Vergleich von Microsoft Entra ID und Active Directory Domain Services
Sie könnten Microsoft Entra ID einfach als das cloudbasierte Gegenstück zu AD DS betrachten. Doch obwohl Microsoft Entra ID und AD DS einige Gemeinsamkeiten aufweisen, gibt es einige wesentliche Unterschiede zwischen ihnen.
Merkmale von AD DS
AD DS ist die herkömmliche Bereitstellung einer Windows Server-basierten Active Directory-Instanz auf einem physischen oder virtuellen Server. Obwohl AD DS häufig hauptsächlich als Verzeichnisdienst betrachtet wird, ist es nur eine Komponente der Active Directory-Technologien von Windows. Andere Beispiele sind Active Directory-Zertifikatdienste (AD CS), Active Directory Lightweight Directory Services (AD LDS), Active Directory-Verbunddienste (AD FS) und Active Directory Rights Management Services (AD RMS).
Beim Vergleich von AD DS mit Microsoft Entra ID ist es wichtig, die folgenden Merkmale von AD DS zu beachten:
- AD DS ist ein echter Verzeichnisdienst mit einer hierarchischen X.500-basierten Struktur.
- AD DS verwendet DNS (Domain Name System) zum Suchen nach Ressourcen wie Domänencontrollern.
- Sie können AD DS mithilfe von LDAP-Aufrufen (Lightweight Directory Access Protocol) abfragen und verwalten.
- AD DS verwendet in erster Linie das Kerberos-Protokoll für die Authentifizierung.
- AD DS verwendet Organisationseinheiten und Gruppenrichtlinienobjekte für die Verwaltung.
- AD DS umfasst Computerobjekte, die Computer darstellen, die einer Active Directory-Domäne beitreten.
- AD DS verwendet Vertrauensstellungen zwischen Domänen für delegierte Verwaltung.
Sie können AD DS auf einer Azure-VM bereitstellen, um Skalierbarkeit und Verfügbarkeit für eine lokale AD DS-Instanz zu ermöglichen. Bei der Bereitstellung von AD DS auf einer Azure-VM wird Microsoft Entra ID jedoch nicht verwendet.
Hinweis
Die Bereitstellung von AD DS auf einer Azure-VM erfordert mindestens einen zusätzlichen Azure-Datenträger, da Sie Laufwerk „C:“ nicht für AD DS-Speicher verwenden sollten. Diese Datenträger werden benötigt, um die AD DS-Datenbank, Protokolle und den sysvol-Ordner zu speichern. Die Einstellung „Hostcacheeinstellung“ für diese Datenträger muss auf „Keine“ festgelegt werden.
Merkmale von Microsoft Entra ID
Obwohl Microsoft Entra ID zahlreiche Gemeinsamkeiten mit AD DS aufweist, gibt es auch viele Unterschiede. Es ist wichtig zu beachten, dass die Verwendung von Microsoft Entra ID nicht mit der Bereitstellung eines Active Directory-Domänencontrollers auf einer Azure-VM und dem anschließenden Hinzufügen dieses Controllers zu Ihrer lokalen Domäne gleichzusetzen ist.
Beim Vergleich von Microsoft Entra ID mit AD DS müssen die folgenden Merkmale von Microsoft Entra ID beachtet werden:
- Microsoft Entra ID ist in erster Linie eine Identitätslösung und für internetbasierte Anwendungen konzipiert, die über HTTP (Port 80) und HTTPS (Port 443) kommunizieren.
- Microsoft Entra ID ist ein Verzeichnisdienst, der mehrere Mandanten unterstützt.
- Microsoft Entra-Benutzerkonten und -Gruppen werden in einer flachen Struktur erstellt, und es gibt weder OEs noch GPOs.
- Sie können Microsoft Entra ID nicht über LDAP abfragen. Stattdessen verwendet Microsoft Entra ID die REST-API über HTTP und HTTPS.
- Microsoft Entra ID verwendet keine Kerberos-Authentifizierung. Stattdessen werden HTTP- und HTTPS-Protokolle wie SAML, WS-Verbund, OpenID Connect für Authentifizierung und OAuth für Autorisierung verwendet.
- Microsoft Entra ID umfasst Verbunddienste. Viele Drittanbieterdienste wie Facebook sind mit Microsoft Entra ID verbunden und stufen es als vertrauenswürdig ein.