{"id":319818,"date":"2026-01-07T00:08:03","date_gmt":"2026-01-06T23:08:03","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=319818"},"modified":"2026-01-05T20:57:43","modified_gmt":"2026-01-05T19:57:43","slug":"digitale-souveraenitaet-linux-als-active-directory-domain-controller","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/01\/07\/digitale-souveraenitaet-linux-als-active-directory-domain-controller\/","title":{"rendered":"Digitale Souver\u00e4nit\u00e4t: Linux als Active Directory Domain Controller"},"content":{"rendered":"

Statt Windows Server kann man auch ein Linux-System mit SAMBA als Domain Controller f\u00fcr ein Active Directory verwenden. Ein Leser hat mich vor einiger Zeit auf dieses Thema hingewiesen, und schrieb, dass er das in seinem Umfeld einsetzt.<\/p>\n

<\/p>\n

Active Directory hei\u00dft Windows Server?<\/h2>\n

\"\"Active Directory<\/a> ist der Name des mit Windows 2000 eingef\u00fchrten Verzeichnisdiensts von Microsoft Windows Server. Active Directory ist in Windows-Umgebungen kaum noch weg zu denken, erm\u00f6glicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner r\u00e4umlichen Verteilung zu gliedern.<\/p>\n

Active Directory verwaltet verschiedene Objekte wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Ger\u00e4te wie Drucker und Scanner und deren Eigenschaften in einem Netzwerk. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und \u00fcberwachen.<\/p>\n

Den Benutzern des Netzwerkes k\u00f6nnen Zugriffsbeschr\u00e4nkungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden. So weit so bekannt – und im gr\u00f6\u00dften Teil der Active Directory (AD)-Systeme d\u00fcrften Windows Server als Domain Controller, die die Verwaltung \u00fcbernehmen, verwendet werden.<\/p>\n

Aber es nicht zwingend, dass Active Directory (AD) auf einem Windows Server als DC aufsetzen muss. Auch ein Server mit Linux kann \u00fcber das Paket Samba als Domain Controller f\u00fcr ein Active Directory fungieren.<\/p>\n

F\u00fcr Ubuntu gibt es diese archivierte Anleitung<\/a> f\u00fcr Samba als Domain Controller (wird aber nicht mehr f\u00fcr aktuelle Ubuntu-Versionen getestet). Eine aktuelle Anleitung findet sich in diesem Dokument<\/a>. Und es gibt ein Samba Wiki, wo der Beitrag\u00a0Setting up Samba as an Active Directory Domain Controller<\/a> das Setup beschreibt. Eine weitere Anleitung gibt es hier<\/a>.<\/p>\n

Es gibt eine sechs Jahre alte Diskussion auf reddit.com<\/a>, wo Leute behaupten, dies erfolgreich einzusetzen.<\/p>\n

Ein Leserhinweis auf diese L\u00f6sung<\/h2>\n

So ganz erinnere ich die Details nicht mehr, da es bereits einige Monate her ist. Ich hatte irgend etwas zu Windows Server im Kontext mit Domain Controller und Active Directory in einer Administratorengruppe auf Facebook gepostet.<\/p>\n

DC durch Linux Server mit Samba realisiert<\/h3>\n

Damals meldete sich ein Administrator, der angab, mit seinen Kollegen in seiner Umgebung – erinnerungsm\u00e4\u00dfig eine Schule oder Beh\u00f6rde – Windows Server als Domain Controller durch Linux-Server mit Samba ersetzt zu haben. Ich hatte den Leser seinerzeit kontaktiert, und gefragt, ob er mir einige Stichpunkte aufschreiben k\u00f6nne, da ich dann einen Artikel dr\u00fcber machen will.<\/p>\n

Inzwischen habe ich einige dieser Stichpunkte bekommen. Da der Leser ungenannt bleiben will, werde ich keine Details zum Einsatzort posten, sondern das Ganze allgemeiner als Denkansto\u00df formulieren.<\/p>\n

Die grobe Konstellation<\/h3>\n

Der Leser schrieb, dass das als Domain Controller fungierende Linux-System als virtualisiert auf einem Host l\u00e4uft, der mit Proxmox VE<\/a> in Kombination mit Proxmox Backup Server realisiert wurde. F\u00fcr die Netztrennung wird eine OPNsense Firewall<\/a> in einer weiteren VM verwendet.<\/p>\n

Der Linux Domain Controller l\u00e4uft als 4 Core mit 4 GB RAM. Das Rollout der Erstkonfiguration erfolgt zuerst manuell. Sp\u00e4ter wurde die Verwaltung der Konfiguration\u00a0 auf Ansible Playbooks umgestellt.<\/p>\n

