Active Directory Domain Services (AD DS) ist nichts anderes als eine Kernfunktion in Microsofts Active Directory, durch die Benutzer ein zentralisiertes, gut integriertes und skalierbares Windows-Netzwerk aufbauen können.

Systemadministratoren können Anwendungsdaten und Ressourceninformationen in einer systematischen Hierarchiestruktur speichern, überwachen und verwalten. Diese logische Struktur umfasst die AD-Forest, ihre Domänen und ihre jeweiligen Organisationseinheiten (OUs).

Admins können die Benutzer und Computer eines Netzwerks effizient verwalten und in einer verteilten Datenbank organisieren. Darüber hinaus bietet AD DS auch Sicherheitsintegrationen wie die Beschränkung des Zugriffs auf Verzeichnisressourcen, SSO, LDAP, die Autorisierung von Anmeldungen, Sicherheitszertifikate und Rechteverwaltung.

Um AD DS besser zu verstehen, sollten wir uns zunächst eingehend mit IAM (Identity and Access Management) beschäftigen.

Was ist IAM?

Die Einführung des LDAP-Protokolls hat die IAM-Branche auf den Kopf gestellt, denn es diente zwei Giganten, nämlich

OpenLDAP und Microsoft Active Directory, sowie weiteren kleineren Lösungen. Beide Lösungen wurden bei Unternehmen auf der ganzen Welt als zuverlässige Identitätsprovider beliebt.

Was genau macht ein Identitätsprovider?

Identitätsprovider haben die Aufgabe, einen gut integrierten zentralen Speicher für die Benutzer und Daten eines Unternehmens zu schaffen.

Im IdP werden alle Benutzerkonten zusammen mit Ressourceninformationen sicher gespeichert. Die Ressourcen sind mit den Benutzeridentitäten verknüpft, die sie nutzen.

Nicht nur das, die Ressourcen wie Netzwerke, Anwendungen, Systeme usw. sind auch für einen bestimmten Benutzer auf der Grundlage seiner Rolle eingeschränkt.

Für Active Directory Domain Services wurde dieser Prozess für Windows-basierte Netzwerke und Ressourcen durchgeführt. Wenn sich ein Benutzer an seinem Computer anmeldet, bietet das AD DS Zugriff auf die Ressourcen, die der Benutzer benötigt und für deren Nutzung er authentifiziert ist.

Was ist Active Directory?

Active Directory ist eine Technologie von Microsoft, die im Windows Server-Bereich verwendet wird. Es ist eine logische Hierarchiestruktur, die in der Lage ist, Datenbankinformationen gemeinsam zu nutzen, um Geräte- und Netzwerkressourcen zu sichern, zu verwalten und leicht aufzufinden.

Es bietet nicht nur umfassende Autorisierungs- und Authentifizierungs-Kernfunktionen, sondern stellt auch einen Rahmen für zahlreiche andere Dienste bereit. AD nutzt das Betriebssystem von Windows-Servern und ist selbst eine LDAP-Datenbank, die vernetzte Elemente enthält.

Um Verzeichnisdienste für große, komplexe Umgebungen anzubieten, wurde Active Directory in Windows 2000 eingeführt.

Die erste und wichtigste Aufgabe von AD ist die Authentifizierung von Benutzern im Domänennetzwerk. AD speichert Objekte wie Computer, Gruppen, Dateifreigaben, Dateiberechtigungen, Drucker und Gruppenrichtlinien.

Außerdem zentralisiert es Sicherheitselemente, da alle Benutzerkonten und ihre jeweiligen Kennwörter an einem einzigen Ort gespeichert werden.

IT-Administratoren können Benutzer erstellen, einschränken oder entfernen, Gruppenrichtlinien einrichten und sogar Benutzern erlauben, ihre Kennwörter zu ändern. All diese Funktionen bestimmen, wie Benutzer in der Domänenumgebung interagieren.

Kurz gesagt, AD DS ist ein gut integrierter, zentralisierter Rahmen für die Domänenverwaltung. Jede Domäne wird zu einem Element von Active Directory Forest, kann aber auch mehrere Domänen haben, die systematisch in logischen Einheiten organisiert sind.

Ohne AD müssen Administratoren auf jedem Computer lokale Benutzer anlegen und für jeden von ihnen die Passwörter auf dem PC zurücksetzen.

Typen von Active Directory-Objekten:

Active Directory-Objekte können in zwei Typen unterschieden werden:

  • Container-Objekte
    Dies sind die Hauptobjekte, die auch aus anderen Objekten wie Domänen, Wäldern, Bäumen und Organisationseinheiten bestehen.
  • Blattobjekte
    Diese Objekte enthalten keine anderen Objekte in sich, z. B. Computer, Drucker, Peripheriegeräte, Benutzer usw.

