Wat is Active Directory uitleg voor bedrijven - identiteitsbeheer met LDAP, Kerberos, Group Policy, domain controllers en hybride opzet met Microsoft Entra ID
    Cyber Security

    Wat is Active Directory? Uitleg en Gebruik voor Bedrijven in 2026

    TRON Group• Identity & Active Directory Experts
    10 minuten lezen

    Active Directory is al ruim vijfentwintig jaar de stille motor achter het identiteits- en toegangsbeheer in vrijwel elk bedrijfsnetwerk. We leggen uit wat Active Directory precies is, hoe het zich verhoudt tot het moderne Microsoft Entra ID, hoe LDAP, Kerberos en Group Policy samenwerken, waar je het in 2026 nog voor nodig hebt en welke beveiligingsrisico's je in een MKB-omgeving als eerste moet aanpakken.

    Wie ooit op een kantoor heeft gewerkt waar je elke ochtend op je Windows-computer inlogt met je werkaccount, heeft Active Directory gebruikt zonder het door te hebben. Active Directory is al ruim vijfentwintig jaar de stille motor achter het identiteits- en toegangsbeheer in vrijwel elk bedrijfsnetwerk. In dit artikel leggen we uit wat Active Directory precies is, hoe het zich verhoudt tot het moderne Microsoft Entra ID, waar je het in 2026 nog voor nodig hebt en welke risico's eraan kleven.

    Wat is Active Directory?

    Active Directory is de directory service van Microsoft voor Windows-domeinen. Een directory service is in feite een centrale telefoongids van je netwerk: hij houdt bij welke gebruikers, computers, printers, groepen en mappen er zijn, wie waar toegang toe heeft, en wie wie is op het netwerk. Microsoft introduceerde Active Directory in 1999 en bracht het uit met Windows 2000 Server op 17 februari 2000. Het kwam in de plaats van het oudere Primary Domain Controller-model van Windows NT.

    De technische ruggengraat bestaat uit drie protocollen die je in de praktijk vaak terugziet:

    • LDAP (Lightweight Directory Access Protocol, versies 2 en 3) voor het opvragen en aanpassen van objecten in de directory.
    • Kerberos voor authenticatie, met tickets die voorkomen dat wachtwoorden steeds over het netwerk gaan.
    • DNS voor de naamgeving en het vinden van domein-controllers.

    De server die de directory draait, heet een domain controller. In een goed ingericht netwerk staan er altijd minimaal twee, zodat het inloggen niet stilvalt als er een uitvalt.

    Waar zit Active Directory voor

    Active Directory doet drie dingen die elke organisatie nodig heeft, maar die zonder centraal systeem onbeheersbaar worden:

    1. Authenticatie. Wie ben je? Je werknemer logt een keer in en de domain controller checkt het wachtwoord, koppelt het aan een account en geeft een Kerberos-ticket. Vanaf dat moment hoeft hij niet steeds opnieuw zijn inloggegevens in te tikken voor servers, mappen of printers binnen het domein.
    2. Autorisatie. Wat mag je? Active Directory beheert wie tot welke map, welke server, welke applicatie en welke printer toegang heeft. Dat doe je niet per gebruiker, maar via groepen.
    3. Beleid. Hoe moet je werkplek eruitzien? Met Group Policy kun je centraal regels uitrollen: het bureaublad, de mapping van netwerkschijven, beveiligingsinstellingen, software-installatie en honderden andere instellingen.

    In een MKB-bedrijf van twintig medewerkers met een eigen fileserver is dat verschil enorm: zonder Active Directory zou een beheerder voor elk account, elke server en elke werkplek handmatig rechten en instellingen moeten zetten.

    De bouwstenen: domein, OU, gebruikers en groepen

    Active Directory denkt in een logische structuur. De grootste eenheid is een forest, daaronder zitten domains en daaronder een hierarchische boom van organizational units (OU's). Een OU is in de praktijk een map: een afdeling, een locatie of een functie.

    Binnen die structuur leven de objecten waar het echt om draait:

    • Gebruikersaccounts met naam, wachtwoord, e-mail en attributen.
    • Computeraccounts voor elke werkplek of server die lid is van het domein.
    • Groepen waarmee je rechten bundelt. Een typische opzet werkt met een rolgroep (alle administratiemedewerkers) die je vervolgens in een resourcegroep zet (toegang tot de map Financien).
    • Service accounts voor applicaties die met andere systemen praten.

    Een goede vuistregel: rechten ken je nooit toe aan personen, altijd aan groepen. Een half jaar later weet je anders niet meer wie wat mocht.

