Zum Inhalt springen

Startseite > Datenrettung Lexikon > Anfangsbuchstabe A > Active Directory

Active Directory Definition & Begriffserklärung

Active Directory (AD DS) – Verzeichnisdienst, Komponenten, Struktur und VerwaltungDer Microsoft Windows Server Verzeichnisdienst Active Directory wurde durch das Unternehmen Microsoft entwickelt und ist für die eindeutige Zuordnung und Verwaltung von Identitäten, Geräten, Ressourcen, Diensten und Richtlinien in Domänen zuständig. Er bildet die zentrale Instanz zur Abbildung von Beziehungen zwischen Benutzern, Gruppen, Computersystemen, Netzwerkanschlüssen und Standorten und stellt dem Server-Betriebssystem eine hochskalierbare, verlässliche Zuordnungsliste sowie Sicherheits- und Verwaltungsfunktionen zur Verfügung.

Neben dem Microsoft Server Betriebssystem Microsoft Windows Server unterstützen auch verschiedene Linux Distributionen und UNIX-Systeme eine Integration mit dem Active Directory Verzeichnisdienst – typischerweise über Samba (ab Version 4 auch als AD Domain Controller) sowie FOSS-basierte Netzwerke und Tools wie Winbind oder SSSD. Durch Netzwerke auf Basis von FOSS (Free/Libre Open Source Software) hat sich Active Directory über den Windows-Kosmos hinaus etabliert und ist auch in Bereichen wie Linux, UNIX und FreeBSD einsetzbar – sowohl für Authentifizierung als auch für zentrale Richtliniensteuerung.

Der Microsoft Windows Server Verzeichnisdienst Active Directory wird als Active Directory Domain Service (AD DS) bezeichnet. AD DS existiert seit Windows 2000 und wird als Rolle seit Windows Server 2008/2008 R2 klar umrissen. Unter Linux- und UNIX-Systemen wird Active Directory in Produktbeschreibungen häufig in Verbindung mit Samba oder als FOSS-Integration genannt. Zusätzlich hat sich im Cloud-Umfeld der zugehörige Identitätsdienst (heute als Microsoft Entra ID bezeichnet) etabliert, der in hybriden Szenarien eng mit AD DS zusammenarbeitet – die hier beschriebenen Inhalte beziehen sich jedoch auf den klassischen, lokalen Verzeichnisdienst.

Datenrettung zum Festpreis

Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.

Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!

100% kostenlose Analyse anfordern!

Einsatzgebiete von Active Directory

Der Verzeichnisdienst Microsoft Active Directory dient der zentralen Verwaltung und Strukturierung von Objekten wie Benutzern, Gruppen, Computerkonten, Druckern, Scannern, Netzwerkfreigaben, Servern, Diensten und organisatorischen Einheiten. Er ermöglicht konsistente Richtlinien, feingranulare Rechtevergabe und die Automatisierung wiederkehrender Abläufe.

  • Identitäts- und Zugriffsmanagement: Zentrale Authentifizierung (Kerberos/NTLM), Autorisierung über Gruppenmitgliedschaften, rollenbasierte Zugriffskontrolle (RBAC) und gezielte Delegation von Verwaltungsrechten.
  • Richtliniensteuerung (Group Policy): Einheitliche Konfiguration von Clients und Servern (Sicherheitsrichtlinien, Softwareverteilung, Skripte, Geräteeinschränkungen, BitLocker-Richtlinien, Firewall- und Browser-Settings).
  • Ressourcenverwaltung: Steuerung von Druckern, Freigaben, Netzlaufwerken und Anwendungen; Zuordnung nach Benutzer, Gruppe, Standort oder Gerät.
  • Compliance & Nachvollziehbarkeit: Protokollierung von An- und Abmeldungen, Änderungen an Objekten, zentrale Passwortregeln, fine-grained password policies und Richtlinien für Kontosperren.

