Active Directory – Grundlagen
Was Active Directory ist, wie Domain Controller, OUs, LDAP und Kerberos zusammenspielen – und wie du AD im KMU-Alltag nutzt.
Was ist Active Directory?
Active Directory (AD) ist der Verzeichnisdienst von Microsoft für Windows-Netzwerke. Kurz gesagt: AD ist das zentrale Gedächtnis deines Firmennetzwerks. Es weiss, wer du bist, was du darfst und auf welche Ressourcen du zugreifen kannst – und das alles, bevor du auch nur einen Ordner öffnest.
Ohne AD müsstest du auf jedem Server und jedem PC jeden Benutzer einzeln anlegen und Berechtigungen manuell setzen. Mit AD passiert das alles von einer zentralen Stelle aus. Du loggst dich einmal ein – an deinem Arbeitsplatz, auf dem Laptop, im Homeoffice via VPN – und hast überall Zugriff auf genau das, was für dich freigegeben ist.
In der Praxis läuft AD auf einem Domain Controller (DC), einem Windows Server mit der Rolle “Active Directory Domain Services (AD DS)”. Ein typisches KMU hat mindestens zwei DCs (einer für Redundanz), grössere Unternehmen oft mehrere pro Standort.
Die zentralen Konzepte
Domain
Eine Domain ist die logische Grundeinheit in AD. Sie hat einen DNS-basierten Namen, zum Beispiel firma.local oder firma.ch. Alle Objekte (User, Computer, Drucker, Gruppen) gehören zu einer Domain.
- Interne Domains enden oft auf
.localoder.intern– das hat Nachteile beim Hybrid-Betrieb mit Microsoft 365 (UPN-Suffix-Probleme), weshalb neuere Setups lieber die echte Domain verwenden:firma.ch - Der NetBIOS-Name (kurz, z.B.
FIRMA) ist der ältere Name für ältere Protokolle und Legacy-Anwendungen
Forest und Tree
Ein Forest (Gesamtstruktur) ist der äusserste Container in AD – er fasst eine oder mehrere Domains zusammen. In kleinen KMU gibt es meistens genau einen Forest mit einer Domain.
- Tree (Domänenbaum): Mehrere Domains mit zusammenhängendem Namensraum, z.B.
firma.chunduk.firma.ch - Forest: Mehrere Trees, die sich eine gemeinsame Schema-Datenbank teilen und sich gegenseitig vertrauen (Transitive Trusts)
Für den KMU-Alltag: Du wirst fast immer in einem Single-Domain-Forest arbeiten.
Domain Controller (DC)
Der Domain Controller ist der Server, auf dem AD DS läuft. Er:
- Authentifiziert Login-Versuche (ist dieses Passwort korrekt?)
- Autorisiert Zugriffe (darf dieser User diesen Ordner öffnen?)
- Repliziert Änderungen an alle anderen DCs in der Domain
- Hostet wichtige Dienste wie DNS, SYSVOL und NETLOGON
OU – Organizational Unit
OUs sind die Ordnerstruktur innerhalb deiner Domain. Du organisierst damit deine AD-Objekte logisch – typischerweise nach Standort, Abteilung oder Funktion:
firma.ch
├── Benutzer
│ ├── Verwaltung
│ ├── IT
│ └── Produktion
├── Computer
│ ├── Workstations
│ └── Server
└── Dienstkonten
OUs haben zwei Hauptzwecke:
- Übersicht – du findest Objekte schnell wieder
- GPO-Verknüpfung – Group Policy Objects werden an OUs gehängt und gelten dann für alle Objekte darunter (siehe GPO-Grundlagen)
Objekte in AD
AD speichert alles als Objekte. Die wichtigsten:
| Objekttyp | Beschreibung | Beispiel |
|---|---|---|
| User | Benutzerkonto | mmuster@firma.ch |
| Computer | Computerkonto (wird beim Domänenbeitritt angelegt) | WS-MUSTER-01 |
| Group | Sicherheits- oder Verteilergruppe | GRP-IT-Vollzugriff |
| Contact | Externe Kontakte (kein Login) | Lieferanten-E-Mail für Exchange |
| Service Account | Konto für Dienste/Anwendungen | svc-backup |
Wie Authentifizierung mit Kerberos funktioniert
AD verwendet Kerberos als primäres Authentifizierungsprotokoll (Port 88/TCP+UDP). Der grosse Vorteil: Passwörter werden nie im Klartext übers Netzwerk übertragen.
Das vereinfachte Prinzip:
- AS-REQ: Du gibst dein Passwort ein. Dein PC sendet eine verschlüsselte Anfrage an den Key Distribution Center (KDC) auf dem DC.
- AS-REP / TGT: Der DC antwortet mit einem Ticket Granting Ticket (TGT) – einem verschlüsselten “Ausweis”, gültig für 10 Stunden (Standard).
- TGS-REQ: Willst du auf einen Server zugreifen, schickst du deinen TGT an den KDC und fragst nach einem Service Ticket.