Schlüsselelemente der Active Directory-Domänendienste:

Die Active Directory-Domänendienste bestehen aus:

  • Globaler Katalog
    Besteht aus Informationen über Verzeichnisobjekte. Mit diesem können Systemadministratoren und Benutzer die Verzeichnisinformationen leicht finden, unabhängig davon, in welcher Domäne sie enthalten sind. Zum Beispiel Benutzernamen, Kontakte und so weiter.
  • Schema
    Ist ein Satz von Regeln, die Klassen von Objekten und ihre Eigenschaften, die im Verzeichnis gespeichert sind, zusammen mit dem Format ihrer Namen und den Grenzen für die Instanzen von Objekten definieren.
  • Abfrage- und Indexmechanismus, mit dessen Hilfe Netzwerkbenutzer Objekte und ihre Attribute im AD leicht veröffentlichen oder finden können.
  • Replikationsdienst beinhaltet die Verteilung von Verzeichnisdaten über ein Netzwerk. Diese Replikation wird von Domänencontrollern innerhalb einer Domäne durchgeführt, die jeweils eine Kopie der Verzeichnisdaten für ihre Domäne besitzen. Alle Änderungen an den Verzeichnisinformationen werden automatisch auf die Domänencontroller innerhalb einer Domäne repliziert, so dass sie denselben Katalog und dasselbe Schema haben. AD nutzt mehrere Domänencontroller aus Gründen der Fehlertoleranz, des Lastausgleichs und aus anderen wichtigen Gründen. Zu diesem Zweck muss jeder Domänencontroller innerhalb einer Domäne über eine Kopie seiner AD-Datenbank verfügen. An dieser Stelle kommt der Replikationsdienst ins Spiel. Beachten Sie, dass Domänencontroller aus verschiedenen Domänen sich nicht gegenseitig replizieren dürfen.
  • Standorte: Dies ist die Darstellung der Netzwerktopologie von Windows.
  • Lightweight Directory Access Protocol (LDAP): LDAP ist ein Protokoll, das es dem AD ermöglicht, mit anderen LDAP-basierten Verzeichnisdiensten innerhalb des Netzwerks zu kommunizieren.

Welche Dienste sind in den Active Directory Domain Services enthalten?

AD DS besteht aus verschiedenen Diensten wie:

  • Domain Services:
    Dies sind Kerndienste, die die Datenzentralisierung handhaben, die Anmeldeauthentifizierung verwalten, Suchfunktionen und eine nahtlose Kommunikation zwischen Benutzern innerhalb einer Domäne ermöglichen.
  • Lightweight Directory Services:
    Diese Dienste bieten Unterstützung für verzeichnisfähige Anwendungen mit Hilfe des LDAP-Protokolls.
  • Rights Management:
    Bei dieser Funktion geht es um Informationsrechte wie die Einschränkung des Zugriffs auf persönliche Informationen von Benutzern und die Verschlüsselung vertraulicher Daten.
  • Directory Federation Services:
    DFS bietet den Benutzern SSO-Funktionalität (Single-Sign-On) für eine sichere Authentifizierung. Diese Funktion ist besonders hilfreich bei der Kommunikation mit mehreren Webanwendungen in einer einzigen Sitzung.
  • Certificate Services:
    Mit dieser Funktion können Sie Sicherheitszertifikate erstellen, freigeben und verwalten. Diese Zertifikate gewährleisten Sicherheit und Datenschutz, indem sie die über das Netzwerk gesendeten Daten verschlüsseln.

Rolle von Domänencontrollern in Active Directory-Domänendiensten:

Grundsätzlich ist ein Domänencontroller (DC) nichts anderes als ein Server im Windows-Netzwerk, der den Benutzerzugang zu Domänenressourcen ermöglicht. Sein Hauptziel ist es, Benutzer in einem Netzwerk auf der Grundlage ihrer Namen und Kennwörter zu autorisieren und zu authentifizieren.

Domänencontroller hostet AD DS sowie andere Dienste wie:

  • NetLogon:
    Sein Ziel ist es, die Anmeldeinformationen von Benutzern im Domänennetzwerk zu authentifizieren.
  • KDS:
    Kerberos Key Distribution Center ist ein Dienst, der zur Ausstellung, Authentifizierung und Verschlüsselung von Kerberos-Tickets verwendet wird. Er authentifiziert die Benutzer bei der Verwendung des Kerberos-Protokolls. Der Dienst umfasst TCS (Ticket Granting Server) und einen Authentifizierungsserver.
  • IsmServ (Intersite Messaging):
    Dieser Dienst unterstützt den Datenaustausch zwischen PCs in einer vernetzten Windows-Umgebung.
  • W32time-Dienst:
    Der Windows-Zeit- oder W32time-Dienst nutzt NTP (Network Time Protocol) zur Synchronisierung von Datum und Uhrzeit für alle PCs in einer vernetzten Domäne. Die Synchronisierung der Uhr auf den Computern ist wichtig, damit Kerberos richtig funktioniert.

Installation der Active Directory-Domänendienste

Lassen Sie uns eine kurze Anleitung sehen, wie man Active Directory-Domänendienste auf Windows Server installiert:

  • Öffnen Sie den Server-Manager: Drücken Sie das „Windows“-Symbol auf Ihrer Tastatur und geben Sie „Server Manager“ in das Suchfeld ein. Die Anwendung wird geöffnet.
  • Hinzufügen von Rollen und Funktionen: Klicken Sie im Fenster des Server-Managers mit der rechten Maustaste auf „Verwalten“ und wählen Sie die Option „Rollen und Funktionen hinzufügen“. Sobald sich der Assistent öffnet, klicken Sie auf „Weiter“.
  • Installationstyp auswählen: Wenn Sie auf „Weiter“ klicken, wird das Fenster „Installationstyp“ geöffnet, in dem Sie die Option „Rollenbasierte oder funktionsbasierte Installation“ auswählen müssen. Klicken Sie dann auf „Weiter“.
  • Serverauswahl: Hier kommt die „Serverauswahl“, klicken Sie auf den Server, auf dem Sie AD DS installieren möchten, und klicken Sie dann auf „Weiter“.
  • Server-Rollen: In diesem Fenster sehen Sie viele Optionen für „Rollen“. Klicken Sie auf „Active Directory Domain Services“.
  • Add Features: Gleich danach öffnet sich der Assistent „Rollen und Funktionen hinzufügen“. Klicken Sie auf die Schaltfläche „Features hinzufügen“ und dann auf „Weiter“.
  • Features auswählen: Sofort öffnet sich der Bereich „Select Features“. Klicken Sie einfach auf „Next“.
  • Installation von AD DS: Nun öffnet sich das Hauptfenster der AD DS-Installation, klicken Sie auf „Next“.
  • Confirmation Window: Im Bestätigungsfenster wird angezeigt, was alles auf dem Server installiert werden soll. Sobald Sie alles gelesen haben, klicken Sie auf „Installieren“.
  • Zu Domänencontroller erheben: Gehen Sie nach der Installation in den „Server Manager“ und Sie werden ein gelbes dreieckiges Benachrichtigungssymbol direkt neben der Registerkarte „Verwalten“ sehen. Klicken Sie darauf und wählen Sie „Promote this server to a domain controller“.
  • Add a New Forest: Dadurch wird der AD DS-Konfigurationsassistent geöffnet. Klicken Sie auf „Add a new forest“ und geben Sie den Stammdomänennamen Ihres Unternehmens ein und klicken Sie auf „Next“.
  • Domain Controller Options: Auf der nächsten Seite lassen Sie alle Standardkästchen aktiviert und geben Ihr DSRM-Passwort ein. Klicken Sie auf „Weiter“.
  • DNS-Optionen: Auf der Seite „DNS-Optionen“ wird möglicherweise oben eine Fehlermeldung angezeigt. Ignorieren Sie diese und klicken Sie auf „Weiter“.
  • NetBIOS-Domänenname: Hier können Sie den Domänennamen ändern oder den Standardnamen beibehalten. Klicken Sie auf „Weiter“.
  • Pfade: Behalten Sie die Standardpfade bei, und klicken Sie auf „Weiter“.
  • Auswahl überprüfen: Überprüfen Sie auf dieser Seite alle Optionen, die Sie bisher ausgewählt haben, und klicken Sie auf „Weiter“.
  • Voraussetzungen prüfen: In diesem Fenster werden alle Voraussetzungen vor der Installation von AD DS überprüft. Wenn Fehler auftauchen, sehen Sie sich die vorherigen Schritte an und beheben Sie diese. Klicken Sie auf „Installieren“.
    Nach dem Neustart des Servers können Sie sich mit dem DSRM-Kennwort, das Sie in Schritt 12 festgelegt haben, bei der Domäne anmelden.

Abschluss:

Active Directory Domain Services ist eine der besten Terminologien, die zur Verbesserung des Windows-Servers verwendet wird und ihn in Unternehmen hervorhebt.

Sie passt sich nahtlos an die meisten Microsoft-Lösungen an und erleichtert den Benutzern ihre Arbeit. Wenn Sie AD DS installieren, können Sie es einfach über das Active Directory Administrative Center verwalten. Ich hoffe, dass dieser Leitfaden für Sie aufschlussreich war!