Active Directory kann vom Administrator dazu genutzt werden, komplette Prozesse zu steuern und zu überwachen. Durch differenzierte Rechte, NTFS- und Freigabeberechtigungen, Gruppen und GPOs ist es möglich, einem Benutzer oder einer Gruppe Leserechte auf eine Datei zu erteilen, Bearbeitung und Speichern jedoch zu untersagen. Dieses Prinzip des Least Privilege reduziert Risiken und erhöht die Sicherheit.

Für Anwender und Gruppen lassen sich spezifische Attribute und Richtlinien definieren. Auch die Nutzung von Geräten und Hardwarekomponenten kann granular geregelt werden. Beispielsweise kann der Administrator den Zugriff auf Netzwerkdrucker erlauben, während Faxgeräte oder USB-Speichergeräte restriktiv behandelt werden. Mit Zielgruppenadressierung und WMI-Filtern lassen sich GPOs zielgerichtet verteilen.

Active Directorys Komponenten

Der Microsoft Active Directory Verzeichnisdienst basiert auf bewährten Protokollen und Diensten, die zusammen einen sicheren, performanten Betrieb gewährleisten:

  • Lightweight Directory Access Protocol (LDAP v3): Bereitstellung und Abfrage von Verzeichnisinformationen (Benutzer, Gruppen, Attribute, OU-Struktur). LDAP ist das zentrale Zugriffprotokoll für Verzeichnisabfragen.
  • Kerberos: Standard-Authentifizierungsprotokoll in Domänen (Ticket-basiert), bereitgestellt durch den Key Distribution Center (KDC). Es ermöglicht Single Sign-On und schützt Anmeldevorgänge kryptografisch.
  • NTLM (Legacy): Abwärtskompatibles Authentifizierungsverfahren für ältere Systeme und Sonderfälle; sollte aus Sicherheitsgründen möglichst minimiert werden.
  • DNS: Integraler Bestandteil von AD; Domänencontroller registrieren SRV- und A/AAAA-Einträge, Clients finden Dienste (z. B. KDC, LDAP) über DNS. Ohne korrektes DNS ist Active Directory nicht funktionsfähig.
  • SMB/CIFS: Zugriff auf Freigaben und das SYSVOL-Verzeichnis. Während CIFS historisch ist, wird heute vorwiegend SMB 2/3 mit moderner Verschlüsselung und Signierung verwendet.
  • SYSVOL & Replikation: Domänenweite Verteilung von Skripten und GPOs; moderne Umgebungen nutzen DFSR (Distributed File System Replication) statt des veralteten FRS.
  • Globaler Katalog (GC): Teilmenge aller Objekte im Forest zur beschleunigten Suche und gruppenübergreifenden Auflösung.
  • FSMO-Rollen: Flexible Single Master Operations (z. B. Schema-Master, Domänennamen-Master, RID-Master, PDC-Emulator, Infrastruktur-Master) stellen ordnungsgemäße Änderungen und Konsistenz sicher.

Diese Komponenten arbeiten eng zusammen: LDAP liefert die Objektdaten, Kerberos authentifiziert sicher, DNS findet die relevanten Dienste und SMB/SMB3 sorgt für Datei- und Richtlinienbereitstellung. Die Replikation zwischen Domänencontrollern hält alle Informationen konsistent.

Ressourcen

Über Active Directory werden Ressourcen wie Computer, Server, Drucker, USB-Geräte, Kameras und Scanner den Anwendern gezielt zugeteilt. Dies geschieht effizient und nachprüfbar über Gruppen, GPOs und Standortinformationen.

  • Best Practices für Zuweisungen: AGDLP/AGUDLP-Gruppenmodell, Trennung von Rollen und Berechtigungen, konsistente Namenskonventionen.
  • Automatisierung: Netzlaufwerk- und Druckerzuweisungen über Anmeldeskripte oder Gruppenrichtlinienpräferenzen; dynamische Zuweisung nach Standort, Abteilung oder Geräteeigenschaft.
  • Transparenz & Audit: Dokumentation der Berechtigungen, regelmäßige Rezertifizierungen und Rezertifizierungsprozesse, Protokollierung kritischer Änderungen.

