Tobias Harmes
Tobias Harmes
11. August 2025

Active Directory

1
Active Directory

Active Directory (AD) ist Microsofts Verzeichnisdienst zur zentralen Verwaltung von Benutzern, Geräten und Ressourcen in Windows‑Netzwerken. Er bildet das Rückgrat von Millionen Unternehmens­umgebungen und stellt sicher, dass Authentifizierung, Autorisierung und Richtliniensteuerung an einer Stelle zusammenlaufen.

Inhaltsverzeichnis

  1. Was ist Active Directory?
  2. Funktionsweise
  3. Technische Eigenschaften
  4. Vorteile
  5. Nachteile
  6. Fazit
  7. Weitere Informationen:
  8. FAQs
    1. Wer kann mir beim Thema Active Directory helfen?
    2. Kontaktieren Sie mich

Was ist Active Directory?

Active Directory wurde im Jahr 1999 vorgestellt und mit Windows 2000 Server erstmals eingeführt. Ziel war es, den damals noch auf NT4‑Domänen basierenden Anmelde­mechanismus abzulösen und ein skalierbares, auf offenen Standards (LDAP, Kerberos, DNS) beruhendes Verzeichnis einzuführen. Im Kern ist dieser Verzeichnisdienst eine verteilte, hierarchische Datenbank, die sogenannte Objekte – Benutzer‑, Computer‑, Gruppen‑ und Ressourceneinträge – speichert und über Domänen, Trees und Forests eine logische Struktur für nahezu beliebig große Organisationen bereitstellt.

E-Book: Identity Management für SAP: Tools und Best Practices

In diesem E-Book erfahren Sie, was Identity & Access Management ist und für welche Unternehmen Identity Management Tools sinnvoll sind.

Jetzt anfordern

Jede Domäne wird von mindestens einem Domänen‑Controller (DC) verwaltet. Dieser prüft Anmelde­informationen, verteilt Gruppenrichtlinien und repliziert Änderungen an andere DCs derselben Domäne. Dank der Multi‑Master‑Architektur kann jeder DC Schreib­operationen annehmen, sodass kein einzelner Knoten zum Nadelöhr wird. AD fungiert damit als zentrale Instanz für Identitätsprüfung, Richtlinienverwaltung und Ressourcenzugriffe – sowohl in lokalen Netzwerken als auch in hybriden Cloud-Szenarien.

Funktionsweise

Typischerweise startet der Prozess mit der Anmeldung eines Benutzers an einem domänenintegrierten Gerät. Das System lokalisiert über DNS‑SRV‑Einträge den nächstgelegenen DC und initiiert einen LDAP‑Bind. Der DC prüft den übermittelten Hash gegen den Security Identifier (SID) des Kontos und stellt nach erfolgreicher Authentifizierung ein Kerberos‑Ticket Granting Ticket (TGT) aus. Dieses TGT wird anschließend genutzt, um service­spezifische Tickets (TGS) zu beziehen, ohne dass sich der Nutzer erneut anmelden muss.

Parallel wertet der DC die Gruppenmitgliedschaften aus und übergibt diese in Form von Access Tokens, die Betriebssystem und Anwendungen für Autorisierungs­entscheidungen heranziehen. In komplexen Organisations­strukturen spielen außerdem Domänen‑ oder Forest‑Vertrauensstellungen eine Rolle: Sie ermöglichen den Zugriff auf Ressourcen anderer Domänen, indem sie Ticket‑Weiterleitungen (Kerberos) oder SID‑Weitergaben (NTLM‑Fallback) zulassen.

Damit alle DCs stets denselben Datenbestand besitzen, setzt der Verzeichnisdienst auf zeit­gestempelte Update‑Sequenznummern (USN) und einen mehrstufigen Replikations­topologie‑Algorithmus (KCC). Bandbreiten­arme Standorte lassen sich mithilfe des Site‑Links‑Konzepts und Zeitplänen entlasten, sodass Replikation nur außerhalb der produktiven Kernzeit erfolgt.