- TGS-REP: Du bekommst ein Service Ticket für genau diesen Server.
- Zugriff: Du zeigst das Service Ticket dem Zielserver. Der Server vertraut dem Ticket, weil es vom DC signiert ist – kein weiterer Passwort-Check nötig.
Dieses Prinzip nennt sich Single Sign-On (SSO): einmal einloggen, überall Zugriff (solange du berechtigt bist). Kerberos ist der Grund, warum du dich am Morgen einmal anmeldest und den ganzen Tag auf Fileserver, Drucker und Intranet zugreifen kannst, ohne je wieder ein Passwort einzugeben.
LDAP – wie AD abgefragt wird
LDAP (Lightweight Directory Access Protocol) ist das Protokoll, über das AD-Informationen gelesen und geschrieben werden. Port 389 (unverschlüsselt) bzw. 636 (LDAPS, verschlüsselt).
Anwendungen (ERP-Systeme, VPN-Appliances, Ticketsysteme) nutzen LDAP, um AD zu fragen: “Gibt es einen Benutzer mit diesem Login? In welchen Gruppen ist er?” Das ist die Basis für die AD-Integration in fast jede Unternehmenssoftware.
Ein LDAP-Pfad sieht so aus:
CN=Max Muster,OU=Verwaltung,OU=Benutzer,DC=firma,DC=ch
CN= Common Name (Name des Objekts)OU= Organizational UnitDC= Domain Component (ein Teil des Domain-Namens)
In der Praxis musst du LDAP-Pfade kennen, wenn du eine Anwendung ans AD anschliesst – zum Beispiel ein NAS, einen Mailserver oder ein Helpdesk-System. Der sogenannte Bind-Account (ein Dienstkonto mit Leserechten) und der Base-DN (ab wo gesucht wird) sind die zwei Pflichtangaben.
Die AD-Datenbank: NTDS.dit
Die gesamte AD-Datenbank steckt in einer einzigen Datei: C:\Windows\NTDS\ntds.dit. Sie ist die JET-Datenbankdatei, die alle Objekte, Attribute und Passwort-Hashes enthält.
Wichtige Dateien auf dem DC:
| Datei/Ordner | Inhalt |
|---|---|
C:\Windows\NTDS\ntds.dit | AD-Datenbank |
C:\Windows\NTDS\*.log | Transaktionslogs |
C:\Windows\SYSVOL | GPO-Dateien, Logon-Skripte – wird per DFS-R auf alle DCs repliziert |
C:\Windows\NETLOGON | Logon-Skripte (Legacy) |
FSMO-Rollen
AD ist Multi-Master: jeder DC kann Änderungen annehmen. Für bestimmte Aufgaben gibt es jedoch Ausnahmen – diese sogenannten FSMO-Rollen (Flexible Single Master Operations) darf nur ein einziger DC pro Domain (oder Forest) übernehmen:
| FSMO-Rolle | Ebene | Aufgabe |
|---|---|---|
| Schema Master | Forest | Änderungen am AD-Schema (z.B. beim Exchange-Install) |
| Domain Naming Master | Forest | Domains hinzufügen/entfernen |
| RID Master | Domain | Vergabe von RID-Pools für neue Objekte |
| PDC Emulator | Domain | Passwortänderungen, Zeitsynchro, GPO-Erstellung |
| Infrastructure Master | Domain | Aktualisierung von Gruppenreferenzen über Domains |
In einem KMU-Umfeld mit einem einzigen DC liegen alle fünf Rollen auf diesem einen Server. Bei zwei DCs macht es Sinn, den PDC Emulator auf dem “stärkeren” DC zu lassen.
Aktuelle FSMO-Rolleninhaber abfragen:
# Alle FSMO-Rollen anzeigen
netdom query fsmo
# Oder via PowerShell
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Die wichtigsten Admin-Tools
dsa.msc – Active Directory Users and Computers (ADUC)
Das Hauptwerkzeug für die tägliche AD-Verwaltung. Hier legst du User an, setzt Passwörter zurück, organisierst OUs und verwaltest Gruppen.
Öffnen: Win+R, dann dsa.msc eingeben.
Wichtig: ADUC zeigt standardmässig nicht alle Objekte. Um versteckte Objekte und erweiterte Attribute zu sehen: Ansicht > Erweiterte Features aktivieren.
gpmc.msc – Group Policy Management Console
Für das Erstellen, Bearbeiten und Verknüpfen von GPOs. Ohne diese Konsole ist das Verwalten von Gruppenrichtlinien sehr mühsam. Mehr dazu auf der Seite GPO-Grundlagen.
dssite.msc – AD Sites and Services
Für Multi-Standort-Umgebungen: Hier konfigurierst du AD-Sites (physische Standorte) und Replikations-Verbindungen zwischen DCs.
PowerShell (RSAT)
Für alles, was in der GUI zu langsam oder zu manuell wäre. Das Active Directory-Modul für PowerShell ist Teil der RSAT-Tools (Remote Server Administration Tools).
