Active Directory Domain Services (AD DS) bilden das unumstößliche Nervenzentrum der klassischen Unternehmensinfrastruktur. Worum geht’s genau?
In der Frühphase der vernetzten IT-Infrastrukturen standen Systemadministratoren vor einer immensen logistischen Herausforderung. Jedes Mal, wenn ein neuer Mitarbeiter eingestellt wurde, ein Computer konfiguriert oder Zugriff auf einen Netzdrucker gewährt werden musste, mussten diese Anpassungen lokal auf jedem einzelnen System manuell vorgenommen werden. Benutzerkonten existierten isoliert auf den jeweiligen Maschinen, was eine zentrale Kontrolle, einheitliche Sicherheitsstandards oder ein effizientes Berechtigungsmanagement im großen Maßstab unmöglich machte.
Microsoft löste dieses strukturelle Verwaltungsproblem im Jahr 1999 mit der Einführung von Windows Server 2000 und dem darin integrierten Verzeichnisdienst Active Directory. Trotz des rasanten Aufstiegs von Cloud-Infrastrukturen bleibt das lokale Active Directory (heute präzise als Active Directory Domain Services oder AD DS bezeichnet) das fundamentale Rückgrat von schätzungsweise über neunzig Prozent aller Enterprise-Netzwerke weltweit. Es fungiert als eine verteilte, hierarchische Datenbank, die alle Ressourcen eines Unternehmensnetzwerks, also Identitäten, Computer, Server, Freigaben und Sicherheitsrichtlinien, logisch abbildet, zentral verwaltet und absichert.
Die logische Hierarchie: Forest, Tree und Domain
Die Architektur von Active Directory basiert auf einer strengen, hierarchischen Strukturierung, die es erlaubt, selbst hochkomplexe, globale Konzernstrukturen mit mehreren Tochtergesellschaften in einer einzigen administrativen Umgebung abzubilden. Das logische Modell gliedert sich von der obersten Ebene bis zum einzelnen Objekt in fünf Stufen.
1. Der Forest (Gesamtstruktur)
Der Forest bildet die oberste Sicherheits- und Verwaltungsgrenze einer Active-Directory-Installation. Alle Komponenten innerhalb eines Forests teilen sich dasselbe logische Verzeichnis-Schema (die Definition aller Objekttypen und deren Attribute) sowie den globalen Katalog. Ein Forest kann mehrere Domänenstrukturen enthalten, die untereinander automatische, transitive Vertrauensstellungen (Trusts) besitzen.
2. Der Tree (Domänenstruktur)
Ein Tree ist eine kontinuierliche Hierarchie von Domänen, die einen zusammenhängenden, namensbasierten Namespace teilen. Besteht die Hauptdomäne beispielsweise aus firma.com, so bilden die Unterdomänen de.firma.com und us.firma.com gemeinsam einen Tree.
3. Die Domain (Domäne)
Die Domäne ist die zentrale administrative Kernzelle von Active Directory. Sie bildet eine logische Gruppierung von Netzwerkobjekten, die einer gemeinsamen Sicherheitsrichtlinie und einer gemeinsamen Benutzerdatenbank unterliegen. Die Domäne definiert den Replikationsbereich – alle darin befindlichen Domänencontroller synchronisieren ihre Daten kontinuierlich untereinander.
4. Die Organizational Unit (OU – Organisationseinheit)
OUs sind logische Container innerhalb einer Domäne. Sie dienen ausschließlich der administrativen Strukturierung von Objekten (z. B. Aufteilung nach Abteilungen wie HR, Finance oder Standorten wie Berlin, München). OUs sind von kritischer Bedeutung, da auf ihrer Ebene spezifische Gruppenrichtlinien verknüpft und administrative Rechte an Teil-Administratoren delegiert werden können (Privilege Delegation).
5. Das Objekt
Objekte sind die atomaren Datensätze auf der untersten Ebene der Datenbank. Jedes Objekt repräsentiert eine physische oder logische Ressource im Netzwerk, definiert durch spezifische Attribute (ein Benutzerobjekt besitzt beispielsweise die Attribute Vorname, Nachname, E-Mail und Sicherheitskennung).