    Welke poorten en welke infrastructuur

    Active Directory leunt op een aantal vaste netwerkpoorten. Die zijn belangrijk om te kennen, niet alleen voor beheerders maar ook voor wie nadenkt over firewalls en netwerksegmentatie:

    • 88 voor Kerberos-authenticatie.
    • 389 voor LDAP, en 636 voor LDAPS (over TLS).
    • 445 voor SMB-verkeer (bestanden en sysvol).
    • 135 voor de RPC Endpoint Mapper, met dynamische RPC-poorten 49152 tot 65535.

    In de meeste MKB-omgevingen staat het AD-verkeer in een interne netwerksegment dat niet rechtstreeks bereikbaar is vanaf het internet. Dat is geen luxe, maar een minimumeis. Wie zijn LDAP-poort onbedoeld vanaf buiten openzet, vraagt om problemen.

    Het verschil tussen Active Directory en Microsoft Entra ID

    Hier loopt iedereen vroeger of later tegenaan: er bestaat ook iets dat Microsoft Entra ID heet (tot 2023 bekend als Azure Active Directory). De namen lijken op elkaar, maar het zijn twee verschillende dingen.

    • Active Directory Domain Services (AD DS) is on-premises. Het draait op een Windows Server in jouw netwerk, gebruikt LDAP en Kerberos, en is geoptimaliseerd voor Windows-werkplekken die in hetzelfde netwerk zitten.
    • Microsoft Entra ID is de cloud-versie van identiteitsbeheer. Het draait in Microsofts datacenters, regelt toegang tot Microsoft 365, SaaS-apps en webapplicaties, en gebruikt moderne protocollen zoals OAuth 2.0, OpenID Connect en SAML.

    Belangrijk: Entra ID heeft geen organizational units, geen Group Policy en geen Kerberos in de klassieke zin. Het is niet een nieuwere versie van AD, maar een ander platform met een ander doel.

    In de praktijk zien we drie scenario's bij MKB-bedrijven:

    1. Alleen on-premises AD. Bedrijven met veel Windows-servers, een eigen fileserver en weinig cloudgebruik.
    2. Hybride. AD blijft in het netwerk voor de werkplekken en interne servers, maar via Microsoft Entra Connect worden gebruikers gesynchroniseerd naar Entra ID. Zo kun je met je werkaccount inloggen op zowel je netwerkschijf als Microsoft 365. Dit is verreweg de meest voorkomende opzet.
    3. Cloud-only. Geen on-premises AD meer, alles via Entra ID en Microsoft Intune. Voor de meeste MKB-bedrijven is dit het toekomstbeeld, maar de overstap loont alleen als je oude applicaties dat aankunnen.

    Onze gids over de moderne werkplek inrichten gaat dieper in op die keuze, en de gids over server of cloud helpt bij de afweging tussen blijven of doormigreren.

    Wanneer heb je Active Directory nog nodig in 2026

    Een terechte vraag, gezien hoe veel werk inmiddels in de cloud gebeurt. Het korte antwoord: je hebt klassiek AD vooral nog nodig als je:

    • Een eigen fileserver of applicatieserver hebt waar gebruikers rechten op nodig hebben.
    • Werkt met oudere line-of-business-software die alleen Windows-authenticatie ondersteunt (denk aan boekhoud-, ERP- of branche-specifieke pakketten).
    • Group Policy gebruikt om werkplekken en servers strak te configureren.
    • Printers, netwerkschijven of legacy-systemen via het domein wilt beheren.

    Heb je puur Microsoft 365 en SaaS-applicaties, en lopen je werkplekken via Intune? Dan is de zakelijke logica voor on-premises AD kleiner geworden. Maar de overstap naar volledig cloud is geen vrijdagmiddag-klus: hij raakt printers, scanners, oude apps, scripts en gewoontes.

    Volgens cijfers van het CBS gebruikte in 2024 71 procent van de Nederlandse bedrijven met meer dan tien werknemers clouddiensten, en 49 procent van de bedrijven met twee tot tien werknemers. Cloud is dus standaard, maar veel van die bedrijven hebben tegelijkertijd nog een werkende AD-omgeving in huis.

    Beveiliging: waarom Active Directory een aantrekkelijk doelwit is

    Active Directory is een geliefd doelwit van aanvallers, en niet zonder reden. Bij naar schatting 95 procent van de Fortune 500- en Fortune 1000-bedrijven is het de bron van waarheid voor identiteiten. Wie de AD compromitteert, heeft in de regel het hele bedrijf in handen. Volgens de Verizon Data Breach Investigations Report 2025 betrof 74 procent van de inbreuken gecompromitteerde identiteiten.

