Was ist ein Active Directory®?
Ein Active Directory® ist sowohl die integrale konzeptionelle Komponente als auch der Name einer von Microsoft® entwickelten Softwaretechnologie. Es kann ähnlich wie ein Katalog angezeigt werden und bietet eine wichtige Referenzliste für praktisch alles, was in einer Computernetzwerkinfrastruktur verwaltet werden kann. Das Verzeichnis ist hierarchisch strukturiert und kann Computer, Personen und sogar ganze Netzwerke umfassen. Das System bietet eine Möglichkeit zur zentralen Verwaltung eines Computernetzwerks und seiner Sicherheit, die im gesamten Netzwerk skalierbar, synchronisiert und standardisiert ist.
Das Herzstück von Active Directory® ist ein Verzeichnisdienstprotokoll, das als LDAP (Lightweight Directory Access Protocol) bezeichnet wird. Dieses Protokoll legt fest, auf welche Weise die Verzeichnisstruktur organisiert und aus dieser gelesen oder in diese geschrieben wird. Aus Sicherheitsgründen verwendet Active Directory® das Kerberos-Netzwerkauthentifizierungsprotokoll. Der Dienst bietet auch ein Domain Name System (DNS) zur Übersetzung von IP-Adressen (Internet Protocol) in erkennbare Namen.
Alles, was in ein Active Directory® einfließt, wird als Objekt betrachtet. Grundsätzlich gibt es zwei Arten von Objekten, ein Ressourcen- und ein Sicherheitsprinzip. Wenn es sich bei Ressourcen in der Regel um physische Konstruktionen wie Drucker handelt, sind die Objekte des Sicherheitsprinzips etwas abstrakter. Jedes Sicherheitsprinzip erhält im Active Directory®-System eine Sicherheitskennung (SID) und stellt dann alles dar, was vom System authentifiziert werden kann und mit denen Berechtigungen verknüpft sind. Da einige Objekte offensichtlich von beiden Typen sein können, z. B. ein Computer im Netzwerk, der sowohl eine Ressource als auch ein Prinzip ist, können sie in bestimmten Fällen ineinander verschachtelt sein.
Ein Active Directory® besteht aus drei verschiedenen Hierarchieebenen, die als Gesamtstrukturen, Bäume und Domänen bezeichnet werden. Dies kann die tatsächliche Struktur einer Organisation sowohl geografisch als auch organisatorisch widerspiegeln. Beispielsweise kann die Gesamtstruktur eines Unternehmens aus zwei primären Domänen bestehen, einer für Chicago und einer für New York. Darunter können zusätzliche Domänen zum Verwalten der Geschäftsaktivitäten in jeder Stadt erstellt werden, z. B. die Buchhaltungsabteilung, ein Verkaufsteam, Forschung und Entwicklung usw. Diese beiden Domänenstrukturen stellen dann eine Vertrauensbeziehung zueinander her, sodass Benutzer in einer der Domänen bei Bedarf auf die Ressourcen in der anderen zugreifen können.
Das Herzstück eines Active Directory® ist eine so genannte Organisationseinheit (OU). Innerhalb einer Domäne können beliebig viele Organisationseinheiten verschachtelt sein. Diese ermöglichen, dass die Struktur des Active Directory® mit der der Organisation übereinstimmt, und bieten ein zentrales Mittel für die verteilte Verwaltung der Objekte im Verzeichnis. Mit einer festgelegten Organisationsstruktur kann die zusätzliche Verwaltung auf Unterdomänen in der Struktur delegiert werden, wodurch verschiedene Berechtigungsebenen für verschiedene Organisationseinheiten in einer Organisation möglich sind.
Alle Informationen in einem Active Directory® werden in einer Datenbank gespeichert, die als Verzeichnisspeicher bezeichnet wird. Das System ermöglicht es dieser Datenbank, sich unter den anderen in der Domänenstruktur und weiter oben in der Gesamtstruktur zu replizieren. Domänen in der Baumstruktur überprüfen regelmäßig, ob Änderungen am Verzeichnisspeicher in anderen Domänen vorgenommen wurden, und ziehen die Daten dann in ihre eigenen, falls sich Änderungen ergeben sollten.