Active Directory (AD)
Active Directory (AD) ist der proprietäre Verzeichnisdienst von Microsoft. Von einem Gerät mit Windows Server aus können Administratoren mit diesem Dienst Berechtigungen und den Zugriff auf Netzwerkressourcen regulieren.
Active Directory speichert Daten als Objekte. Ein Objekt ist ein einzelnes Element, beispielsweise ein Benutzer, eine Gruppe, eine Anwendung oder ein Gerät. Objekte werden normalerweise entweder als Ressourcen wie Drucker oder Computer oder als Sicherheitsprinzipale wie Benutzer oder Gruppen definiert.
Active Directory kategorisiert Verzeichnisobjekte nach Namen und Attributen. Der Name eines Benutzers kann beispielsweise die Namenszeichenfolge zusammen mit weiteren Informationen wie Kennwörtern und Secure-Shell-Schlüsseln enthalten.
Die wichtigsten Funktionen von Active Directory sind die Domänendienste (AD DS). Sie speichern und verarbeiten Interaktion des Benutzers mit der Domäne. AD DS prüft die Zugriffsrechte, wenn sich ein Benutzer bei einem Gerät anmeldet oder versucht, über ein Netzwerk eine Verbindung zu einem Server herzustellen. AD DS steuert, welche Benutzer Zugriff auf welche Ressource haben, und setzt Gruppenrichtlinien durch. Ein Administrator hat beispielsweise normalerweise mehr Rechte als ein Endbenutzer.
Der Ressourcenzugriff anderer Microsoft-Produkte wie Exchange Server und SharePoint Server werden ebenfalls über AD DS kontrolliert. Der Server, der AD DS hostet, ist der Domänen-Controller.
Active-Directory-Dienste
Neben den Domänendiensten verfügt Active Directory über weitere Funktionen wie Lightweight Directory Services (AD LDS), Lightweight Directory Access Protocol (LDAP), Certificate Services (AD CS), Federation Services (AD FS) und Rights Management Services (AD RMS). Mit diesen Diensten bewältigt Active Directory zahlreiche wichtige Aufgaben beim Verwalten des Verzeichnisses.
- Lightweight Directory Services hat dieselbe Codebasis wie AD DS und teilt sich einige Fähigkeiten, zum Beispiel die API. AD LDS kann jedoch in mehreren Instanzen auf einem Server ausgeführt werden und lagert über das Lightweight Directory Access Protocol Verzeichnisdaten in einem Datenspeicher.
- Lightweight Directory Access Protocol ist ein Anwendungsprotokoll, das dazu dient, auf Verzeichnisdienste über ein Netzwerk zuzugreifen und diese zu verwalten. LDAP speichert Objekte wie Benutzernamen und Kennwörter in Verzeichnisdiensten wie Active Directory und gibt diese Objektdaten im gesamten Netzwerk frei.
- Certificate Services generiert, verwaltet und teilt Zertifikate. Ein Zertifikat verwendet eine Verschlüsselung, um einem Benutzer den sicheren Austausch von Informationen über das Internet mit einem öffentlichen Schlüssel zu ermöglichen.
- Active Directory Federation Services authentifiziert den Benutzerzugriff auf mehrere Anwendungen – sogar in verschiedenen Netzwerken – mit Single Sign-On (SSO). Wie der Name schon sagt, muss sich der Benutzer bei SSO nur einmal anmelden, statt für jeden Dienst mehrere dedizierte Authentifizierungsschlüssel zu verwenden.
- Rights Management Services steuern Informationsrechte und deren Verwaltung. AD RMS verschlüsselt Inhalte wie E-Mails oder Microsoft-Word-Dokumente auf einem Server, um den Zugriff einzuschränken.
Wichtige Funktionen der Active Directory-Domänendienste
Active Directory Domain Services verwendet eine abgestufte Layoutstruktur bestehend aus Domänen, Bäumen und Gesamtstrukturen, um vernetzte Elemente zu koordinieren.
Domänen sind die kleinsten der Hauptebenen, während Wälder (Forests) die größten sind. Verschiedene Objekte wie Benutzer und Geräte, die dieselbe Datenbank verwenden, befinden sich in derselben Domäne. Ein Baum besteht aus einer oder mehreren Domänen, die in eine hierarchische Vertrauensstruktur sortiert sind. Ein Wald ist eine Gruppe von mehreren vernetzten Bäumen. Gesamtstrukturen bieten Sicherheitsgrenzen, während innerhalb der Domänen – die eine gemeinsame Datenbank teilen –Einstellungen wie Authentifizierung und Verschlüsselung verwaltet werden können.
- Eine Domäne ist eine Gruppe von Objekten wie Benutzern oder Geräten, die dieselbe AD-Datenbank verwenden. Domains haben ein Domainnamensystem (DNS).
