Active Directory & LDAP im Detail: Funktionsweise, AD LDS, AD LS und mehr

Feb. 8th, 2026 0 Comment

Active Directory (AD) ist das Herzstück moderner Unternehmensnetzwerke. Es verwaltet Identitäten, Berechtigungen und Ressourcen und sorgt dafür, dass Benutzer, Computer und Dienste sicher miteinander kommunizieren können. Doch AD ist nur ein Teil eines größeren Ökosystems, das aus dem LDAP‑Protokoll, Lightweight Directory Services (AD LDS) und zunehmend auch Cloud‑basierten Lösungen wie Azure AD LS besteht. In diesem Beitrag beleuchten wir die Funktionsweise dieser Komponenten im Detail, zeigen ihre Unterschiede und erläutern, wie sie zusammenarbeiten, um eine robuste, skalierbare Identitätsinfrastruktur zu schaffen.

Zentraler Serverrack mit Beschriftung „Active Directory“, umgeben von Netzwerkkabeln, Benutzergeräten und Cloud-Symbolen, während holografische Datenströme zwischen Rack und Wolkenicons fließen; im Hintergrund ein Dämmerungs‑Stadtbild, das die Ver…

1. Grundlagen von Active Directory

Active Directory ist ein hierarchisches Verzeichnisdienstsystem, das von Microsoft entwickelt wurde. Es speichert Informationen über Objekte – Benutzer, Gruppen, Computer, Drucker und mehr – in einer strukturierten Datenbank. Die Grundbausteine von AD sind:

  • Domänen: Logische Gruppierungen von Objekten, die einen gemeinsamen Sicherheitsbereich bilden. Jede Domäne hat einen eindeutigen Namen.
  • Bäume und Wälder: Mehrere Domänen können zu einem Baum verbunden werden, der wiederum Teil eines Waldes ist. Der Wald bildet die höchste Ebene und definiert die globale Katalogstruktur.
  • Organisationseinheiten (OUs): Logische Container innerhalb einer Domäne, die zur Delegierung von Verwaltungsrechten und zur Anwendung von Gruppenrichtlinien verwendet werden.
  • Sicherheitsgruppen: Gruppen von Benutzern oder Computern, die gemeinsam Berechtigungen erhalten. Sie können lokal in einer Domäne oder global im gesamten Wald definiert werden.

AD nutzt das Lightweight Directory Access Protocol (LDAP) als Transportprotokoll, um Anfragen zwischen Clients und Servern auszutauschen. Zusätzlich unterstützt es Kerberos für die Authentifizierung und NTLM als Fallback-Mechanismus. Durch die Kombination dieser Technologien bietet AD eine robuste Plattform für Identitäts- und Zugriffsmanagement.

Diagramm eines Active Directory-Walds mit mehreren Domänen, dargestellt als miteinander verbundene Kugeln, jede beschriftet mit Domainnamen wie „contoso.com“, verbunden durch transparente Rohre, die Vertrauensbeziehungen symbolisieren.

2. LDAP – das Protokoll

LDAP (Lightweight Directory Access Protocol) ist ein offenes, plattformunabhängiges Protokoll, das den Zugriff auf Verzeichnisdienste ermöglicht. Es definiert einen Satz von Operationen, die Clients ausführen können:

  • Bind: Authentifizierung des Clients beim Server.
  • Search: Abfrage von Objekten anhand von Filtern und Attributen.
  • Add/Modify/Delete: Verwaltung von Objekten im Verzeichnis.
  • Compare: Überprüfung, ob ein bestimmtes Attribut einen bestimmten Wert hat.

LDAP arbeitet mit einer hierarchischen Datenstruktur, die als Distinguished Name (DN) bezeichnet wird. Ein DN besteht aus einer Reihe von Attribute‑Wert‑Paaren, die von der Root‑DSE (Directory Service Entry) bis zum Zielobjekt reichen. Beispiel: cn=John Doe,ou=Users,dc=contoso,dc=com

Ein wichtiger Aspekt von LDAP ist die Unterstützung von SASL (Simple Authentication and Security Layer), das verschiedene Authentifizierungsmechanismen wie Kerberos, DIGEST-MD5 oder PLAIN ermöglicht. In AD wird LDAP in Kombination mit Kerberos verwendet, um sichere, verschlüsselte Verbindungen zu gewährleisten.

LDAP ist nicht auf Windows beschränkt; es wird von vielen Plattformen unterstützt, darunter OpenLDAP, Apache Directory Server und Novell eDirectory. Diese Interoperabilität macht LDAP zu einem zentralen Protokoll für die Integration von Identitätsdiensten über unterschiedliche Betriebssysteme hinweg.

Nahaufnahme eines Computerterminals mit einem LDAP-Abfragefenster, das eine geordnete Liste von Benutzereinträgen mit Attributen wie 'cn', 'sn', 'mail' und 'memberOf' in grün hervorhebt, umgeben von einem dunklen industriellen Hintergrund, reflekt…

3. AD LDS – Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) ist eine eigenständige Instanz eines Verzeichnisdienstes, die keine Domänencontroller-Funktionalität besitzt. Stattdessen bietet sie die gleichen LDAP‑ und Kerberos‑Funktionen wie AD, jedoch ohne die Notwendigkeit, ein vollständiges AD‑Domänencontroller-Setup zu betreiben. Typische Einsatzszenarien sind:

  • Anwendungs‑Back‑Ends: Anwendungen, die ihre eigenen Benutzer‑ und Konfigurationsdaten verwalten, ohne sich an die zentrale AD‑Domäne anzuschließen.
  • Sicherheits‑ und Compliance‑Anforderungen: Szenarien, in denen Daten in einer isolierten Umgebung gespeichert werden müssen, z. B. in einer Sandbox oder in einer Cloud‑Umgebung.
  • Legacy‑Systemintegration: Ältere Anwendungen, die LDAP‑Zugriff benötigen, aber nicht für die Integration in ein bestehendes AD‑Domänenmodell ausgelegt sind.