Die Ressourcen können für jeden Benutzer und jede Gruppe spezifisch zugeteilt und mit Rechten versehen werden. So bleiben Netzwerke skalierbar und sicher – unabhängig davon, ob wenige Dutzend oder viele tausend Identitäten verwaltet werden.

Dienste

Neben physischen Ressourcen werden auch Dienste über Active Directory und die Administration zugewiesen. Dazu zählen u. a. Messaging, Zusammenarbeit und Anwendungszugriffe.

  • Kommunikationsdienste: E-Mail-Systeme, Chat, Collaboration und interne Messaging-Lösungen können via AD authentifizieren und autorisieren.
  • Infrastruktur-Dienste: Netzwerk-Policy-Server (RADIUS/NPS), Datei- und Druckdienste, Remotezugriff, Remotedesktop-Broker und Lizenzierung.
  • Anwendungszugriffe: Web- und Line-of-Business-Applikationen nutzen Kerberos/LDAP; optional föderierte Authentifizierung (z. B. über ADFS) für Single Sign-On über Domänengrenzen hinweg.

Rechte und Zugriffsoptionen werden für Benutzer und Gruppen granular konfiguriert. Durch standardisierte Prozesse entsteht eine kontrollierte, reproduzierbare Dienstbereitstellung.

Konten

Über die Kontenoption verwaltet der Administrator Teilnehmer in Benutzer-, Gruppen- und Computerkonten. Das erlaubt die zentrale Administration von Zugriffsrechten auf Dienste und Ressourcen – inklusive Lifecycle-Management vom Eintritt bis zum Austritt.

  • Benutzerkonten: Menschengebundene Identitäten mit Richtlinien, Passwortregeln und Anmeldeberechtigungen, optional mit fine-grained Vorgaben.
  • Gruppenkonten: Sicherheits- und Verteilergruppen strukturieren Berechtigungen; rollenbasierte Modelle vereinheitlichen Zugriffe.
  • Computerkonten: Repräsentieren Endpoints und Server, ermöglichen Richtlinienzuweisung und sichere Vertrauensbeziehungen.
  • Dienstkonten: Klassische Dienstkonten und gMSA (Group Managed Service Accounts) für sichere, automatisiert verwaltete Kennwörter.

Attribute können jederzeit vergeben und geändert werden. Ergänzend unterstützen Kontenrichtlinien Sperrungen, Ablaufzeiten, Smartcard-/Zertifikatsanmeldung und zentrale Passwortanforderungen.

Aufbau, Hierarchie und Strukturen von Active Directory

Die Gesamtstruktur von Active Directory wird als Forest (Wald) bezeichnet und umfasst alle Verzeichnisse, Objekte, Attribute, Regeln und Zugriffsrechte. Innerhalb des Forests existieren Trees (Bäume), die über vertrauenswürdige Beziehungen miteinander verbunden sind. Jede Domäne besitzt ihren eigenen DNS-Namespace, der die Objekte identifiziert und verwaltet.

  • Domänen: Administrative und sicherheitstechnische Grenzen; Grundlage für Richtlinien, Replikation und Vertrauensstellungen.
  • Organisationseinheiten (OUs): Logische Container zur Strukturierung von Benutzern, Gruppen, Computern; Basis für Delegation und GPO-Verknüpfung.
  • Standorte (Sites): Abbildung physischer Netzwerktopologien; optimierte Replikation und GPO-Zielsteuerung entsprechend IP-Subnetzen.
  • Vertrauensstellungen: Beziehungen zwischen Domänen und Forests (extern, Forest, Shortcut, transitive/non-transitive), um Ressourcen freizugeben.
  • Funktionsebenen: Domänen- und Forest-Funktionslevel bestimmen verfügbare Features (z. B. Recycle Bin, DFSR für SYSVOL); höhere Level setzen neuere Windows Server-Versionen voraus.

Server- und Computersysteme lassen sich in IP-Netze und Unternetze aufteilen und Standorten zuweisen. Dadurch werden Anmeldungen beschleunigt, Replikationslast reduziert und bandbreitenschonende Betriebsmodelle ermöglicht.

Datenbank

Der Microsoft Active Directory Verzeichnisdienst verwendet die ESE/ESENT-Engine (historisch auch als JET Blue bekannt), die u. a. auch bei Microsoft Exchange zum Einsatz kam. Die AD-Datenbank wird in der Datei NTDS.dit gespeichert, Transaktionslogs sorgen für Konsistenz. In dieser Datenbank können – abhängig von Seitengröße und Systemressourcen – theoretisch bis zu ca. 2 Milliarden Objekte abgelegt werden; die technische Obergrenze liegt bei bis zu 16 Terabyte. Praktische Größen sind deutlich niedriger und richten sich nach Design, Hardware und Pflege.

  • Wartung & Wiederherstellung: Online-/Offline-Defragmentierung, Sicherung über VSS, autoritative Wiederherstellung, AD-Papierkorb (Recycle Bin) für schnelle Objekt-Restores.
  • Replikation & Konsistenz: Mehrmeister-Replikation zwischen Domänencontrollern, Konfliktauflösung über USN/Versionierung, Schutz vor Divergenzen.
  • Virtualisierung: Unterstützung für virtualisierte Domänencontroller (GenerationID) und schreibgeschützte DCs (RODC) für Außenstandorte.

Eine kleine Ausnahme stellt die Verwendung von Active Directory unter Windows 2000 dar: Dort kam eine ESE98-Variante zum Einsatz, die jedoch kompatibel zur ESE/Jet-Blue-Familie ist.

Kompatibilität

Der Microsoft Active Directory Verzeichnisdienst arbeitet auf Microsoft Windows NT-basierten Betriebssystemen und wird heute vor allem mit modernen Windows Server-Versionen betrieben (z. B. 2012 R2, 2016, 2019, 2022 und der aktuellen Generation). Über den Einsatz des Samba-Serverdienstes ist Active Directory auch auf verschiedenen Linux-Derivaten und UNIX-Systemen verfügbar – inklusive der Option, Samba 4 als AD-Domänencontroller zu betreiben. Auch macOS kann sich über LDAP/Kerberos integrieren.

Ältere Microsoft-Betriebssysteme wie Windows XP, Windows Vista und Windows 7 konnten mit Active Directory arbeiten, erfordern jedoch passende Funktionslevel und sind im Produktivbetrieb aus Sicherheitsgründen nicht mehr empfohlen. Aktuelle Clients wie Windows 10 und Windows 11 unterstützen moderne Verschlüsselung und Sicherheitsstandards. Betriebssysteme der Serverlinie (u. a. Windows Server 2012 R2 bis 2022 und neuer) bieten verbesserte Sicherheitsfeatures, schnellere Replikation und erweiterte Richtlinien.

Mittlerweile kommt der Microsoft Active Directory Verzeichnisdienst vor allem in Kombination mit Microsoft Windows Server 2016/2019/2022 zum Einsatz und ermöglicht den Aufbau und die Kontrolle von großen Server- und Cloud-integrierten Plattformen mit vielen tausend Teilnehmern. Das Active Directory-Konzept überzeugt, weil es ein konsistentes Sicherheits- und Verwaltungsmodell „Out-of-the-Box“ bietet, ohne zwingende Zusatzmodule. Große Unternehmen, Behörden und Bildungseinrichtungen setzen auf AD DS – häufig in hybriden Szenarien – um Benutzer, Regeln, Zugriffe, Attribute und Dienste übergreifend zu steuern.

