Was ist Active Directory? Eine Schritt-für-Schritt-Anleitung

Mit der zunehmenden Komplexität der Netzwerkressourcen werden Verzeichnisdienste für die Verwaltung der IT-Infrastruktur immer wichtiger. Es gibt keinen Verzeichnisdienst mit einem größeren Namen als Active Directory. Der Verzeichnisdienst von Microsoft wurde als Hauptwerkzeug für Netzwerkadministratoren etabliert. In diesem Active Directory-Lernprogramm wird erläutert, was Active Directory ist, wie es verwendet wird und welche Active Directory-Tools wie SolarWinds Access Rights Manager verwendet werden. Zu den Themen gehören:

  • Was ist Active Directory??
  • Was macht Active Directory??
  • So richten Sie Active Directory ein
  • Verwendung von Active Directory: Einrichten eines Domänencontrollers, Erstellen von Verzeichnisbenutzern
  • Zu überwachende Active Directory-Ereignisse
  • Vertrauensbeziehungen (und Vertrauensarten)
  • Eine Übersicht über Active Directory-Gesamtstrukturen und -Bäume
  • Active Directory-Berichterstellung (mit SolarWinds Access Rights Manager)

Was ist Active Directory?? 

Active Directory ist ein Verzeichnisdienst oder Container, der Datenobjekte in Ihrer lokalen Netzwerkumgebung speichert. Der Dienst zeichnet Daten auf Benutzer, Geräte, anwendungen, Gruppen, und Geräte in einer hierarchischen Struktur.

Die Struktur der Daten ermöglicht es, die Details von Ressourcen zu finden, die von einem Ort aus mit dem Netzwerk verbunden sind. Im Wesentlichen fungiert Active Directory als Telefonbuch für Ihr Netzwerk, sodass Sie Geräte einfach suchen und verwalten können.

Was macht Active Directory?? 

Es gibt viele Gründe, warum Unternehmen Verzeichnisdienste wie Active Directory verwenden. Der Hauptgrund ist Bequemlichkeit. Mit Active Directory können sich Benutzer von einem Standort aus bei einer Vielzahl von Ressourcen anmelden und diese verwalten. Die Anmeldeinformationen sind vereinheitlicht, sodass es einfacher ist, mehrere Geräte zu verwalten, ohne Kontodetails eingeben zu müssen, um auf jeden einzelnen Computer zuzugreifen.

So richten Sie Active Directory ein (mit RSAT) 

Zunächst müssen Sie sicherstellen, dass Sie haben Windows Professional oder Windows Enterprise andernfalls können Sie nicht installieren Remoteserver-Verwaltungstools. Dann machen Sie folgendes:

Für Windows 10 Version 1809:

  1. Klicken Sie mit der rechten Maustaste auf die Start und gehe zu die Einstellungen > Apps > Optionale Funktionen verwalten > Feature hinzufügen.
  2. Wählen Sie jetzt RSAT: Active Directory-Domänendienste und Lightweight Directory-Tools.
  3. Schließlich wählen Sie Installieren dann geh zu Start > Windows-Verwaltung um nach Abschluss der Installation auf Active Directory zuzugreifen.


Für Windows 8 (und Windows 10 Version 1803) 

  1. Laden Sie die richtige Version der Server Administrator Tools für Ihr Gerät herunter und installieren Sie sie: Windows 8, Windows 10.
  2. Klicken Sie mit der rechten Maustaste auf das Symbol Start und wählen Sie Schalttafel > Programme > Programme und Funktionen > Schalte Windows Funktionen ein oder aus.
  3. Gleiten Sie nach unten und klicken Sie auf Remoteserver-Verwaltungstools Möglichkeit.
  4. Klicken Sie nun auf Rollenverwaltungstools.
  5. Klicke auf AD DS- und AD LDS-Tools und verifizieren AD DS-Tools wurde überprüft.
  6. Drücken Sie In Ordnung.
  7. Gehe zu Start > Verwaltungswerkzeuge auf der Start Menü, um auf Active Directory zuzugreifen.

Verwendung von Active Directory: Einrichten eines Domänencontrollers, Erstellen von Verzeichnisbenutzern 

Einrichten eines Domänencontrollers

Wenn Sie Active Directory verwenden, müssen Sie zunächst einen Domänencontroller einrichten. Ein Domänencontroller ist ein zentraler Computer, der auf Authentifizierungsanforderungen reagiert und andere Computer im gesamten Netzwerk authentifiziert. Der Domänencontroller speichert die Anmeldeinformationen aller anderen Computer und Drucker.

Alle anderen Computer stellen eine Verbindung zum Domänencontroller her, sodass der Benutzer jedes Gerät von einem Standort aus authentifizieren kann. Dies hat den Vorteil, dass der Administrator nicht Dutzende von Anmeldeinformationen verwalten muss.

Das Einrichten eines Domänencontrollers ist relativ einfach. Weisen Sie Ihrem Domain Controller eine statische IP-Adresse zu und Installieren Sie die Active Directory-Domänendienste oder FÜGT HINZU. Folgen Sie nun diesen Anweisungen:

  1. Öffnen Server Administrator und klicken Sie auf Rollenübersicht > Fügen Sie Rollen und Funktionen hinzu.
  2. Klicken Nächster.
  3. Wählen Remotedesktopdienste Installation Wenn Sie einen Domänencontroller in einer virtuellen Maschine bereitstellen, oder wählen Sie rollenbasierte oder funktionsbasierte Installation.
  4. Wählen Sie einen Server aus der Serverpool.
  5. Wählen Active Directory-Domänendiensts aus der Liste und klicken Sie auf Nächster.
  6. Lassen Sie die Standardeinstellungen aktiviert und drücken Sie Nächster.
  7. Klicken Starten Sie den Zielserver bei Bedarf automatisch neu und klicken Sie auf Installieren. Schließen Sie das Fenster, sobald die Installation abgeschlossen ist.
  8. Sobald die ADDS-Rolle installiert wurde, wird neben der eine Benachrichtigung angezeigt Verwalten Speisekarte. Drücken Sie Rüsten Sie diesen Server auf einen Domänencontroller hoch.
  9. Klicken Sie jetzt auf Fügen Sie eine neue Gesamtstruktur hinzu und geben Sie ein Root-Domainname. Drücken Sie Nächster.
  10. Wähle aus Domänenfunktionsebene Sie wünschen und geben ein Passwort in die Geben Sie den Verzeichnisdienst-Wiederherstellungsmodus (DSRM-Kennwort) ein. Sektion. Klicken Nächster.
  11. Wenn die Seite DNS-Optionen angezeigt wird, klicken Sie auf Nächster nochmal.
  12. Geben Sie eine Domain im ein NetBios-Domänenname Feld (vorzugsweise das gleiche wie der Stammdomänenname). Drücken Sie Nächster.
  13. Wählen Sie einen Ordner zum Speichern Ihrer Datenbank- und Protokolldateien. Klicken Nächster.
  14. Drücken Sie Installieren beenden. Ihr System wird jetzt neu gestartet.


Active Directory-Benutzer erstellen

Benutzer und Computers sind die beiden grundlegendsten Objekte, die Sie bei der Verwendung von Active Directory verwalten müssen. In diesem Abschnitt erfahren Sie, wie Sie neue Benutzerkonten erstellen. Der Prozess ist relativ einfach und die einfachste Möglichkeit, Benutzer zu verwalten, ist die Active Directory-Benutzer und -Computer oder ADUC-Tool, das mit der Remoteserver-Verwaltungstools oder RSAT Pack. Sie können ADUC installieren, indem Sie die folgenden Anweisungen befolgen:


Installieren Sie ADUC unter Windows 10, Version 1809 und höher:

  1. Klicken Sie mit der rechten Maustaste auf die Start Schaltfläche und klicken Sie auf die Einstellungen > Apps, dann klick Optionale Funktionen verwalten > Feature hinzufügen.
  2. Wählen RSAT: Active Directory-Domänendienste und Lightweight Directory-Tools.
  3. Wählen Installieren und warten Sie, bis die Installation abgeschlossen ist.
  4. Gehe zu Start > Windows-Verwaltung um auf die Funktion zuzugreifen.


Installieren Sie ADUC unter Windows 8 und Windows 10, Version 1803 oder niedriger: 

  1. Laden Sie die Remote Server Administrator Tools für Ihre Windows-Version herunter und installieren Sie sie. Sie können dies über einen dieser Links hier tun:
    Remoteserver-Administrator-Tools für Windows 10, Remoteserver-Administrator-Tools für Windows 8 oder Remoteserver-Administrator-Tools für Windows 8.1.
  1. Klicken Sie mit der rechten Maustaste auf Start > Schalttafel > Programme > Programme und Funktionen > Schalte Windows Funktionen ein oder aus.
  2. Scrollen Sie nach unten und wählen Sie Remoteserver-Verwaltungstools.
  3. Erweitern Rollenadministrator-Tools > AD DS- und AD LDS-Tools.
  4. Prüfen AD DS-Tools und drücke In Ordnung.
  5. Gehe zu Start > Verwaltungswerkzeuge und wählen Sie Aktive Verzeichnisse Benutzer und Computer.


So erstellen Sie neue Benutzer mit ADUC 

  1. Öffne das Server Administrator, geh zum Werkzeuge Menü und wählen Sie Aktive Verzeichnisse Benutzer und Computer.
  2. Erweitern Sie die Domäne und klicken Sie auf Benutzer.
  3. Klicken Sie mit der rechten Maustaste in den rechten Bereich und drücken Sie Neu > Benutzer.
  4. Wenn das Feld Neues Objekt-Benutzer angezeigt wird, geben Sie ein Vorname, Familienname, Nachname, Benutzername und klicken Sie auf Nächster.
  5. Geben Sie ein Passwort ein und drücken Sie Nächster.
  6. Klicken Fertig.
  7. Das neue Benutzerkonto finden Sie im Benutzer Sektion der ADUC.

Zu überwachende Active Directory-Ereignisse 

Wie alle Arten von Infrastrukturen muss Active Directory überwacht werden, um geschützt zu bleiben. Die Überwachung des Verzeichnisdienstes ist unerlässlich, um Cyberangriffe zu verhindern und Ihren Benutzern die bestmögliche Endbenutzererfahrung zu bieten.

Im Folgenden werden einige der wichtigsten Netzwerkereignisse aufgeführt, auf die Sie achten sollten. Wenn eines dieser Ereignisse angezeigt wird, sollten Sie so schnell wie möglich weitere Untersuchungen durchführen, um sicherzustellen, dass Ihr Dienst nicht beeinträchtigt wurde.

Aktuelle Windows Event IDLegacy Windows Event IDDescription
4618 N / A Ein Sicherheitsereignismuster wurde erkannt.
4649 N / A Ein Wiederholungsangriff wurde erkannt (möglicherweise falsch positiv).
4719 612 Eine Systemüberwachungsrichtlinie wurde geändert.
4765 N / A SID-Verlauf wurde zu einem Konto hinzugefügt.
4766 N / A Der Versuch, dem Konto den SID-Verlauf hinzuzufügen, ist fehlgeschlagen.
4794 N / A Versuchen Sie, den Verzeichnisdienst-Wiederherstellungsmodus zu starten.
4897 801 Rollentrennung aktiviert.
4964 N / A Speziellen Gruppen wurde eine neue Anmeldung zugewiesen.
5124 N / A Die Sicherheit des OCSP-Responderdienstes wurde aktualisiert.
N / A 550 Möglicher DoS-Angriff.
1102 517 Das Überwachungsprotokoll wurde gelöscht.

Eine Übersicht über Active Directory-Gesamtstrukturen und -Bäume 

Wald und Bäume sind zwei Begriffe, die Sie beim Stöbern in Active Directory häufig hören werden. Diese Begriffe beziehen sich auf die logische Struktur von Active Directory. Kurz gesagt, a Baum ist eine Entität mit einer einzelnen Domäne oder Gruppe von Objekten Darauf folgen untergeordnete Domänen. Ein Wald ist eine Gruppe von Domänen zusammensetzen. Wann Mehrere Bäume gruppieren sich zu einem Wald.

