Active Directory

Active Directory (AD) ist der Verzeichnis- und Identitätsverwaltungsdienst von Microsoft für Windows-Domänennetzwerke. Es wurde in Windows 2000 eingeführt, ist in den meisten MS Windows Server-Betriebssystemen enthalten und wird von einer Vielzahl von Microsoft-Lösungen wie Exchange Server und SharePoint Server sowie Anwendungen und Diensten von Drittanbietern verwendet.

AD besteht aus einer Reihe verschiedener Verzeichnisdienste, darunter:

  • Active Directory-Domänendienste (AD DS) – der zentrale Active Directory-Dienst zur Verwaltung von Benutzern und Ressourcen.
  • Active Directory Lightweight Directory Services (AD LDS) – eine Low-Overhead-Version von AD DS für verzeichnisfähige Anwendungen.
  • Active Directory Certificate Services (AD CS) – zum Ausstellen und Verwalten digitaler Sicherheitszertifikate.
  • Active Directory Federation Services (AD FS) – für die gemeinsame Nutzung von Identitäts- und Zugriffsverwaltungsinformationen zwischen Organisationen und Unternehmen.
  • Active Directory Rights Management Services (AD RMS) – für die Verwaltung von Informationsrechten (Kontrolle der Zugriffsberechtigungen auf Dokumente, Arbeitsmappen, Präsentationen usw.)

Zu den grundlegenden Anzeigenfunktionen und -funktionen gehören:

  • Ein Schema, das die Klassen von Objekten und Attributen definiert, die im Verzeichnis enthalten sind.
  • Ein globaler Katalog, der detaillierte Informationen zu jedem Objekt im Verzeichnis enthält.
  • Ein Abfrage- und Indexmechanismus, mit dem Benutzer, Administratoren und Anwendungen Verzeichnisinformationen effizient finden können.
  • Ein Replikationsdienst, der Verzeichnisdaten über das Netzwerk verteilt.

Das Active Directory-Schema unterstützt verschiedene Objekttypen wie Benutzer, Gruppe, Kontakt, Computer, freigegebener Ordner, Drucker und Organisationseinheit sowie eine Reihe beschreibender Attribute für jedes Objekt. Zu den Benutzerobjektattributen gehören beispielsweise Informationen wie Name, Adresse und Telefonnummer des Benutzers.

Active Directory verwendet andere Sicherheits- und Netzwerkprotokolle, darunter LDAP (Lightweight Directory Access Protocol), DNS (Domain Name System) und die Microsoft-Version des Kerberos-Authentifizierungsprotokolls.

Übersicht der AD-Domänendienste

Active Directory-Domänendienste ist der primäre Active Directory-Dienst. Es wird verwendet, um Benutzer zu authentifizieren und den Zugriff auf Netzwerkressourcen zu steuern. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Die meisten Windows-Domänennetzwerke verfügen über zwei oder mehr Domänencontroller; ein primärer Domänencontroller und ein oder mehrere Backup-Domänencontroller für Ausfallsicherheit. Während der Anmeldung authentifizieren sich Benutzer bei einem Domänencontroller und erhalten Zugriff auf bestimmte Ressourcen basierend auf administrativ definierten Richtlinien.

AD-Datenstrukturen

Active Directory speichert Informationen über Netzwerkbenutzer (Namen, Telefonnummern, Kennwörter usw.) und Ressourcen (Server, Speichervolumes, Drucker, etc.) in einer hierarchischen Struktur, die aus Domänen, Bäumen und Wäldern besteht.

  • Eine Domäne ist eine Sammlung von Objekten (z. b. Benutzer, Geräte), die dieselbe Active Directory-Datenbank verwenden. Eine Domain wird durch einen DNS-Namen wie company.com .
  • Ein Baum ist eine Sammlung von einer oder mehreren Domänen mit einem zusammenhängenden Namespace (sie haben einen gemeinsamen DNS-Stammnamen wie marketing.company.com, engineering.company.com, und sales.company.com ).
  • Eine Gesamtstruktur ist eine Sammlung von einem oder mehreren Bäumen, die ein gemeinsames Schema, einen globalen Katalog und eine Verzeichniskonfiguration gemeinsam haben, aber nicht Teil eines zusammenhängenden Namespace sind. Die Gesamtstruktur dient normalerweise als Sicherheitsgrenze für ein Unternehmensnetzwerk.

Objekte innerhalb einer Domäne können in Organisationseinheiten (OUs) gruppiert werden, um die Verwaltung und Richtlinienverwaltung zu vereinfachen. Administratoren können beliebige Organisationseinheiten erstellen, um funktionale, geografische oder geschäftliche Strukturen zu spiegeln, und dann Gruppenrichtlinien auf Organisationseinheiten anwenden, um die Verwaltung zu vereinfachen. Organisationseinheiten erleichtern auch das Delegieren der Kontrolle über Ressourcen an verschiedene Administratoren.

AD-Vorteile

Active Directory bietet eine Vielzahl von funktionalen und geschäftlichen Vorteilen, darunter:

  • Sicherheit – Mit Active Directory können Unternehmen die Sicherheit verbessern, indem sie den Zugriff auf Netzwerkressourcen steuern.
  • Erweiterbarkeit – Unternehmen können Active Directory-Daten einfach organisieren, um sie an ihre Organisationsstruktur und Geschäftsanforderungen anzupassen.
  • Einfachheit – Administratoren können Benutzeridentitäten und Zugriffsberechtigungen im gesamten Unternehmen zentral verwalten und so die Verwaltung vereinfachen und die Betriebskosten senken.
  • Ausfallsicherheit – Active Directory unterstützt redundante Komponenten und Datenreplikation, um hohe Verfügbarkeit und Geschäftskontinuität zu ermöglichen.

Beziehung zu Azure Active Directory

Azure Active Directory ist Microsofts cloudbasierte Identitätsmanagementlösung der nächsten Generation, mit der der Zugriff auf SaaS-Lösungen wie Microsoft 365 (Office 365), intern entwickelte Cloud-Apps, die auf Azure ausgeführt werden, sowie herkömmliche Unternehmensanwendungen und andere lokale Ressourcen gesteuert werden. Es bietet unter anderem Unterstützung für Just-in-Time-Zugriffskontrollen, Multi-Faktor-Authentifizierung und passwortlose Technologien, native Verwaltung mobiler Geräte und Identitätsverbundstandards wie SAML und Oauth2.

CyberArk Identity lässt sich sowohl in Active Directory als auch in Azure AD integrieren und ermöglicht Ihnen die Bereitstellung von Single Sign-On-, Multi-Faktor-Authentifizierung- und Lifecycle-Management-Funktionen für Benutzer, die in diesen Verzeichnissen gespeichert sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.