Active Directory Tutorial für Anfänger

Lernen Sie Active Directory von Anfang an. In diesem Tutorial erfahren Sie die wichtigsten Grundlagen von AD und wie Sie es ganz genau einrichten.

Linetwork aleksej kusnir Profil

Aleksej Kusnir

IT Trainer

Hi, ich bin IT-Berater für Microsoft Technologien seit über 10 Jahren. Im Jahr 2018 habe ich das IT-Trainingsunternehmen Linetwork gegründet. Zudem bin ich Blogger und veröffentliche Tutorials zu PowerShell, Windows Server und und anderen Microsoft Technologien.

„Ich wünsche Ihnen viel Spass bei diesem Tutorial.“

Was ist Active Directory?

Active Directory ist ein Verzeichnissystem der Firma Microsoft, welches auf einem Windows Server installiert werden kann.

Das Active Directory wird in Unternehmen dazu verwendet Objekte wie Computer, Benutzer, Gruppen usw. in dem Verzeichnissystem zu speichern.

Mithilfe des Verzeichnissystem können die Objekte zentral verwaltet und Zugriffe auf andere Ressourcen wie Fileserver im Unternehmen gesteuert werden.

Im Active Directory können die folgenden Objekte standardmäßig gespeichert werden.

Durch die zentrale Speicherung von Unternehmensdaten für Computer und Benutzer, können Sie zentral entscheiden ob. z.B.: Benutz6er X auf einen Ordner im Fileserver Y zugreifen kann.

Die Freigaben ob ein Benutzer oder Computer Zugriffsrechte hat, steuern Sie über Gruppenzugehörigkeiten.

Wie und wo wird Active Directory genutzt?

Active Directory wird oft in Mittelstand oder in Großunternehmen eingesetzt. Aber auch kleine Unternehmen nutzen das Active Directory um Ihre IT Ressourcen zu verwalten.

Typischer Einsatz des Active Directorys in einem Unternehmen ist die Speicherung von Benutzer und Computerdaten.

Meisten gibt es auch einen Exchange Server und ein paar Windows Fileserver.

Das Active Directory wird genutzt um den Zugriff auf Daten zu erlauben, die auf einem Fileserver liegen.

Des Weiteren wird es genutzt um Exchange Ressourcen wie z.B. Postfächer etc. für Benutzer freizugeben.

Einige Unternehmen nutzen bereits Ressourcen aus der Cloud z.B. von Microsoft Azure.

In Microsoft Azure gibt es auch ein Active Directory, das aber den Namen „Microsoft Azure AD hat.“ Im Prinzip ist es eine Ableitung des Active Directory, ist aber für Microsoft Azure optimiert.

Bevor Ich Ihnen zeige, wie Sie das Verzeichnissystem im Windows Server nutzen, gehen wir erstmal gemeinsam auf die Grundlagen ein, so dass Sie die wichtigsten Komponenten des Active Directory kennenlernen.

Active Directory Grundlagen

Das Active Directory an sich ist kein komplexiertes System, wenn Sie die Grundlagen kennen und etwas Praxis gesammelt haben.

Lassen Sie uns deshalb, schnell gemeinsam die wichtigsten Eigenschaften einer Active Directory Struktur kennenlernen.

Aufbau & Struktur

Die AD Struktur besteht aus einer oder mehreren Domänen.

Jede Domäne hat ihre eigenen Objekte wie z.B. das Active Directory Schema, die Computer und Benutzer Objekte und viele anderen. Die wichtigsten werden wir nun gemeinsam kennenlernen.

Klicken Sie auf eins der Objekte, über das Sie mehr erfahren möchten oder lesen Sie alle Schritt für Schritt durch.

Was ist eine Domäne?

Eine Windows Domäne ist ein Begriff vergleichbar mit einem Unternehmen, einer Schule usw. 

Im Unternehmen gibt es Mitarbeiter, in der Schule gibt es Lehrer und Schüler und so weiter.

In einer Domäne gibt es Objekte wie Benutzer, Gruppen, Computer, Organisationseinheiten, Gruppenrichtlinien.

Damit diese miteinander gut arbeiten können und sich gegenseitig vertrauen können gibt es eine Domäne. 

Ist ein Benutzer in einer bestimmten Domäne, kann er dann Ressourcen wie z.B. einen Fileserver in dieser Domäne nutzen.

In großen Organisationen gibt es nicht nur eine Domäne, sondern mehrere Domänen.

Die Hauptdomäne bzw. die erste Domäne wird Root Domäne genannt, alle weiteren Domänen werden Sub Domänen bezeichnet.

Die Aufteilung zwischen verschiedenen Domänen wird in Unternehmen aus Sicherheits– und Verwaltungsgründen gemacht.

Ich bin aber der Ansicht, dass die meisten Unternehmen mit einer Domäne gut auskommen und mehrere Domänen nur die Komplexität erhöhen.

Trotzdem sollten Sie wissen wie eine Root und Sub Domänen untereinander funktionieren.