- Ein Baum besteht aus einer oder mehreren Domänen, die zusammen gruppiert sind. Die Baumstruktur beschreibt einen zusammenhängenden Namensraum, um die Sammlung von Domänen in einer logischen Hierarchie zu ordnen. Bäume können als Vertrauensbeziehungen angesehen werden, da zwischen den Domänen eine sichere Verbindung geteilt wird. Domänen können weiteren Domänen vertrauen, sodass ein Netzwerk von Vertrauensstrukturen über mehrere Domänen hinweg entsteht. Aufgrund der hierarchischen Natur dieses Setups kann die erste Domäne der dritten Domäne implizit vertrauen, ohne dass explizites Vertrauen erforderlich ist.
- Ein Wald ist eine Gruppe von mehreren Bäumen. Eine Gesamtstruktur besteht aus freigegebenen Katalogen, Verzeichnisschemata, Anwendungsinformationen und Domänenkonfigurationen. Das Schema definiert die Klasse und Attribute eines Objekts in einer Gesamtstruktur. Darüber hinaus bieten globale Katalogserver eine Liste aller Objekte in einer Gesamtstruktur. Laut Microsoft ist die Gesamtstruktur die Sicherheitsgrenze von Active Directory.
- Organisationseinheiten (OUs) organisieren Benutzer, Gruppen und Geräte. Jede Domäne kann ihre eigene OU enthalten. OUs können jedoch keine separaten Namespaces haben, da jeder Benutzer oder jedes Objekt in einer Domäne eindeutig sein muss. Beispielsweise können keine zwei Benutzerkonten mit demselben Benutzernamen existieren.
- Container ähneln Organisationseinheiten, aber Gruppenrichtlinienobjekte lassen sich nicht auf Containerobjekte anwenden oder mit diesen verknüpfen.
Trust-Terminologie
Active Directory ist auf Vertrauensbeziehungen (Trust) angewiesen, um die Zugriffsrechte von Ressourcen zwischen Domänen zu moderieren. Es gibt verschiedene Arten von Trusts:
- Eine unidirektionale Vertrauensbeziehung liegt vor, wenn eine erste Domäne Benutzern in einer zweiten Domäne Zugriffsrechte gewährt. Die zweite Domäne lässt jedoch keinen Zugriff durch Benutzer der ersten Domäne zu.
- Eine bidirektionale Vertrauensbeziehung liegt vor, wenn Benutzer von zwei Domänen jeweils Zugriff auf die andere Domäne haben.
- Eine vertrauenswürdige Domäne (trusted Domain) ist eine Domäne, die Benutzerzugriff auf eine andere Domäne hat, die als vertrauende Domäne (trusting Domain) bezeichnet wird.
- Eine transitive Vertrauensbeziehung erstreckt sich über eine Domäne hinüber auf eine dritte oder weitere vertrauenswürdige Domänen innerhalb einer Gesamtstruktur.
- Eine intransitive Vertrauensstellung ist eine unidirektionale Vertrauensbeziehung, die auf zwei Domänen beschränkt ist.
- Eine explizite Vertrauensbeziehung ist eine unidirektionale, nicht transitive Vertrauensstellung, die ein Netzwerkadministrator erstellt hat.
- Ein Cross-Link-Trust ist eine spezielle Form der expliziten Vertrauensbeziehung. Cross-Link-Trusts finden zwischen Domänen innerhalb desselben Baums statt, ohne dass eine Kind-Eltern-Beziehung zwischen den beiden Domänen besteht, oder zwischen Domänen unterschiedlicher Bäume.
- Eine Gesamtstruktur- Cross-Link-Trust gilt für Domänen innerhalb der gesamten Gesamtstruktur und kann unidirektional, bidirektional oder transitiv sein.
- Eine Verknüpfung verbindet zwei Domänen, die zu separaten Bäumen gehören. Verknüpfungen können unidirektional, bidirektional oder transitiv sein.
- Ein Realm ist der durch transitive, intransitive, einseitige oder wechselseitige Vertrauensbeziehungen verbunden ist.
- Eine externe Vertrauensbeziehung verknüpft Domänen in separaten Gesamtstrukturen oder Nicht-AD-Domänen. Externe Vertrauensbeziehung können intransitiv, unidirektional oder bidirektional sein.
- Eine Private-Access-Management- Vertrauensbeziehung (PAM) ist eine unidirektionale Vertrauensstellung, die von Microsoft Identity Manager zwischen einer Produktionsgesamtstruktur und einer Bastion-Gesamtstruktur erstellt wird.
Geschichte und Entwicklung von Active Directory
Microsoft veröffentlichte Active Directory 1999 in der Vorschau und ein Jahr später die offizielle Version mit Windows 2000 Server. Microsoft hat mit jeder nachfolgenden Windows-Server-Version neue Funktionen entwickelt.