Bäume im Wald verbinden sich miteinander durch a Vertrauensbeziehung, Dadurch können verschiedene Domänen Informationen austauschen. Alle Domains werden sich automatisch gegenseitig vertrauen Sie können also mit denselben Kontoinformationen auf sie zugreifen, die Sie in der Stammdomäne verwendet haben.

Jede Gesamtstruktur verwendet eine einheitliche Datenbank. Logischerweise befindet sich die Gesamtstruktur auf der höchsten Ebene der Hierarchie, und der Baum befindet sich unten. Eine der Herausforderungen für Netzwerkadministratoren bei der Arbeit mit Active Directory besteht darin, Gesamtstrukturen zu verwalten und das Verzeichnis sicher zu halten.

Zum Beispiel wird ein Netzwerkadministrator mit der Auswahl zwischen a beauftragt Einzelwald-Design oder Multi-Forest-Design. Die Einzelgesamtstruktur ist einfach, kostengünstig und einfach zu verwalten, da nur eine Gesamtstruktur das gesamte Netzwerk umfasst. Im Gegensatz dazu unterteilt ein Multi-Forest-Design das Netzwerk in verschiedene Gesamtstrukturen, was der Sicherheit dient, aber die Verwaltung komplizierter macht.

Vertrauensbeziehungen (und Vertrauensarten) 

Wie oben erwähnt, werden Vertrauensstellungen verwendet, um die Kommunikation zwischen Domänen zu erleichtern. Vertrauensstellungen ermöglichen die Authentifizierung und den Zugriff auf Ressourcen zwischen zwei Entitäten. Trusts können einseitig oder zweiseitig sein. Innerhalb einer Vertrauensstellung werden die beiden Domänen in eine vertrauenswürdige Domäne und eine vertrauenswürdige Domäne unterteilt.

In einem Einwegvertrauen, dem Vertrauenswürdige Domäne greift auf die Authentifizierungsdetails zu der vertrauenswürdigen Domäne, damit der Benutzer auf Ressourcen der anderen Domäne zugreifen kann. In einer bidirektionalen Vertrauensstellung akzeptieren beide Domänen die Authentifizierungsdetails des anderen. Alle Domänen innerhalb einer Gesamtstruktur vertrauen sich automatisch, Sie können jedoch auch Vertrauensstellungen zwischen Domänen in verschiedenen Gesamtstrukturen einrichten, um Informationen zu übertragen.

Sie können Vertrauensstellungen über erstellen Assistent für neue Vertrauensstellungen. Das Neuer Trust-Assistent ist ein Konfigurationsassistent, mit dem Sie neue Vertrauensstellungen erstellen können. Hier können Sie die Domain Name, Vertrauenswürdigkeitstyp, und Transitiv Status der vorhandenen Vertrauensstellungen und wählen Sie den Typ der Vertrauensstellung aus, die Sie erstellen möchten.

Vertrauensarten 

In Active Directory gibt es eine Reihe von Vertrauenswürdigkeitstypen. Wir haben diese in der folgenden Tabelle aufgelistet:

Trust TypeTransit TypeDirectionDefault? Beschreibung
Eltern und Kind Transitiv Zweiwege Ja Eine übergeordnete und untergeordnete Vertrauensstellung wird eingerichtet, wenn einer Domänenstruktur eine untergeordnete Domäne hinzugefügt wird.
Baumwurzel Transitiv Zweiwege Ja Eine Tree-Root-Vertrauensstellung wird eingerichtet, sobald ein Domänenbaum in einer Gesamtstruktur erstellt wird.
Externe Nicht transitiv Einweg oder Zweiweg Nein Bietet Zugriff auf Ressourcen in einer Windows NT 4.0-Domäne oder einer Domäne in einer anderen Gesamtstruktur, die nicht von einer Gesamtstrukturvertrauensstellung unterstützt wird.
Reich Transitiv oder nicht transitiv Einweg oder Zweiweg Nein Bildet eine Vertrauensstellung zwischen einem Nicht-Windows-Kerberos-Bereich und einer Windows Server 2003-Domäne.
Wald Transitiv Einweg oder Zweiweg Nein Teilt Ressourcen zwischen Wäldern.
Abkürzung Transitiv Einweg oder Zweiweg Nein Reduziert die Benutzeranmeldezeiten zwischen zwei Domänen in einer Windows Server 2003-Gesamtstruktur.

