Active Directory

Active Directory (AD) ist ein Verzeichnisdienst von Microsoft, der in Windows-Netzwerken die zentrale Verwaltung von Benutzern, Geräten und Zugriffsrechten übernimmt. Vereinfacht gesagt fungiert es als zentrales Adress- und Schlüsselverzeichnis eines Unternehmens: Es weiß, welche Benutzerkonten existieren, welche Computer zum Netzwerk gehören und wer auf welche Ressourcen zugreifen darf. Statt jede Anmeldung und jede Berechtigung an jedem einzelnen Gerät zu pflegen, geschieht dies an einer Stelle.

Eingeführt mit Windows 2000, ist Active Directory bis heute das Rückgrat vieler firmeninterner IT-Umgebungen. Es bildet die Organisationsstruktur ab, etwa Abteilungen, Standorte oder Gruppen, und macht sie für die IT-Verwaltung nutzbar. Damit ist es weit mehr als ein Login-System: Es ist die zentrale Quelle der Wahrheit darüber, wer im Netzwerk wer ist und was er tun darf.

Im Zentrum stehen sogenannte Domänen-Controller, also Server, auf denen das Verzeichnis läuft und die Anmeldungen prüfen. Meldet sich ein Mitarbeiter morgens an seinem Arbeitsplatz an, fragt der Computer beim Domänen-Controller nach, ob die Zugangsdaten stimmen und welche Berechtigungen gelten. Diese Authentifizierung ist die Grundlage dafür, dass jeder nur die Ressourcen sieht und nutzt, die für ihn freigegeben sind.

Berechtigungen werden in der Regel über Gruppen organisiert: Ein Benutzer wird einer Gruppe zugeordnet, und die Gruppe erhält Zugriff auf bestimmte Ordner, Drucker oder Anwendungen. Über sogenannte Gruppenrichtlinien lassen sich zudem Einstellungen und Sicherheitsvorgaben zentral auf viele Geräte ausrollen. So lassen sich Zugriffsrechte konsistent steuern, ohne jedes Konto einzeln anzufassen, und ein IT-Administrator behält auch in größeren Umgebungen den Überblick.

Strukturiert wird das Verzeichnis über Organisationseinheiten, die etwa Abteilungen oder Standorte abbilden. Diese Gliederung ist mehr als Ordnung um ihrer selbst willen: Sie bestimmt, welche Richtlinien wo greifen und wie sich Verantwortung delegieren lässt, ohne gleich die gesamte Domäne freizugeben. Eine durchdachte Struktur erleichtert spätere Änderungen erheblich, während eine über Jahre unkontrolliert gewachsene Struktur schnell unübersichtlich und fehleranfällig wird.

Der größte Nutzen von Active Directory liegt in der Zentralisierung. Neue Mitarbeiter erhalten mit wenigen Schritten ein Konto samt passender Berechtigungen, ausscheidende Mitarbeiter werden zentral deaktiviert, und Änderungen wirken im gesamten Netzwerk. Das spart nicht nur Zeit, sondern ist auch ein Sicherheitsgewinn, weil verwaiste Konten und unkontrollierte Zugriffe vermieden werden. Eine saubere Rechteverwaltung ist ein Kernbaustein der IT-Sicherheit und unterstützt die Anforderungen der DSGVO an den geregelten Zugriff auf Daten.

Active Directory ist außerdem die Basis, auf der viele weitere Systeme aufsetzen. Datei- und Druckserver, Exchange-Umgebungen und zahlreiche Geschäftsanwendungen nutzen das Verzeichnis für die Anmeldung. Fällt es aus oder ist es schlecht gepflegt, wirkt sich das auf die gesamte IT-Landschaft aus, weshalb es als kritische Anwendung gilt, die besondere Aufmerksamkeit bei Backup und Ausfallsicherheit verdient.

Gleichzeitig ist das Verzeichnis ein beliebtes Ziel für Angreifer, denn wer die Kontrolle über das Active Directory erlangt, kontrolliert faktisch das gesamte Netzwerk. Aktuelle Verschlüsselung, eine zusätzliche Authentifizierung für administrative Konten und ein sparsamer Umgang mit weitreichenden Rechten sind daher keine Kür, sondern Pflicht. Viele Schäden durch Ransomware lassen sich auf zuvor übernommene Verzeichnisdienste zurückführen, was den Stellenwert einer sauberen Absicherung unterstreicht.

Mit der Verlagerung von Diensten in die Cloud hat sich das Umfeld von Active Directory verändert. Microsoft bietet mit Entra ID, dem früheren Azure Active Directory, einen cloudbasierten Identitätsdienst, der eng mit Microsoft 365, Exchange Online und Microsoft Azure verzahnt ist. Viele Unternehmen betreiben heute eine hybride Umgebung, in der das klassische lokale Active Directory mit dem cloudbasierten Pendant synchronisiert wird, sodass Anmeldungen sowohl im Haus als auch in der Cloud funktionieren.

Wichtig ist die begriffliche Unterscheidung: Das klassische Active Directory in der Domäne und der cloudbasierte Identitätsdienst sind verwandt, aber technisch nicht identisch. Bei einer Cloud-Migration oder beim Aufbau hybrider Arbeitsmodelle ist es daher entscheidend, das Identitätskonzept bewusst zu planen, damit Authentifizierung, Zugriffsrechte und Sicherheitsmechanismen wie eine Mehr-Faktor-Anmeldung über beide Welten hinweg konsistent greifen.

Ein gut gepflegtes Active Directory ist für mittelständische Unternehmen oft der unsichtbare Dreh- und Angelpunkt der täglichen Arbeit, gerät aber selten ins Blickfeld, solange alles läuft. Bei IT-Audits in Düsseldorf und Umgebung sehen wir immer wieder gewachsene Strukturen mit veralteten Konten und unklaren Berechtigungen, die ein Sicherheitsrisiko darstellen.

ITTK bewertet Identitäts- und Verzeichnisdienste herstellerneutral und im Gesamtzusammenhang der IT-Infrastruktur. Wir prüfen, ob ein rein lokales Active Directory, eine Cloud-Lösung oder ein hybrider Ansatz wirtschaftlich und sicherheitstechnisch am besten passt, und begleiten den Weg dorthin so, dass der laufende Betrieb nicht beeinträchtigt wird. Im Vordergrund steht dabei stets die Lösung, die zum Unternehmen passt, nicht ein bestimmtes Produkt.