Active Directory: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Keine Bearbeitungszusammenfassung
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(42 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Active Directory''' ('''AD''') ist ein Verzeichnisdienst der Firma Microsoft
 
== Beschreibung ==
== Beschreibung ==
== Installation ==
Seit Version [[Windows Server 2008]] werden fünf Rollen unterschieden
== Anwendungen ==
; Kernkomponente
=== Fehlerbehebung ===
'''Active Directory Domain Services''' ('''AD DS''')
== Syntax ==
 
=== Optionen ===
Bei einem solchen Verzeichnis ({{enS|directory}}) handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen (Besitzern) zuordnet.
=== Parameter ===
 
=== Umgebungsvariablen ===
Active Directory ermöglicht es
=== Exit-Status ===
* ein Netzwerk entsprechend der realen Struktur des Unternehmens oder
== Konfiguration ==
* seiner räumlichen Verteilung zu gliedern.
=== Dateien ===
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Entwurf]]
Dazu verwaltet es verschiedene Objekte in einem Netzwerk
*  wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, [[Dateifreigabe]]n und andere Geräte wie Drucker und Scanner und deren Eigenschaften.
* Mit Hilfe von Active Directory kann ein [[Administrator (Rolle)|Administrator]] die Informationen der Objekte organisieren, bereitstellen und überwachen.


Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden.
* So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.


= TMP: Wikipedia =
{|
{{Infobox Software
| Name = Windows Server Active Directory
| Name = Windows Server Active Directory
| Logo =
|-
| Screenshot =
| Beschreibung = <!-- Beschreibung des Screenshots! -->
| Maintainer =
| Hersteller = Microsoft
| Hersteller = Microsoft
| Management =
|-
| Erscheinungsjahr =
| AktuelleVersion =
| AktuelleVersionFreigabeDatum =
| AktuelleVorabVersion =
| AktuelleVorabVersionFreigabeDatum =
| Betriebssystem = Windows
| Betriebssystem = Windows
| Programmiersprache =
|-
| Kategorie =
| Lizenz =
| Deutsch =
| Website = [https://technet.microsoft.com/en-us/library/246aa651-6858-4dc9-aade-6806065d0ea2 Active Directory-Domänendienste]
| Website = [https://technet.microsoft.com/en-us/library/246aa651-6858-4dc9-aade-6806065d0ea2 Active Directory-Domänendienste]
| Dateien =  
|}
}}
 
== Komponenten ==
=== Lightweight Directory Access Protocol (LDAP) ===
[[Lightweight Directory Access Protocol]]
Das [[Lightweight Directory Access Protocol|LDAP]]-Protokoll ermöglicht es Computern, Anfragen auf eine einheitliche Weise an das Verzeichnis zu stellen, um beispielsweise Informationen über Benutzer und deren Gruppenzugehörigkeit zu erhalten.


'''Active Directory''' ('''AD''') heißt der [[Verzeichnisdienst]] von [[Microsoft Windows Server]], wobei ab der Version [[Windows Server 2008]] der Dienst in fünf Rollen untergliedert und deren Kernkomponente als '''Active Directory Domain Services''' ('''AD DS''') bezeichnet wird.
=== Kerberos-Protokoll ===
[[Kerberos (Protokoll)]]
[[Kerberos (Protokoll)|Kerberos]] ist ein Protokoll, mit welchem Benutzer auf einheitliche Weise zentral authentifiziert werden.
* Das ermöglicht ihnen dann den Zugriff auf verschiedene Server und Dienste innerhalb des Active Directory, ohne sich jeweils neu anmelden zu müssen ([[Single Sign-on]]).


Bei einem solchen Verzeichnis ({{enS|directory}}) handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen (Besitzern) zuordnet.
=== Server Message Block (SMB) ===
[[Server Message Block]]
Das [[Server Message Block|SMB]]-Protokoll ermöglicht den Zugriff auf Dateien, die sich auf einem Server im Netzwerk befinden.
* Damit kann Active Directory z.&nbsp;B.&nbsp;[[Group Policy Object|Gruppenrichtlinien]] und Anmeldeskripte für Client-Computer verfügbar machen.
 
=== Domain Name System (DNS) ===
[[Domain Name System]]
[[Domain Name System|DNS]] dient zur Übersetzung von Computernamen in IP-Adressen.
* Damit ist es möglich, jeden Computer innerhalb des Active Directory per Namen zu erreichen.
* Mittels [[SRV Resource Record|SRV-Ressourceneinträgen]] werden ferner die Dienste des Active Directory den Client-Computern bekannt gemacht.
 
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Page ===
=== Info-Pages ===
=== Literatur ===
* Ulf B.
* Simon-Weidner, Florian Frommherz: [https://www.it-administrator.de/kiosk/sonderhefte/80569/ ''Active Directory – Deployment, Administration und Troubleshooting''].
* Heinemann Verlag 2010, ISBN 978-3-941034-06-8.
* Carlo Westbrook: [https://www.certpro-press.de/9020.html ''Active Directory in Windows Server 2012 R2 – Planung und praktischer Einsatz in Windows-Netzwerken''].
* CertPro-PRESS 2016, ISBN 978-3-9447-4902-0.


Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, [[Dateifreigabe]]n und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein [[Administrator (Rolle)|Administrator]] die Informationen der Objekte organisieren, bereitstellen und überwachen.
== Siehe auch ==
* [[FSMO|Flexible single master operations]] – Bestimmte Operationen in Active Directory können nur auf besonders dafür vorgesehenen Servern, den Operations Masters, ausgeführt werden.
* '''Active Directory Services Interfaces''' ist eine [[Programmierschnittstelle]], die das Verwalten eines Active Directory auch ohne [[grafische Benutzeroberfläche]] ermöglicht.


Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.
== Links ==
=== Projekt ===
=== Weblinks ===
# {{Webarchiv | url=http://msadfaq.de/wiki/Main_Page | wayback=20090531090836 | text=Active Directory FAQ Wiki}}
# [http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_08_001.htm Kapitel "Active Directory Domain-Dienste"] im Buch "Windows Server 2008 R2" (Online lesbare [[OpenBook (Buch)|OpenBook]]-Ausgabe des im [[Galileo Press|Galileo-Press]]-Verlag erschienenen Werkes)
# [http://www.admin-magazin.de/Das-Heft/2011/05/Ueberblick-ueber-Active-Directory Überblick über Active Directory]


== Serverrollen ==
Seit Windows Server 2008 sind unter dem Begriff Active Directory fünf verschiedene Serverrollen zusammengefasst:<ref>{{cite web|title=Active Directory Services|publisher=Microsoft Corporation|url=http://technet.microsoft.com/en-us/library/dd578336(WS.10).aspx|date=2009-03-25|quote= Active Directory services include [...] (AD CS), [...] (AD DS), [...] (AD FS), [...] (AD LDS), and [...] (AD RMS)|accessdate = 2010-10-07}}</ref>


* Active Directory Domain Services (Active-Directory-Domain-Verzeichnisdienst, AD DS) ist die aktuelle Version des ursprünglichen Verzeichnisdienstes und der zentrale Punkt der [[Domain Controller|Domain]]- und Ressourcenverwaltung.
* Active Directory Lightweight Directory Services (Active-Directory-Lightweight-Verzeichnisdienst, ADLDS) ist eine funktional eingeschränkte Version des AD DS, die der Anbindung von Anwendungen oder Diensten, die [[LDAP]]-konforme Informationen aus dem Verzeichnis benötigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet.
* Active Directory Federation Services (Active-Directory-Verbunddienste, ADFS) dienen der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der AD-DS-Infrastruktur befinden.
* Active Directory Rights Management Services (Active-Directory-Rechteverwaltungsdienste, ADRMS) schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.
* Active Directory Certificate Services (Active-Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.


== Die vier Hauptkomponenten ==
=== Lightweight Directory Access Protocol (LDAP) ===
{{Hauptartikel|Lightweight Directory Access Protocol}}
Das [[Lightweight Directory Access Protocol|LDAP]]-Protokoll ermöglicht es Computern, Anfragen auf eine einheitliche Weise an das Verzeichnis zu stellen, um beispielsweise Informationen über Benutzer und deren Gruppenzugehörigkeit zu erhalten.


=== Kerberos-Protokoll ===
{{Hauptartikel|Kerberos (Protokoll)}}
[[Kerberos (Protokoll)|Kerberos]] ist ein Protokoll, mit welchem Benutzer auf einheitliche Weise zentral authentifiziert werden. Das ermöglicht ihnen dann den Zugriff auf verschiedene Server und Dienste innerhalb des Active Directory, ohne sich jeweils neu anmelden zu müssen ([[Single Sign-on]]).


=== Server Message Block (SMB) ===
{{Hauptartikel|Server Message Block}}
Das [[Server Message Block|SMB]]-Protokoll ermöglicht den Zugriff auf Dateien, die sich auf einem Server im Netzwerk befinden. Damit kann Active Directory z.&nbsp;B. [[Group Policy Object|Gruppenrichtlinien]] und Anmeldeskripte für Client-Computer verfügbar machen.


=== Domain Name System (DNS) ===
= TMP: Wikipedia =
{{Hauptartikel|Domain Name System}}
== Serverrollen ==
[[Domain Name System|DNS]] dient zur Übersetzung von Computernamen in IP-Adressen. Damit ist es möglich, jeden Computer innerhalb des Active Directory per Namen zu erreichen. Mittels [[SRV Resource Record|SRV-Ressourceneinträgen]] werden ferner die Dienste des Active Directory den Client-Computern bekannt gemacht.
siehe [[Active Directory:Serverrollen]]


== Aufbau ==
== Aufbau ==
=== Bestandteile ===
=== Bestandteile ===
Active Directory ist in drei Teile aufgegliedert: Schema, Konfiguration und Domain.
; Teile des Active Directory
* Schema
* Konfiguration
* Domain
 
; Ein Schema ist eine Schablone für alle Active-Directory-Einträge
* Es definiert sowohl Objekttypen, ihre Klassen und Attribute als auch ihre Attributsyntax.
* Welche Objekttypen in Active Directory verfügbar sind, lässt sich durch die Definition neuer Typen beeinflussen.
* Das dafür zugrundeliegende Muster ist das „Schema“, das die Objekte und ihre Attribute definiert.


* Ein Schema ist eine Schablone für alle Active-Directory-Einträge. Es definiert sowohl Objekttypen, ihre Klassen und Attribute als auch ihre Attributsyntax. Welche Objekttypen in Active Directory verfügbar sind, lässt sich durch die Definition neuer Typen beeinflussen. Das dafür zugrundeliegende Muster ist das „Schema“, das die Objekte und ihre Attribute definiert.
; Die Konfiguration beschreibt die Active-Directory-Gesamtstruktur und deren Bäume
* Die Konfiguration beschreibt die Active-Directory-Gesamtstruktur und deren Bäume.
* Die Domain enthält schließlich alle Informationen, die sie selbst und die in ihr erstellten Objekte beschreiben.
* Die Domain enthält schließlich alle Informationen, die sie selbst und die in ihr erstellten Objekte beschreiben.


Die ersten beiden Teile von Active Directory werden zwischen allen [[Domain Controller]]n der Gesamtstruktur repliziert, während die Domain-spezifischen Informationen grundsätzlich nur innerhalb der jeweiligen Domain, also auf ihren jeweiligen Domain Controllern, verfügbar sind. Deshalb existiert in jeder Domain zusätzlich ein sogenannter ''Globaler Katalog''. Er repräsentiert alle Informationen der eigenen Domain und enthält zusätzlich wichtige Teilinformationen der anderen Domain der Gesamtstruktur und ermöglicht damit z.&nbsp;B. Domain-übergreifende Suchoperationen.
Die ersten beiden Teile von Active Directory werden zwischen allen [[Domain Controller]]n der Gesamtstruktur repliziert, während die Domain-spezifischen Informationen grundsätzlich nur innerhalb der jeweiligen Domain, also auf ihren jeweiligen Domain Controllern, verfügbar sind.  
* Deshalb existiert in jeder Domain zusätzlich ein sogenannter ''Globaler Katalog''.  
* Er repräsentiert alle Informationen der eigenen Domain und enthält zusätzlich wichtige Teilinformationen der anderen Domain der Gesamtstruktur und ermöglicht damit z.&nbsp;B.&nbsp;Domain-übergreifende Suchoperationen.


