Active Directory Domain Services (AD DS): Übersicht und Funktionen

Als Active Directory Domain Services (AD DS) werden die Kernfunktionen von Active Directory bezeichnet, mit denen die Benutzer und Computer verwaltet werden und Sysadmins die Daten in logischen Hierarchien organisieren...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 5. Mai 2022

Als Active Directory Domain Services (AD DS) werden die Kernfunktionen von Active Directory bezeichnet, mit denen die Benutzer und Computer verwaltet werden und Sysadmins die Daten in logischen Hierarchien organisieren können.

AD DS stecken hinter Sicherheitszertifikaten, Single Sign-On (SSO), LDAP und der Berechtigungsverwaltung.

Die AD DS zu verstehen gehört zu den wichtigsten Aufgaben von Personen, die für Incident Responses und Cybersicherheit zuständig sind, da alle Cyber-Angriffe sich auf das AD auswirken. Sie müssen wissen, wonach Sie suchen sollen und wie Sie auf Angriffe reagieren müssen, wenn diese auftreten.

Sehen Sie sich unser Webinar zur Active Directory-Sicherheit an

"Beantworten Sie dann einfach und schnell Fragen wie: 'Wo sind meine Daten' oder 'Sind meine Daten geschützt?"

Vorteile der Active Directory Domain Services

Die AD DS für die grundlegende Verwaltung von Benutzern und Computern im Netzwerk zu verwenden, bietet mehrere Vorteile.

  • Sie können die Organisation Ihrer Daten an die Bedürfnisse Ihres Unternehmens anpassen.
  • Sie können im Bedarfsfall die AD DS von jedem Computer im Netzwerk aus verwalten.
  • Die AD DS bietet eingebaute Replikation und Redundanz: Wenn ein Domänen-Controller (DC) ausfällt, übernimmt ein anderer DC dessen Aufgaben.
  • Der gesamte Zugriff auf Netzwerkressourcen erfolgt über die AD DS, in denen die Netzwerkzugriffsberechtigungen zentral verwaltet werden.

active directory domain services benefits

Wichtige Begriffe im Zusammenhang mit Active Directory Domain Services

Um AD DS verstehen zu können, sollten einige Schlüsselbegriffe definiert sein.

  • Schema: Der Satz benutzerdefinierter Regeln für Objekte und Attribute in den AD DS.
  • Globaler Katalog: Der Container aller Objekte in den AD DS. Wenn Sie den Namen eines Benutzers finden müssen, finden Sie ihn im Globalen Katalog.
  • Such- und Indexmechanismus: Dieses System ermöglicht es den Benutzern, sich in gegenseitig im AD zu finden. Ein gutes Beispiel ist, wenn Ihnen während des Eingebens eines Namens in Ihrem E-Mail-Programm vom E-Mail-Programm mögliche Übereinstimmungen angezeigt werden.
  • Replikationsdienst: Der Replikationsdienst stellt sicher, dass jeder DC im Netzwerk über denselben Globalen Katalog und dasselbe Schema verfügt.
  • Sites: Sites sind Darstellungen der Netzwerktopologie, die den AD DS zeigen, welche Objekte zusammengehören, um die Replikation und Indexierung zu optimieren.
  • Lightweight Directory Access Protocol: LDAP ist ein Protokoll, über die das AD mit anderen LDAP-fähigen Verzeichnisdiensten plattformübergreifend kommunizieren kann.

Welche Dienste sind in den Active Directory Domain Services enthalten?

Dies sind die von den AD DS als Kernfunktionalität bereitgestellten Dienste, die ein zentrales Benutzerverwaltungssystem benötigt.

  • Domänendienste: Speichern Daten und verwalten die Kommunikation zwischen den Benutzern und dem Domänen-Controller (DC) . Dies ist die primäre Funktionalität der AD DS.
  • Zertifizierungsdienste: Ermöglichen Ihrem DC die Bereitstellung digitaler Zertifikate, Signaturen und Public-Key-Kryptographie.
  • Lightweight Directory Services: Unterstützen das LDAP für plattformübergreifende Domänendienste, wie alle Linux-Computer in Ihrem Netzwerk.
  • Directory Federation Services: Ermöglichen die SSO-Authentifizierung für mehrere Anwendungen in derselben Sitzung, so dass Benutzer nicht mehrfach dieselben Anmeldeinformationen angeben müssen.
  • Berechtigungsverwaltung: Steuert Zugriffsberechtigungen und Datenzugriffsrichtlinien. So bestimmt beispielsweise die Berechtigungsverwaltung, ob Sie auf einen Ordner zugreifen oder eine E-Mail senden dürfen.

