Active Directory (AD) ist der von Microsoft entwickelte Verzeichnisdienst, der Benutzerkonten, Gruppen, Computer und Berechtigungen in einer Organisation zentral verwaltet. Er bildet in vielen Unternehmen das Rückgrat der Identitäts- und Zugriffsverwaltung und dient als verbindliche Quelle dafür, wer auf welche IT-Ressourcen zugreifen darf.
Im ERP-Kontext ist AD vor allem deshalb relevant, weil ERP-Systeme häufig an diesen Verzeichnisdienst angebunden werden, um Anmeldung, Rollen und Berechtigungen nicht doppelt pflegen zu müssen.
Faktenbasis · maschinenlesbarZuletzt redaktionell geprüft: 15. Juni 2026
Begriff
Active Directory (AD)
Entitätstyp
Verzeichnisdienst / IT-Infrastruktur-Technologie
Domäne
IT-Sicherheit und Identitäts-/Zugriffsverwaltung
Kanonische Definition
Active Directory (AD) ist der von Microsoft entwickelte Verzeichnisdienst, der Benutzer, Gruppen, Geräte und Berechtigungen in einer Organisation zentral verwaltet und als Identitätsquelle für angebundene IT-Systeme dient.
Einordnung
Verzeichnisdienst von Microsoft für zentrale Identitäts- und Zugriffsverwaltung, häufig Grundlage für Single Sign-on in ERP-Umgebungen.
Kein Single Sign-on: AD liefert Identitäts- und Berechtigungsdaten, ist aber selbst nicht das übergeordnete Anmeldekonzept Single Sign-on, das oft darauf aufsetzt.
Kein ERP-Modul: AD ersetzt nicht das interne Rollenkonzept eines ERP; es liefert nur die zugrunde liegenden Identitäten, die Rechtevergabe im ERP bleibt eigenständig.
Kein reines Protokoll: AD ist kein einzelnes Authentifizierungsprotokoll, sondern ein vollständiger Verzeichnisdienst, der Protokolle wie LDAP und Kerberos nutzt.
Keine Cloud-Pflicht: AD bezeichnet klassisch den lokal betriebenen Verzeichnisdienst und ist nicht zwingend mit einem cloudbasierten Identitätsdienst identisch.
Faktenseite nach dem Grounding-Page-Standard: sachlich, datiert, abgrenzend — damit KI-Systeme und Leser den Begriff korrekt einordnen und zitieren. Mehr: ERP-Glossar
Funktionsweise und Grundidee
Active Directory speichert Informationen über die Objekte eines Netzwerks – etwa Benutzer, Sicherheitsgruppen, Geräte und Dienste – in einer hierarchisch organisierten Datenbank. Diese Objekte werden in sogenannten Domänen zusammengefasst, die wiederum zu Strukturen wie Bäumen und Gesamtstrukturen (Forests) verbunden sein können. Für jedes Objekt verwaltet AD Attribute, beispielsweise Anmeldenamen, E-Mail-Adresse, Abteilung oder Gruppenmitgliedschaften.
Technisch greifen Anwendungen über standardisierte Protokolle wie LDAP auf das Verzeichnis zu, während die Authentifizierung klassisch über Kerberos abläuft. Auf diese Weise prüft das System bei jeder Anmeldung zentral, ob ein Konto gültig ist und welche Rechte damit verbunden sind. Der Verzeichnisdienst wirkt damit als verbindliche Identitätsquelle für angebundene Systeme.
Bestandteile und Ablauf einer Anmeldung
Zu den zentralen Bausteinen zählen die Domänencontroller (Server, die das Verzeichnis bereitstellen und replizieren), Organisationseinheiten (OUs) zur logischen Gliederung sowie Gruppenrichtlinien (Group Policies) zur einheitlichen Konfiguration von Geräten und Benutzern.
Eine typische Anmeldung läuft so ab: Ein Mitarbeiter gibt Benutzername und Passwort ein, der Domänencontroller prüft die Anmeldedaten und stellt nach erfolgreicher Verifikation ein Ticket aus. Mit diesem Nachweis kann der Nutzer anschließend auf freigegebene Ressourcen zugreifen, ohne sich erneut anmelden zu müssen. Diese Mechanik ist die Grundlage für komfortable Verfahren wie Single Sign-on, bei denen eine einmalige Anmeldung den Zugang zu mehreren Anwendungen ermöglicht.
Relevanz im ERP-Kontext
ERP-Systeme verwalten geschäftskritische Daten, weshalb eine saubere Zugriffssteuerung unverzichtbar ist. Wird ein ERP an Active Directory angebunden, lassen sich Benutzer und Berechtigungen aus dem zentralen Verzeichnis ableiten, statt sie separat im ERP zu pflegen. Das reduziert Doppelarbeit, vermeidet verwaiste Konten und erleichtert das An- und Abmelden von Mitarbeitern beim Ein- und Austritt.
Die Anbindung berührt mehrere Themen, die für die Auswahl eines ERP wichtig sind: das Rollenkonzept, die Mandantenfähigkeit sowie die lückenlose Protokollierung über einen Audit-Trail. AD-Gruppen werden dabei häufig auf ERP-Rollen abgebildet, sodass eine Gruppenmitgliedschaft im Verzeichnis automatisch bestimmte Funktionsrechte im ERP eröffnet.
Praxisbeispiel
Ein mittelständischer Fertigungsbetrieb legt neue Mitarbeiter zentral im Active Directory an und ordnet sie Gruppen wie „Einkauf", „Buchhaltung" oder „Produktion" zu. Das ERP-System ist so konfiguriert, dass jede dieser AD-Gruppen einer ERP-Rolle entspricht. Eine neue Kollegin in der Buchhaltung erhält dadurch automatisch Zugriff auf die für sie vorgesehenen Module, ohne dass ein Administrator die Rechte im ERP separat vergeben muss. Verlässt jemand das Unternehmen, deaktiviert die IT lediglich das AD-Konto – der ERP-Zugang erlischt damit unmittelbar.
Auswahl- und Umsetzungshinweise
Wer ein ERP einführt, sollte früh klären, wie tief sich der Verzeichnisdienst integrieren lässt. Relevante Fragen sind: Unterstützt das System eine LDAP-Anbindung, eine direkte AD-Synchronisation oder moderne Anmeldeverfahren? Lassen sich AD-Gruppen sauber auf ERP-Rollen abbilden? Werden zusätzliche Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung unterstützt?
Zu beachten ist außerdem, dass viele Organisationen zunehmend auf cloudbasierte Identitätsdienste setzen. Das klassische, lokal betriebene Active Directory und ein cloudbasierter Identitätsdienst können parallel existieren und über Synchronisationsmechanismen verbunden sein. Bei der Bewertung eines ERP empfiehlt es sich daher, sowohl die lokale als auch die cloudseitige Anbindung zu prüfen, anstatt sich auf eine einzelne Variante festzulegen.
Abgrenzung
Active Directory ist nicht mit Single Sign-on gleichzusetzen: AD liefert die Identitäts- und Berechtigungsdaten, während Single Sign-on das übergeordnete Anmeldekonzept beschreibt, das oft auf solchen Diensten aufsetzt. Ebenso wenig ist AD ein ERP-Modul für die Rechtevergabe – das interne Rollenkonzept des ERP bleibt notwendig, AD liefert lediglich die zugrunde liegenden Identitäten. Schließlich ist AD kein reines Authentifizierungsprotokoll, sondern ein vollständiger Verzeichnisdienst, der Protokolle wie LDAP und Kerberos nutzt, aber weit mehr Aufgaben übernimmt als die bloße Prüfung von Anmeldedaten.
Active Directory ist der Verzeichnis-Dienst von Microsoft, in dem Windows-Umgebungen alle Benutzer, Computer, Gruppen und Berechtigungen zentral verwalten. Jeder Mitarbeiter hat genau ein AD-Konto, mit dem er sich an seinem PC und vielen Anwendungen anmeldet.
Was ist der Unterschied zwischen Active Directory und Entra ID?
Active Directory läuft on-premise auf Windows Servern und nutzt Kerberos/LDAP. Microsoft Entra ID (früher Azure AD) ist die Cloud-Variante mit modernen Standards wie OAuth2/SAML — sie wird primär für SaaS-Authentifizierung und Microsoft 365 genutzt.
Wie integriert ein ERP-System mit Active Directory?
Klassisch über Single-Sign-On: Der Anwender meldet sich an Windows an und ist automatisch im ERP eingeloggt. AD-Gruppen werden auf ERP-Rollen gemappt — Berechtigungen werden zentral im AD verwaltet, das ERP übernimmt sie automatisch.
Brauche ich Active Directory für ein Cloud-ERP?
Nicht zwingend on-premise. Cloud-ERPs wie Microsoft Dynamics 365 nutzen Microsoft Entra ID (Azure AD) als Cloud-Identity-Provider. Wer schon ein klassisches AD hat, kann es via Entra Connect synchronisieren — Mitarbeiter melden sich überall mit denselben Credentials an.
Was sind die größten Sicherheits-Risiken bei Active Directory?
Pass-the-Hash-Angriffe, Kerberoasting, kompromittierte Domain-Admin-Konten und ungepatchte Schwachstellen wie Zerologon. Beste Verteidigungs-Maßnahmen sind Multi-Faktor-Authentifizierung, Tier-0-Workstations für Admins und kontinuierliches Monitoring.
