Unterschiede zwischen Active Directory ohne und mit Azure

Die mit Abstand am häufigsten verwalteten Objekte in Active Directory sind Benutzerzugänge samt Passwörter. Gruppen- und Computerkonten lassen sich in Active Directory ebenfalls zentral verwalten. Auch andere Ressourcen vermag Active Directory zu inventarisieren, etwa Datei- und Computerfreigaben. Der Dienst teilt sich dazu in mehrere Komponenten auf.

Stellenmarkt

1. Interhyp Gruppe, Berlin, München
2. Landeshauptstadt München, München

Den Kern der Werkzeugsammlung bilden seit Windows Server 2008 die Active Directory Domain Services. Sie wickeln die Verwaltung von Objekten und Benutzern ab. Hinzu kommen etwa die Directory Federation Services für SSO-Anwendungen innerhalb einer Active-Directory-Umgebung sowie der jeweilige Domänen-Controller (Domain Controller, DC), der mit den Directory Services von Active Directory besonders eng verwoben ist.

Zudem kümmert sich Active Directory um die Authentifizierung von Nutzern mittels NTLM und Kerberos und um die Autorisierung über Gruppenrechte. Dabei spielt ein Feature eine Rolle, das Admins vermutlich aus dem Kontext von LDAP schon kennen: Organizational Units (OUs) sind eine besondere Art von Verzeichnis, für die sich Zugriffsrichtlinien definieren lassen.

Sie ermöglichen es Administratoren, die Organisationsstruktur einer Firma oder Organisation in Active Directory baumartig nachzubilden und einzelne Äste des Baumes mit spezifischen Zugriffsrechten zu schützen. Apropos LDAP: Eine Kompatibilitätsschnittstelle für das LDAP-Protokoll bietet Active Directory auch. Clients, die das AD-Protokoll selbst also nicht sprechen, erhalten über den Umweg LDAP trotzdem Anschluss an den Verzeichnisdienst, wenn auch mit eingeschränktem Featureset.

Zusammengefasst lassen sich mit Active Directory also beliebige Assets verwalten, absichern und vor unerlaubtem Zugriff in einer fein granulierten Rechtestruktur schützen.

Azure Active Directory funktioniert fundamental anders

Wer glaubt, Azure Active Directory sei einfach eine in Microsofts Cloud ausgerollte Instanz von Active Directory, liegt falsch. Zwar haben beide Ansätze Active Directory im Namen, die Cloud-Version des Dienstes unterscheidet sich vom klassischen Active Directory aber fundamental in mehreren Punkten.

Das geht schon damit los, dass Azure Active Directory de facto kein echter Verzeichnisdienst ist. Vielmehr handelt es sich um eine Art Tresor für Benutzerdaten im Internet. Azure Active Directory verwaltet in erster Linie Kombinationen aus Logins und Passwörtern - und wer andere Cloud-Dienste von Microsoft (wie 365) verwendet, nutzt Azure AD schon - vermutlich, ohne es zu merken.

Wie es sich für einen Cloud-Ready-Dienst gehört, setzt Azure Active Directory nicht auf die vermeintlich etwas angestaubten Protokolle des klassischen AD. Stattdessen stehen API-Schnittstellen im Vordergrund, die Applikationen über ReST-Schnittstellen anbinden. Das funktioniert im Hintergrund also völlig anders als klassisches AD, liefert dem Nutzer jedoch dieselbe Erfahrung: In Anwendungen, die an derselben Azure-Active-Directory-Instanz hängen, loggt er sich grundsätzlich mit denselben Credentials ein.