Active Directory (AD) ist der Verzeichnis-Dienst von Microsoft, in dem Windows-Umgebungen Benutzer, Computer, Gruppen und Berechtigungen zentral verwalten. AD ist seit Windows 2000 Standard in Unternehmens-Netzen und damit für viele ERP-Anwendungen die zentrale Anmelde-Quelle. Seit ca. 2020 wandert die Authentifizierung zunehmend zu Microsoft Entra ID (ehemals Azure Active Directory) — der Cloud-Variante.
Was leistet Active Directory?
Benutzer-Konten: zentrale Verwaltung aller Mitarbeiter-Accounts mit Passwort, Eigenschaften, Gruppen-Zugehörigkeit
Gruppen-Richtlinien (GPO): Verteilen von Konfigurationen, Software und Sicherheits-Einstellungen auf hunderte Rechner gleichzeitig
Authentifizierung: Single-Sign-On in viele Anwendungen via Kerberos oder NTLM
Autorisierung: Datei-, Drucker-, Netzwerk-Berechtigungen über Gruppen-Mitgliedschaften
Replikation: Datenbank wird zwischen mehreren Domain-Controllern automatisch synchron gehalten
DNS-Integration: AD nutzt DNS für die Lokalisierung von Services und Domain-Controllern
AD und ERP – Wie hängen sie zusammen?
Die Integration läuft typisch über Single-Sign-On:
SSO via Kerberos/NTLM: Klassische On-Premise-ERPs (alte SAP-Versionen, Microsoft Dynamics NAV, ProAlpha) authentifizieren gegen das AD — Anwender meldet sich einmal an Windows an und ist automatisch im ERP eingeloggt
SSO via SAML/OAuth2 (modern): Cloud-ERPs nutzen Microsoft Entra ID (Azure AD) als Identity Provider — funktioniert auch ohne lokale AD-Anbindung
Gruppen-basierte Rollen: AD-Gruppen werden ins ERP gemappt — der Wechsel der Abteilung im AD aktualisiert automatisch ERP-Berechtigungen
Lifecycle-Management: Beim Mitarbeiter-Austritt wird der AD-Account deaktiviert; ERPs übernehmen das automatisch und sperren den Zugriff
Active Directory vs. Microsoft Entra ID
Dimension
Active Directory (AD)
Microsoft Entra ID (ehemals Azure AD)
Betrieb
On-Premise, Windows Server
Cloud, von Microsoft betrieben
Protokolle
Kerberos, NTLM, LDAP
OAuth2, OpenID Connect, SAML
Zweck
Verwaltung von PCs, Druckern, Files
SaaS-App-Authentifizierung, Cloud-Identitäten
Use Case
klassisches Office-Netz
Microsoft 365, Dynamics 365, externe SaaS
Viele Unternehmen betreiben heute eine Hybrid-Identität: AD on-premise, das via Entra Connect mit Microsoft Entra ID synchronisiert wird. Mitarbeiter melden sich überall mit denselben Credentials an.
Sicherheits-Aspekte rund um AD
Active Directory ist seit Jahren ein Top-Ziel für Angreifer:
Pass-the-Hash, Kerberoasting: Klassische AD-Angriffs-Techniken — durch Lateral Movement im Netz
Privileged Access: Domain-Admins müssen mit dedizierten Konten und Tier-0-Workstations geschützt werden
Patch-Disziplin: Schwachstellen in AD (z.B. zerologon CVE-2020-1472) werden aktiv ausgenutzt
Read-Only-Domain-Controller (RODC): für Standorte mit physischen Sicherheits-Risiken
ERP-Systeme, die ausschließlich gegen AD authentifizieren, erben dessen Sicherheits-Stand. Zusätzliche Schutz-Schicht: Multi-Faktor-Authentifizierung (MFA) auf AD-Anmeldungen erzwingen.
Active Directory ist der Verzeichnis-Dienst von Microsoft, in dem Windows-Umgebungen alle Benutzer, Computer, Gruppen und Berechtigungen zentral verwalten. Jeder Mitarbeiter hat genau ein AD-Konto, mit dem er sich an seinem PC und vielen Anwendungen anmeldet.
Was ist der Unterschied zwischen Active Directory und Entra ID?
Active Directory läuft on-premise auf Windows Servern und nutzt Kerberos/LDAP. Microsoft Entra ID (früher Azure AD) ist die Cloud-Variante mit modernen Standards wie OAuth2/SAML — sie wird primär für SaaS-Authentifizierung und Microsoft 365 genutzt.
Wie integriert ein ERP-System mit Active Directory?
Klassisch über Single-Sign-On: Der Anwender meldet sich an Windows an und ist automatisch im ERP eingeloggt. AD-Gruppen werden auf ERP-Rollen gemappt — Berechtigungen werden zentral im AD verwaltet, das ERP übernimmt sie automatisch.
Brauche ich Active Directory für ein Cloud-ERP?
Nicht zwingend on-premise. Cloud-ERPs wie Microsoft Dynamics 365 nutzen Microsoft Entra ID (Azure AD) als Cloud-Identity-Provider. Wer schon ein klassisches AD hat, kann es via Entra Connect synchronisieren — Mitarbeiter melden sich überall mit denselben Credentials an.
Was sind die größten Sicherheits-Risiken bei Active Directory?
Pass-the-Hash-Angriffe, Kerberoasting, kompromittierte Domain-Admin-Konten und ungepatchte Schwachstellen wie Zerologon. Beste Verteidigungs-Maßnahmen sind Multi-Faktor-Authentifizierung, Tier-0-Workstations für Admins und kontinuierliches Monitoring.