Die technischen Kernkomponenten und Protokolle
Active Directory ist kein proprietäres, isoliertes System, sondern basiert auf der Synthese weltweit etablierter offener Netzwerkstandards und Protokolle, um die Kommunikation und Authentifizierung im Netzwerk abzusichern.
Die drei tragenden Netzwerkprotokolle
- DNS (Domain Name System): DNS ist das fundamentale Fundament von Active Directory. Ohne ein fehlerfrei konfiguriertes DNS kann AD DS nicht operieren. Über spezifische Service-Ressource-Records (SRV-Records) teilt das DNS den Clients im Netzwerk mit, unter welchen IP-Adressen die Domänencontroller und Authentifizierungsdienste erreichbar sind.
- LDAP (Lightweight Directory Access Protocol): LDAP ist die standardisierte Abfragesprache, mit der Clients und Anwendungen Daten aus der Active-Directory-Datenbank auslesen oder hineinschreiben. Suchanfragen im Netzwerk (z. B. die Suche nach der E-Mail-Adresse eines Mitarbeiters) werden via LDAP verarbeitet.
- Kerberos v5: Kerberos bildet das kryptografische Standardprotokoll für die Authentifizierung im Active Directory. Es ersetzt das veraltete und unsichere NTLM-Verfahren. Kerberos arbeitet mit einem ticketbasierten System über das Key Distribution Center (KDC), das auf jedem Domänencontroller läuft. Es ermöglicht sicheres Single Sign-On (SSO) im gesamten internen Netzwerk, ohne dass Passwörter im Klartext übertragen werden müssen.
Die physische Anatomie: NTDS.dit und SYSVOL
Die physische Speicherung der Verzeichnisdaten erfolgt auf den Domänencontrollern (DC) innerhalb der Datei ntds.dit. Hierbei handelt es sich um eine relationale Datenbank, die auf der Extensible Storage Engine (ESE) von Microsoft basiert.
Ergänzt wird diese Datenbank durch das SYSVOL-Verzeichnis (System Volume). Dies ist eine freigegebene Ordnerstruktur auf dem Dateisystem des Domänencontrollers, die alle Gruppenrichtliniendateien, Anmeldeskripte und globalen Vorlagen enthält. Das SYSVOL-Verzeichnis wird über den Distributed File System Replication (DFSR) Dienst kontinuierlich zwischen allen Domänencontrollern der Domäne synchronisiert.
Die fünf FSMO-Rollen (Flexible Single Master Operation)
Obwohl Active Directory als Multi-Master-Datenbank konzipiert ist – was bedeutet, dass Änderungen (wie das Ändern eines Passworts) auf jedem beliebigen Domänencontroller vorgenommen werden können und anschließend repliziert werden –, existieren bestimmte administrative Aufgaben, die mathematisch und logisch keine Konflikte dulden. Diese Aufgaben dürfen im gesamten Netzwerk jeweils nur von einem einzigen, dedizierten Domänencontroller ausgeführt werden. Man bezeichnet diese als die fünf FSMO-Rollen (auch Operations Master Roles genannt):
Gesamtstrukturfrequenz-Rollen (Einmal pro Forest)
- Schema Master (Schema-Master): Kontrolliert als einziger Server alle Modifikationen und Erweiterungen des globalen Active-Directory-Schemas (z. B. bei der Installation von Microsoft Exchange).
- Domain Naming Master (Domänenbenennungs-Master): Reguliert das Hinzufügen oder Entfernen von Domänen innerhalb des Forests, um Namenskonflikte im Namespace absolut auszuschließen.
Domänenfrequenz-Rollen (Einmal pro Domäne)
- PDC Emulator (PDC-Emulator): Die wichtigste Rolle im täglichen Betrieb. Er fungiert als primäre Zeitquelle für das gesamte Netzwerk (Zeitsynchronisation ist für Kerberos elementar), verarbeitet Kennwortänderungen bevorzugt und agiert als primärer Ansprechpartner für Legacy-Systeme.