AD LDS kann auf Windows Server oder in einer virtuellen Umgebung betrieben werden. Es unterstützt die gleichen Gruppenrichtlinien‑ähnlichen Mechanismen wie AD, jedoch in einem eingeschränkten Umfang. Durch die Trennung von AD LDS und AD können Unternehmen ihre Identitätsinfrastruktur modularisieren und gezielt skalieren.

AD LDS-Serverrack in einem Datenzentrum, beschriftet mit „AD LDS“, mit LED-Anzeige, mehreren Serverblättern, die kleine Bildschirme mit Verzeichnisprotokollen zeigen, umgeben von Kabelmanagement und einer rackmontierten Kühlvorrichtung, in einem s…

4. AD LS – Lightweight Services (Azure AD LS)

Mit der zunehmenden Migration in die Cloud hat Microsoft Azure AD LS (Lightweight Services) als Brücke zwischen on‑premises AD und Azure AD eingeführt. Azure AD LS ist ein leichtgewichtiges, cloud‑basiertes Verzeichnis, das LDAP‑ und Kerberos‑Funktionen bereitstellt, ohne dass ein vollständiger Azure AD Connect‑Agent erforderlich ist. Hauptmerkmale:

  • Schnelle Bereitstellung: Keine komplexen Installationen, nur ein paar Minuten Konfiguration.
  • Kompatibilität: Unterstützt bestehende LDAP‑Clients und Anwendungen, die auf Kerberos angewiesen sind.
  • Hybrid‑Szenarien: Ermöglicht die Synchronisierung von Benutzern und Gruppen zwischen on‑premises AD und Azure AD LS, ohne dass ein vollständiger AD‑Domänencontroller in der Cloud erforderlich ist.

Azure AD LS eignet sich besonders für Unternehmen, die ihre Anwendungen in die Cloud verlagern, aber weiterhin LDAP‑basierte Authentifizierung benötigen. Durch die Nutzung von Azure AD LS können sie die Vorteile der Cloud (Skalierbarkeit, Redundanz) nutzen, ohne ihre bestehenden LDAP‑Abhängigkeiten aufzugeben.

Hybrid‑IT‑Umgebung mit einem physischen Serverrack „AD DC“ auf der linken Seite, einem Cloud‑Symbol „Azure AD“ rechts und leuchtenden Datenströmen, die die beiden verbinden; im Hintergrund ein modernes Büro mit Glaswand und Stadtblick, das die nah…

5. Integration und Einsatzszenarien

Die Kombination aus AD, LDAP, AD LDS und Azure AD LS ermöglicht vielfältige Architekturoptionen:

Szenario Empfohlene Lösung Vorteile
On‑Premises‑Only AD + LDAP Vollständige Kontrolle, keine Cloud‑Kosten
Hybrid‑Umgebung AD + Azure AD Connect + Azure AD LS Nahtlose Authentifizierung, Cloud‑Backup
Anwendungs‑Back‑End AD LDS Isolierte Umgebung, keine Domänencontroller
Legacy‑Apps AD LDS + LDAP Einfaches Upgrade ohne Umstrukturierung
Cloud‑First Azure AD LS Schnell, skalierbar, keine On‑Premises‑Hardware

Ein typisches Beispiel ist ein Unternehmen, das seine internen Anwendungen in Azure migriert, aber weiterhin LDAP‑basierte Authentifizierung für Legacy‑Software benötigt. Durch die Bereitstellung von Azure AD LS können sie die Authentifizierungslogik beibehalten, während die Daten in der Cloud gespeichert werden. Gleichzeitig bleibt die zentrale AD‑Domäne für die Unternehmensidentität erhalten, sodass Benutzer nahtlos zwischen On‑Premises und Cloud wechseln können.

Fazit

Active Directory, LDAP, AD LDS und Azure AD LS bilden ein umfassendes Ökosystem für Identitäts- und Zugriffsmanagement. Während AD die Basis für Unternehmensnetzwerke bildet, ermöglicht LDAP die plattformunabhängige Kommunikation. AD LDS bietet eine leichtgewichtige Alternative für spezielle Anwendungsfälle, und Azure AD LS erweitert die Möglichkeiten in der Cloud. Durch die richtige Kombination dieser Komponenten können Unternehmen eine flexible, skalierbare und sichere Identitätsinfrastruktur schaffen, die sowohl aktuelle als auch zukünftige Anforderungen erfüllt.

Tags: , , , , ,


Software Entwickler und Tech Geek seit über 24 Jahren im professionellen B2B Bereich und mit mehr als 30 Jahren Computer, Netzwerk und Betriebssystem Skills. Technologie als Leidenschaft entwickle ich hauptsächlich mit Microsoft C#, ASP.NET/MVC, WPF/Silverlight, HTML5, JS, SQL, VB und PHP als Grundlagen für internationale Softwareprojekte.

You might also like:

No comments.

Leave a Reply

© 2010-2026 TECH UNI. All rights reserved.