Wyjaśnienie usługi Active Directory


72

Gdybyś musiał wyjaśnić komuś usługę Active Directory, jak byś to wyjaśnił?


3
Kto jest odbiorcą tego krótkiego odprawy. Moja żona otrzyma inne wytłumaczenie niż mój szef. \\ uSlackr
uSlackr

Odpowiedzi:


98

Oczywiście trochę tu omawiam, ale jest to przyzwoite półtechniczne streszczenie, które byłoby odpowiednie do komunikowania się z innymi, którzy nie znają samej usługi Active Directory, ale ogólnie znają komputery i problemy związane z uwierzytelnianiem i upoważnienie.

Active Directory to w istocie system zarządzania bazą danych. Tę bazę danych można replikować na dowolnej liczbie serwerów (zwanych kontrolerami domen) w sposób wielozadaniowy (co oznacza, że ​​można dokonać zmian w każdej niezależnej kopii, a ostatecznie zostaną one zreplikowane na wszystkich pozostałych kopiach).

Bazę danych Active Directory w przedsiębiorstwie można podzielić na jednostki replikacji zwane „Domenami”. System replikacji między komputerami serwera można skonfigurować w bardzo elastyczny sposób, aby umożliwić replikację nawet w przypadku awarii łączności między komputerami kontrolera domeny oraz w celu wydajnej replikacji między lokalizacjami, które mogą być połączone z łącznością WAN o niskiej przepustowości.

Windows używa Active Directory jako repozytorium informacji o konfiguracji. Najważniejszym z tych zastosowań jest przechowywanie poświadczeń logowania użytkownika (nazw użytkowników / skrótów haseł), dzięki czemu komputery można skonfigurować tak, aby odwoływały się do tej bazy danych w celu zapewnienia scentralizowanej funkcji pojedynczego logowania dla dużej liczby komputerów (zwanych „członkami” Domena").

Uprawnienia dostępu do zasobów hostowanych przez serwery będące członkami domeny Active Directory mogą być kontrolowane poprzez jawne nazewnictwo kont użytkowników z domeny Active Directory w uprawnieniach zwanych listami kontroli dostępu (ACL) lub poprzez tworzenie logicznych grup kont użytkowników w grupach zabezpieczeń . Informacje o nazwach i członkostwie tych grup zabezpieczeń są przechowywane w usłudze Active Directory.

Możliwość modyfikowania rekordów przechowywanych w bazie danych Active Directory jest kontrolowana przez uprawnienia bezpieczeństwa, które same odnoszą się do bazy danych Active Directory. W ten sposób przedsiębiorstwa mogą zapewnić funkcję „Delegowania kontroli”, aby umożliwić niektórym autoryzowanym użytkownikom (lub członkom grup zabezpieczeń) wykonywanie funkcji administracyjnych w usłudze Active Directory o ograniczonym i zdefiniowanym zakresie. Umożliwiłoby to na przykład pracownikowi działu pomocy technicznej zmianę hasła innego użytkownika, ale nie pozwalało na umieszczanie własnego konta w grupach zabezpieczeń, które mogłyby udzielić mu dostępu do poufnych zasobów.

Wersje systemu operacyjnego Windows mogą także przeprowadzać instalacje oprogramowania, modyfikować środowisko użytkownika (pulpit, menu Start, zachowanie aplikacji itp.) Przy użyciu Zasad grupy. Zapasowe przechowywanie danych, które napędzają ten system zasad grupy, jest przechowywane w usłudze Active Directory, a zatem ma funkcje replikacji i bezpieczeństwa.

Wreszcie inne aplikacje, zarówno firmy Microsoft, jak i innych firm, przechowują dodatkowe informacje o konfiguracji w bazie danych Active Directory. Na przykład Microsoft Exchange Server intensywnie korzysta z Active Directory. Aplikacje używają usługi Active Directory, aby uzyskać korzyści z replikacji, bezpieczeństwa i delegowania kontroli opisane powyżej.

Uff! Nieźle, nie sądzę, jak na strumień świadomości!

Bardzo krótka odpowiedź: AD to baza danych do przechowywania danych logowania użytkownika i grupy oraz informacji o konfiguracji, które sterują zasadami grupy i innym oprogramowaniem.