In Windows Server 2003 kamen Gesamtstrukturen dazu und der Möglichkeit, die Position von Domänen innerhalb von Gesamtstrukturen zu bearbeiten und zu ändern. Domänen auf Windows Server 2000 konnten neuere AD-Updates, die ab Server 2003 ausgeführt werden, nicht unterstützen.
Windows Server 2008 führte AD FS ein. Darüber hinaus hat Microsoft das Verzeichnis für die Domänenverwaltung in AD DS umbenannt, und AD wurde zu einem Oberbegriff für die unterstützten verzeichnisbasierten Dienste.
Mit Windows Server 2016 kamen wichtige Sicherheitsfunktionen hinzu und die Fähigkeit, AD-Umgebungen in Cloud- oder Hybrid-Cloud-Umgebungen zu migrieren. Zu den neuen Sicherheitsmechanismen gehörte auch PAM.
PAM überwacht den Zugriff auf ein Objekt, die Art des Zugriffs und die Aktionen des Benutzers. PAM führte Bastion AD Forests ein, um eine zusätzliche sichere und isolierte Forest-Umgebung bereitzustellen. Mit Windows Server 2016 wurde die Unterstützung für Windows Server 2003 eingestellt.
Im Dezember 2016 hat Microsoft Azure AD Connect veröffentlicht, um ein lokales Active-Directory-System mit Azure Active Directory (Azure AD) zu verbinden, so dass SSO auf Microsofts Cloud-Dienste wie Office 365 ausgeweitet wird. Azure AD Connect funktioniert mit Systemen, auf denen Windows Server 2008 ausgeführt wird, Windows Server 2012, Windows Server 2016 und Windows Server 2019.
Domänen versus Arbeitsgruppen
Arbeitsgruppe ist Microsofts Begriff für Windows-Rechner, die über ein Peer-to-Peer-Netzwerk verbunden sind. Arbeitsgruppen sind eine weitere Organisationseinheit für Windows-Computer in Netzwerken. Über sie können Maschinen die gemeinsame Nutzung von Dateien, Internetzugriff, Druckern und anderen Ressourcen über das Netzwerk herstellen. Peer-to-Peer-Netzwerke machen einen Server für die Authentifizierung überflüssig. Es gibt mehrere Unterschiede zwischen Domänen und Arbeitsgruppen:
- Domänen können im Gegensatz zu Arbeitsgruppen Computer aus verschiedenen lokalen Netzwerken hosten.
- Domänen können verwendet werden, um viel mehr Computer als Arbeitsgruppen zu hosten. Domänen können Tausende von Computern umfassen, im Gegensatz zu Arbeitsgruppen, deren Obergrenze normalerweise nahe 20 liegt.
- In Domänen ist mindestens ein Server ein Computer, der verwendet wird, um Berechtigungen und Sicherheitsfunktionen für jeden Computer innerhalb der Domäne zu steuern. In Arbeitsgruppen gibt es keinen Server und die Computer sind alle Peers.
- Domänenbenutzer benötigen im Gegensatz zu Arbeitsgruppen normalerweise Anmeldeinformationen wie Logins und Kennwörter.
Weitere Verzeichnisdienste
Andere Betriebssysteme benutzen jeweils ebenfalls ihre eigenen Verzeichnisdienste, die meist ähnliche Funktionen bieten. Andere versuchen sich als Alterantive zu AD positionieren und Administratoren können mit ihnen auch Windows-Geräte verwalten. Allerdings kommen in geschäftlichen Umgebungen alternative Verzeichnisdienste nur selten zum Einsatz.
Red Hat Directory Server verwaltet den Benutzerzugriff auf mehrere Systeme in Unix-Umgebungen. Ähnlich wie AD setzt Red Hat Directory Server eine Benutzer-ID und eine zertifikatbasierte Authentifizierung ein, um den Zugriff auf Daten im Verzeichnis einzuschränken.
Apache Directory ist ein Open-Source-Projekt, das komplett in Java geschrieben ist und auf jedem LDAP-Server funktioniert, einschließlich Systemen mit Windows, macOS und Linux. Apache Directory enthält einen Schemabrowser sowie einen LDAP-Editor und -Browser.
OpenLDAP ist ein Windows-basiertes Open-Source-LDAP-Verzeichnis. OpenLDAP ermöglicht Benutzern das Durchsuchen, Suchen und Bearbeiten von Objekten in einem LDAP-Server. Zu den OpenLDAP-Funktionen gehören das Kopieren, Verschieben und Löschen von Bäumen im Verzeichnis sowie Aktivieren von Schema-Browsing, Passwortverwaltung und LDAP-SSL-Unterstützung (Secure Sockets Layer).