Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumE-Book
Active Directory Tutorial für Anfänger

Active Directory Tutorial für Anfänger

In diesem Active Directory für Anfänger-Tutorial zeigen wir Ihnen, wie Sie Active Directory installieren, konfigurieren und verwenden können. Sie können auch dieses Active Directory eBook im PDF-Format erhalten, indem Sie Ihre E-Mail-Adresse angeben, und das AD-Tutorial wird Ihnen per E-Mail zugeschickt.

Was ist Active Directory?

Beginnen wir dieses Active Directory Tutorial, indem wir definieren, was Active Directory genau ist. Microsoft Active Directory (AD) ist eine Kernkomponente des Server-Betriebssystems. Es handelt sich um ein Verzeichnis (Datenbank) und einen Satz von Diensten, die einen sicheren Zugriff auf Ressourcen in einer vernetzten Windows-Umgebung ermöglichen. Andere Arten von Umgebungen verwenden unterschiedliche Verzeichnisdienste; beispielsweise wird OpenLDAP in verschiedenen Unix/Linux-Umgebungen verwendet.


Vorteile von Active Directory

Active Directory bietet eine Vielzahl von Vorteilen für Organisationen jeder Größe, daher ist es eine grundlegende Komponente vieler IT-Infrastrukturen. Nachfolgend einige der wichtigsten Vorteile der Verwendung von Active Directory:

  • Active Directory bietet zentralisierte Authentifizierungs- und Autorisierungsdienste, die es Benutzern ermöglichen, sich im Netzwerk anzumelden und auf die Ressourcen zuzugreifen, für die ihnen Administratoren Zugriffsberechtigungen erteilt haben.
  • Active Directory unterstützt Single Sign-On (SSO), das es Benutzern ermöglicht, auf mehrere Ressourcen im Netzwerk zuzugreifen, ohne sich separat bei jeder Ressource anmelden zu müssen.
  • AD beinhaltet Gruppenrichtlinien, die es Administratoren ermöglichen, Sicherheitseinstellungen, Konfigurationen und Richtlinien über mehrere Computer und Benutzer innerhalb des Netzwerks zu definieren und durchzusetzen.
  • Active Directory dient als zentrales Repository für die Verwaltung von Netzwerkressourcen wie Benutzer, Gruppen, Computer, Drucker und Netzwerkgeräte.
  • AD speichert Informationen über Netzwerkobjekte wie Benutzer, Gruppen, Computer und Drucker in einer strukturierten hierarchischen Datenbank.
  • Active Directory bietet Sicherheitsfunktionen wie Verschlüsselung, Zugriffskontrollen und Auditing, um sensible Informationen zu schützen und die Einhaltung von Sicherheitsstandards zu gewährleisten.
  • Active Directory ist darauf ausgelegt, mit dem Wachstum einer Organisation zu skalieren und unterstützt Tausende oder sogar Millionen von Benutzern, Computern, Gruppen und anderen Objekten innerhalb eines einzigen Verzeichnisses.
  • Active Directory integriert sich nahtlos in andere Microsoft-Produkte und -Dienste, wie Microsoft Exchange Server, SharePoint, Microsoft 365 (ehemals Office 365) und Azure-Dienste, und bietet eine einheitliche Lösung für Identity Management und Zugriffsverwaltung im Microsoft-Ökosystem.


Was macht Active Directory?

Dienste, die AD bereitstellt oder unterstützt, umfassen:

  • Authentifizierung — Active Directory bietet Authentifizierung, einen Prozess zur Überprüfung der Identität von Benutzern. Active Directory unterstützt Single Sign-On, wodurch Benutzer sich einmal authentifizieren und dann auf mehrere Ressourcen im Netzwerk zugreifen können.
  • Autorisierung — Active Directory verwaltet auch die Autorisierung, bei der es darum geht zu entscheiden, ob einem Benutzer der Zugriff auf angeforderte Ressourcen anhand von Kriterien wie seinen Rollen und der Mitgliedschaft in Sicherheitsgruppen gestattet wird.
  • Ressourcenmanagement — Active Directory dient als zentrales Repository zur Verwaltung von Netzwerkressourcen wie Computern, Servern, Druckern und Netzwerkgeräten. Es ermöglicht Administratoren, diese Ressourcen in logische Gruppen zu organisieren, was das Verwalten und Zuweisen von Ressourcen im Netzwerk erleichtert.
  • Gruppenrichtlinie — AD beinhaltet Gruppenrichtlinie, die es Administratoren ermöglicht, Sicherheitsrichtlinien, Einstellungen und Konfigurationen über mehrere Computer und Benutzer innerhalb des Netzwerks zu definieren und durchzusetzen. Dies gewährleistet Konsistenz in den Konfigurationen und hilft dabei, Sicherheitsstandards durchzusetzen.
  • Verzeichnisdienste — Active Directory speichert Informationen über Netzwerkobjekte wie Benutzer, Gruppen, Computer und Drucker in einer strukturierten hierarchischen Datenbank, die als Verzeichnis bezeichnet wird. Dieser Verzeichnisdienst bietet eine skalierbare und effiziente Möglichkeit, Informationen über Netzwerkressourcen zu organisieren und darauf zuzugreifen.
  • LDAP — Active Directory unterstützt das Lightweight Directory Access Protocol (LDAP), das eine standardisierte Methode zum Zugriff auf und Abfragen von Verzeichnisdaten bietet. LDAP ermöglicht es Anwendungen und Diensten, mit dem Verzeichnis für Authentifizierung, Informationsabruf und andere Zwecke zu interagieren.
  • DNS — Active Directory integriert sich in das Domain Name System (DNS), um Namensauflösungsdienste innerhalb des Netzwerks bereitzustellen. DNS ermöglicht es Benutzern und Computern, Domänencontroller und andere Netzwerkressourcen mithilfe von benutzerfreundlichen Namen (wie Hostnamen) anstelle von IP-Adressen zu lokalisieren.
  • Vertrauensbeziehungen – Active Directory unterstützt Vertrauensbeziehungen zwischen Domänen, um Benutzern und Ressourcen in einer Domäne den Zugriff auf Ressourcen in einer anderen Domäne zu ermöglichen. Vertrauensbeziehungen werden automatisch zwischen allen Domänen in einem Wald hergestellt, was Benutzern den nahtlosen Zugriff auf Ressourcen über Domänen hinweg ermöglicht. Administratoren können auch externe Vertrauensstellungen einrichten, um Benutzern in einer Active Directory-Domäne den Zugriff auf Ressourcen in einer anderen Domäne in einem anderen Wald zu ermöglichen. Vertrauensstellungen können einseitig oder zweiseitig sein. Bei einer einseitigen Vertrauensstellung können Benutzer in einer Domäne auf Ressourcen in einer anderen Domäne zugreifen, aber das Gegenteil ist nicht der Fall. Bei einer zweiseitigen Vertrauensstellung können Benutzer in beiden Domänen auf Ressourcen in der jeweils anderen Domäne zugreifen. Beispielsweise könnte eine externe zweiseitige Vertrauensstellung zwischen Partnerorganisationen eingerichtet werden, um die Zusammenarbeit zu erleichtern. Beide Arten von Vertrauensstellungen können transitiv oder nicht-transitiv sein. Eine nicht-transitive Vertrauensstellung ist auf die spezifischen beteiligten Domänen beschränkt. Eine transitive Vertrauensstellung ermöglicht den Zugriff auf Ressourcen in anderen vertrauenswürdigen Domänen im selben Wald. Angenommen, es besteht eine transitive Vertrauensstellung zwischen Domäne A und Domäne B. Wenn Domäne B Domäne C vertraut, dann vertraut auch Domäne A Domäne C.
  • Replikation — Active Directory verwendet Multi-Master-Replikation, um sicherzustellen, dass Verzeichnisdaten auf allen Domänencontrollern innerhalb der Domäne synchronisiert werden. Die Replikation gewährleistet Datenkonsistenz und Fehlertoleranz, sodass Benutzer auf Verzeichnisinformationen zugreifen können, selbst wenn einige Domänencontroller nicht verfügbar sind.

Struktur von Active Directory

Active Directory hat eine hierarchische Struktur mit den folgenden Komponenten:

  • Wald — Der Wald ist der oberste Container in Active Directory und eine Sicherheitsgrenze. Er enthält eine oder mehrere Domänen, die alle ein gemeinsames Schema, Konfigurationen und einen globalen Katalog teilen. Die erste im Wald erstellte Domäne ist die Waldstammdomäne; später hinzugefügte Domänen werden als Kinddomänen bezeichnet. Organisationen haben typischerweise einen einzigen Wald, können aber auch mehrere haben.
  • Baum — Ein Baum ist eine hierarchische Struktur innerhalb eines AD-Waldes, die aus einem oder mehreren Domänen in einem zusammenhängenden Namensraum besteht. Die Stammdomäne des Baumes ist die erste Domäne, die innerhalb des Baumes erstellt wurde. Unterdomänen, die unter der Stammdomäne erstellt werden, werden als Kinddomänen bezeichnet, und es können weitere Kinddomänen unter diesen Kinddomänen erstellt werden, wodurch eine hierarchische Baumstruktur entsteht. Domänen innerhalb desselben Baumes teilen sich einen zusammenhängenden Namensraum und sind durch transitive Vertrauensbeziehungen verbunden, die es Benutzern und Ressourcen ermöglichen, auf Ressourcen in anderen Domänen innerhalb desselben Baumes zuzugreifen.
  • Domäne — Eine Domäne ist eine Gruppe von Benutzern, Computern und anderen Objekten, die in einer einzigen Active Directory-Datenbank gespeichert sind und gemeinsam verwaltet werden können. Jede Domäne verfügt über eigene Sicherheitsrichtlinien, Vertrauensstellungen und Domänencontroller. Beispielsweise könnte eine Organisation für jeden ihrer Standorte eine Domäne haben, die vom lokalen IT-Team verwaltet wird.
  • Organisationseinheit (OU) — Organisationseinheiten sind Container innerhalb einer Domäne, die dazu dienen, Untergruppen von AD-Objekten in dieser Domäne zu organisieren und zu verwalten. Beispielsweise könnte die Domäne für die Niederlassung eines Unternehmens in San Francisco OUs für jede Abteilung dort haben, wie zum Beispiel Vertrieb und Finanzen.
  • AD-Objekt — Zu den Active Directory-Objekten gehören Benutzerkonten, Computerkonten sowie Sicherheits- und Verteilergruppen. Jedes AD-Objekt verfügt über einen Satz von Attributen. Beispielsweise umfassen die Attribute eines Benutzerkontos dessen Benutzernamen, Passwort, Kontaktinformationen, Rollen und Gruppen.


Domaincontroller für Active Directory

Jede Domäne verfügt über einen oder mehrere Domänencontroller. DCs sind die Server, die die Active Directory-Datenbank speichern und Verzeichnisdienste wie Authentifizierung und Autorisierung bereitstellen. Alle Domänencontroller verwenden das Betriebssystem Windows Server.
Wenn eine Domäne mehrere DCs hat, werden Änderungen an der AD-Datenbank auf einem DC zu den anderen repliziert. Diese Redundanz bietet Fehlertoleranz, falls ein DC Probleme erfährt.

So richten Sie einen Domain Controller ein

Um einen Domain-Controller zu erstellen, müssen Sie zwei Schritte ausführen:

  • Installieren Sie die Rolle Active Directory Domain Services (AD DS) auf einem Windows Server-Computer.
  • Den Server zum Domain-Controller heraufstufen.

Diese Schritte sind unten detailliert beschrieben.

Installieren Sie die Active Directory Domain Services Rolle auf einem Windows Server

  1. Melden Sie sich mit einem Konto mit administrativen Privilegien am Windows Server an. Öffnen Sie den Server Manager, indem Sie entweder auf das Server Manager-Symbol in der Taskleiste klicken oder im Startmenü nach "Server Manager" suchen.
  2. Klicken Sie im oberen Menü auf Verwalten und wählen Sie Rollen und Features hinzufügen.
  3. Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features die rollenbasierte oder funktionsbasierte Installation aus und klicken Sie auf Weiter.
  4. Stellen Sie sicher, dass der richtige Server ausgewählt ist und klicken Sie auf Weiter.
  5. Auf der Seite „Serverrollen auswählen“ klicken Sie auf Active Directory Domain Services. Im Popup-Fenster klicken Sie auf Features hinzufügen.
  6. Auf der Seite „Funktionen auswählen“ sollten Sie keine zusätzlichen Funktionen auswählen. Klicken Sie auf Weiter.
  7. Auf der Seite „Active Directory Domain Services“ überprüfen Sie die Informationen und klicken Sie auf Weiter.
  8. Überprüfen Sie Ihre Installationsauswahl und klicken Sie auf Installieren.
  9. Warten Sie, bis der Installationsprozess abgeschlossen ist, was einige Minuten dauern kann. Klicken Sie dann auf Schließen, um den Assistenten zu beenden.