2
Dobra odpowiedź - ale jak odpowiedzieć na pytanie: „jeśli to tylko baza danych, to dlaczego nie po prostu przechowywać wszystko w SQL Server?”
marc_s

9
Ponieważ ta konkretna baza danych jest tą, którą Microsoft wybrał do wszystkich tych funkcji - nie SQL Server. Dlaczego zegary działają „zgodnie z ruchem wskazówek zegara”? uśmiech Z pewnością Microsoft mógł przechowywać wszelkiego rodzaju informacje, którymi zarządza Active Directory w bazie danych opartej na SQL Server, ale zamiast tego zdecydował się na użycie silnika Jet Blue. Fakt, że AD nie korzysta z silnika pamięci masowej SQL Server, nie czyni go mniej bazą danych.
Evan Anderson

LDAP jest bazą danych, ale jest wysoce dostrojona do odczytu ze względu na charakter ruchu. SQL jest dostosowany do bardziej ogólnego ruchu.
uSlackr

3
@uSlackr: LDAP nie jest bazą danych - to protokół komunikacyjny.
Evan Anderson

2
@ uSlackr: Tak - rzeczywiste ustawienia określone w obiektach GPO są przechowywane w plikach replikowanych przez NTFRS lub DFS-R. Tak jak powiedziałem w pierwszym zdaniu: „Dosyć tu trochę glosuję…” W tej odpowiedzi traktuję połączenie danych przechowywanych w pliku DIT i SYSVOL jako „Active Directory”.
Evan Anderson

14

„Zobacz, wyobraź sobie gigantyczne drzewo z wiązką wiader na kończynach. Wewnątrz tych wiader znajdują się małe klucze, które zapewniają dostęp do specjalnych drzwi, które mieszkają w okolicy, za drzewem. Jeśli twoje imię pasuje do imienia wyrytego na jednym z nich klucze w jednym z tych wiader, możesz otworzyć drzwi, które pasują do tego klucza i uzyskać dostęp do specjalnych informacji, które się tam znajdują ”.

A moim zadaniem, jako administratora usługi Active Directory, jest upewnienie się, że wszystkie te segmenty, klucze i nazwy wyryte na każdym z nich są aktualne, działają dobrze i zostały usunięte, gdy nie są już potrzebne ani potrzebne. Ponadto buduję NOWE drzwi, które chronią NOWE pokoje, frezuję nowe klucze, które umożliwiają dostęp, a nawet wodę, i wyhoduję drzewo, które trzyma wszystko razem ”.

(Technicznie bardziej podobała mi się odpowiedź Evana, ale tak to wyjaśnię. :)


11

Gdyby to była moja żona, opisałbym to jak książkę telefoniczną z nieco więcej informacji.


5
Próbuję sobie wyobrazić, że jest się żonaty z Active Directory ...
Ben

4

Nie mam uprawnień do komentowania (niska reputacja), więc załóżmy, że ta odpowiedź jest komentarzem do odpowiedzi Evana o tym, dlaczego nie serwer SQL?

Pamiętam, że Microsoft chciał, aby baza danych AD była tak solidna i samolecząca, że ​​normalna aktywność DBA nie powinna być wymagana ani specjalna DBA. W tym czasie (wczesne lub środkowe lata 90-te) technologia SQL DB nie była wystarczająco solidna, aby spełniać zamierzone cele AD.

Dyskusja na ten temat odbyła się na liście mailingowej na activedir.org (NAJLEPSZA lista mailingowa dla Active Directory. OKRES).


0

Zobacz go jak krzyżową odmianę serwera SQL z sieciowym udziałem plików, weź najlepszy z tych dwóch technologii, wyrzuć go, a pozostanie tylko Active Directory (lub, w tym przypadku, dowolny LDAP).

Teraz wyobraź sobie, że wszystko, co zwykle robisz, aby skonfigurować pojedynczy komputer, takie jak konfigurowanie użytkowników, grup, drukarek, udziałów sieciowych, praw dostępu i tym podobne, może być przechowywane w określonym miejscu i stosowane na dowolnym (wielu) komputerach aby uzyskać dostęp do tego konkretnego miejsca.

W ten sposób Microsoft chce, abyśmy korzystali z usługi Active Directory.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.