Active Directory und Domäne – einfach erklärt

daten 21
Fachbeitrag

Oft spricht ein IT-Administrator im Zusammenhang mit Berechtigungen und Zuweisung von Ressourcen von Active Directory oder einer Domäne. Mit dem heutigen Artikel möchten wir etwas Licht ins Dunkel bringen und erklären, welche Funktionalitäten Active Directory bzw. eine Domäne haben und wie diese die Sicherheit bzw. Rechtevergabe unterstützen können. 

Erklärt an einem einfachen Beispiel

Um die Erklärung zu vereinfachen, fangen wir zunächst mit einem Beispiel an.

In einem Unternehmen arbeiten 100 Mitarbeiter. Alle Mitarbeiter müssen sich auf allen 100 Firmen-Rechnern anmelden können, dürfen aber jeweils nur die Ressourcen (Drucker, Ordner, Datenbanken) nutzen, auf die sie laut dem schriftlichen Berechtigungskonzept Zugriff haben.

Um nicht 100 Benutzerkonten auf allen 100 Rechnern (insgesamt also 10.000 Konten) einrichten und unterschiedliche Rechte einzeln und manuell anlegen zu müssen, werden alle Informationen zentral in einem Verzeichnisdienst (Active Directory) gespeichert. Das erleichtert die Arbeit des Administrators nicht nur beim Anlegen der Benutzerkonten, sondern auch beim Verwalten, da z.B. bei einem Passwortwechsel eines Mitarbeiters dieses nur einmal zentral im Active Directory eingetragen und nicht bei allen 100 Rechnern geändert werden muss.

Der Administrator muss zusätzlich unterschiedliche Berechtigungen verteilen, da nicht jeder z.B. auf den Personal-Drucker oder die Kundendatenbank Zugriff haben darf. Damit der Admin das nicht bei jedem der 100 Mitarbeiter einzeln und manuell einstellen muss, richtet er unterschiedliche Gruppen (Domäne) ein, die unterschiedliche Berechtigungen enthalten und ordnet die einzelnen Mitarbeiter der entsprechenden Domäne zu. Er richtet z.B. die Personal-Gruppe (Domäne) mit bestimmten Rechten ein und ordnet alle Mitarbeiter aus der Personalabteilung dieser Gruppe zu. Diese können nun automatisch z.B. auf die Mitarbeiterdatenbank oder den Personal-Drucker zugreifen, alle anderen Mitarbeiter nicht.

Meist bietet sich jedoch an, nur eine Domäne mit verschiedenen Organisationseinheiten anzulegen, die unterschiedliche Richtlinien enthalten.

Was ist ein Active Directory?

Active Directory ist also ein zentraler Verzeichnisdienst (engl. directory für Verzeichnis) von Microsoft. Active Directory ist vergleichbar mit einem Telefonbuch im Firmen-Intranet, da es Detailinformationen (bei Benutzer z.B. Name, E-Mailadresse) in einer zentralen Datenbank speichert. Mithilfe der Active Directory ist eine zentrale Verwaltung und Kontrolle eines Netzwerkes möglich.

Einen weiteren Vorteil für den Administrator bietet Active Directory, weil damit zentral alle Objekte (gemeint sind Benutzer aber auch Rechner, Drucker, Dateiordner usw.) verwaltet werden können, was die Administration aller Objekte in einem Netzwerk erleichtert.

Einen Vorteil bietet die Active Directory für den Mitarbeiter deswegen, weil er innerhalb des Firmennetzwerkes mit einer einzigen zentralen Anmeldung (Windows-Login) auf alle ihm zugeteilte Ressourcen (Drucker, Ordner, Software, Datenbanken) von unterschiedlichen Rechnern zugreifen kann.

Active Directory unterstützt also die Strukturierung des Netzwerkes und bildet die Organisation technisch mit allen Rechten und Berechtigung nach.

Was ist eine Domäne?

Eine Domäne stellt dagegen einen eigenständigen Sicherheitsbereich dar, der zentral verwaltet werden kann.

Das Active Directory umfasst mindestens eine Domäne. Jede Domäne hat also ihren eigenen Sicherheitsbereich mit Richtlinien und Beziehungen, die dann festlegen, welcher Mitarbeiter sich mit welchem Passwort anmelden und auf welche Objekte er Zugriff haben darf. In jeder Domäne werden also ausschließlich Informationen zu den in der jeweiligen Domäne enthaltenen Objekten (Benutzer, Ordner, Hardwarekomponenten wie Drucker usw.) gespeichert.

Dabei werden die Informationen nicht lokal auf den jeweiligen Rechnern sondern zentral auf einem Server (sog. Domänencontroller) gespeichert.

Die einzelne Domäne kann mit Hilfe von Organisationseinheiten weiter strukturiert werden, die dann auch unterschiedliche Richtlinien enthalten. Dies ist in der Praxis häufiger anzutreffen, da das Anlegen und Verwalten von mehreren Domänen einen höheren Verwaltungsaufwand bedeutet.

Sicherheit bei Active Directory bzw. Domänen

Active Directory bzw. Domänen können auf der einen Seite die Sicherheit unterstützen, indem Berechtigungen und Rechte koordiniert werden. Auf der anderen Seite muss jedoch auch beachtet werden, dass auch diese Funktionalitäten selbst einer Reihe von technischen und nicht-technischen Bedrohungen ausgesetzt sind.

Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die einzelnen Gefährdungen aufgelistet und Maßnahmen aufgezählt, die einen sicheren Einsatz gewährleisten soll.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

2 Kommentare zu diesem Beitrag

    • In der Praxis verlassen sich viele Unternehmen tatsächlich nur auf den Active Directory-Auszug (das hängt wahrscheinlich auch von der Unternehmensgröße ab).

      Meiner Meinung nach reicht ein Auszug aus dem Active Directory i.d.R. aus den folgenden Gründen nicht aus:
      – ein Berechtigungs-Konzept muss nachprüfbar sein. Die Frage ist, ob ein DSB oder die Aufsichtsbehörde alleine mit einem Auszug aus dem Active Directory klarkommen
      – Inhalt eines Berechtigungskonzeptes soll nicht nur die Zuordnung der einzelnen Mitarbeiter sein. Ein Berechtigungskonzept geht darüber hinaus, indem es z.B. Rollendefinition mit Rollenbeschreibung, Rechtevergabe, Vertretungs- und entsprechenden Zugriffsregelungen enthält.

      Idealerweise sollten alle notwendigen Inhalte separat dokumentiert werden (was z.B. bei einer ISO 27001 Zertifizierung verlangt wird).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.