Die Active Directory-Verwaltung sei mit Windows 11 VM mittels der AD-Tools, oder mit den Shell Samba Tools am DC selbst m\u00f6glich. Der DC besitzt keine GUI schrieb der Leser.
\nFile Server seien ebenfalls auf Linux-Basis an das Active Directory gekoppelt.<\/p>\n

Noch einige Details<\/h3>\n

Wenn ich es richtig interpretiere, l\u00e4uft die Konstellation \u00fcber einen\u00a0Hauptstandort auf 23 Schulstandorten. Jeder dieser Standorte bindet die Software per OPNsense mit VPN\u00a0 an den Hauptstandort an.<\/p>\n

Zum Patchmanagement werden Systeme mit Windows Server (WSUS) mit\u00a0FOG Project<\/a>\u00a0eingesetzt. Das FOG-Projekt ist eine Suite von Softwaretools zur Bereitstellung von Disk-Images von Microsoft Windows und Linux mithilfe der Preboot Execution Environment. Der Leser schreibt, dass man FOG Project zum Software-Rollout und System Cloning verwendet.<\/p>\n

Es gibt eine Windows 11 VM als Administrations-Maschine f\u00fcr das Active Directory (AD) und die Administration des Standorts. Weiterhin gibt es noch ein Windows 11-System am Standort, die als Print-Server fungiert. Jeder Standort habe einen Server mit je einem Domain Controller, einem Files-Server (Linux) einen WSUS Replika Server, einen FOG Replika Server, eine Admin VM, und einen Print-Server als VM.<\/p>\n

FOG Projekt und WSUS werden zentral vom Hauptstandort verwaltet. Auch die\u00a0Linux-Maschinen werden zentral vom Hauptstandort durch Ansible verwaltet. Aktuell ist man dran, die Firewalls ebenfalls zentral vom Hauptstandort durch Ansible und die OPNsense API zu verwalten. Ein Kollege des Lesers hat ein AD Import-Programm geschrieben, womit wir durch einen csv import Benutzer (Sch\u00fcler) in die Active Directory-Umgebung importieren und das ganze auch aktualisieren kann. Das passiert pro Standort; die CSV wird aus den Programmen fuxschool<\/em> und winschool<\/em> generiert.<\/p>\n

Wenn ich es richtig mitbekommen habe, sind in dieser Konstellation aktuell knapp 500 Clients, davon ca. 80% auf Windows 11, eingebunden – in der Endausbaustufe sollen es 1.000 bis 1.200 Clients werden.\u00a0 Die Updates werden per WSUS verwaltet und es gibt die oben erw\u00e4hnten 23 Replikations-Server.<\/p>\n

Der WSUS fungiert als Master und ist halbautomatisch mit PowerShell automatisiert . Windows Defender bzw. dessen Updates und das Windows Tool zum Entfernen b\u00f6sartiger Software kommt automatisch, ist so freigegeben. Den Rest an Updates rollte der Administrator manuell aus.<\/p>\n

Positive Erfahrungen des Lesers<\/h3>\n

Der Leser schrieb Mitte Dezember 2025, dass der gr\u00f6\u00dfte Vorteil der als Linux Server mit Samba als DC implementierten Active Directory-Umgebung einerseits darin liegt, dass keine Lizenzkosten anfallen (scheint in diesem Bereich ein Thema zu sein). Weiterhin gab der Leser an, dass er mehr Stabilit\u00e4t in dieser Umgebung erreicht habe, wobei die L\u00f6sung ressourcensparender als mit einer Windows Server-Implementierung sei.<\/p>\n

Unter dem Strich schreibt er, dass er eine \"fast gleichwertige Funktionalit\u00e4t wie Windows\u00a0 Server DCs erreicht habe\". Ich denke, das Szenario wird nicht f\u00fcr jeden Anwendungsfall zutreffen. Aber es ist vielleicht eine Anregung, bei Projekten \u00fcber den Sch\u00fcsselrand hinaus zu denken und solche Alternativen zu pr\u00fcfen.<\/p>\n

Weil es gerade irgendwie passt, die Tage bin ich auf absatzwirtschaft.de auf den Artikel\u00a0Deshalb sollten Unternehmen Microsoft abschalten<\/a> gesto\u00dfen. Das Thema ist also au\u00dferhalb unserer IT-Blase angekommen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Statt Windows Server kann man auch ein Linux-System mit SAMBA als Domain Controller f\u00fcr ein Active Directory verwenden. Ein Leser hat mich vor einiger Zeit auf dieses Thema hingewiesen, und schrieb, dass er das in seinem Umfeld einsetzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426,2557],"tags":[6712,15507,4305,4364],"class_list":["post-319818","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","category-windows-server","tag-active-directory","tag-domain","tag-linux","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319818","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=319818"}],"version-history":[{"count":8,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319818\/revisions"}],"predecessor-version":[{"id":319853,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319818\/revisions\/319853"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=319818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=319818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=319818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}