    Microsoft publiceerde eind 2025 een uitvoerige guidance met zes kritieke bedreigingen voor Active Directory Domain Services:

    • Ongepatchede kwetsbaarheden. Bekende beveiligingsfouten in domain controllers of clients die niet tijdig zijn verholpen.
    • Authentication relay-aanvallen. Misbruik van NTLM en Kerberos om als een andere gebruiker op te treden.
    • Kerberoasting. Aanvallen op service-accounts met zwakke wachtwoorden, vaak via offline brute-force.
    • Te ruime privileges. Accounts met meer rechten dan strikt nodig, vaak een legacy-erfenis.
    • Unconstrained delegation. Een oude Kerberos-feature die nog te vaak aanstaat en hele AD's blootlegt.
    • Golden Ticket-aanvallen. Vervalsing van Kerberos-tickets met de gestolen KRBTGT-hash, waarmee een aanvaller zich onbeperkt voor elke gebruiker kan uitgeven.

    De praktische maatregelen die wij in elke MKB-omgeving inrichten zien er als volgt uit: NTLM uitfaseren waar het kan, SMB-signing afdwingen, Group Managed Service Accounts (gMSA) gebruiken in plaats van handmatige service-accounts, het KRBTGT-wachtwoord elke 180 dagen verversen, en de pad-naar-domain-admin scherp houden via tiered administration. Onze cybersecurity-checklist voor het MKB en de gids over zero trust-beveiliging gaan verder op die maatregelen in.

    Veel voorkomende fouten in MKB-AD-omgevingen

    In MKB-bedrijven zien we steeds dezelfde fouten terugkomen, vaak ontstaan in de jaren dat het bedrijf nog klein was:

    1. Een handvol mensen is Domain Admin geworden en niemand is hen er ooit uit gehaald. Dat is een grote risicofactor.
    2. Wachtwoorden van service-accounts staan jaren onveranderd. Dat maakt Kerberoasting kinderspel.
    3. OU-structuur die niets meer met de organisatie te maken heeft. Group Policy raakt verstopt en niemand durft op te ruimen.
    4. Geen tweede domain controller. Eentje stuk, hele kantoor stil.
    5. Patches die "wel een keer" gedaan worden. Tot er een keer toch een lek wordt misbruikt.

    Een jaarlijkse AD-gezondheidscheck door een externe partij vangt deze fouten op voordat ze een incident worden. Zie ook onze gids over patchmanagement voor de update-discipline en de MFA-implementatiegids voor wat je rond AD nog extra moet inrichten.

    Veelgestelde vragen over Active Directory

    Wat is Active Directory in eenvoudige woorden?

    Active Directory is de centrale gids waarin Windows-netwerken bijhouden wie de gebruikers zijn, op welke computers ze mogen inloggen, tot welke groepen ze horen en wat ze mogen openen. Door een keer in te loggen op je werkplek krijg je via Active Directory automatisch toegang tot de netwerkschijven, printers en interne applicaties waar je rechten op hebt.

    Is Active Directory hetzelfde als Microsoft Entra ID?

    Nee. Active Directory Domain Services draait on-premises in jouw netwerk en gebruikt Kerberos en LDAP. Microsoft Entra ID (voorheen Azure Active Directory) draait in de cloud en gebruikt moderne protocollen zoals OAuth en SAML voor Microsoft 365 en SaaS-applicaties. Veel MKB-bedrijven hebben beide en synchroniseren ze via Microsoft Entra Connect.

    Wie heeft Active Directory nodig?

    Vrijwel elke organisatie met een eigen Windows-server, een fileserver, oudere line-of-business-software of een wens om werkplekken centraal te configureren met Group Policy. Werk je puur in Microsoft 365 zonder eigen servers en zonder oude software, dan kan een cloud-only opzet met Entra ID en Intune voldoende zijn.

    Hoeveel domain controllers moet je hebben?

    Minimaal twee, ook in het kleinste MKB-bedrijf. Met een tweede domain controller blijft het inloggen werken als er een uitvalt door een storing, update of stroomonderbreking. Een omgeving met maar een controller is een storing wachtend op een datum.

    Is Active Directory veilig?