RSAT auf Windows 10/11 installieren:
# RSAT AD-Tools installieren (als Admin)
Add-WindowsCapability -Online -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"
Danach stehen alle *-AD*-Cmdlets zur Verfügung.
Praktische PowerShell-Befehle für den Alltag
# === Domain-Informationen ===
Get-ADDomain # Domain-Details
Get-ADForest # Forest-Details
Get-ADDomainController -Filter * # Alle DCs auflisten
# === Benutzer-Suche und -Info ===
Get-ADUser -Identity "mmuster" # Einen User abfragen
Get-ADUser -Filter {Name -like "Max*"} # User nach Namen suchen
Get-ADUser -Filter * -SearchBase "OU=IT,OU=Benutzer,DC=firma,DC=ch" # Nur in einer OU
# === Gesperrte Konten finden und entsperren ===
Search-ADAccount -LockedOut # Alle gesperrten Accounts
Unlock-ADAccount -Identity "mmuster" # Account entsperren
# === Passwort zurücksetzen ===
Set-ADAccountPassword -Identity "mmuster" -Reset `
-NewPassword (ConvertTo-SecureString "Temp!Pass23" -AsPlainText -Force)
Set-ADUser -Identity "mmuster" -ChangePasswordAtLogon $true
# === Replikation prüfen ===
repadmin /replsummary # Replikationsstatus
repadmin /showrepl # Detaillierte Replikations-Infos
dcdiag /test:replications # DC-Diagnose: Replikation
# === SYSVOL-Replikation (DFSR) prüfen ===
dfsrdiag ReplicationState
Troubleshooting – häufige Probleme
Benutzer kann sich nicht anmelden
- Konto gesperrt? →
Search-ADAccount -LockedOutausführen, ggf.Unlock-ADAccount - Passwort abgelaufen? → In ADUC: Benutzer > Eigenschaften > Konto > Passwortoptionen
- Konto deaktiviert? → In ADUC: grauer Pfeil-Icon = deaktiviert
- DC nicht erreichbar? →
nltest /dsgetdc:firma.chzeigt, welcher DC geantwortet hat - Uhrzeit falsch? → Kerberos toleriert maximal 5 Minuten Zeitabweichung.
w32tm /query /statusauf Client und DC prüfen
Replikation schlägt fehl
# Replikationsfehler anzeigen
repadmin /showrepl * /errorsonly
# Replikation erzwingen
repadmin /syncall /AdeP
Häufige Ursachen: Netzwerkprobleme zwischen DCs, DNS-Fehler, abgelaufene Zertifikate, Zeitdifferenzen.
DNS-Probleme mit AD
AD ist stark DNS-abhängig. Fast alle AD-Probleme lassen sich auf DNS zurückführen. Prüfe:
# SRV-Records prüfen (werden bei DC-Promotion automatisch erstellt)
Resolve-DnsName _ldap._tcp.firma.ch -Type SRV
Resolve-DnsName _kerberos._tcp.firma.ch -Type SRV
# Umfassende DC-Diagnose
dcdiag /test:dns /v
Mehr zu DNS findest du auf der Seite DNS-Grundlagen.
Computerkonto ist abgelaufen oder beschädigt
Wenn sich ein PC nicht mehr an der Domain anmelden kann (Fehlermeldung: “Vertrauensbeziehung zwischen Arbeitsstation und primärer Domäne fehlgeschlagen”):
# Computerkonto zurücksetzen (auf dem betroffenen PC als lokaler Admin)
Test-ComputerSecureChannel -Repair -Credential (Get-Credential "FIRMA\Admin")
Alternativ: PC aus der Domain entfernen, Computerkonto in AD löschen, PC neu der Domain beitreten.
AD im KMU-Alltag: Typisches Setup
Ein typisches KMU (50–200 Mitarbeitende) sieht so aus:
- 2× Windows Server als DC (einer physisch, einer als VM)
- AD-integriertes DNS auf beiden DCs
- DHCP entweder auf einem der DCs oder auf dem Router/Firewall
- Alle Workstations und Laptops sind Mitglied der Domain
- Benutzer loggen sich mit ihrem
user@firma.ch-Konto ein - Fileserver-Berechtigungen laufen über AD-Gruppen (nie direkte User-Berechtigungen!)
- GPOs steuern Sicherheitsrichtlinien, Laufwerksmappings und Software-Einstellungen
Für die Benutzerverwaltung (User anlegen, in Gruppen aufnehmen, Passwörter zurücksetzen) geht es weiter auf der Seite AD – User & Gruppen verwalten. Wenn du wissen willst, wie du mit GPOs Einstellungen ausrollst, lies GPO-Grundlagen.
Weiterlernen
- Übersicht über Active Directory Domain Services – Microsoft Learn
- Active Directory-Replikationskonzepte – Microsoft Learn
- Best Practices für die Sicherung von Active Directory – Microsoft Learn
- Verwalten von AD DS mit PowerShell – Microsoft Learn
- Grundlegende lokale AD- und Microsoft Entra-Umgebung (Hybrid) – Microsoft Learn
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …