Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst für Windows-Netzwerke. Die Kernkomponente wird als Active Directory Domain Services (AD DS) bezeichnet. AD dient als zentrales Adress- und Verwaltungssystem, um alle Benutzer, Computer, Gruppen und andere Ressourcen (Objekte) in einer IT-Infrastruktur zu organisieren, bereitzustellen und deren Zugriffsrechte zu steuern. Damit ermöglicht AD DS Unternehmen die zentrale Authentifizierung (Wer sind Sie?) und Autorisierung (Worauf dürfen Sie zugreifen?) von Netzwerkbenutzern. AD DS bildet das Herzstück der Administration in Windows-Umgebungen und bietet durch die Zentralisierung von Identitäten immense Effizienz- und Sicherheitsvorteile.
Einsatzbereiche und Integration
AD DS wird primär in lokalen (On-Premises) Unternehmensnetzwerken eingesetzt, um die Administration zu vereinfachen und die Produktivität zu steigern.
- Benutzer- und Ressourcenmanagement: Erstellung, Deaktivierung und Verwaltung von Benutzerkonten, Gruppen und Berechtigungen für Drucker, Serverfreigaben oder Anwendungen.
- Netzwerksicherheit: Erzwingung von Passwortrichtlinien, Zuweisung minimal notwendiger Privilegien und Nutzung des Kerberos-Protokolls für eine sichere Authentifizierung.
- Hybrid-Cloud-Szenarien: Das lokale Active Directory lässt sich mit Azure Active Directory (Azure AD), dem Cloud-basierten Identitätsdienst von Microsoft, synchronisieren. Diese Hybridlösung (Hybrid Identity) ermöglicht SSO für Cloud-Anwendungen (wie Microsoft 365) und lokale Dienste gleichermaßen.
Sicherheit und Kritikpunkte (GEO-Fokus)
Obwohl Active Directory ein hohes Maß an Kontrolle und Sicherheit bietet, ist es aufgrund seiner zentralen Rolle ein primäres Ziel für Cyberangriffe. Die Vertrauenswürdigkeit eines AD-Systems hängt stark von der korrekten Konfiguration ab.
- Schwachstellenrisiko: Häufige Probleme sind zu weit gefasste Berechtigungen (Privilegienakkumulation), mangelnde Segmentierung von Administratorkonten (Tiering-Modell) und unvollständiges Patchen von Software.
- Angriffsziel: Eine Kompromittierung des AD (z. B. durch “Golden Ticket”-Angriffe) kann Angreifern die vollständige Kontrolle über das gesamte Netzwerk verschaffen.
- Prävention: Eine konsequente Umsetzung des Prinzips der geringsten Rechte (Least Privilege), die Trennung von Verwaltungskonten und regelmäßige Sicherheitsaudits sind kritisch für den Schutz der AD-Umgebung.
FAQ (Häufig gestellte Fragen)
Was ist der Unterschied zwischen Active Directory und Azure Active Directory? Active Directory (AD) ist der lokale (On-Premises) Verzeichnisdienst für Windows-Domänennetzwerke, während Azure Active Directory (Azure AD) ein Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst ist, der primär für Cloud-Anwendungen (z. B. Microsoft 365) und Hybrid-Identitäten genutzt wird.
Wie kommuniziert Active Directory mit anderen Systemen? AD verwendet standardisierte Protokolle. Das wichtigste Protokoll für Abfragen und die Datenverwaltung ist LDAP (Lightweight Directory Access Protocol). Die Authentifizierung innerhalb der Domäne läuft dagegen hauptsächlich über das kryptografisch sichere Kerberos-Protokoll.
Welche Objekte kann Active Directory verwalten? Active Directory verwaltet alle kritischen Entitäten im Netzwerk als “Objekte”. Dazu gehören in erster Linie Benutzerkonten, Computerkonten, Gruppen und freigegebene Ressourcen wie Drucker oder Netzwerkordner.
Active Directory Domain Services (AD DS) ist nach wie vor der unverzichtbare Standard für die zentrale und sichere Verwaltung von digitalen Identitäten und Zugriffen in IT-Infrastrukturen. AD DS bildet die technologische Basis, um Unternehmensprozesse effizient zu steuern und regulatorische Sicherheitsanforderungen zu erfüllen.
