Tierney - stock.adobe.com
Wie arbeiten die Active Directory Domain Services?
Berechtigungen und Zugriffsrechte werden in vielen Unternehmen übers Active Directory geregelt. Die Basis des Active Directory sind die Active Directory Domain Services.
Konsequenz und Klarheit sind immer dann notwendig, wenn es um das Management der Ressourcen eines Unternehmens geht. Ein Admin muss die Grundlagen von Active Directory (AD) kennen, um zu verstehen, wie die verschiedenen Bestandteile in diesem Werkzeug von Microsoft zusammenarbeiten. So kann er ein zentralisiertes Management für sein Unternehmen gewährleisten.
Im Grunde ist das Active Directory aber kein alleinstehendes Tool, sondern eine Kombination aus mehreren Diensten, die auf einem Windows-Server laufen. Insbesondere noch unerfahrene Administratoren müssen sich ausführlich mit den Basics von Active Directory und zum Beispiel der Frage beschäftigen, wie wichtige Enterprise-Applikationen wie der Exchange Server davon abhängig sind.
Wichtigste Grundlage sind die Active Directory Domain Services
Im Zentrum jeder AD-Installation stehen die Active Directory Domain Services oder abgekürzt AD DS, auch als Active-Directory-Domänendienste bezeichnet. Sie sind so wichtig, dass meistens sie gemeint sind, wenn sich Admins über ihre Active-Directory-Umgebungen austauschen. AD DS besteht aus einer Datenbank mit Informationen über alle Geräte, Ressourcen, Nutzer und Gruppen innerhalb der Domäne. AD DS bestimmt darüber hinaus die jeweiligen Rechte der Nutzer und ermöglicht ihnen auch, sich am Netzwerk anzumelden.
AD DS läuft in der Regel auf einem Server oder einem Cluster, der auch als Domänen Controller bezeichnet wird. Jedes Mal, wenn sich ein Anwender am Netz anmeldet, auf eine Netzwerkressource zugreifen will oder eine Anwendung startet, muss der Domänen Controller diese Anfrage freigeben. Die Beschädigung dieser zentralen Datenbank oder ein anderer Fehler bei diesem Server können deswegen katastrophale Folgen für ein Unternehmen haben. Aus diesem Grunde verwenden viele erfahrene Administratoren einen Server-Cluster mit automatischer Replikation und Synchronisation, auf dem sie ihre AD DS aufsetzen. So erhöhen sie die Verlässlichkeit und zugleich die Performance des gesamten Systems.
Andere Dienste, die auf AD DS aufsetzen
Ein Active Directory enthält meist noch eine Reihe weiterer Dienste, die auf AD DS basieren. Für kleinere Firmen eignet sich aber auch die Active Directory Lightweight Directory Services (AD LDS), die ähnlich wie AD DS funktionieren, aber weder Domänen noch separate Domänen Controller benötigen.
Die Active Directory Certificate Services (AD CS) dienen zum Erstellen, Überprüfen und zudem Zurückrufen von Public-Key-Zertifikaten, mit denen sich Dateien, E-Mails, VPN-Traffic (Virtual Private Network) und TLS/IPsec-basierter Datenverkehr verschlüsseln lassen. TLS ist die Abkürzung für Transport Layer Security, ein Protokoll, das zur sicheren Übertragung von Daten über zum Beispiel das Internet genutzt wird.
Active Directory Federation Services (AD FS) ermöglichen ein Single Sign-On im Unternehmen, so dass die Nutzer sich an verschiedenen Ressourcen oder auch externen Diensten mit ein- und denselben Zugangsdaten anmelden können.
Zuletzt kommen noch die Active Directory Rights Management Services (AD RMS) dazu, die Verschlüsselung und den Zugang zu E-Mail, Dokumenten und Web-Inhalten bieten.
Weitere Grundlegen: Objekte und Organisationseinheiten unter Active Directory
Die kleinste Einheit in einem Active Directory ist das Objekt. Jedes dieser Objekte, sei es ein Computer, Drucker, Individuum oder auch eine ganze Gruppe verfügt über verschiedene Eigenschaften, die auf bestimmten Vorgaben beruhen. Admins können diese Objekte nicht löschen, sondern nur deaktivieren.
Darüber hinaus können sie Objekte in Organisationseinheiten (Organizational Units, OUs) strukturieren, um so für mehr Klarheit zu sorgen. Beispiele dafür sind etwa geographische Units oder Einheiten auf Basis von Fachabteilungen im Unternehmen, um so die zur Verfügung stehenden Ressourcen leichter verwalten zu können. Anschließend können die IT-Mitarbeiter Gruppenrichtlinien anlegen oder andere administrative Aufgaben auf Basis dieser OUs erledigen.
Jedes Active Directory arbeitet zudem in mehreren Ebenen. Die Domäne ist dabei das niedrigste Level, in dem die vorhandenen Objekte in einer gemeinsamen Datenbank verwaltet werden. Ein Baum oder Tree in einem Active Directory besteht aus mehreren Domänen, die auf einer Vertrauensbasis miteinander verbunden sind. Der Wald oder auch Forest ist dabei das höchste Level. In ihm lassen sich die einzelnen Bäume in einer gemeinsamen Struktur, dem globalen Katalog, zusammenfassen. Er ist die höchste Ebene, die in einem AD erreicht werden kann. Objekte lassen sich in der Regel nicht außerhalb dieses Waldes nutzen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!