Das Active Directory ist ein Verzeichnisdienst von Microsoft, mit dem seit der Einführung von Windows 2000 sämtliche neueren Microsoft Windows Server arbeiten. Active Directory ist der zentrale Ort für alle Identitäten (Benutzer, Computer, Gruppen, Drucker usw.) einer Windows-Domäne. Dadurch wird eine Single-Sign-In Lösung für Kerberos-basierte Programme ermöglicht.
Bei Weitem nicht! Aber hier erfahren Sie alles Wissenswerte rund um das Thema Active Directory!
Ein interessanter Fakt:
Laut Corporate Vice President (Cloud Marketing) Takeshi Numoto nutzen 93 Prozent der 1000 umsatzstärksten US-Unternehmen das Active Directory.
93%
der
1000
umsatzstärksten
US-Unternehmen
das Active Directory
Wie in vielen anderen IT-Bereichen, wurde auch dieser Verzeichnisdienst seit seiner erstmaligen Einführung rasch um neue Komponenten und Funktionen erweitert. Somit hat der Active Directory-Verzeichnisdienst bis heute deutlich an Komplexität hinzugewonnen.
Worin zeigt sich diese Komplexität?
Seit Windows Server 2008 dient der Ausdruck Active Directory als Überbegriff für fünf unterschiedliche sogenannte Serverrollen.
Die wichtigsten fünf Active Directory Serverrollen heißen:
ADLDS ist eine funktionreduzierte Version des ADDS, die als dezentrales Verzeichnis für Entwickler und Tester von Nutzen ist.
ADFS ermöglichen eine webgestützte Authentifizierung von Nutzern außerhalb der ADDS-Infrastruktur. Dies erleichtert einen organisationsübergreifenden Zugriff auf Ressourcen und ermöglicht die Einbindung von Cloud-Diensten wie Microsoft Azure.
Die ADFS-Dienste sind der zentrale Bestandteil zur Anbindung an die Microsoft Cloud-Dienste. Benutzeridentitäten werden mit Hilfe von Microsoft Azure Connect ins Azure AD synchronisiert und mit Hilfe der ADFS-Dienste wird eine SSO-Anbindung an alle Microsoft Cloud-Dienste ermöglicht.
Dieser Dienst wurde aufgrund der Komplexität komplett in die Microsoft Cloud verlagert und steht heute als Azure Information Protection zur Verfügung.
ADCS sind die Voraussetzungen für den Aufbau einer internen PKI-Infrastruktur. Die Ausstellung von Zertifikaten, zwecks Sicherung von Webservern und VPN Zugriffen, sind heute nahezu zwingend.
Wenn Sie über die Schulter eines jeden Administrators sehen und erklären könnten, wie es verwendet werden soll, wäre die Verwaltung von Active Directory durch eine Leitlinie nicht erforderlich.
Die in unserem Konzept aufgeführten Richtlinien geben Ihnen und Ihrem Team eine Sammlung von Tools um eine gemeinsame Sprache zwischen den Verantwortlichen, die für die Gestaltung von Active Directory zuständig sind, und den Administratoren, welche diese konzeptionellen Gedanken als Teil ihrer täglichen Arbeit verwenden und implementieren, herzustellen.
In den frühen Tagen von Windows-Netzwerken stand nur eine sehr kleine Teilmenge der heutigen Active Directory Services zur Verfügung. Das flache und feine Pattern von NT gab nur wenig Raum, um die Organisationsstruktur widerzuspiegeln.
Für alle Eventualitäten gerüstet sein. Wie Sie Ihr Unternehmen für die Zukunft richtig aufstellen?
Mit der steigenden Anzahl der Anwendungen, die die Active Directory-Integration unterstützen oder sich sogar darauf verlassen, ist es attraktiver geworden Zeit und Mühe in solide Entwurfsrichtlinien mit dem Schwerpunkt der Erweiterbarkeit und Wiederverwendbarkeit zu investieren.