    Active Directory is technisch veilig, maar wel het meest aangevallen onderdeel van het Windows-ecosysteem. Aanvallen als Kerberoasting, Golden Ticket en NTLM-relay zijn alleen mogelijk als de inrichting slordig is. Met tiered administration, gMSA's, MFA, een 180-daagse KRBTGT-reset en strikt patchen blijft het risico beheersbaar.

    Kan ik Active Directory weg doen en alles in de cloud doen?

    Soms wel, vaak niet meteen. Heb je een eigen fileserver, lokale apps of printers die via het domein lopen, dan moet je die eerst vervangen. Een cloud-only werkplek met Microsoft Entra ID en Intune werkt prima voor moderne kantoorbedrijven, maar de overstap is een project met testen, training en uitfasering. Wij begeleiden zulke trajecten in fases zodat het werk doorgaat.

    Conclusie

    Active Directory is geen oud relikwie, maar de basis van waaruit veel Nederlandse MKB-bedrijven nog steeds werken. Wie hem goed inricht, krijgt centraal beheer, snelle onboarding, voorspelbare rechten en een controleerbare omgeving. Wie hem laat verslonzen, krijgt te ruime rechten, vergeten service-accounts en een aantrekkelijk doel voor Kerberoasting en Golden Ticket-aanvallen. De toekomst ligt in toenemende mate in Microsoft Entra ID en cloud-only werkplekken, maar voor de meeste MKB-bedrijven is de hybride opzet de komende jaren nog de norm.

    Wil je weten hoe gezond jouw Active Directory is, of overweeg je de stap richting een hybride of cloud-only identiteitsplatform? TRON Group voert AD-gezondheidschecks uit, ruimt verouderde rechten en service-accounts op, richt Microsoft Entra Connect netjes in en begeleidt migraties naar de moderne werkplek zonder de winkel tijdens de verbouwing dicht te hoeven gooien. Bel ons via 085-3035869 of kijk op onze pagina Cyber Security voor wat we voor jouw identiteits- en toegangsbeheer kunnen doen.

    Active DirectoryMicrosoft Entra IDIdentity ManagementKerberosLDAPGroup PolicyMKBCybersecurity

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Meer Artikelen

    Verschil tussen SaaS, PaaS en IaaS uitgelegd voor het MKB - shared responsibility, kosten, voorbeelden uit Microsoft 365 en Azure en de EU Data Act
    Cloud
    10 min lezen

    SaaS, PaaS en IaaS: Het Verschil Uitgelegd voor het MKB

    SaaS, PaaS en IaaS worden vaak door elkaar gebruikt, maar de keuze bepaalt wat jij nog zelf beheert en waar je van afhankelijk wordt. We leggen uit wat elk cloudservicemodel inhoudt, hoe het shared responsibility model werkt, wat elk model kost, welke voorbeelden je herkent uit Microsoft 365 en Azure, en hoe de EU Data Act sinds september 2025 vendor lock-in juridisch beperkt.

    SaaSPaaSIaaS
    Lees meer
    VoIP oplossingen voor bedrijven kiezen - hosted VoIP, Teams Phone via Operator Connect en specialistische contactcenteroplossingen voor het MKB vergeleken
    VoIP & Communicatie
    10 min lezen

    VoIP Oplossingen voor je Bedrijf Kiezen: Complete Gids

    De keuze voor een VoIP-oplossing lijkt overzichtelijk, tot je in een markt terechtkomt met tientallen aanbieders, drie manieren om Teams te koppelen en prijzen die 5 keer uit elkaar liggen. We zetten hosted VoIP, Microsoft Teams Phone en specialistische contactcenteroplossingen op een rij, met tarieven, netwerkeisen en de valkuilen die je in het MKB het vaakst tegenkomt.

    VoIPZakelijke TelefonieTeams Phone
    Lees meer
    Microsoft Teams effectief gebruiken in het MKB - kanalen versus chats, governance, naming convention, Copilot en beveiligingsinstellingen voor Nederlandse bedrijven
    Microsoft 365
    10 min lezen

    Microsoft Teams Effectief Gebruiken in het MKB: Praktische Gids

    We hebben Teams, maar iedereen doet er iets anders mee. Herkenbaar? In veel MKB-bedrijven is Teams tijdens de pandemie explosief gegroeid met alles wat er kon. We leggen uit hoe je van rommelige teams en chats een omgeving maakt waarin het werk sneller loopt: kanalen versus chats, governance, de vijf inrichtingsfouten, Copilot in 2026 en de beveiligingsknoppen die je vandaag omzet.

    Microsoft TeamsMicrosoft 365Governance
    Lees meer