- RID Master (Relative ID Master): Verteilt Blöcke von relativen Identifikatoren (RIDs) an alle Domänencontroller. Jeder DC benötigt diese RIDs, um neuen Objekten (Benutzern, Computern) eine weltweit eindeutige Sicherheitskennung (Security Identifier – SID) zuzuweisen.
- Infrastructure Master (Infrastruktur-Master): Verwaltet teamübergreifende Objekt-Referenzen, wenn Objekte aus einer Domäne in den Gruppen einer anderen Domäne verschachtelt sind.
Systematischer Vergleich: AD DS vs. Microsoft Entra ID
Mit dem Aufkommen von Cloud-Architekturen hat Microsoft sein Identitätsmanagement erweitert. Um die informationstechnische Wahrheit zu wahren, ist eine präzise Abgrenzung des lokalen Active Directory zum cloudbasierten Nachfolger (ehemals Azure AD, heute Microsoft Entra ID) zwingend erforderlich:
| Kriterium | Active Directory Domain Services (AD DS) | Microsoft Entra ID (ehemals Azure AD) |
| Infrastruktur-Basis | On-Premises (Physische/Virtuelle Server vor Ort). | Cloud-native (As-a-Service-Infrastruktur von Microsoft). |
| Primäre Protokolle | Kerberos, NTLM, LDAP, DNS. | OAuth 2.0, OpenID Connect, SAML 2.0, Graph-API. |
| Datenstruktur | Hierarchisch (Forest, Domain, OUs, GPOs). | Flache Struktur (Benutzer, Gruppen, Enterprise Apps). |
| Geräteverwaltung | Gruppenrichtlinien (GPOs) und Domänenbeitritt. | Mobile Device Management (MDM / Microsoft Intune). |
| Authentifizierungs-Fokus | Interne Windows-Clients, Datei- und Druckserver. | Cloud-Anwendungen (SaaS), Web-Apps, Föderation. |
| Erweiterbarkeit | Schema-Erweiterungen direkt in der Datenbank. | API-Erweiterungen über Microsoft Graph. |
Viele Unternehmen betreiben im Jahr 2026 ein hybrides Identitätsmodell. Hierbei werden die lokalen Identitäten aus dem AD DS über das Synchronisationswerkzeug Microsoft Entra Connect kontinuierlich in die Cloud gespiegelt, wodurch Mitarbeiter dasselbe Benutzerkonto sowohl für lokale Server als auch für Cloud-Dienste wie Microsoft 365 nutzen können.
Gruppenrichtlinien (Group Policy Objects – GPOs)
Neben der reinen Identitätsverwaltung bilden die Gruppenrichtlinien (GPOs) das mächtigste Werkzeug von Active Directory zur Konzentrierung des Systemmanagements. Eine GPO ist eine Sammlung von Konfigurationseinstellungen, die Administratoren definieren, um das Verhalten von Windows-Betriebssystemen und Anwendungen im gesamten Netzwerk zentral zu steuern.
Über GPOs lassen sich tausende Parameter vollautomatisch erzwingen: das Verteilten von Softwarepaketen, das automatische Einbinden von Netzlaufwerken, das Sperren der Systemsteuerung für normale Benutzer, das Erzwingen von Hintergrundbildern oder das Setzen restriktiver Windows-Update-Intervalle.
Die Zuweisung von Gruppenrichtlinien folgt der logischen Vererbungsreihenfolge LSDOU (Local, Site, Domain, Organizational Unit). Einstellungen auf einer tieferen Ebene (z. B. OU) überschreiben dabei standardmäßig die Konfigurationen übergeordneter Ebenen, es sei denn, eine Richtlinie wird explizit als „Erzwungen“ (Enforced) deklariert.
Sicherheitsrisiken und das Active Directory Tiering Model
Aufgrund seiner zentralen Rolle im Unternehmensnetzwerk bildet Active Directory das primäre Hauptziel für hochentwickelte Cyber-Angriffe und Ransomware-Kampagnen. Erlangen Angreifer administrative Rechte auf einem Domänencontroller (den Status des Domain Admins), ist das gesamte Unternehmen kompromittiert. Angreifer nutzen spezifische Angriffsvektoren wie Pass-the-Hash, Kerberoasting oder das Generieren von fälschungssicheren Golden Tickets, um sich unbemerkt im Verzeichnis zu bewegen.
Zur wirksamen Abwehr dieser Bedrohungen fordert die moderne IT-Sicherheit die strikte Umsetzung des Active Directory Tiering Models (Ebenen-Modell):
- Tier 0 (Identitäts-Ebene): Umfasst alle Domänencontroller, das Active Directory selbst sowie alle Server und Administratoren-Konten, die uneingeschränkten Zugriff auf die Identitätsinfrastruktur besitzen. Tier 0 muss absolut isoliert sein. administrative Konten der Ebene 0 dürfen sich niemals auf Systemen tieferer Ebenen anmelden, da ihre Kredenzien dort im Arbeitsspeicher abgefangen werden könnten.
- Tier 1 (Enterprise-Ebene): Umfasst Mitgliedsserver, Enterprise-Anwendungen, Datenbanken und die zugehörigen Server-Administratoren.
- Tier 2 (Benutzer-Ebene): Umfasst die Endgeräte der Mitarbeiter (Laptops, Desktops), Drucker und normale Benutzerkonten.
Regulatorische Compliance, BSI IT-Grundschutz und NIS2
Der sichere Betrieb von Active Directory ist im aktuellen rechtlichen und regulatorischen Umfeld für europäische und deutsche Unternehmen eine zwingende Verpflichtung. Unter den verschärften Bedingungen der NIS2-Richtlinie müssen Organisationen in wichtigen und kritischen Sektoren ein lückenloses und nachweisbares Risikomanagement für ihre Kerninfrastrukturen betreiben.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) widmet der Absicherung von Verzeichnisdiensten im IT-Grundschutz-Kompendium erhebliche Aufmerksamkeit. Die detaillierten Kriterien und Umsetzungshinweise sind im Baustein APP.2.1 (Verzeichnisdienste) sowie in den plattformspezifischen Windows-Server-Bausteinen hinterlegt, einsehbar auf dem offiziellen Portal der Bundesbehörde.
Der IT-Grundschutz fordert im Rahmen der Basis- und Standard-Sicherheitsanforderungen:
- Die Erstellung eines umfassenden Berechtigungskonzepts unter strikter Einhaltung des Least-Privilege-Prinzips (APP.2.1.A2).
- Die regelmäßige, automatisierte Überprüfung und Bereinigung inaktiver oder verwaister Benutzerkonten (APP.2.1.A7).
- Die lückenlose, revisionssichere Protokollierung aller administrativen Änderungen und Gruppenrichtlinien-Modifikationen innerhalb der Domäne, um eine nachträgliche forensische Analyse bei Sicherheitsvorfällen zu ermöglichen.
Fazit
Active Directory Domain Services (AD DS) sind und bleiben das unverzichtbare, architektonische Fundament des klassischen Enterprise-IT-Managements. Durch die logische Bündelung von Identitäten, Systemen und Richtlinien in einer zentralisierten Multi-Master-Datenbank ermöglicht die Technologie eine hocheffiziente und skalierbare Kontrolle komplexer Netzwerke.
Der langfristige, sichere Betrieb hängt dabei untrennbar von der Konzeptionsqualität ab – von der sauberen Strukturierung der Organisationseinheiten über die fehlerfreie DNS-Integration bis hin zur kompromisslosen Absicherung des Tier-0-Bereichs gemäß den harten Vorgaben des BSI IT-Grundschuts und der NIS2-Richtlinie. Wer diese Mechanismen ganzheitlich beherrscht und die Brücke zum modernen Microsoft Entra ID über hybride Synchronisationsstrukturen sicher schlägt, schafft eine hochresiliente, gesetzeskonforme und zukunftssichere digitale Basis für das gesamte Unternehmen.