Root Domäne

Die Root Domäne ist gleichzeitig auch die erste Domäne, die in einer Active Directory Infrastruktur erstellt wird.

Die Root Domäne kann z.B. den Namen „rootdomänenname.de“ haben.

Nach dem die Root Domäne aktive ist, kann eine Sub Domäne z.B. mit dem Namen subdomäne.rootdomänenname.de erstellt werden.

Jede Domäne hat Ihre eigenen Domänen Administratoren.

Die Root Domäne hat automatisch eine Vertrauensstellung zwischen den Sub Domänen.

Subdomäne

Die Sub Domäne kann völlig unabhängig von der Root Domäne verwaltet werden.

Damit z.B. die Sub Domäne „A“ auf Ressourcen in der Sub Domäne „B“ zugreifen kann, muss eine Vertrauensstellung zwischen den beiden Sub Domänen erstellt werden.

Nun möchte Ich mit Ihnen gemeinsam die wichtigsten Objekte in der Domäne durchgehen und diese erklären.

Wichtig ist vorher aber zu wissen, dass alle Objekte und Attribute im AD durch ein Active Directory Schema bestimmt werden.

Das Active Directory Schema

Jede Domäne in einer Active Directory Umgebung, besitzt ein Active Directory Schema.

Das Active Directory Schema beschreibt jedes Objekt Klasse und deren Attribute.

Im Schema ist beschrieben, wie ein Objekt aufgebaut ist und welche Attribute dieses beinhaltet. In den Attributen ist beschrieben, welche Werte hier gespeichert werden können und wie diese dargestellt werden.

Nun möchte ich mit Ihnen die wichtigsten AD Objekte durchgehen. Diese sind in jeder Domäne nach der Installation verfügbar.

Active Directory Objekte

Die Ressourcen einer Domäne werden als Objekte bezeichnet.

Jedes Objekt hat bestimmte Eigenschaften wie z.B. Name, Tel. Nummer, Gruppenmitgliedschaft usw.

Damit die Objekte in einer Domäne eindeutig sind, gibt es sogenannte SIDs.

Eine SID (Security Identifier) ist eine Nummer, die jedes Objekt eindeutig macht, so kann jedes Objekt von einem anderen unterschieden werden.

Benutzer

Das Benutzerobjekt ist z.B. unser Account, mit dem wir uns an einem PC in der Domäne anmelden.

Ein Benutzer kann Mitglied mehrerer Active Directory Gruppen sein. So können diese Benutzer aufgrund von Gruppenzugehörigkeiten, Zugangsrechte auf Ressourcen im Unternehmen gewährt werden.

Ein Benutzer Account hat standardmäßig die folgenden Eigenschaften.

Eine komplette Liste mit allen Eigenschaften finden Sie auf der Microsoft Webseite:

Gruppen

Das Active Directory Gruppen Objekt wird dazu verwendet, um die Verwaltung auf Ressource in der Domäne zu vereinfachen.

So können z.B. Gruppen für Buchhaltung oder Marketing gebildet werden.

Dadurch erhalten die Benutzer in diesen Gruppen Berechtigungen für Ordner im Marketing oder in der Buchhaltung.

Wichtige Active Directory Gruppen

Computer

Das Computerobjekt in Active Directory kann ein Server oder auch ein Windows Client sein.

Sobald ein Computer einer Domäne beigetreten ist, können Benutzer aus der Domäne sich an diesem Computer anmelden.

Sie können sogar bestimmen, welche Domänen Benutzer sich an diesen Computer anmelden dürfen.

Organizationseinheit

Ein Organisationseinheit oder auch OU genannt ist für die Struktur in einer Domäne wichtig.

Durch Organisationseinheiten legen Sie eine Hierarchie in der Domäne an, in der Sie dann die Domänenobjekte ablegen.

z.B. 

  1.  OU = Standort 
    1. OU = Abteilung 

       

        1. OU = Benutzer 

       

        1. OU = Computer 

       

      1. OU = Server

Warum ist das wichtig?

  1. Die Domäne wird übersichtlicher. 
  2. Die Objekte sind klar strukturiert je nach ihrer Funktion im Unternehmen. 
  3. Es ermöglicht uns Gruppenrichtlinien korrekt zu hinterlegen.

Der Punkt 3 ist enorm wichtig.

In Active Directory haben wir Gruppenrichtlinien. Gruppenrichtlinien sind Definitionen für Computer und Benutzer.

Eine Gruppenrichtlinien, kann z.B. festlegen welche Verknüpfungen ein Benutzer auf seinem Desktop sieht.

Nun möchten wir aber z.B. für verschiedene Abteilungen andere Verknüpfungen auf dem Desktop erstellen.

Wenn wir die Domänen in OUs geordnet haben, können wir festlegen, welche Gruppenrichtlinien auf welcher OU ausgeführt wird.

Der Punkt 3 ist enorm wichtig.

