroller die Zugangsdaten wie Benutzername und Passwort. Bei der Autorisierung bestimmt der Domänencontroller, was dieser Benutzer in der Domäne tun darf. Darf der Benutzer drucken? Ins Internet gehen? Programme nutzen oder gar installieren? All dies wird gesteuert, nachdem der Benutzer sich erfolgreich authentifiziert hat.
In jeder Domäne muss mindestens ein Domänencontroller ausgeführt werden.
Kostenlose IT-Sicherheits-Bücher - Information via Newsletter
Bleiben Sie informiert, wann es meine Bücher kostenlos in einer Aktion gibt: Mit meinem Newsletter erfahren Sie viermal im Jahr von Aktionen auf Amazon und anderen Plattformen, bei denen meine IT-Sicherheits-Bücher gratis erhältlich sind. Sie verpassen keine Gelegenheit und erhalten zusätzlich hilfreiche Tipps zur IT-Sicherheit. Der Newsletter ist kostenlos und unverbindlich – einfach abonnieren und profitieren!
Hinweis: Wenn Sie auf den Button klicken, werden Sie zu MailerLite weitergeleitet. Dort werden essentielle Cookies zur Sicherung der Funktion des Newsletterformulares gespeichert. Mit Ihrem Klick erteilen Sie das Einverständnis zur Verwendung dieser Cookies.
Zur Anmeldung Einer der größten Vorteile ist, dass sich Benutzer an allen Computern, die zur Domäne gehören, anmelden können. Die Anmeldung wird zentral vom Domänencontroller (DC) gemanagt. In einer Firma mit vielen Rechnern kann sich der Benutzer zum Beispiel an jedem beliebigen Rechner anmelden. Es ist auch nicht notwendig, dass die Administratoren auf jedem PC den Benutzer anlegen müssen.
Sollte ein Benutzer sein Passwort vergessen oder sollte das Passwort kompromittiert sein, kann dieses zentral durch den Admin auf dem Domänencontroller geändert werden.
Drucker, Adressbuch, Rechte und Einstellungen können zentral vorgegeben werden. Richtlinien und Gruppenrichtlinien können ebenfalls zentral verwaltet werden. Unter anderem kann der Zugang zu Programmen, Einstellungen und Systemeinstellungen verhindert werden, oder es können Verknüpfungen auf dem Desktop angelegt werden, die der Benutzer selbst nicht entfernen kann.
Active Directory bietet auch ein zentrales Single-Sign-On (SSO). Das bedeutet, dass wenn sich der Benutzer am Windows-Rechner anmeldet, auch gesteuert werden kann, ob dieser Benutzer gleichzeitig auf den Mailserver, einen Datenbank-Server, einen File-Server oder andere Dienste zugreifen kann.
All die eben genannten Dienste und noch viel mehr können bis ins kleinste Detail genau vorgegeben und gesteuert werden. Und zwar für Benutzer, Gruppen, Bereiche, IP-Bereiche, Büronummern und selbst erstellte Objekte – im Grunde sind der technischen Fantasie hier keine Grenzen gesetzt.
Active Directory (AD) bietet zahlreiche Vorteile im Bereich der Cyber-Security:
Diese Funktionen machen Active Directory zu einem wichtigen Werkzeug für die Sicherung von Netzwerken und den Schutz sensibler Daten vor unbefugtem Zugriff.
AD-Domänen können so einzigartig sein wie Menschen. Auf jeden Fall muss eine AD-Domäne einen Domänencontroller haben. Zusätzlich können Member-Server wie File-Server, Web-Server, Mail-Server und andere in einer Active Directory-Domäne vorhanden sein. In der Regel gibt es Clientcomputer, die auch als PCs bezeichnet werden, diese müssen aber nicht zwingend in der Domäne sein. Dann gibt es Gruppen und Benutzer, die zwingend mindestens einen Administrator umfassen.
AD ist ein serverbasiertes Netzwerk, bei dem die Benutzer- und Gruppenverwaltung vom Server ausgeführt wird. Fällt der Server mit der Benutzer- und Gruppenverwaltung aus, ohne dass im vornhinein die Benutzergruppen in die lokalen Benutzergruppen übertragen wurden (also bereits eine Anmeldung erfolgte), kann sich ein solcher Benutzer nicht mehr an den Domänen-Clients anmelden, die über diese Benutzerkonten nicht verfügen.
Bei einem Peer-to-Peer-Netzwerk sind die Gruppen und Nutzer jeweils auf den PCs gespeichert. Fällt ein PC aus, kann sich der darauf gespeicherte Nutzer nicht mehr im Netzwerk anmelden.
Der Domänencontroller muss auf dem Windows Server-Betriebssystem laufen (aktuell sind das Windows Server 2019 bis Windows Server 2025). Windows Server muss zunächst zu einem Domänencontroller hochgestuft werden.
Dann wird DNS (Domain Name System) auf TCP/UDP Port 53 benötigt, denn Active Directory basiert auf DNS.
Dann wird LDAP (Lightweight Directory Access Protocol) auf TCP Port 389 benötigt. Hier werden die AD-Objekte wie Benutzer, Computer, Drucker, Rechte, Gruppen und so weiter gespeichert.
Dann wird das Kerberos-Protokoll auf TCP Port 88 benötigt. Kerberos übernimmt in AD die Authentifizierungsrolle und wird auch als Active Directory-Authentifizierungsprotokoll bezeichnet.
Schließlich wird noch SMB (Server Message Block) auf TCP Port 445 benötigt, welches für Freigaben und Ordnerfreigaben verwendet wird.
Eine Domäne ist ein begrenzter Bereich, der einen Domänencontroller, Clients, Benutzer, Gruppen und weitere Ressourcen umfasst. Sie stellt die grundlegende administrative Einheit in einem Active Directory-Netzwerk dar.
Ein Forest (Wald) ist eine Zusammenfassung mehrerer Domänen, die gemeinsam die Gesamtstruktur eines Active Directory-Netzwerks bilden. Der Forest stellt die oberste Ebene der hierarchischen Struktur dar und ermöglicht die Verwaltung mehrerer Domänen unter einer gemeinsamen Infrastruktur.
Trees (Bäume) sind Gruppen von Domänen innerhalb eines Forests, die einen gemeinsamen Namensraum teilen. Beispielsweise können die Domänen "sales.firmaxyz.net" und "support.firmaxyz.net" als Trees innerhalb des Forests "firmaxyz.net" betrachtet werden. Alle Domänen innerhalb eines Trees sind hierarchisch miteinander verbunden und teilen eine gemeinsame DNS-Namenshierarchie.
Man kann also aus mehreren Domänen einen Domänen-Wald zusammenschließen.
Eine Active Directory-Domäne braucht einen Domänencontroller, sonst würde es keine AD-Domäne geben. Ein Domänencontroller ist ein zum Domänencontroller hochgestufter (promoteter) Windows Server, auf dem beim Hochstufen DNS, LDAP, Kerberos und SMB installiert und konfiguriert werden.
Die Hochstufung kann bei der Einrichtung einer neuen Root-Domäne, also einem neuen Forest, erfolgen, oder ich kann einen Server über den Server-Manager innerhalb einer bestehenden Domäne zum DC hochstufen. Es können auch Domänencontroller in einer Child-Domäne (Unterdomäne) zum DC hochgestuft werden.
Im Server-Manager kann ausgewählt werden, ob ein Domänencontroller zu einer vorhandenen Domäne hinzugefügt werden soll, ob eine neue Domäne in einem bestehenden Forest angelegt werden soll oder ob gleich ein neuer Forest (Gesamtstruktur) angelegt werden soll.
1. Domänen-Administratoren
Mitglieder der Gruppe der Domänen-Administratoren haben domänenübergreifend alle Rechte. Sie können alle Objekte wie Benutzer, Gruppen, Rechte und so weiter administrieren. Domänen-Administratoren können remote auf jeden Computer zugreifen, der in der Domäne ist. Die Gruppe der Domänen-Administratoren wird automatisch auf allen in der Domäne befindlichen Computern unter "Lokale Benutzer" angelegt. Domänen-Administratoren können sich also auch im Falle eines Netzwerkfehlers am Client anmelden. Wird ein PC zur Domäne hinzugefügt, werden die Domänen-Administratoren automatisch in die Gruppe der lokalen Administratoren aufgenommen. An einem neuen Client mit Netzwerkausfall kann sich der Administrator jedoch nicht mit der Domänenanmeldung einloggen. Hier kann nur das bei der Betriebssystem-Installation des Clients erstellte lokale Konto verwendet werden.
2. Domänen-Benutzer
Benutzer, die in der Gruppe der Domänen-Benutzer sind, können auf zuvor festgelegte Dienste der Domäne zugreifen. Auch sie werden automatisch in die Gruppe der lokalen Benutzer aufgenommen. Hat sich ein Benutzer bereits einmal auf einem Client angemeldet, kennt der Client diesen Benutzer. An einem neuen Client mit Netzwerkausfall kann der Benutzer jedoch nicht angemeldet werden. Bei der Anmeldung eines Benutzers wird das Passwort auf diesem Client gespeichert. Der Benutzer kann sich also auch anmelden, wenn keine Verbindung zum AD vorhanden ist (z.B. ein Laptop in der Bahn).
3. Domänen-Computer
Wird ein Computer der Domäne hinzugefügt, werden die Domänenrichtlinien auf dem Computer angewandt. Die Gruppen der Domänen-Administratoren und der Domänen-Benutzer werden in die lokalen Gruppen aufgenommen, und das Firewall-Profil wird auf "Domäne" geändert.
Über den Autor: Ralf-Peter Kleinert
Über 30 Jahre Erfahrung in der IT legen meinen Fokus auf die Computer- und IT-Sicherheit. Auf meiner Website biete ich detaillierte Informationen zu aktuellen IT-Themen. Mein Ziel ist es, komplexe Konzepte verständlich zu vermitteln und meine Leserinnen und Leser für die Herausforderungen und Lösungen in der IT-Sicherheit zu sensibilisieren.
Aktualisiert: Ralf-Peter Kleinert 29.05.2024