=== Datenbank ===
=== Datenbank ===
Active Directory verwendet zur Speicherung der Informationen über die Netzwerkobjekte eine [[Microsoft Jet Engine|Jet (Blue)-Datenbank]], die [[Microsoft]] auch für den [[Exchange Server]] einsetzt. Sie ist [[Relationale Datenbank|relational]], transaktionsorientiert und benutzt ein „[[WAL-Prinzip|Write-Ahead-Logging]]“.
* Active Directory verwendet zur Speicherung der Informationen über die Netzwerkobjekte eine [[Microsoft Jet Engine|Jet (Blue)-Datenbank]], die [[Microsoft]] auch für den [[Exchange Server]] einsetzt.  
* Sie ist [[Relationale Datenbank|relational]], transaktionsorientiert und benutzt ein „[[WAL-Prinzip|Write-Ahead-Logging]]“.
Die Active-Directory-Datenbank ist auf 16&nbsp;Terabytes begrenzt und jeder Domain Controller kann bis zu 2&nbsp;Milliarden Objekte anlegen.
Die Active-Directory-Datenbank ist auf 16&nbsp;Terabytes begrenzt und jeder Domain Controller kann bis zu 2&nbsp;Milliarden Objekte anlegen.
 
* Die Datenbankdatei „NTDS.DIT“ enthält drei Haupttabellen: die „schema table“ zur Speicherung der Schemata, die „link table“ zur Speicherung der Objekt-Struktur und die „data table“ zur Speicherung der Daten.
Die Datenbankdatei „NTDS.DIT“ enthält drei Haupttabellen: die „schema table“ zur Speicherung der Schemata, die „link table“ zur Speicherung der Objekt-Struktur und die „data table“ zur Speicherung der Daten.
* ESE (extensible storage engine) ordnet die nach einem relationalen Modell abgespeicherten Active-Directory-Daten nach einem vorgegebenen Schema in einem hierarchischen Modell an.
 
* Unter Windows 2000 benutzt Active Directory die [[Jet-Engine|Jet]]-basierende ESE98-Datenbank.
ESE (extensible storage engine) ordnet die nach einem relationalen Modell abgespeicherten Active-Directory-Daten nach einem vorgegebenen Schema in einem hierarchischen Modell an.
 
Unter Windows 2000 benutzt Active Directory die [[Jet-Engine|Jet]]-basierende ESE98-Datenbank.


=== Objekte ===
=== Objekte ===
Im Gegensatz zum objektorientierten Verzeichnissystem [[eDirectory]] von [[NetIQ]] ist Active Directory eher als objektbasiert – und hierarchisch – zu bezeichnen.
* Im Gegensatz zum objektorientierten Verzeichnissystem [[eDirectory]] von [[NetIQ]] ist Active Directory eher als objektbasiert – und hierarchisch – zu bezeichnen.
 
* Die Datensätze in der Datenbank werden in Active Directory als „Objekte“ und deren Eigenschaften als „Attribute“ definiert.  
Die Datensätze in der Datenbank werden in Active Directory als „Objekte“ und deren Eigenschaften als „Attribute“ definiert. Die Attribute sind abhängig von ihrem Typ definiert. Objekte werden eindeutig über ihren Namen identifiziert.
** Die Attribute sind abhängig von ihrem Typ definiert.  
 
**  Objekte werden eindeutig über ihren Namen identifiziert.
Die Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinien-Objekten gespeichert. Diese sind ebenfalls Domains und Standorten zugeordnet.
* Die Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinien-Objekten gespeichert.  
**  Diese sind ebenfalls Domains und Standorten zugeordnet.


==== Objektkategorien ====
==== Objektkategorien ====
Zeile 137: Zeile 123:


==== Ablage in Containern (Organisationseinheiten) ====
==== Ablage in Containern (Organisationseinheiten) ====
Die möglicherweise bis zu vielen Millionen Objekte werden in Containern (Organisationseinheiten), auch OUs (Organizational Unit) genannt, abgelegt. Einige Container sind vordefiniert, beliebige weitere Organisationseinheiten können mit Subeinheiten (Unterorganisationseinheiten) erstellt werden. Als objektbasiertes System unterstützt Active Directory die Vererbung von Eigenschaften eines Objektcontainers an untergeordnete Objekte, die auch wieder Container sein können. Dadurch erlaubt es Active Directory, Netzwerke logisch und hierarchisch aufzubauen.
Die möglicherweise bis zu vielen Millionen Objekte werden in Containern (Organisationseinheiten), auch OUs (Organizational Unit) genannt, abgelegt.  
* Einige Container sind vordefiniert, beliebige weitere Organisationseinheiten können mit Subeinheiten (Unterorganisationseinheiten) erstellt werden.  
* Als objektbasiertes System unterstützt Active Directory die Vererbung von Eigenschaften eines Objektcontainers an untergeordnete Objekte, die auch wieder Container sein können.  
* Dadurch erlaubt es Active Directory, Netzwerke logisch und hierarchisch aufzubauen.


=== Hierarchie ===
=== Hierarchie ===
==== Gesamtstruktur (Forest) ====
==== Gesamtstruktur (Forest) ====
Der Verbund mehrerer zusammengehöriger Domains heißt im englischen Original „forest“, deutsch „Gesamtstruktur“. Die wichtigsten Informationen aller enthaltenen Domains sind zentral im Globalen Katalog abrufbar, außerdem benutzen alle Domains dasselbe Verzeichnis-Schema. Die Verwendung von Sicherheitsinformationen (z.&nbsp;B. Nutzer-Rechte/-Gruppen-Zuordnungen) sowie Schema-Erweiterungen sind so Domain-übergreifend möglich. Die Gesamtstruktur kann verschiedene ''Bäume'' (trees) enthalten, das sind jeweils Domains, die im selben DNS-Namensraum liegen (z.&nbsp;B. buchhaltung.meinefirma.de und meinefirma.de). Auch eine einzelne Domain bildet schon eine Gesamtstruktur, die später um weitere Domains ergänzt werden kann.
Der Verbund mehrerer zusammengehöriger Domains heißt im englischen Original „forest“, deutsch „Gesamtstruktur“.  
* Die wichtigsten Informationen aller enthaltenen Domains sind zentral im Globalen Katalog abrufbar, außerdem benutzen alle Domains dasselbe Verzeichnis-Schema.  
* Die Verwendung von Sicherheitsinformationen (z.&nbsp;B.&nbsp;
* Nutzer-Rechte/-Gruppen-Zuordnungen) sowie Schema-Erweiterungen sind so Domain-übergreifend möglich.  
* Die Gesamtstruktur kann verschiedene ''Bäume'' (trees) enthalten, das sind jeweils Domains, die im selben DNS-Namensraum liegen (z.&nbsp;B.&nbsp;
* buchhaltung.meinefirma.de und meinefirma.de).  
* Auch eine einzelne Domain bildet schon eine Gesamtstruktur, die später um weitere Domains ergänzt werden kann.