Active Directory-Berichterstellung mit SolarWinds Access Rights Manager (KOSTENLOSE TESTVERSION)

Das Generieren von Berichten in Active Directory ist wichtig, um die Leistung zu optimieren und die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten. Eines der besten Tools zur Active Directory-Berichterstellung ist SolarWinds Access Rights Manager (ARM). Das Tool wurde erstellt, um die Übersicht über die Verwendung und Verwaltung von Verzeichnisanmeldeinformationen zu verbessern. Beispielsweise können Sie Konten mit unsicheren Konfigurationen und missbräuchlichen Anmeldeinformationen anzeigen, die auf einen Cyberangriff hindeuten könnten.

SolarWinds Access Rights Manager

Verwenden Sie ein Drittanbieter-Tool wie SolarWinds Access Rights Manager Dies ist von Vorteil, da Sie Informationen und Funktionen erhalten, auf die über Active Directory nur schwer oder gar nicht direkt zugegriffen werden kann.

Sie können auch Berichte erstellen Inaktive oder abgelaufene Konten werden automatisch gelöscht das Cyberkriminelle Ziel. SolarWinds Access Rights Manager beginnt bei 3.444 USD (2.829 GBP). Da ist auch ein 30 Tage kostenlos testen Version, die Sie herunterladen können.

SolarWinds Access Rights ManagerDownload 30-tägige KOSTENLOSE Testversion

Active Directory-Lernprogramm: Die Grundlagen 

Active Directory ist eines der besten Tools zum Verwalten von Ressourcen in Ihrem Netzwerk. In diesem Artikel haben wir nur die Oberfläche des Potenzials dieses Tools verkratzt. Wenn Sie Active Directory verwenden, denken Sie daran, dass es ein potenzieller Einstiegspunkt für Cyber-Angreifer ist. Wenn Sie wichtige Verzeichnisereignisse notieren und einen Verzeichnismonitor verwenden, können Sie das Risiko eines böswilligen Angriffs erheblich verringern und die Verfügbarkeit Ihres Dienstes schützen.

1 thought on “Was ist Active Directory? Eine Schritt-für-Schritt-Anleitung

  1. mänencontrollers und Erstellen von Verzeichnisbenutzern sind wichtige Schritte bei der Verwendung von Active Directory. Ein Domänencontroller ist ein Server, der die Verwaltung von Benutzern, Gruppen und Computern in einer Domäne ermöglicht. Um einen Domänencontroller einzurichten, müssen Sie zuerst eine neue Domäne erstellen oder einer vorhandenen Domäne beitreten. Anschließend können Sie den Domänencontroller installieren und konfigurieren. Um Verzeichnisbenutzer zu erstellen, müssen Sie zuerst die Benutzerkonten in Active Directory erstellen und dann die erforderlichen Berechtigungen und Einstellungen festlegen. Dies ermöglicht es den Benutzern, sich bei verschiedenen Ressourcen im Netzwerk anzumelden und auf diese zuzugreifen. Überwachung von Active Directory-Ereignissen ist ebenfalls wichtig, um sicherzustellen, dass das Netzwerk sicher und geschützt bleibt. Vertrauensbeziehungen und -arten sowie Gesamtstrukturen und -bäume sind weitere wichtige Aspekte von Active Directory, die in diesem Lernprogramm behandelt werden. Die Verwendung von Tools wie SolarWinds Access Rights Manager kann auch dazu beitragen, die Verwaltung von Active Directory zu vereinfachen und zu verbessern. Insgesamt ist Active Directory ein unverzichtbares Werkzeug für Netzwerkadministratoren, um die IT-Infrastruktur effektiv zu verwalten und zu schützen.

Comments are closed.