Technische Eigenschaften

Die Architektur von Active Directory weist mehrere zentrale Merkmale auf, die seinen Betrieb, seine Skalierbarkeit und seine Sicherheit maßgeblich bestimmen:

  • Objekte & Attribute: Jeder Eintrag besitzt ein eindeutiges SID sowie zahlreiche Attribute (z. B. Name, Passwort‑Hash, Gruppen­mitgliedschaften). Das Schema legt fest, welche Objekt‑ und Attribut­typen zulässig sind und lässt sich bei Bedarf erweitern, etwa für Exchange oder SCCM.
  • Organisationseinheiten (OU): Erlauben die logische Gliederung von Objekten nach Abteilung oder Standort und sind die Zielobjekte für Gruppenrichtlinien (GPOs), mit denen Sicherheits‑ und Konfigurations­einstellungen automatisiert verteilt werden.
  • Gruppenmodelle: Microsoft empfiehlt das AGDLP‑Prinzip (Accounts → Global Groups → Domain‑Local Groups → Permissions), um Rollen und Berechtigungen nachvollziehbar abzubilden und „Permission Creep“ zu vermeiden.
  • Core‑ und Zusatzdienste: Neben Active Directory Domain Services existieren Lightweight Directory Services für nicht‑vertrauenswürdige Anwendungen, Certificate Services und Federation Services für SAML / OAuth‑SSO.
  • Global Catalog: Enthält eine Teilmenge aller Objekte aus jedem Forest und beschleunigt domänen­übergreifende Suchen sowie Anmelde­vorgänge in großen Umgebungen.
  • Flexible Single Master Operations (FSMO): Fünf spezielle Rollen (u. a. Schema‑Master, PDC‑Emulator) verhindern Konflikte bei kritischen Änderungs­operationen und sollten gezielt auf stabile DCs verteilt werden.
  • Skalierbarkeit & Replikation: Multi‑Master‑Replikation zwischen DCs sorgt für Hochverfügbarkeit; Standorte können via Sites & Services bandbreiten­optimiert synchronisieren.
  • Sicherheit & Delegation: Über granulare Rechte auf OU‑Ebene können Aufgaben (z. B. Passwort­zurücksetzung) sicher delegiert werden, ohne Domänen‑Admin‑Rechte zu vergeben.

Webinar: Identity Management: Benutzerverwaltung automatisiert & sicher

Erfahren Sie im Webinar, wie Identity Management die IT entlastet und welche Tools es für effiziente SAP Benutzerverwaltung gibt.
Jetzt anmelden

Vorteile

Die Nutzung von Active Directory bringt zahlreiche Pluspunkte mit sich, die insbesondere größere und verteilte IT‑Landschaften entlasten:

  • Zentrale Verwaltung: Benutzerkonten, Computer und Richtlinien werden einmalig im Verzeichnis angelegt und stehen im gesamten Netzwerk zur Verfügung.
  • Single‑Sign‑On: Nutzer authentifizieren sich einmal am Betriebssystem und erhalten danach Zugriff auf alle domänen­integrierten Anwendungen oder – über AD FS/Entra ID Connect – auf Cloud‑Dienste.
  • Feingranulare Sicherheit: Gruppenrichtlinien, Zugriffskontrolllisten und Gruppenstrukturen erlauben rollenbasierten Zugriff bis hinunter auf Datei‑Ebene.
  • Skalierbarkeit: Vom kleinen Büro bis zum globalen Konzern lässt sich AD über zusätzliche Domänen, Trees und Forests erweitern, ohne das Grundprinzip zu ändern.
  • Integration: Zahlreiche Drittanbieter­lösungen (z. B. E‑Mail‑, Backup‑ oder IAM‑Tools) nutzen LDAP oder Kerberos, um nahtlos mit AD zu arbeiten.
  • Standardbasierter Ansatz: Durch offene Protokolle wie LDAP, Kerberos und DNS ist Interoperabilität mit Nicht‑Windows‑Systemen (Unix, Linux, macOS) möglich und dokumentiert.
  • Bewährtes Ökosystem: Über zwei Jahrzehnte Erfahrung haben zu umfangreicher Dokumentation, Best‑Practices und Community‑Know‑how geführt, was Fehlersuche und Schulung erleichtert.

