Active Directory объяснил


72

Если бы вам пришлось объяснять Active Directory кому-то, как бы вы это объяснили?


3
Кто является аудиторией для этого небольшого брифинга. Моя жена получит другое объяснение, чем мой начальник. \\ uSlackr
uSlackr

Ответы:


98

Я, конечно, немного здесь приукрашиваю, но это приличное полутехническое резюме, которое подойдет для общения с другими, кто не знаком с самим Active Directory, но обычно знаком с компьютерами и проблемами, связанными с аутентификацией и авторизации.

Active Directory по своей сути является системой управления базами данных. Эта база данных может быть реплицирована среди произвольного числа серверных компьютеров (называемых контроллерами домена) в режиме с несколькими хозяевами (это означает, что изменения могут быть внесены в каждую независимую копию, и в конечном итоге они будут реплицированы на все остальные копии).

База данных Active Directory на предприятии может быть разбита на единицы репликации, называемые «Домены». Система репликации между серверными компьютерами может быть настроена очень гибко, чтобы разрешить репликацию даже в случае сбоев подключения между компьютерами контроллера домена и эффективно реплицировать между расположениями, которые могут быть подключены с помощью подключения к глобальной сети с низкой пропускной способностью.

Windows использует Active Directory в качестве хранилища для информации о конфигурации. Главным среди этих применений является хранение учетных данных для входа в систему пользователя (имена пользователей / хэши паролей), так что компьютеры могут быть настроены для обращения к этой базе данных, чтобы обеспечить возможность централизованного единого входа для большого количества машин (называемых «членами» Домен").

Разрешения на доступ к ресурсам, размещенным на серверах, являющихся членами домена Active Directory, можно контролировать с помощью явного именования учетных записей пользователей из домена Active Directory в разрешениях, называемых списками контроля доступа (ACL), или путем создания логических групп учетных записей пользователей в группы безопасности. , Информация об именах и членстве в этих группах безопасности хранится в Active Directory.

Возможность изменять записи, хранящиеся в базе данных Active Directory, контролируется с помощью разрешений безопасности, которые сами относятся к базе данных Active Directory. Таким образом, предприятия могут предоставлять функции «делегирования управления», чтобы позволить определенным авторизованным пользователям (или членам групп безопасности) выполнять административные функции в Active Directory в ограниченной и определенной области. Это позволит, например, сотруднику службы поддержки изменить пароль другого пользователя, но не помещать свою учетную запись в группы безопасности, которые могут предоставить ему разрешение на доступ к конфиденциальным ресурсам.

Версии операционной системы Windows также могут выполнять установку программного обеспечения, вносить изменения в среду пользователя (рабочий стол, меню «Пуск», поведение прикладных программ и т. Д.) С помощью групповой политики. Внутреннее хранилище данных, которые управляют этой системой групповой политики, хранится в Active Directory и, таким образом, предоставляется функция репликации и безопасности.

Наконец, другие программные приложения, как от Microsoft, так и от сторонних производителей, хранят дополнительную информацию о конфигурации в базе данных Active Directory. Microsoft Exchange Server, например, интенсивно использует Active Directory. Приложения используют Active Directory, чтобы получить преимущества репликации, безопасности и делегирования управления, описанные выше.

Уф! Не слишком плохо, я не думаю, для потока сознания!

Супер короткий ответ: AD - это база данных, в которой хранятся данные о входе пользователя в систему и о группах, а также информация о конфигурации, которая управляет групповой политикой и другим программным обеспечением.


2
Хороший ответ - но как вам ответить на вопрос: «если это просто база данных, то почему бы просто не хранить все в SQL Server?»
marc_s

9
Потому что именно эту базу данных Microsoft выбрала для всех этих функций, а не SQL Server. Почему часы работают «по часовой стрелке»? :) Конечно, Microsoft могла хранить все виды информации, которыми управляет Active Directory, в базе данных на основе SQL Server, но вместо этого они решили использовать ядро ​​Jet Blue. Тот факт, что AD не использует механизм хранения SQL Server, не превращает его в базу данных.
Эван Андерсон

LDAP - это база данных, но она хорошо настроена на чтение из-за характера трафика. SQL настроен для более общего трафика.
uSlackr

3
@uSlackr: LDAP - это не база данных, а протокол связи.
Эван Андерсон

2
@uSlackr: Да - фактические настройки, указанные в объектах групповой политики, хранятся в файлах, реплицируемых либо через NTFRS, либо через DFS-R. Как я уже сказал в своем первом предложении: «Я здесь немного приукрашиваю ...» В этом ответе я рассматриваю объединение данных, хранящихся в файле DIT и в SYSVOL, как «Active Directory».
Эван Андерсон

14

«Смотрите, представьте себе гигантское дерево с кучей ведер на ветвях. Внутри этих ведер есть маленькие ключи, которые дают вам доступ к специальным дверям, которые живут в области, за деревом. Если ваше имя совпадает с именем, выгравированным на одном из них ключи в одном из этих ведер, вы можете открыть дверь, соответствующую этому ключу, и получить доступ к специальной информации, которая там хранится. "

И моя работа, как администратора активного каталога, заключается в том, чтобы все эти сегменты, ключи и имена, выгравированные на каждом, были современными, работали хорошо, удалялись, когда они больше не нужны или не нужны. Кроме того, я строю НОВЫЕ двери, которые защищают НОВЫЕ комнаты, фрезерую новые ключи, которые обеспечивают доступ и даже воду, и выращиваю дерево, которое скрепляет все это ».

(Технически мне больше понравился ответ Эвана, но я так и объясню. :)


11

Если бы это была моя жена, я бы просто описал это как телефонный справочник с чуть большей информацией.


5
Попытка представить, что вы женаты на Active Directory ...
Бен

4

У меня нет прав на комментирование (низкая репутация), поэтому предположим, что этот ответ является комментарием к ответу Эвана о том, почему не SQL-сервер?

Насколько я помню, Microsoft хотела, чтобы база данных AD была настолько надежной и самовосстанавливающейся, чтобы не требовалась нормальная деятельность DBA или специального DBA. В то время (в начале или в середине 90-х годов) технология SQL DB не была достаточно надежной для предполагаемой цели AD.

Эта тема обсуждалась в списке рассылки activedir.org (ЛУЧШИЙ список рассылки для Active Directory. ПЕРИОД.)


0

Посмотрите на это как на гибрид SQL-сервера с общим сетевым файлом, возьмите лучшее из этих двух технологий, отбросьте его, и останется Active Directory (или, в этом отношении, любой LDAP).

Теперь представьте, что все, что вы обычно делаете для настройки одного ПК, например, настройку пользователей, групп, принтеров, общих сетевых ресурсов, прав доступа и т. Д., Может храниться в определенном месте и применяться к любому (множеству) желающих компьютеров. чтобы получить доступ к этому конкретному месту.

Вот как Microsoft хочет, чтобы мы использовали Active Directory.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.