In Active Directory haben wir Gruppenrichtlinien. Gruppenrichtlinien sind Definitionen für Computer und Benutzer.

Eine Gruppenrichtlinien, kann z.B. festlegen welche Verknüpfungen ein Benutzer auf seinem Desktop sieht.

Nun möchte wir aber z.B. für verschiedene Abteilungen andere Verknüpfungen auf dem Desktop erstellen.

Wenn wir die Domänen in OUs geordnet haben, können wir festlegen, welche Gruppenrichtlinien auf welcher OU ausgeführt wird.

Container

Ein Container ähnelt einer Gruppenrichtlinie.

Die Active Directory Container werden automatisch bei der Installation des Active Directory angelegt und beinhalten wichtige Objekte für die Domäne.

In der Praxis arbeiten wir, meist mit Gruppenrichtlinien und nicht mit Containern.

Gruppenrichtlinien

Ein Gruppenrichtlinie ist eine Art Regelwerk für Benutzer oder Computer Objekte. Diese legen z.B. fest, wie oft ein Benutzer sein Passwort in der Domäne ändern muss.

Wir können aber auch festlegen, welche Scripte beim Anmelden eines Benutzers oder Computers angewendet werden sollen!

Wie alles in der Domäne, sind auch Gruppenrichtlinien Domänenobjekte. Wir können verschiedene Gruppenrichtlinien erstellen und zuweisen.

Ein Gruppenrichtlinienobjekt wird immer entweder für Benutzer oder Computer erstellt.

Was ist ein Domänencontroller?

Als Domänencontroller wird der Server bezeichnet, auf dem der Active Directory Domänenservice installiert ist.

Eine Domäne besteht meist aus mehreren Domänencontrollern.

Jeder dieser Domänencontroller in einer Domäne beinhaltet eine Kopie der Active Directory Datenbank, sowie der AD Daten wie z.B. Scripte, GPOs usw.

Fällt ein Domänencontroller in einer Domäne aus, kann ein zweiter DC in der Domäne die AD Dienste weiterhin anbieten.

Neben mehreren Domänencontrollern ist es sehr wichtig ein gutes Backup für die Domänen Umgebung zu haben, falls Daten gelöscht oder alle Domänencontroller nicht mehr verfügbar sind.

Was ist eine Active Directory Site?

Eine Active Directory Site Struktur ermöglicht die natürliche Abbildung des Unternehmensnetzwerks.

Nehmen wir mal an, Ihr Unternehmen hat in Deutschland 3 Standorte, die netzwerktechnisch weiter auseinander liegen.

Dann sind die Netzwerklatenz und die Bandbreite zwischen diesen Standorten meist begrenzt.

Nun haben sie aber Benutzer in diesen Standorten sitzen, die sich an einem Domänencontroller anmelden müssen, um Zugriffe auf Unternehmensressourcen zu erhalten.

Nun sollen sich natürlich die Benutzer aus Standort A nicht mit einem Domänencontroller aus Standort B verbinden, sondern sich an einem Domänencontroller auch aus Standort A anmelden.

In Active Directory Sites and Services wird genau festgelegt, welcher Domänencontroller sich an welchen Standort befindet. Um dies zu erreichen werden Subnetzte der Standorte hinterlegt.

Was ist eine Active Directory Vertraungsstellung?

Eine Active Directory Vertrauensstellung ist wie der Name schon sagt dazu da, um ein Vertrauen zwischen zwei Domänen herzustellen.

Das können die eigenen Domänen in der eigenen Active Directory Infrastruktur sein, aber auch andere Domänen.

Wenn z.B. eine Firma ein anderes Unternehmen kauft, das bereits über eine Active Directory Infrastruktur besitzt, dann können beide Domänen über eine Vertrauensstellung miteinander verbunden werden.

Dadurch können Zugriffe auf Ressourcen in der anderen Domäne gewährt werden.

Bei einer Domänenmigration werden z.B. ebenfalls Vertrauensstellungen zwischen zwei Domänen gebildet um Daten von einer Domäne zu anderen zu migrieren.

Active Directory einrichten

Das Active Directory kann auf einem Windows Server, wie z.B. Windows Server 2016 oder Windows Server 2019 installiert werden.

Bevor wir aber eine AD Umgebung installieren, müssen die Windows Server für die Installation zum Domänencontroller vorbereitet werden.

Vorbereitung Active Directory Installation

Das Windows System, auf dem Active Directory installiert wird, nennt man Domänencontroller.

Für den reibungslosen Betrieb eines Active Directorys sollte der Domänencontroller folgende Voraussetzungen erfüllen.

  1. Eindeutiger Hostname des Domänencontrollers 
  2. Eindeutiger Domänenname für die Domäne 
  3. Mindestens 8 GB RAM 
  4. Mindestens 2 Ghz CPU 
  5. Mindestens 100 GB C: Laufwerk 
  6. Mindestens eine Netzwerkkarte mit 1 Gbit

Installation eines Domänencontrollers