Zukunftsaussichten

Active Directory bleibt auch in neuen Windows-Versionen ein zentraler Baustein: Windows 11-Clients und Windows Server 2022 sowie die aktuelle Servergeneration unterstützen moderne Sicherheitsmechanismen (z. B. SMB-Signierung/Verschlüsselung, Kerberos-Erweiterungen, Härtung von NTLM, Credential Guard). In hybriden Umgebungen wird AD DS zunehmend mit Cloud-Identitäten kombiniert, während lokale Domänencontroller die Kontrolle sensibler Workloads behalten.

  • Sicherheit & Compliance: Zero-Trust-Ansätze, starke Authentifizierung (z. B. Smartcard/FIDO2), fein granulare Richtlinien und kontinuierliche Überwachung.
  • Verwaltbarkeit: Verbesserte Automatisierung, Gruppenrichtlinienweiterentwicklungen, präzisere Delegationsmodelle und erweiterte Diagnostik.
  • Interoperabilität: Stärkere Integration mit Linux/UNIX-Workloads, moderne Protokolle und zukunftssichere Kryptografie.

Durch die zusätzliche Unterstützung über das Samba-Projekt stehen Active Directory auch weiterhin alle Türen im Bereich der Linux-Distributionen und UNIX-Systeme offen. Die lokale AD-Architektur bleibt – neben Cloud-Diensten – die erste Wahl für versierte Anwender sowie System- und Netzwerkadministratoren, wenn es um Kontrolle, Compliance und nahtlose Integration kritischer Unternehmensprozesse geht.

Häufige Fragen und Antworten

Was ist Active Directory und wofür wird es verwendet?

Active Directory ist ein zentraler, hierarchischer Verzeichnisdienst von Microsoft zur Verwaltung von Identitäten (Benutzer, Gruppen, Computer) und Ressourcen (Drucker, Freigaben, Dienste) in einer Domäne oder einem Forest. Er ordnet Objekte eindeutig zu, regelt Authentifizierung und Autorisierung und stellt Richtlinien für Sicherheit und Konfiguration bereit.

  • Hauptaufgaben: Identitätsverwaltung, zentrale Anmeldung, Gruppenrichtlinien, Rechte- und Rollenvergabe, Auditing.
  • Nutzen: Einheitliche Administration, hohe Skalierbarkeit, erhöhte Sicherheit und Nachvollziehbarkeit im gesamten Netzwerk.
  • Einsatz: Von kleinen Umgebungen bis zu sehr großen Organisationen mit vielen Standorten und tausenden Benutzern.

Durch Active Directory können Telefonnummern bzw. Kontaktdaten, Namen von Anschlussinhabern, Netzwerkanschlüsse und Computersysteme bzw. ihre Konten objektscharf zugeordnet und verwaltet werden.

Welche Komponenten hat Active Directory?

Active Directory besteht im Kern aus LDAP für Verzeichnisabfragen, Kerberos als primärem Authentifizierungsprotokoll, DNS für die Dienstauffindung und SMB/CIFS für Datei- und Richtlinienbereitstellung (SYSVOL). Ergänzend existieren Dienste wie der Globale Katalog (GC), die Replikationsmechanismen (z. B. DFSR), sowie FSMO-Rollen zur geordneten Durchführung spezieller Änderungen. NTLM dient nur noch der Abwärtskompatibilität.

  • LDAP: Abfrage und Änderung von Objektdaten und Attributen.
  • Kerberos: Sichere, Ticket-basierte Anmeldung (Single Sign-On).
  • DNS: Namensauflösung, Service-Lokalisierung (SRV-Records).
  • SMB/SMB3: Zugriff auf Freigaben und das SYSVOL.
  • GC/FSMO: Beschleunigte Suche und konsistente Änderungsprozesse.
Welche Einsatzgebiete hat Active Directory?