Mit der Entwicklung von Mustern und Verhaltensweisen für die Verwendung von Installationen mit geringem Administrationsaufwand, musste eine Fülle von Service- und Helfer-Konten erstellt werden. Weitere Gruppen, Benutzerkonten und eine Vielzahl anderer Objekte fanden den Weg in das Active Directory. Oft sind diese Objekte ein fester Bestandteil der installierten Anwendung und müssen mit absoluter Sorgfalt aufgrund ihrer Sicherheit behandelt werden.
Die Festlegung eines Rahmens für die gemeinsamen Herausforderungen ist der Schlüssel für eine flexible, zuverlässige und sichere Infrastruktur. Spezifikationen, die nicht solchen Design-Konventionen entsprechen und sich nicht in moderne Anwendungen integrieren, sind entweder eine konstante Quelle der Frustration für diejenigen, die versuchen sie zu benutzen, oder schlagen letztlich fehl. Diejenigen, die passen, werden häufig beschrieben als "macht Sinn" und gut gestaltet.
Die Frage, die sich sofort stellt, ist, was definiert eine gut durchdachte Lösung und wie kommt man dorthin? Häufig gibt es viele Faktoren wie Leistung, Zuverlässigkeit, Abhängigkeit und Verwaltung, die die Qualität beeinflussen.
Ein gut konzipiertes Active Directory muss natürlich mit den gleichen Standards gemessen werden.
Oft wird die Einfachheit geopfert, wenn der Zeitplan eng ist, feature creep besteht oder der Wunsch, jedes kleine Ecke-Szenario zu befriedigen, den Engineering-Prozess übernimmt.
Viele Richtlinien in diesem Dokument werden durch den Ehrgeiz, das richtige Gleichgewicht zwischen Funktionalität und Einfachheit zu finden, angetrieben.
Es gibt nicht DAS perfekte Design. Beim Design geht es darum Kompromisse und die richtigen Entscheidungen zu treffen. Dabei ist es wichtig, die Möglichkeiten, die Vor- und Nachteile und die Auswirkungen zu verstehen.
Erfolgreiche Designs bauen auf bestehende bewährte Designs und bedienen sich deren Elemente. Es ist möglich – und manchmal wünschenswert – völlig neuartige Lösungen oder Erweiterungen zum Design einzuführen. Dies sollte aber mit äußerster Vorsicht erfolgen.
Nachzudenken, wie sich Ihre Design-Richtlinien in der Zukunft entwickeln, hat Vor- und Nachteile. Einerseits ist der Prozess ein "Nur für den Fall"-Szenario zu entwickeln und die Komplexität dahingehend zu erweitern, zeitaufwendig.
Andererseits wird genaue Abwägung auch vor der Entwicklung einer Richtlinie bewahren, die – über einen Zeitraum hinweg – schwächer wird und existierende Prozeduren durchbrechen wird.
Wann immer ein Kompromiss bei der Gestaltung vorgenommen wird, sollte ermittelt werden, wie sich die Entscheidung auf die Möglichkeit auswirkt, das Design in der Zukunft weiterzuentwickeln.
Aktuelle Design-Richtlinien müssen so gestaltet werden, dass sie sich in die bestehenden Verwaltungs- und Management-Tools integrieren.
Konsistenz ist das Hauptmerkmal einer durchdachten Richtlinie. Es ist einer der wichtigsten Faktoren, der die Produktivität beeinflusst. Ein einheitliches Design ermöglicht die einfache Übertragung von Wissen.
Ein aufgeräumtes und durchdachtes Active Directory bildet die Basis für eine erfolgreiche Migration zum Azure AD und somit zu den Microsoft Cloud-Diensten.
Nur durch eine vorhandene administrative Delegation lassen sich diese auch 1 zu 1 in der Microsoft Azure und Office 365 weiterführen.
Durch Gruppenmitgliedschaften und strukturierte Organisationseinheiten lassen sich gezielte Personen und Anwendungen nach und nach als hybride Lösung in die Cloud verlagern.
Viele Anwendungen basieren noch auf der Kerberos-Active Directory-Integration. Für diese Anwendung ist eine hybride Anbindung an die Cloud unabdingbar. Im Laufe der Zeit lassen sich somit alle Anwendungen einfach und gezielt auf webbasierte oder SAML-basierte Authentifizierungsverfahren migrieren.