==== Organisationseinheiten ====
==== Organisationseinheiten ====
Eine Organisationseinheit (OU) ist ein Containerobjekt, das zum Gruppieren anderer Objekte im AD dient. Eine OU kann neben Objekten auch andere OUs enthalten. Die frei definierbare Hierarchie der OUs vereinfacht die Administration von Active Directory. In der Regel richtet sie sich nach den Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens. Die OUs sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden können.
Eine Organisationseinheit (OU) ist ein Containerobjekt, das zum Gruppieren anderer Objekte im AD dient.  
* Eine OU kann neben Objekten auch andere OUs enthalten.  
* Die frei definierbare Hierarchie der OUs vereinfacht die Administration von Active Directory.  
* In der Regel richtet sie sich nach den Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens.  
* Die OUs sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden können.


==== Standorte ====
==== Standorte ====
Eine Möglichkeit der Unterteilung sind Standorte. Diese stellen eine räumliche Gliederung der [[Internet Protocol|IP]]-Unternetze innerhalb der Gesamt-[[Topologie (Rechnernetz)|Topologie]] dar.
Eine Möglichkeit der Unterteilung sind Standorte.  
* Diese stellen eine räumliche Gliederung der [[Internet Protocol|IP]]-Unternetze innerhalb der Gesamt-[[Topologie (Rechnernetz)|Topologie]] dar.


Die schnellen Netzwerke ([[Local Area Network|LAN]]) der Standorte sind meistens durch langsamere Netzwerke ([[Wide Area Network|WAN]]) untereinander verbunden. Die Standort-Bildung ist deshalb wichtig für die Kontrolle des Netzwerkverkehrs, der durch Replikationsvorgänge entsteht. Domains können Standorte enthalten, und Standorte können Domains beinhalten.
Die schnellen Netzwerke ([[Local Area Network|LAN]]) der Standorte sind meistens durch langsamere Netzwerke ([[Wide Area Network|WAN]]) untereinander verbunden.  
* Die Standort-Bildung ist deshalb wichtig für die Kontrolle des Netzwerkverkehrs, der durch Replikationsvorgänge entsteht.  
* Domains können Standorte enthalten, und Standorte können Domains beinhalten.


Es ist fundamental, die Infrastruktur der Unternehmensinformationen in eine hierarchische Aufteilung in Domains und Organisationseinheiten sorgfältig zu planen. Hierfür haben sich Aufteilungen hinsichtlich geografischer Orte, Aufgaben oder [[Informationstechnik|IT]]-Rollen oder einer Kombination aus diesen Modellen als nützlich erwiesen.
Es ist fundamental, die Infrastruktur der Unternehmensinformationen in eine hierarchische Aufteilung in Domains und Organisationseinheiten sorgfältig zu planen.  
* Hierfür haben sich Aufteilungen hinsichtlich geografischer Orte, Aufgaben oder [[Informationstechnik|IT]]-Rollen oder einer Kombination aus diesen Modellen als nützlich erwiesen.


== Domain Controller und Replikation ==
== Domain Controller und Replikation ==
=== Windows NT ===
=== Windows NT ===
Unter Windows NT gab es pro Domain immer einen ausgezeichneten Controller, den primären [[Domain Controller]] (PDC), der Änderungen an der Nutzer- und Computerdatenbank ([[Security Accounts Manager|SAM]]) ausführen durfte. Alle anderen Domain Controller dienten als Sicherungskopie, die im Bedarfsfall zu einem PDC hochgestuft werden können.
Unter Windows NT gab es pro Domain immer einen ausgezeichneten Controller, den primären [[Domain Controller]] (PDC), der Änderungen an der Nutzer- und Computerdatenbank ([[Security Accounts Manager|SAM]]) ausführen durfte.  
* Alle anderen Domain Controller dienten als Sicherungskopie, die im Bedarfsfall zu einem PDC hochgestuft werden können.


=== Ab Windows 2000: Multimaster-Replikation ===
=== Ab Windows 2000: Multimaster-Replikation ===
Active Directory nutzt für die Replikation des Verzeichnisses zwischen den Domain Controllern eine sogenannte Multimaster-Replikation. Das hat den Vorteil, dass sich jedes Replikat beschreiben und synchronisieren lässt. Somit ist bei verteilten Implementierungen eine lokale Administration vollständig möglich.
Active Directory nutzt für die Replikation des Verzeichnisses zwischen den Domain Controllern eine sogenannte Multimaster-Replikation.  
Im Gegensatz zu [[Windows NT|NT4]]- Domains besitzen ab Windows 2000 alle Domain Controller (DC) eine beschreibbare Kopie der Active-Directory-Datenbank. Die Veränderung eines Attributes auf einem der DCs wird in regelmäßigen Intervallen an alle anderen DCs weitergegeben (repliziert). Dadurch sind alle DCs auf demselben Stand. Der Ausfall eines DCs ist für die Active-Directory-Datenbank unerheblich, da keine Informationen verloren gehen. Das Replikationsintervall kann je nach Änderungshäufigkeit auf 15 oder mehr Minuten eingestellt werden. Windows 2000 Server repliziert das AD standardmäßig nach spätestens 5&nbsp;Minuten, Windows Server 2003 repliziert es standardmäßig nach spätestens 15&nbsp;Sekunden. Da eine Replikation über höchstens 3&nbsp;Hops geht, erhält man je nach verwendeter Serverversion 15&nbsp;Minuten bzw. 45&nbsp;Sekunden als Replikationsintervall für eine Domain.
* Das hat den Vorteil, dass sich jedes Replikat beschreiben und synchronisieren lässt.  
* Somit ist bei verteilten Implementierungen eine lokale Administration vollständig möglich.
Im Gegensatz zu [[Windows NT|NT4]]- Domains besitzen ab Windows 2000 alle Domain Controller (DC) eine beschreibbare Kopie der Active-Directory-Datenbank.  
* Die Veränderung eines Attributes auf einem der DCs wird in regelmäßigen Intervallen an alle anderen DCs weitergegeben (repliziert).  
* Dadurch sind alle DCs auf demselben Stand.  
* Der Ausfall eines DCs ist für die Active-Directory-Datenbank unerheblich, da keine Informationen verloren gehen.  
* Das Replikationsintervall kann je nach Änderungshäufigkeit auf 15 oder mehr Minuten eingestellt werden.  
* Windows 2000 Server repliziert das AD standardmäßig nach spätestens 5&nbsp;Minuten, Windows Server 2003 repliziert es standardmäßig nach spätestens 15&nbsp;Sekunden.  
* Da eine Replikation über höchstens 3&nbsp;Hops geht, erhält man je nach verwendeter Serverversion 15&nbsp;Minuten bzw.&nbsp;45&nbsp;Sekunden als Replikationsintervall für eine Domain.


