Häufig gestellte Fragen
Was ist Active Directory einfach erklärt?
Active Directory (AD) ist der von Microsoft entwickelte Verzeichnisdienst, in dem Windows-Umgebungen Benutzer, Computer, Gruppen und Berechtigungen zentral verwalten. Jeder Mitarbeiter besitzt darin in der Regel genau ein Konto, mit dem er sich am PC und an angebundenen Anwendungen anmeldet. Technisch speichert AD diese Objekte in einer hierarchischen Datenbank, die in Domänen, Bäumen und Gesamtstrukturen (Forests) organisiert ist. Damit bildet der Dienst die verbindliche Identitätsquelle dafür, wer in einer Organisation auf welche IT-Ressourcen zugreifen darf.
Seit wann gibt es Active Directory und welche Protokolle nutzt es?
Active Directory wurde erstmals im Februar 2000 mit Windows 2000 Server eingeführt und ist seither in zahllosen Unternehmensnetzen das Rückgrat der Identitätsverwaltung. Für den Verzeichniszugriff setzt AD auf das Lightweight Directory Access Protocol (LDAP), für die Authentifizierung klassisch auf Kerberos sowie auf das ältere NTLM-Verfahren. Verschlüsselte LDAP-Verbindungen laufen typischerweise über LDAPS (Port 636) oder StartTLS, um Anmeldedaten im Transport zu schützen. AD ist dabei kein einzelnes Protokoll, sondern ein vollständiger Verzeichnisdienst, der diese Standards bündelt.
Was ist der Unterschied zwischen Active Directory und Microsoft Entra ID?
Active Directory läuft klassisch on-premise auf Windows-Servern und nutzt Protokolle wie Kerberos, NTLM und LDAP, die vor allem für interne Netze und ältere Anwendungen gedacht sind. Microsoft Entra ID ist der cloudbasierte Identitätsdienst, der bis zur Umbenennung im Juli 2023 unter dem Namen Azure Active Directory geführt wurde; mit der Umbenennung änderte sich nur der Name, nicht der Funktionsumfang. Entra ID setzt auf moderne Web-Standards wie OAuth 2.0, OpenID Connect und SAML und ist primär für die Anmeldung an SaaS-Diensten und Microsoft 365 ausgelegt. Beide Welten lassen sich über Synchronisationsmechanismen koppeln, sodass Mitarbeiter on-premise und in der Cloud dieselben Identitäten nutzen.
Wie wird ein ERP-System an Active Directory angebunden?
Die Anbindung erfolgt meist über eine LDAP-Schnittstelle oder eine direkte AD-Synchronisation, häufig kombiniert mit Single Sign-on: Der Anwender meldet sich an Windows an und ist damit ohne erneute Eingabe auch im ERP eingeloggt. Dabei werden AD-Gruppen auf ERP-Rollen abgebildet, sodass eine Gruppenmitgliedschaft im Verzeichnis automatisch bestimmte Funktionsrechte im ERP eröffnet. So lassen sich Benutzer und Berechtigungen zentral im Verzeichnis pflegen, statt sie doppelt im ERP zu führen, was verwaiste Konten vermeidet und das An- und Abmelden beim Ein- und Austritt erleichtert. Wichtig ist eine saubere Auflösung verschachtelter Gruppen, da Anwender sich sonst zwar anmelden, aber keine Rechte erhalten können.
Brauche ich Active Directory für ein Cloud-ERP?
Ein lokal betriebenes Active Directory ist für ein Cloud-ERP nicht zwingend erforderlich, da viele cloudbasierte Systeme einen Cloud-Identitätsdienst wie Microsoft Entra ID nutzen können. Microsoft Dynamics 365 etwa stützt sich auf Entra ID als Identity-Provider, während andere Cloud-ERPs SAML oder OpenID Connect für die Anmeldung unterstützen. Organisationen mit bestehendem on-premise AD können dieses per Synchronisation mit der Cloud verbinden, sodass Mitarbeiter überall mit denselben Zugangsdaten arbeiten. Bei der ERP-Auswahl empfiehlt es sich daher, sowohl die lokale als auch die cloudseitige Identitätsanbindung zu prüfen, statt sich auf eine Variante festzulegen.
Was sind die größten Sicherheitsrisiken bei Active Directory?
Zu den bekanntesten Angriffsmustern zählen Pass-the-Hash, Kerberoasting, die Übernahme privilegierter Domain-Admin-Konten sowie ungepatchte Schwachstellen wie Zerologon. Weil AD in vielen Unternehmen die zentrale Identitätsquelle ist, kann ein kompromittierter Domänencontroller weitreichenden Zugriff auf angebundene Systeme einschließlich des ERP eröffnen. Als Gegenmaßnahmen gelten Multi-Faktor-Authentifizierung, getrennte administrative Konten und Tier-0-Arbeitsplätze für Administratoren, verschlüsselte LDAPS-Verbindungen sowie ein Dienstkonto mit minimalen Rechten. Ergänzend sorgen zeitnahes Patchen und kontinuierliches Monitoring der Anmeldevorgänge dafür, dass Auffälligkeiten früh erkannt werden.