Bei der Bereitstellung von Domain Controllern sollten einige bewährte Vorgehensweisen eingehalten werden. Doch obwohl viele dieser Methoden dokumentiert sind, werden sie in der Realität von vielen Organisationen nicht umgesetzt.
Zu diesen wohlbekannten bewährten Methoden zählen Dinge, wie die Verwaltung der Active Directory-Datenbank auf einer vom System separierten Partition sowie die Virtualisierung von Domain Controllern.
Zu den goldenen Tipps zählen:
Viele Administratoren verspüren eine starke Abneigung gegenüber Änderungen, insbesondere bei so extrem stabilen Systemen wie ADDS. Wenn dann ein neuer Administrator die Umstellung auf die Server Core-Installation vorschlägt, stößt er deshalb oftmals auf wenig Begeisterung.
Dabei arbeiten alle wesentlichen Verwaltungstools, einschließlich des Active Directory-Verwaltungscenters (ADUC) und Windows PowerShells, auf nahezu identische Art, egal, ob sie lokal auf einem Domain Controller oder remote von einem Client- oder Verwaltungscomputer aus, genutzt werden.
Deshalb führt eine Umstellung auf die Server Core-Installation zu keinerlei Beeinträchtigung der administrativen Tätigkeit. Zugleich erhöht eine solche Umstellung die Sicherheit und bewirkt zudem kleinere Steigerungen in der Performance.
Bis auf eine Backup Software und einen Virenschutz, sollte keine Software auf einem DC ausgeführt werden. Die oben genannten Active Directory-Dienste sind natürlich auf einem Server kombinierbar.
Zu früheren Zeiten verwendeten die meisten Unternehmen physische Server. Doch seit 2015 ist die Virtualisierung de facto der neue Standard. Seither ermöglicht automatisiertes Provisioning die Bereitstellung einer neuen virtuellen Maschine innerhalb von Minuten.
Deshalb haben die alten Vorgehensweisen heute praktisch ausgedient. Denn wenn Sie nun einen Platz für einen Dateiserver, DHCP-Server, Druckserver oder einen anderen Anwendungsserver benötigen, können Sie hierfür einfach eine neue VM bereitstellen.
Es geht sogar noch besser:
Auch Domain Controller werden von der Virtualisierung unterstützt. Somit werden sogar Wiederherstellungen von Domain Controller mit Hilfe von VM Snapshots unterstützt.
Auch eine schnelle Provisionierung von weiteren Domain Controller mit Hilfe der Clone-Technologie ist möglich.
Dies ermöglicht es Ihrem Domain Controller einen dedizierten Betrieb zu bewahren, was eine Erhöhung der Stabilität bewirkt.
Alle Ihre Read-Write-Direct Controller sollten sich in einem sicheren Rechenzentrum befinden. Doch vom Vertragselektriker bis zum Netzwerktechniker haben viele IT- und Nicht-IT-Mitarbeiter Zugriff auf das Datenzentrum.
Jeder, der physischen Zugriff auf einen Domain Controller hat, kann an einer Konsole im Rechenzentrum in nur wenigen Minuten Zugriff auf einen physischen DC erhalten.
So können mithilfe spezieller Freeware-Boot-Images Passwörter zurückgesetzt werden. Ebenso kann Malware installiert oder Zugriff auf die Datenträger-Daten erlangt werden./p>
Mit anderen Worten:
Es droht akute Gefahr, sobald die Festplatte des DC nicht verschlüsselt ist!
Mithilfe der BitLocker-Technologie von Microsoft lassen sich die Domain Controller vor unbefugtem physischem Zugriff bewahren. Die gesamte Festplatte wird verschlüsselt und auch ein Pre-Boot-Passwort ist möglich.
Verhindern Sie jeglichen unbefugten Zugriff auf die physischen und somit auch virtuellen Computer.
Wir wissen, wovon wir sprechen
Ein aufgeräumtes und durchdachtes Active Directory Konzept bildet die Basis für Ihre 'Modern-IT' Infrastruktur. Für die Nutzung innovativer Applikationen ist hybride Anbindung Ihrer IT an die Cloud unabdingbar. Eine gute Strategie bildet die Grundlage für Ihre zukünftige Wettbewerbsfähigkeit.
