Ein Statement über Identität, Infrastruktur und den langen Schatten von hybrider Architektur

RIP Active Directory

Kein pauschaler Abgesang. Keine Cloud-Romantik. Sondern eine ehrliche Auseinandersetzung mit der Frage, welche Rolle Active Directory heute noch spielen soll — und welche besser nicht mehr.

Hybrid Architecture Stack AD als Fundament

Struktur

Content

Kapitel 1 Warum schreibe ich? Perspektive, Historie und Haltung
Kapitel 2 Active Directory war nie das Problem Warum AD so erfolgreich wurde
Kapitel 3 Die Welt hat sich verändert SaaS, Remote Work, Zero Trust
Kapitel 4 Hybrid ist kein Zielbild Zwei Welten, ein Betrieb
Kapitel 5 Die unsichtbaren Altlasten LDAP, NTLM, Gruppen, GPOs
Kapitel 6 Migration ist kein technisches Projekt Governance, Prozesse und Verantwortung
Kapitel 1 12 Minuten Lesezeit Work in Progress

Warum schreibe ich?

Bevor man über das Ende oder die neue Rolle von Active Directory spricht, muss man zuerst verstehen, was für eine Bedeutung sie hat. Für viele Unternehmen ist sie tief in der Infrastruktur verwurzelt und historisch gewachsen.

Ich würde mich selbst als Hybrid Architekt bezeichnen.

Nicht, weil dieser Begriff besonders modern klingt, sondern weil er ziemlich gut beschreibt, woher ich komme und womit ich mich seit vielen Jahren beschäftige: mit der Verbindung zwischen klassischer Microsoft-Infrastruktur und der heutigen Cloud-Welt. Zwischen On-Premise und Entra ID. Zwischen gewachsenen Active-Directory-Umgebungen und modernen Identity-Konzepten. Zwischen dem, was Unternehmen über Jahrzehnte aufgebaut haben, und dem, was sie heute brauchen, um sicher, flexibel und zukunftsfähig zu arbeiten.

Von Windows NT bis Entra ID

Meine Historie kommt tief aus der Microsoft-Welt. Active Directory, Exchange, File Server, Windows Server, Netzwerke, Zertifikatsdienste, RADIUS, Applikationsintegration, Berechtigungsmodelle — das war über viele Jahre mein Alltag. Ich habe lange als Systemadministrator gearbeitet und im Grunde die komplette Roadshow mitgenommen: von Windows NT bis Entra ID.

Und genau deshalb ist mir ein Punkt wichtig: Ich bin kein Gegner von Active Directory. Ganz im Gegenteil.

Ich habe viele Jahre damit verbracht, mich in genau diesen Themen zu spezialisieren. Ich habe es geliebt, Probleme und Herausforderungen rund um Active Directory zu lösen. Replikationsprobleme. Standortarchitekturen. Netzwerkintegration. Applikationen, die irgendwie an ein Directory angebunden werden mussten. Satellitensysteme, die harmonisiert werden sollten. Authentifizierung war dabei oft nur der Anfang. Spannend wurde es meistens erst bei der Autorisierung: Wer darf was? Warum? In welchem Kontext? Über welche Gruppen? Über welche Attribute? Über welche gewachsene Struktur?

Active Directory war für mich nie nur ein System, in dem Benutzer liegen. Es war ein Werkzeugkasten. Manchmal ein sehr eleganter. Manchmal ein sehr störrischer. Aber fast immer einer, mit dem man unglaublich viel gestalten konnte, wenn man verstanden hatte, wie tief dieses System eigentlich in die Infrastruktur eines Unternehmens eingreift.

Mandantentrennung, bevor sie selbstverständlich klang

Eine meiner grössten Herausforderungen war eine mandantengetrennte Active-Directory-Umgebung. Heute spricht man schnell über Mandantenfähigkeit, Tenant Separation und saubere Abgrenzung. Damals war das in einem klassischen Active Directory alles andere als selbstverständlich. Eigentlich war es per Default gar nicht so vorgesehen, wie man es für echte Mandantentrennung gebraucht hätte.

Man musste technische Grenzen sehr genau verstehen und an vielen Stellen bewusst gegen die Standardannahmen des Produkts arbeiten. Zum Beispiel musste die Default ACL für authentifizierte Benutzer fast komplett entfernt werden, damit ein Kunde, der die Umgebung nutzt, andere Mandanten überhaupt nicht sehen konnte. Es durfte nicht einfach nur so aussehen, als wären die Mandanten getrennt. Sie mussten es auch tatsächlich sein.

Auch Exchange musste so gebaut werden, dass keine Informationen über andere Benutzer oder Mandanten sichtbar wurden. Es reichte nicht, nur die Adressbücher voneinander zu trennen. Selbst der Mailflow musste so funktionieren, dass man nicht erkennen konnte, dass mehrere Kunden letztlich auf derselben Exchange-Plattform betrieben wurden. Keine internen Out-of-Office-Nachrichten im falschen Kontext. Keine Hinweise darauf, wer sonst noch auf derselben Infrastruktur unterwegs ist.

Solche Konzepte waren unheimlich spannend. Aber sie waren auch anspruchsvoll. Sie brauchten Erfahrung, Geduld, saubere Architektur und ein sehr gutes Verständnis dafür, welche Default-Berechtigungen, welche Systemobjekte und welche impliziten Annahmen in Microsoft-Produkten vorhanden sind.