Rolle der Domänen-Controller in den Active Directory Domain Services

Domänen-Controller (DC) sind die Server in Ihrem Netzwerk, auf denen die AD DS gehostet werden. DC verarbeiten Authentifizierungsanfragen und speichern AD DS-Daten. DC hosten außerdem andere Dienste, die die AD DS ergänzen. Das sind:

  • Kerberos Key Distribution Center (KDC): Das KDC verifiziert und verschlüsselt Kerberos-Tickets für die Authentifizierung in AD DS.
  • NetLogon: Netlogon ist der Authentifizierungs-Kommunikationsdienst.
  • Windows Zeit (W32time): Für Kerberos müssen alle Computerzeiten synchronisiert sein.
  • Intersite-Messaging (IsmServ): Mit Intersite-Messaging können DC für die Zwecke von Replikation und Standortverwaltung miteinander kommunizieren.

Complimentary active directory domain services hosted by domain controllers

Das AD benötigt mindestens einen Domänen-Controller. DCs sind die Container für die Domänen. Jede Domäne ist Teil eines AD-Forest, der eine oder mehrere in Organisationseinheiten gegliederte Domänen enthalten kann. Die AD DS verwalten die Trust-Beziehungen zwischen mehreren Domänen, so dass Benutzern in einer Domäne Zugriffsberechtigungen für andere Domänen in Ihrem Forest gewährt werden können.

Als zentrales Konzept gilt, dass die AD DS den Rahmen für die Domänenverwaltung bilden und der Computer, mit dem Benutzer auf das AD zugreifen, der DC ist.

Moderne Cybersicherheit setzt ein tiefes Verständnis des Active Directory voraus. Das Active Directory spielt eine Schlüsselrolle für die Fähigkeiten von Angreifern, ein Netzwerk zu infiltrieren, sich darin lateral zu bewegen und Daten zu exfiltrieren. Und wie gut getarnt oder clever sie auch sein mögen, Angreifer hinterlassen in den AD-Protokollen immerSpuren während sie sich durch Ihr Netzwerk bewegen.

Varonis überwacht das AD auf Anzeichen dieser Brotkrümel sowie die Dateiaktivität, DNS-Aufrufe, VPN-Aktivitäten und weitere Aspekte. Varonis korreliert die Daten für jeden Benutzer und Computer im AD zu einem vollständigen Bild, vergleicht die aktuelle Aktivität mit einem normalisierten Basisszenario und einem Katalog von Datensicherheits-Bedrohungsmodellen und identifiziert potenzielle Gefahren für Ihre Daten, proaktiv.

Möchten Sie mehr über AD-Sicherheit erfahren? Schauen Sie sich unser On-Demand-Webinar „4 Tipps zur Sicherung des Active Directory“ an.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-ein-active-directory-forest-?
Was ist ein Active Directory Forest ?
Ein Active Directory Forest (AD Forest) ist ein Container auf der höchsten Organisationsebene einer Active Directory-Konfiguration, in der Domänen, Benutzer, Computer und Gruppen-Richtlinien enthalten sind. „Moment einmal!“, mögen Sie sagen....
active-directory-sicherer-machen:-9-empfehlungen
Active Directory sicherer machen: 9 Empfehlungen
Bei einer ganzen Reihe von Unternehmen ist Active Directory so etwas wie der Schüssel zum Himmelreich. Wenn Sie wissen, wie Sie Ihr Active Directory schützen, optimieren und überwachen können, lässt...
active-directory-benutzer-und--computer-(active-directory-users-and-computers,-aduc):-installation-und-verwendung
Active-Directory-Benutzer und -Computer (Active Directory Users and Computers, ADUC): Installation und Verwendung
Active Directory Users and Computers (ADUC) ist ein MMC-Snap-In zur Verwaltung von Active Directory. Im Folgenden finden Sie weitere Details, Anwendungsfälle und Vorbehalte zu ADUC.
installieren-und-importieren-des-powershell-moduls-für-active-directory
Installieren und Importieren des PowerShell-Moduls für Active Directory
Das PowerShell-Modul für Active Directory ist ein leistungsstarkes Tool zur Verwaltung von Active Directory. In diesem detaillierten Tutorial erfahren Sie, wie Sie das Modul installieren und importieren können!