Nachteile

Trotz seiner weiten Verbreitung hat der Verzeichnisdienst auch Schwächen, die Administratoren kennen und kompensieren können sollten:

  • Komplexität: Schema, Replikation, Vertrauensstellungen und GPO‑Vererbung erzeugen einen hohen Verwaltungs‑ und Schulungsaufwand.
  • Single Point of Failure: Fällt kein funktionsfähiger DC mehr aus, sind Anmeldung und Ressourcenzugriff unterbrochen; deshalb sind mindestens zwei DCs pro Domäne Best Practice.
  • Angriffsfläche: Pass‑the‑Hash, Kerberoasting oder ungesicherte LDAP‑Bindungen zielen direkt auf AD‑Strukturen. Ein kompromittierter DC bedeutet meist eine vollständige Domänen­übernahme.
  • Legacy‑Bindung: Viele Funktionen setzen On‑Premises‑Infrastruktur voraus; hybride Umgebungen mit Entra ID erhöhen die Komplexität weiter.
  • Berechtigungswildwuchs: Ohne konsequentes Gruppen‑ und Rezertifizierungs­konzept wachsen Berechtigungen unkontrolliert an („Permission Creep“).
  • Patch‑Abhängigkeit: Kritische Sicherheits‑Updates für Domänen‑Controller erfordern genaue Wartungsfenster und können bei Versäumnissen schnell zu „Zero Day“‑Risiken führen.

Fazit

Active Directory bleibt auch mehr als zwei Jahrzehnte nach seiner Einführung ein zentraler Bestandteil moderner IT-Infrastrukturen. Trotz des wachsenden Trends zu „Cloud-first“-Strategien fungiert der Verzeichnisdienst in vielen Unternehmen weiterhin als primäre Quelle für Identitäts- und Zugriffsmanagement. Cloud-Dienste wie Microsoft Entra ID werden häufig angebunden, ohne das lokale Verzeichnis vollständig zu ersetzen.

Weitere Informationen:

FAQs

Was ist Active Directory (AD)?

Active Directory ist ein Verzeichnisdienst von Microsoft, der Benutzer, Computer, Gruppen und Ressourcen in einem Netzwerk zentral verwaltet. Er sorgt dafür, dass sich Nutzer sicher anmelden können, Zugriffsrechte korrekt vergeben werden und Systeme im Unternehmen effizient miteinander kommunizieren.

Wofür wird Active Directory verwendet?

Active Directory kommt überall dort zum Einsatz, wo Benutzer und Geräte verwaltet, Rechte vergeben und Zugriffe gesteuert werden müssen – z. B. in Firmen, Schulen, Behörden oder Hochschulen. Es ermöglicht u. a. Single Sign-On, Gruppenrichtlinien, automatisierte Benutzerverwaltung und die Integration mit Cloud-Diensten.

Was ist ein Domänencontroller?

Ein Domänencontroller (DC) ist ein Server, der die Active Directory-Datenbank verwaltet. Er übernimmt Aufgaben wie:

  •  Authentifizierung von Benutzern
  • Replikation von Änderungen zu anderen DCs
  • Verteilung von Gruppenrichtlinien (GPOs)

Wer kann mir beim Thema Active Directory helfen?

Wenn Sie Unterstützung zum Thema Active Directory benötigen, stehen Ihnen die Experten von RZ10, dem auf dieses Thema spezialisierten Team der mindsquare AG, zur Verfügung. Unsere Berater helfen Ihnen, Ihre Fragen zu beantworten, das passende Tool für Ihr Unternehmen zu finden und es optimal einzusetzen. Vereinbaren Sie gern ein unverbindliches Beratungsgespräch, um Ihre spezifischen Anforderungen zu besprechen.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen » Identity Management

SAP IdM abgelöst – Microsoft Entra ID als würdiger Nachfolger?

Auf den DSAG-Technologietagen 2024 empfahl SAP Microsoft Entra als strategischen Nachfolger von SAP IDM – aber eignet sich das?
Artikel lesen
Knowhow

Microsoft Entra ID

Microsoft Entra ID
Microsoft Entra ID, ehemals Azure Active Directory, ist das zentrale Element moderner Zero-Trust-Strategien und schützt Zugriffe durch adaptive Sicherheitsrichtlinien.
Artikel lesen
Knowhow

Identity and Access Management (IAM) für SAP

Identity and Access Management
Identity und Access Management (IAM) bezeichnet die Verwaltung von Identitäten und Berechtigungen innerhalb einer Organisation. Jetzt lesen!
#IdentityManagement
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage