Mit dem Active Directory lassen sich Objekte und Ressourcen in einem Windows-Netzwerk zentral verwalten und Zugriffe steuern. Die Struktur eines Unternehmens oder einer Organisation kann mit einem Active Directory logisch nachgebildet werden.
Das Active Directory ist ein Verzeichnisdienst von Microsoft für Windows-Netzwerke und dient der Verwaltung von Netzressourcen und -objekten.
Das Active Directory (AD) ist ein Verzeichnisdienst von Microsoft. Dieser Dienst nimmt eine wichtige Rolle in der Verwaltung von Windows-Netzwerken ein. Innerhalb eines Verzeichnisses lassen sich die Objekte und Ressourcen eines Netzwerks speichern und strukturiert organisieren. Sie sind über ihre Attribute definiert und die Abgrenzung der verschiedenen Bereiche ist über Domänen realisiert.
Grundlegender Aufbau eines Active Directory: Es verwaltet zentral Ressourcen wie Computer, Server und Drucker, die jeweils innerhalb logisch abgegrenzter Domänen organisiert sind.
Das Active Directory bildet die Struktur einer Organisation inklusive der verwendeten Geräte und Ressourcen nach. Sogenannte Domänen grenzen die verschiedenen Bereiche logisch voneinander ab. Die Domänen sind hierarchisch aufgebaut. Ihre Hierarchie ist von der zugrundeliegenden Netzinfrastruktur unabhängig. In einem AD verwaltete Objekte sind beispielsweise Computer, Services, Server, Speicher, Drucker, Benutzer, Gruppen oder Dateifreigaben. Der AD-Administrator hat die Möglichkeit, Netzwerkressourcen für Benutzer freizugeben oder zu sperren. Nur der Administrator hat das Recht, die Objekte, ihre Attribute und die Struktur des Verzeichnisdienste zu verändern. Zahlreiche Anwendungen innerhalb eines Windows-Netzwerks sind vom Active Directory abhängig. Ein Ausfall des Verzeichnisdienstes kann zu erheblichen Einschränkungen bis hin zum Komplettausfall der Anwendungen im Netzwerk führen. Replikationsmechanismen und Redundanzen sichern die Verfügbarkeit des Verzeichnisdienstes ab.
Im AD werden zahlreiche strukturierte Daten eines Unternehmens gespeichert, die zur Verwaltung von Benutzern, Geräten, Ressourcen und Sicherheitsrichtlinien in einem Netzwerk dienen. Diese Daten sind in Form von Objekten organisiert und in einer hierarchischen Struktur abgelegt. Zu den Daten im Actice Directory gehören:
Daten zu Workstations, Servern, Laptops: Computername / Hostname, Domänenzugehörigkeit, Betriebssysteminformationen, IP- und MAC-Adressen, letzte Anmeldung, Gruppenrichtlinienzuordnung, Vertrauensstellungen zu anderen Domänen
Domänen- und Vertrauensstellungen: Domänennamen, Subdomänen und Forest-Struktur, Vertrauensstellungen zu anderen Domänen / Forests
Strukturelemente zur logischen Gliederung von Objekten innerhalb der Domäne: Organisationseinheiten wie „IT“, „HR“, „München“, hierarchische Struktur der Verwaltung, delegierte Administratorenrechte
Gruppen und Gruppenrichtlinien: Sicherheitsgruppen (Security Groups) für Zugriffskontrolle,
Verteilergruppen (Distribution Groups) für E-Mail-Verteiler,
Gruppentypen und -bereiche (global, lokal, universell), Kennwortrichtlinien, Netzwerk- und Sicherheitseinstellungen, Skripte bei Anmeldung/Abmeldung, Softwareverteilung und Updates
Technische Informationen zur Struktur und Erweiterung des AD: Schema-Definitionen der Objekttypen, Replikationsmetadaten, Global Catalog Indexe
Sonstiges: Dienstkonten, zum Beispiel Managed Service Accounts, Zertifikatsinformationen, zum Beispiel bei PKI-Integration, Drucker- und Freigabeobjekte
Aufbau und Komponenten eines Active Directories
Wichtige Begriffe und Komponenten eines Active Directories sind:
Objekte
Domänen
Domänencontroller
Ein Objekt ist die kleinste im Verzeichnisdienst verwaltete Einheit vergleichbar mit einem einzelnen Datensatz einer Datenbank. Es beschreibt Ressourcen oder Geräte wie Computer, Services, Server, Speicher, Drucker, Benutzer, Gruppen oder Dateifreigaben. Eigenschaften eines Objekts sind die Attribute. Die generell verwendeten Objekttypen, Klassen, Attribute und Syntax der Attribute lassen sich über ein Schema als Art Schablone für alle Verzeichniseinträge definieren.
Die Darstellung zeigt den hierarchischen Aufbau einer Active-Directory-Domänenstruktur. Die Stammdomäne „Firma-xy.de“ bildet die zentrale Verwaltungseinheit. Unterhalb dieser sind Subdomänen wie „Entwicklung.Firma-xy.de“ und „Vertrieb.Firma-xy.de“ organisatorisch und logisch angebunden.
Die Abbildung der Struktur einer Organisation findet über Domänen statt. Bei einer Domäne handelt es sich um einen logisch separierten Netzbereich mit jeweils gleichen Sicherheitsrichtlinien und -einstellungen. Jede Domäne ist über einen eindeutigen Namen gekennzeichnet, der auf den Namenskonventionen des Domain Name Systems (DNS) basiert. Von einer Stammdomäne gehen die untergeordneten Domänen aus. Der komplette Name enthält Subdomänen und Stammdomäne. Der Name einer Domäne lautet beispielsweise Entwicklung.Firma-xy.de oder Vertrieb.Firma-xy.de. Die Namen einer Active-Directory-Domäne müssen keiner registrierten Internet-Domäne entsprechen, können es aber. Domänenstrukturen lassen sich unabhängig von den vorhandenen logischen oder physischen Strukturen der Organisation aufbauen. Sie sind nicht an Standorte eines Unternehmens, an die Topologie des Netzwerks oder die Lokationen der Objekte gebunden. Oft bilden die Domänen einzelne Organisationseinheiten wie Abteilungen eines Unternehmens ab.
Der Domänencontroller ist das zentrale Element im Active Directory: Er übernimmt die Authentifizierung von Benutzern und Geräten, verwaltet Sicherheitsrichtlinien und weist Zugriffsrechte sowie Rollen zu. Als Knotenpunkt steuert er die Kommunikation und den Zugriff innerhalb der gesamten Domänenstruktur
Der Domänencontroller übernimmt für jede Domäne wichtige Funktionen. Es handelt sich um einen Server, den ein Administrator zum Domänencontroller ernannt hat. Der Domänencontroller stellt den Benutzern und Geräten das Active Directory zur Verfügung und übernimmt die Authentifizierung der Benutzer sowie die Zuweisung der Rollen. Die Informationen des Active Directories werden auf dem Domänencontroller-Server gespeichert. Um sich am Verzeichnisdienst anzumelden, nach Objekten oder Ressourcen zu suchen und sie anzusprechen ist zuvor der Domänencontroller zu kontaktieren. Die Clients verwenden das Domain Name System, um den für sie zuständigen Domänencontroller ausfindig zu machen. Nachdem der Domänencontroller gefunden ist, wird für den Zugriff auf das Active Directory die Kommunikation mithilfe des Lightweight Directory Access Protocols (LDAP) eingerichtet. Redundanzen und die Replikation der Daten des Domänencontrollers verhindern, dass beim Ausfall des Servers wichtige Funktionen im Netz nicht mehr zur Verfügung stehen.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/1d/5a1d21918c970ad44377ca4e6aa30e19/0123283113v2.jpeg "Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025 (Bild: cirosec GmbH)")
:quality(80)/p7i.vogel.de/wcms/aa/a3/aaa31c9b27fbcbd9ef99a03273fa153b/0105074845.jpeg "Das Active Directory wird immer mehr zum Einfallstor für Cyber-Angriffe. Zeit, sich der Sicherheit des AD anzunehmen. (Bild: © Worawut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/8d/4c/8d4c5d6a3bb1b27b78db3774e509ec6f/0125605639v2.jpeg "Unternehmen können auf einem Synology NAS direkt einen AD-Domänencontroller betreiben, oder es ganz einfach in eine bestehende AD-Umgebung integrieren. (Bild: © Scanrail - stock.adobe.com)")