Die eierlegende Wollmilchsau der Unternehmens-IT

Genau solche Erfahrungen haben bei mir eine grosse Zuneigung zu Active Directory ausgelöst. Denn wenn man ehrlich ist: Active Directory ist ein sehr gutes Produkt. Es war seinerzeit fast schon die eierlegende Wollmilchsau der Unternehmens-IT. Ein System, das nicht nur Identitäten verwaltet hat, sondern gleich eine ganze Infrastruktur mitziehen konnte. Und es hat unglaublich skaliert: von kleinen Unternehmen über den Mittelstand bis hin zu Grosskonzernen.

Man konnte damit Benutzer verwalten. Computer verwalten. Server verwalten. Gruppenrichtlinien ausrollen. DNS betreiben. DHCP integrieren. File Services anbinden. Applikationen mit Attributen versorgen. Organisationsstrukturen abbilden. Berechtigungen modellieren. Sicherheitsgrenzen definieren. Zertifikatsdienste integrieren. RADIUS-Szenarien aufbauen.

Active Directory war nie einfach nur ein stumpfes Identity- und Access-Management-System. Es war viel mehr — und ist es halt noch immer in vielen Infrastrukturen.

Vielleicht hat Microsoft diesen Gedanken mit dem Small Business Server damals auf die Spitze getrieben. Ein Server, auf dem plötzlich alles lag: Active Directory, Exchange, Windows Update Services, File Services und weitere Komponenten, die ein kleines Unternehmen brauchte. Für Firmen mit 20 oder 30 Leuten war das ein extrem attraktives Versprechen: ein System, das im Grunde alles bietet, was man für den IT-Betrieb benötigt.

Dann kam die Cloud. Und AD blieb Ursprung.

Die Welt, für die Active Directory gebaut wurde, war eine andere. Sie war stärker begrenzt. Ein Unternehmensnetzwerk. Verwaltete Clients. Benutzer im Büro. Server im eigenen Rechenzentrum. Applikationen, die lokal betrieben wurden. Authentifizierung innerhalb klarer Netzwerkgrenzen. Viele dieser Annahmen stimmen heute nicht mehr oder nur noch teilweise.

Heute sprechen Unternehmen über Entra ID, Microsoft 365, SaaS-Services, Conditional Access, Multi-Faktor-Authentifizierung, moderne Geräteverwaltung, Zero Trust, externe Identitäten, Datenschutz, Datenhaltung und globale Zusammenarbeit. Die IT-Landschaft ist nicht mehr sauber innerhalb eines Firmennetzwerks eingeschlossen. Identität ist nicht mehr nur die Anmeldung am Windows-Client. Identität ist der zentrale Kontrollpunkt für nahezu jeden Zugriff.

Und genau hier entsteht die Spannung.

Viele Unternehmen modernisieren ihre IT-Landschaft auf M365-Ebene, integrieren SaaS-Services, bauen MFA-Konzepte auf, sprechen über Zero Trust und wollen ihre Benutzer möglichst sicher und flexibel arbeiten lassen. Gleichzeitig hat Active Directory in diesen Diskussionen oft einen erstaunlich geringen Stellenwert.

Dabei ist die Active Directory in vielen Unternehmen immer noch der Ursprung all dieser Identitäten. Es ist nicht einfach nur ein Beiwerk, sondern die Quelle.

Wenn Benutzer aus dem lokalen Active Directory nach Entra ID synchronisiert werden, dann ist AD nicht plötzlich irrelevant. Im Gegenteil: Es bleibt häufig die Quelle, aus der moderne Cloud-Identitäten entstehen. Fehler, Altlasten, historisch gewachsene Gruppen, fragwürdige Berechtigungsmodelle, alte Namenskonventionen, technische Accounts und unklare Verantwortlichkeiten werden dadurch nicht automatisch beseitigt. Sie werden oft nur in eine neue Welt verlängert.

Warum also RIP Active Directory?

Der Weg von einer klassischen On-Premise Active Directory zu Entra ID ist keine simple Produktmigration. Es ist auch keine reine Cloud-Transformation. Es ist eine Auseinandersetzung mit der eigenen IT-Geschichte.

Welche Strukturen sind noch sinnvoll? Welche Berechtigungen versteht heute überhaupt noch jemand? Welche Applikationen hängen an LDAP, NTLM oder alten Gruppenmodellen? Welche Server, Clients und Dienste verlassen sich auf Annahmen, die in einer modernen Identity-Welt nicht mehr tragfähig sind? Und wie viel Active Directory steckt eigentlich noch in einem Unternehmen, das sich selbst als cloud-ready bezeichnet?

RIP Active Directory ist deshalb für mich kein respektloser Titel. Es ist eher eine Provokation mit Absicht.

Rest in Peace bedeutet hier nicht: Active Directory war schlecht und muss weg. Es bedeutet eher: Vielleicht ist es Zeit, sich von bestimmten Annahmen zu verabschieden. Von der Idee, dass das lokale Netzwerk die natürliche Sicherheitsgrenze ist. Von der Vorstellung, dass Gruppenrichtlinien jedes moderne Problem lösen. Von dem Glauben, dass eine synchronisierte Identität automatisch eine modernisierte Identität ist.

Am Ende geht es nicht darum, Active Directory zu beerdigen, nur weil Cloud moderner klingt. Es geht darum, zu verstehen, welche Rolle es heute noch spielen soll. Und welche Rolle besser nicht mehr.