Active Directory strukturiert Geräte (Drucker, Scanner, Faxgeräte), Benutzer, Gruppen, Computer, Dienste, Server und Dateifreigaben. Es ermöglicht die Kontrolle von Abläufen, die Zuweisung spezifischer Rechte und die Umsetzung von Sicherheits- und Konfigurationsrichtlinien.

  • Zugriffskontrolle: Lesende, schreibende oder administrativen Zugriff fein granular zuweisen.
  • GPO-gestützte Verwaltung: Standardisierte Client- und Serverkonfigurationen ausrollen.
  • Gerätesteuerung: Nutzung von Hardware (z. B. Drucker) erlauben oder einschränken.

So werden Arbeitsplätze konsistent konfiguriert, Compliance-Anforderungen erfüllt und der Administrationsaufwand spürbar reduziert.

Wie funktioniert die Hierarchie und Struktur von Active Directory?

Active Directory ist in einer Gesamtstruktur namens „Forest“ organisiert. Darin befinden sich eine oder mehrere Domänen, die wiederum in „Trees“ (zusammenhängende Namensräume) angeordnet sein können. Unterhalb der Domänen strukturieren Organisationseinheiten (OUs) die Objekte und dienen als Bindeglied für Delegation und GPOs. Das DNS verwaltet die Namensräume und macht Dienste auffindbar.

  • Forest/Tree: Übergreifende Struktur und Namensräume.
  • Domänen: Sicherheitsgrenzen, Verwaltungseinheiten.
  • OUs: Logische Container für Delegation und Richtlinien.
  • Sites: Abbildung physischer Netzwerke für effiziente Replikation.

Server- und Computersysteme können unterschiedlichen IP-Netzen zugewiesen und Standorten (Sites) zugeordnet werden, um Anmeldezeiten und Replikation zu optimieren.

Welche Kompatibilität hat Active Directory?

Active Directory ist auf Windows Server-basierten Betriebssystemen verfügbar und wird von aktuellen Versionen (z. B. 2016, 2019, 2022 und neuer) voll unterstützt. Linux/UNIX-Systeme können über Samba integriert werden – bis hin zum Betrieb eines AD-kompatiblen Samba-4-Domänencontrollers. Ältere Windows-Clients (XP, Vista, 7) waren kompatibel, moderne Umgebungen setzen jedoch auf Windows 10/11.

  • Windows Server: Umfangreiche AD-Funktionen und Sicherheitsfeatures.
  • Linux/UNIX: Integration via Samba, Winbind/SSSD.
  • macOS: LDAP/Kerberos-Bindings für Anmeldung und Ressourcen.

Windows 2000 nutzte eine ESE98-basierte Datenbankvariante, die kompatibel zur Jet/ESE-Familie ist. Heutige Implementierungen profitieren von erweiterten Sicherheits- und Replikationsmechanismen.

Quelle für Ihr Zitat: Obenstehende Definition darf in kommerziellen und nicht kommerziellen Publikationen (somit auch in Hausarbeiten, Foren, Social Media Seiten) ohne Rückfrage zitiert werden. Kopieren Sie einfach den nachfolgenden Link für Ihr Zitat:

https://www.it-service24.com/lexikon/a/active-directory/

Bildnachweis: iStock.com/adventtr

Sie können entspannt sein.
Wir retten Ihre Daten.

Sie können entspannt sein. Wir retten Ihre Daten.
100% kostenlose Analyse!

Senden Sie uns jetzt Ihre unverbindliche Anfrage: Sie erhalten eine kostenlose Analyse und ein unverbindliches Angebot zur Datenrettung mit Festpreisgarantie.

Ihre Daten werden gemäß Datenschutzerklärung verarbeitet, um Ihre Anfrage bearbeiten zu können.
Wir helfen Ihnen gerne!

Häufige Fragen
und Antworten

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung:
» Kontakt

Folgende Artikel könnten Sie ebenfalls interessieren:

Related Posts