== Namensvergabe ==
== Namensvergabe ==
Active Directory unterstützt eine Benennung und den Zugriff über [[Uniform Naming Convention|UNC]]/[[Uniform Resource Locator|URL]]- und LDAP-URL-Namen. Intern wird die LDAP-Version [[X.500]] für die Namensstruktur verwendet. Jedes Objekt hat einen vollqualifizierten Namen (distinguished name, DN). Ein Druckobjekt heißt beispielsweise „LaserDrucker3“ in der organisatorischen Einheit „Marketing“ und der Domain „foo.org“. Der voll qualifizierte Name ist somit „CN=LaserDrucker3,OU=Marketing,DC=foo,DC=org“. „CN“ steht hierbei für „common name“. „DC“ ist die Domain-Objekt-Klasse (domain component), die aus sehr vielen Teilen bestehen kann. Die Objekte können auch nach der UNC/URL-Notation bezeichnet werden. Diese zeichnet sich durch eine umgekehrte Reihenfolge der Bezeichner aus, welche durch Schrägstriche voneinander getrennt sind. Das obige Objekt könnte somit auch mit „foo.org/Marketing/LaserDrucker3“ bezeichnet werden. Um Objekte innerhalb der Container anzusprechen, werden relative Namen (relative distinguished names, RDNs) verwendet. Dies wäre für den Laserdrucker „CN=LaserDrucker3“. Jedes Objekt hat neben seinem global eindeutigen Namen eine ebenfalls global eindeutige 128 Bit lange Nummer (globally unique identifier, GUID). Diese wird üblicherweise als Zeichenfolge dargestellt und ändert sich auch beim Umbenennen des Objekts nicht. Weiterhin kann jedes Benutzer- und Computerobjekt auch eindeutig über seinen zugeordneten UPN ([[User Principal Name]]) angesprochen werden, der den Aufbau „Objektname“@„Domainname“ hat.
Active Directory unterstützt eine Benennung und den Zugriff über [[Uniform Naming Convention|UNC]]/[[Uniform Resource Locator|URL]]- und LDAP-URL-Namen.  
* Intern wird die LDAP-Version [[X.500]] für die Namensstruktur verwendet.  
* Jedes Objekt hat einen vollqualifizierten Namen (distinguished name, DN).  
* Ein Druckobjekt heißt beispielsweise „LaserDrucker3“ in der organisatorischen Einheit „Marketing“ und der Domain „foo.org“.  
* Der voll qualifizierte Name ist somit „CN=LaserDrucker3,OU=Marketing,DC=foo,DC=org“. „CN“ steht hierbei für „common name“. „DC“ ist die Domain-Objekt-Klasse (domain component), die aus sehr vielen Teilen bestehen kann.  
* Die Objekte können auch nach der UNC/URL-Notation bezeichnet werden.  
* Diese zeichnet sich durch eine umgekehrte Reihenfolge der Bezeichner aus, welche durch Schrägstriche voneinander getrennt sind.  
* Das obige Objekt könnte somit auch mit „foo.org/Marketing/LaserDrucker3“ bezeichnet werden.  
* Um Objekte innerhalb der Container anzusprechen, werden relative Namen (relative distinguished names, RDNs) verwendet.  
* Dies wäre für den Laserdrucker „CN=LaserDrucker3“.  
* Jedes Objekt hat neben seinem global eindeutigen Namen eine ebenfalls global eindeutige 128 Bit lange Nummer (globally unique identifier, GUID).  
* Diese wird üblicherweise als Zeichenfolge dargestellt und ändert sich auch beim Umbenennen des Objekts nicht.  
* Weiterhin kann jedes Benutzer- und Computerobjekt auch eindeutig über seinen zugeordneten UPN ([[User Principal Name]]) angesprochen werden, der den Aufbau „Objektname“@„Domainname“ hat.


== Alternativen zu Windows Server ==
== Alternativen zu Windows Server ==
Es existieren neben Active Directory weitere [[Verzeichnisdienst]]e, die zwar LDAP und Kerberos implementieren, jedoch nicht AD-kompatibel sind. Einige Software-Produkte [[Emulation|emulieren]] jedoch auch ein Active Directory. Damit können Windows- und andere Clients ohne zusätzlich aufgebrachte Software einer Domain beitreten und einen Großteil der Möglichkeiten eines Active Directory, wie z.&nbsp;B. die zentrale Authentifizierung und Verwaltung, nutzen, ohne dass Windows Server eingesetzt wird.
Es existieren neben Active Directory weitere [[Verzeichnisdienst]]e, die zwar LDAP und Kerberos implementieren, jedoch nicht AD-kompatibel sind.  
* Einige Software-Produkte [[Emulation|emulieren]] jedoch auch ein Active Directory.  
* Damit können Windows- und andere Clients ohne zusätzlich aufgebrachte Software einer Domain beitreten und einen Großteil der Möglichkeiten eines Active Directory, wie z.&nbsp;B.&nbsp;
* die zentrale Authentifizierung und Verwaltung, nutzen, ohne dass Windows Server eingesetzt wird.


=== Samba ===
=== Samba ===
Neben Windows Server kann auch die [[freie Software]] [[Samba (Software)|Samba]] für [[Linux]]- und [[Unix]]-Systeme einen weitgehend Active-Directory-kompatiblen Verzeichnisdienst zur Verfügung stellen. Die aktuelle Version 4 kann damit einen Windows-Server in vielen Fällen ersetzen.<ref>[https://www.samba.org/samba/news/releases/4.0.0.html Samba Team Releases Samba&nbsp;4.0] (englisch), www.samba.org, 19.&nbsp;Februar 2013</ref> Dies wurde nicht zuletzt durch die Unterstützung, die das Samba-Projekt von Microsoft direkt erhalten hatte, möglich.<ref name="ms-samba">{{Internetquelle | url=https://www.heise.de/ct/artikel/Samba-4-kommt-1003392.html | titel=Samba 4 kommt | titelerg=SambaXP 2010 – Konferenz zum freien Windows-Server | autor=Peter Siering | hrsg=[[Heise online]] | datum=2010-12 | zugriff=2014-07-14 | zitat= | offline=}}</ref>
Neben Windows Server kann auch die [[freie Software]] [[Samba (Software)|Samba]] für [[Linux]]- und [[Unix]]-Systeme einen weitgehend Active-Directory-kompatiblen Verzeichnisdienst zur Verfügung stellen.  
* Die aktuelle Version 4 kann damit einen Windows-Server in vielen Fällen ersetzen.<ref>[https://www.samba.org/samba/news/releases/4.0.0.html Samba Team Releases Samba&nbsp;4.0] (englisch), www.samba.org, 19.&nbsp;Februar 2013</ref> Dies wurde nicht zuletzt durch die Unterstützung, die das Samba-Projekt von Microsoft direkt erhalten hatte, möglich.<ref name="ms-samba">{{Internetquelle | url=https://www.heise.de/ct/artikel/Samba-4-kommt-1003392.html | titel=Samba 4 kommt | titelerg=SambaXP 2010 – Konferenz zum freien Windows-Server | autor=Peter Siering | hrsg=[[Heise online]] | datum=2010-12 | zugriff=2014-07-14 | zitat= | offline=}}</ref>


=== eDirectory ===
=== eDirectory ===
Ähnliche Funktionen wie Active Directory bietet das von [[Novell]] entwickelte [[NetIQ eDirectory]]. Es ist für Windows sowie für Linux verfügbar und erlaubt anders als Active Directory auch die Verwaltung einer inhomogenen IT-Infrastruktur. Mittels des Aufsatzes ''Domain Services for Windows'' kann eDirectory ein Active Directory emulieren.
Ähnliche Funktionen wie Active Directory bietet das von [[Novell]] entwickelte [[NetIQ eDirectory]].  
 
* Es ist für Windows sowie für Linux verfügbar und erlaubt anders als Active Directory auch die Verwaltung einer inhomogenen IT-Infrastruktur.  
== Siehe auch ==
* Mittels des Aufsatzes ''Domain Services for Windows'' kann eDirectory ein Active Directory emulieren.
* [[FSMO|Flexible single master operations]] – Bestimmte Operationen in Active Directory können nur auf besonders dafür vorgesehenen Servern, den Operations Masters, ausgeführt werden.
* '''Active Directory Services Interfaces''' ist eine [[Programmierschnittstelle]], die das Verwalten eines Active Directory auch ohne [[grafische Benutzeroberfläche]] ermöglicht.
 
== Literatur ==
* Ulf B. Simon-Weidner, Florian Frommherz: [https://www.it-administrator.de/kiosk/sonderhefte/80569/ ''Active Directory – Deployment, Administration und Troubleshooting'']. Heinemann Verlag 2010, ISBN 978-3-941034-06-8.
* Carlo Westbrook: [https://www.certpro-press.de/9020.html ''Active Directory in Windows Server 2012 R2 – Planung und praktischer Einsatz in Windows-Netzwerken'']. CertPro-PRESS 2016, ISBN 978-3-9447-4902-0.
 
== Einzelnachweise ==
<references />
<references />
 
[[Kategorie:Verzeichnisdienst]]
== Weblinks ==
* {{Webarchiv | url=http://msadfaq.de/wiki/Main_Page | wayback=20090531090836 | text=Active Directory FAQ Wiki}}
* [http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_08_001.htm Kapitel "Active Directory Domain-Dienste"] im Buch "Windows Server 2008 R2" (Online lesbare [[OpenBook (Buch)|OpenBook]]-Ausgabe des im [[Galileo Press|Galileo-Press]]-Verlag erschienenen Werkes)
* [http://www.admin-magazin.de/Das-Heft/2011/05/Ueberblick-ueber-Active-Directory Überblick über Active Directory]
[[Kategorie:Windows-Betriebssystemkomponente]]
[[Kategorie:Microsoft]]

Aktuelle Version vom 6. November 2024, 12:30 Uhr

Active Directory (AD) ist ein Verzeichnisdienst der Firma Microsoft

Beschreibung

Seit Version Windows Server 2008 werden fünf Rollen unterschieden

Kernkomponente

Active Directory Domain Services (AD DS)

Bei einem solchen Verzeichnis () handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen (Besitzern) zuordnet.

Active Directory ermöglicht es

  • ein Netzwerk entsprechend der realen Struktur des Unternehmens oder
  • seiner räumlichen Verteilung zu gliedern.

Dazu verwaltet es verschiedene Objekte in einem Netzwerk

  • wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften.
  • Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen.

Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden.

  • So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden.
Name = Windows Server Active Directory
Hersteller = Microsoft
Betriebssystem = Windows
Website = Active Directory-Domänendienste

Komponenten

Lightweight Directory Access Protocol (LDAP)

Lightweight Directory Access Protocol Das LDAP-Protokoll ermöglicht es Computern, Anfragen auf eine einheitliche Weise an das Verzeichnis zu stellen, um beispielsweise Informationen über Benutzer und deren Gruppenzugehörigkeit zu erhalten.

Kerberos-Protokoll

Kerberos (Protokoll) Kerberos ist ein Protokoll, mit welchem Benutzer auf einheitliche Weise zentral authentifiziert werden.

  • Das ermöglicht ihnen dann den Zugriff auf verschiedene Server und Dienste innerhalb des Active Directory, ohne sich jeweils neu anmelden zu müssen (Single Sign-on).

Server Message Block (SMB)

Server Message Block Das SMB-Protokoll ermöglicht den Zugriff auf Dateien, die sich auf einem Server im Netzwerk befinden.

  • Damit kann Active Directory z. B. Gruppenrichtlinien und Anmeldeskripte für Client-Computer verfügbar machen.

Domain Name System (DNS)

Domain Name System DNS dient zur Übersetzung von Computernamen in IP-Adressen.

  • Damit ist es möglich, jeden Computer innerhalb des Active Directory per Namen zu erreichen.
  • Mittels SRV-Ressourceneinträgen werden ferner die Dienste des Active Directory den Client-Computern bekannt gemacht.

Sicherheit

Dokumentation

RFC

Man-Page

Info-Pages

Literatur

Siehe auch

Links

Projekt

Weblinks

  1. Vorlage:Webarchiv
  2. Kapitel "Active Directory Domain-Dienste" im Buch "Windows Server 2008 R2" (Online lesbare OpenBook-Ausgabe des im Galileo-Press-Verlag erschienenen Werkes)
  3. Überblick über Active Directory




TMP: Wikipedia

Serverrollen

siehe Active Directory:Serverrollen

Aufbau

Bestandteile

Teile des Active Directory
  • Schema
  • Konfiguration
  • Domain
Ein Schema ist eine Schablone für alle Active-Directory-Einträge
  • Es definiert sowohl Objekttypen, ihre Klassen und Attribute als auch ihre Attributsyntax.
  • Welche Objekttypen in Active Directory verfügbar sind, lässt sich durch die Definition neuer Typen beeinflussen.
  • Das dafür zugrundeliegende Muster ist das „Schema“, das die Objekte und ihre Attribute definiert.
Die Konfiguration beschreibt die Active-Directory-Gesamtstruktur und deren Bäume
  • Die Domain enthält schließlich alle Informationen, die sie selbst und die in ihr erstellten Objekte beschreiben.

Die ersten beiden Teile von Active Directory werden zwischen allen Domain Controllern der Gesamtstruktur repliziert, während die Domain-spezifischen Informationen grundsätzlich nur innerhalb der jeweiligen Domain, also auf ihren jeweiligen Domain Controllern, verfügbar sind.

  • Deshalb existiert in jeder Domain zusätzlich ein sogenannter Globaler Katalog.
  • Er repräsentiert alle Informationen der eigenen Domain und enthält zusätzlich wichtige Teilinformationen der anderen Domain der Gesamtstruktur und ermöglicht damit z. B. Domain-übergreifende Suchoperationen.

Datenbank

Die Active-Directory-Datenbank ist auf 16 Terabytes begrenzt und jeder Domain Controller kann bis zu 2 Milliarden Objekte anlegen.

  • Die Datenbankdatei „NTDS.DIT“ enthält drei Haupttabellen: die „schema table“ zur Speicherung der Schemata, die „link table“ zur Speicherung der Objekt-Struktur und die „data table“ zur Speicherung der Daten.
  • ESE (extensible storage engine) ordnet die nach einem relationalen Modell abgespeicherten Active-Directory-Daten nach einem vorgegebenen Schema in einem hierarchischen Modell an.
  • Unter Windows 2000 benutzt Active Directory die Jet-basierende ESE98-Datenbank.

Objekte

  • Im Gegensatz zum objektorientierten Verzeichnissystem eDirectory von NetIQ ist Active Directory eher als objektbasiert – und hierarchisch – zu bezeichnen.
  • Die Datensätze in der Datenbank werden in Active Directory als „Objekte“ und deren Eigenschaften als „Attribute“ definiert.
    • Die Attribute sind abhängig von ihrem Typ definiert.
    • Objekte werden eindeutig über ihren Namen identifiziert.
  • Die Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinien-Objekten gespeichert.
    • Diese sind ebenfalls Domains und Standorten zugeordnet.

Objektkategorien

Objekte lassen sich in zwei Haupt-Kategorien einteilen:

Ablage in Containern (Organisationseinheiten)

Die möglicherweise bis zu vielen Millionen Objekte werden in Containern (Organisationseinheiten), auch OUs (Organizational Unit) genannt, abgelegt.

  • Einige Container sind vordefiniert, beliebige weitere Organisationseinheiten können mit Subeinheiten (Unterorganisationseinheiten) erstellt werden.
  • Als objektbasiertes System unterstützt Active Directory die Vererbung von Eigenschaften eines Objektcontainers an untergeordnete Objekte, die auch wieder Container sein können.
  • Dadurch erlaubt es Active Directory, Netzwerke logisch und hierarchisch aufzubauen.

Hierarchie

Gesamtstruktur (Forest)

Der Verbund mehrerer zusammengehöriger Domains heißt im englischen Original „forest“, deutsch „Gesamtstruktur“.

  • Die wichtigsten Informationen aller enthaltenen Domains sind zentral im Globalen Katalog abrufbar, außerdem benutzen alle Domains dasselbe Verzeichnis-Schema.
  • Die Verwendung von Sicherheitsinformationen (z. B. 
  • Nutzer-Rechte/-Gruppen-Zuordnungen) sowie Schema-Erweiterungen sind so Domain-übergreifend möglich.
  • Die Gesamtstruktur kann verschiedene Bäume (trees) enthalten, das sind jeweils Domains, die im selben DNS-Namensraum liegen (z. B. 
  • buchhaltung.meinefirma.de und meinefirma.de).
  • Auch eine einzelne Domain bildet schon eine Gesamtstruktur, die später um weitere Domains ergänzt werden kann.

Organisationseinheiten

Eine Organisationseinheit (OU) ist ein Containerobjekt, das zum Gruppieren anderer Objekte im AD dient.

  • Eine OU kann neben Objekten auch andere OUs enthalten.
  • Die frei definierbare Hierarchie der OUs vereinfacht die Administration von Active Directory.
  • In der Regel richtet sie sich nach den Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens.
  • Die OUs sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden können.

Standorte

Eine Möglichkeit der Unterteilung sind Standorte.

  • Diese stellen eine räumliche Gliederung der IP-Unternetze innerhalb der Gesamt-Topologie dar.

Die schnellen Netzwerke (LAN) der Standorte sind meistens durch langsamere Netzwerke (WAN) untereinander verbunden.

  • Die Standort-Bildung ist deshalb wichtig für die Kontrolle des Netzwerkverkehrs, der durch Replikationsvorgänge entsteht.
  • Domains können Standorte enthalten, und Standorte können Domains beinhalten.

Es ist fundamental, die Infrastruktur der Unternehmensinformationen in eine hierarchische Aufteilung in Domains und Organisationseinheiten sorgfältig zu planen.

  • Hierfür haben sich Aufteilungen hinsichtlich geografischer Orte, Aufgaben oder IT-Rollen oder einer Kombination aus diesen Modellen als nützlich erwiesen.

Domain Controller und Replikation

Windows NT

Unter Windows NT gab es pro Domain immer einen ausgezeichneten Controller, den primären Domain Controller (PDC), der Änderungen an der Nutzer- und Computerdatenbank (SAM) ausführen durfte.

  • Alle anderen Domain Controller dienten als Sicherungskopie, die im Bedarfsfall zu einem PDC hochgestuft werden können.

Ab Windows 2000: Multimaster-Replikation

Active Directory nutzt für die Replikation des Verzeichnisses zwischen den Domain Controllern eine sogenannte Multimaster-Replikation.

  • Das hat den Vorteil, dass sich jedes Replikat beschreiben und synchronisieren lässt.
  • Somit ist bei verteilten Implementierungen eine lokale Administration vollständig möglich.

Im Gegensatz zu NT4- Domains besitzen ab Windows 2000 alle Domain Controller (DC) eine beschreibbare Kopie der Active-Directory-Datenbank.

  • Die Veränderung eines Attributes auf einem der DCs wird in regelmäßigen Intervallen an alle anderen DCs weitergegeben (repliziert).
  • Dadurch sind alle DCs auf demselben Stand.
  • Der Ausfall eines DCs ist für die Active-Directory-Datenbank unerheblich, da keine Informationen verloren gehen.
  • Das Replikationsintervall kann je nach Änderungshäufigkeit auf 15 oder mehr Minuten eingestellt werden.
  • Windows 2000 Server repliziert das AD standardmäßig nach spätestens 5 Minuten, Windows Server 2003 repliziert es standardmäßig nach spätestens 15 Sekunden.
  • Da eine Replikation über höchstens 3 Hops geht, erhält man je nach verwendeter Serverversion 15 Minuten bzw. 45 Sekunden als Replikationsintervall für eine Domain.

Namensvergabe

Active Directory unterstützt eine Benennung und den Zugriff über UNC/URL- und LDAP-URL-Namen.

  • Intern wird die LDAP-Version X.500 für die Namensstruktur verwendet.
  • Jedes Objekt hat einen vollqualifizierten Namen (distinguished name, DN).
  • Ein Druckobjekt heißt beispielsweise „LaserDrucker3“ in der organisatorischen Einheit „Marketing“ und der Domain „foo.org“.
  • Der voll qualifizierte Name ist somit „CN=LaserDrucker3,OU=Marketing,DC=foo,DC=org“. „CN“ steht hierbei für „common name“. „DC“ ist die Domain-Objekt-Klasse (domain component), die aus sehr vielen Teilen bestehen kann.
  • Die Objekte können auch nach der UNC/URL-Notation bezeichnet werden.
  • Diese zeichnet sich durch eine umgekehrte Reihenfolge der Bezeichner aus, welche durch Schrägstriche voneinander getrennt sind.
  • Das obige Objekt könnte somit auch mit „foo.org/Marketing/LaserDrucker3“ bezeichnet werden.
  • Um Objekte innerhalb der Container anzusprechen, werden relative Namen (relative distinguished names, RDNs) verwendet.
  • Dies wäre für den Laserdrucker „CN=LaserDrucker3“.
  • Jedes Objekt hat neben seinem global eindeutigen Namen eine ebenfalls global eindeutige 128 Bit lange Nummer (globally unique identifier, GUID).
  • Diese wird üblicherweise als Zeichenfolge dargestellt und ändert sich auch beim Umbenennen des Objekts nicht.
  • Weiterhin kann jedes Benutzer- und Computerobjekt auch eindeutig über seinen zugeordneten UPN (User Principal Name) angesprochen werden, der den Aufbau „Objektname“@„Domainname“ hat.

Alternativen zu Windows Server

Es existieren neben Active Directory weitere Verzeichnisdienste, die zwar LDAP und Kerberos implementieren, jedoch nicht AD-kompatibel sind.

  • Einige Software-Produkte emulieren jedoch auch ein Active Directory.
  • Damit können Windows- und andere Clients ohne zusätzlich aufgebrachte Software einer Domain beitreten und einen Großteil der Möglichkeiten eines Active Directory, wie z. B. 
  • die zentrale Authentifizierung und Verwaltung, nutzen, ohne dass Windows Server eingesetzt wird.

Samba

Neben Windows Server kann auch die freie Software Samba für Linux- und Unix-Systeme einen weitgehend Active-Directory-kompatiblen Verzeichnisdienst zur Verfügung stellen.

  • Die aktuelle Version 4 kann damit einen Windows-Server in vielen Fällen ersetzen.[1] Dies wurde nicht zuletzt durch die Unterstützung, die das Samba-Projekt von Microsoft direkt erhalten hatte, möglich.[2]

eDirectory

Ähnliche Funktionen wie Active Directory bietet das von Novell entwickelte NetIQ eDirectory.

  • Es ist für Windows sowie für Linux verfügbar und erlaubt anders als Active Directory auch die Verwaltung einer inhomogenen IT-Infrastruktur.
  • Mittels des Aufsatzes Domain Services for Windows kann eDirectory ein Active Directory emulieren.
  1. Samba Team Releases Samba 4.0 (englisch), www.samba.org, 19. Februar 2013