Den Server zum Domain Controller befördern

  1. Wenn die Installation abgeschlossen ist, erscheint eine Benachrichtigung im Server-Manager. Klicken Sie in der Benachrichtigung auf Diesen Server zu einem Domänencontroller heraufstufen.
  2. Der Konfigurations-Assistent für Active Directory-Domänendienste wird geöffnet. Wählen Sie zunächst, ob Sie einen Domänencontroller zu einer bestehenden Domäne hinzufügen, eine neue Domäne zu einem bestehenden Forest hinzufügen oder einen neuen Forest hinzufügen möchten. Wählen Sie für dieses Beispiel 'Add a new forest', geben Sie einen Namen für die Stammdomäne ein und klicken Sie auf 'Weiter'.
  3. Wählen Sie die funktionalen Ebenen für den Wald und seine Stammdomäne, fügen Sie Funktionen wie DNS hinzu und setzen Sie das Passwort für den Verzeichnisdienst-Wiederherstellungsmodus (DSRM). Klicken Sie auf Weiter, um fortzufahren.
  4. Wenn Sie die DNS-Option ausgewählt haben, kann auf der Seite „DNS-Optionen“ eine Warnung angezeigt werden. Da wir einen neuen Wald erstellen, können wir diese Warnung getrost ignorieren. Klicken Sie auf Weiter, um fortzufahren.
  5. Der Assistent wird das Netzwerk im Domain durchsuchen und automatisch einen NetBIOS-Domainnamen zuweisen. Sie können ihn bei Bedarf ändern. Klicken Sie auf Weiter, um fortzufahren.
  6. Auf der Seite „Pfade“ geben Sie den Speicherort der AD DS-Datenbank, der Protokolldateien und der SYSVOL-Dateien an. Sie können den vorgegebenen Standardort ändern. In großen Umgebungen wird empfohlen, sie auf einem separaten Laufwerk zu speichern, damit sie zur Wiederherstellung von Active Directory verwendet werden können, falls das Systemlaufwerk beschädigt wird. Klicken Sie auf Weiter, um fortzufahren.
  7. Überprüfen Sie die Zusammenfassung Ihrer Auswahl und klicken Sie auf Weiter.
  8. Der Assistent wird überprüfen, ob der Computer die Voraussetzungen erfüllt. Sobald Sie eine Bestätigung sehen, dass der Computer den Test bestanden hat, klicken Sie auf Installieren.
  9. Nach Abschluss der Installation wird der Server automatisch neu gestartet. Nach dem Neustart wird der Server ein Domänencontroller mit installierten Active Directory Domain Services sein.
  10. Um zu überprüfen, ob die Domänenstruktur erstellt wurde, öffnen Sie den Server-Manager, klicken Sie auf Werkzeuge und klicken Sie auf Active Directory-Benutzer und -Computer.

So installieren Sie Remote Server Administration Tools (RSAT) für AD Management

Um Active Directory zu verwalten, müssen Sie administrative Tools auf einem Client-Computer installieren. Um RSAT auf Windows 11 zu installieren, folgen Sie diesen Schritten:

  1. Öffnen Sie die Einstellungen, klicken Sie im linken Seitenmenü auf Apps und dann auf Optionale Features.
  2. Klicken Sie auf Funktionen anzeigen.
  3. Suchen Sie nach „RSAT“ (oder scrollen Sie einfach nach unten) und setzen Sie ein Häkchen neben RSAT: Active Directory Domain Services und Lightweight Directory Services Tools. Klicken Sie dann auf Weiter.
  4. Klicken Sie auf die Schaltfläche Installieren, um den Installationsprozess zu beginnen.
  5. Warten Sie, bis die Installation abgeschlossen ist. Dies kann einige Minuten dauern. Nachdem Ihr Computer neu gestartet wurde, können Sie überprüfen, ob RSAT installiert wurde, indem Sie im Startmenü nach einem der RSAT-Tools suchen, wie zum Beispiel Active Directory Users and Computers.

Zu überwachende Active Directory Ereignisse

Active Directory bietet eine Protokollierungsfunktion zur Aufrechterhaltung der Sicherheit, Integrität und Leistung Ihres Verzeichnisdienstes. Die Überwachung dieser Ereignisse mit einem Tool wie dem Windows-Ereignisanzeige hilft Ihnen, verdächtige Aktivitäten zu erkennen, damit Sie Probleme umgehend beheben und auf Sicherheitsverletzungen reagieren können. Unten finden Sie einige häufig zu suchende Ereignisse.

Benutzerverwaltung

  • Kontoerstellung: Ereignis-ID 4720
  • Kontolöschung: Ereignis-ID 4726
  • Konto aktiviert/deaktiviert: Ereignis-IDs 4722, 4725
  • Passwortänderungen/-zurücksetzungen: Ereignis-IDs 4723, 4724, 4725
  • Kontosperrungen: Ereignis-ID 4740


Gruppenverwaltung

  • Gruppenerstellung/-löschung: Ereignis-IDs 4727, 4731
  • Änderungen der Gruppenmitgliedschaft: Ereignis-IDs 4728, 4729, 4732, 4733.


Active Directory-Replikation

  • Replikationserfolg/-fehler: Ereignis-IDs 4928, 4929, 4932, 4933


Domain Controller-Operationen

  • Start/Herunterfahren von Domänencontrollern/Systemen: Ereignis-IDs 6005,6006,6008,1074
  • Zugriff auf den Verzeichnisdienst: Ereignis-IDs 2889, 2887


Authentifizierung und Autorisierung

  • Erfolgreiche Anmeldungen: Ereignis-IDs 4624,4648,4768
  • Fehlgeschlagene Anmeldungen: Ereignis-IDs 4625
  • Privileged Access: Ereignis-IDs 4672


Änderungen am Directory Service

  • LDAP-Änderungen: Ereignis-IDs 5136, 5137, 5138
  • Schemaänderungen: Ereignis-ID 5139

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management