Active Directory giải thích


72

Nếu bạn phải giải thích Active Directory cho ai đó, bạn sẽ giải thích nó như thế nào?


3
Khán giả cho cuộc họp ngắn này là ai Vợ tôi sẽ nhận được một lời giải thích khác với ông chủ của tôi. \\ uSlackr
uSlackr

Câu trả lời:


98

Tất nhiên, tôi đang tìm hiểu khá nhiều ở đây, nhưng đó là một bản tóm tắt bán kỹ thuật phù hợp để giao tiếp với những người không quen với Active Directory, nhưng nói chung là quen thuộc với máy tính và các vấn đề liên quan đến xác thực và ủy quyền.

Active Directory là một hệ thống quản lý cơ sở dữ liệu. Cơ sở dữ liệu này có thể được sao chép giữa một số lượng máy tính máy chủ tùy ý (được gọi là Bộ kiểm soát miền) theo cách đa chủ (có nghĩa là các thay đổi có thể được thực hiện cho mỗi bản sao độc lập và cuối cùng chúng sẽ được sao chép sang tất cả các bản sao khác).

Cơ sở dữ liệu Active Directory trong doanh nghiệp có thể được chia thành các đơn vị sao chép được gọi là "Miền". Hệ thống sao chép giữa các máy tính của máy chủ có thể được cấu hình một cách rất linh hoạt để cho phép sao chép ngay cả khi gặp sự cố kết nối giữa các máy tính điều khiển miền và sao chép hiệu quả giữa các vị trí có thể được kết nối với kết nối WAN băng thông thấp.

Windows sử dụng Active Directory làm kho lưu trữ thông tin cấu hình. Chủ yếu trong số những sử dụng này là lưu trữ thông tin đăng nhập người dùng (tên người dùng / băm mật khẩu) sao cho máy tính có thể được cấu hình để tham khảo cơ sở dữ liệu này để cung cấp khả năng đăng nhập một lần tập trung cho số lượng lớn máy (được gọi là "thành viên" của " Miền").

Quyền truy cập tài nguyên được lưu trữ bởi các máy chủ là thành viên của miền Active Directory có thể được kiểm soát thông qua việc đặt tên rõ ràng cho tài khoản người dùng từ miền Active Directory trong các quyền được gọi là Danh sách điều khiển truy cập (ACL) hoặc bằng cách tạo các nhóm tài khoản người dùng logic vào Nhóm bảo mật . Thông tin về tên và thành viên của các nhóm bảo mật này được lưu trữ trong Active Directory.

The ability to modify records stored in the Active Directory database is controlled through security permissions that, themselves, refer to the Active Directory database. In this way, enterprises can provide "Delegation of Control" functionality to allow certain authorized users (or members of security groups) to perform administrative functions on the Active Directory of a limited and defined scope. This would allow, for example, a helpdesk employee to change the password of another user, but not to place his own account into security groups that might grant him permission to access sensitive resources.

Các phiên bản của hệ điều hành Windows cũng có thể thực hiện cài đặt phần mềm, sửa đổi môi trường của người dùng (máy tính để bàn, menu Bắt đầu, hành vi của các chương trình ứng dụng, v.v.) bằng cách sử dụng Chính sách nhóm. Lưu trữ phía sau của dữ liệu điều khiển hệ thống Chính sách nhóm này được lưu trữ trong Active Directory và do đó được cung cấp chức năng sao chép và bảo mật.

Cuối cùng, các ứng dụng phần mềm khác, cả từ Microsoft và từ bên thứ ba, lưu trữ thông tin cấu hình bổ sung trong cơ sở dữ liệu Active Directory. Ví dụ, Microsoft Exchange Server sử dụng Active Directory. Các ứng dụng sử dụng Active Directory để đạt được các lợi ích của sao chép, bảo mật và phân quyền kiểm soát được mô tả ở trên.

Phù! Không quá tệ, tôi không nghĩ, cho một dòng ý thức!

Câu trả lời siêu ngắn: AD là cơ sở dữ liệu để lưu trữ thông tin đăng nhập và nhóm người dùng và thông tin cấu hình thúc đẩy chính sách nhóm và phần mềm ứng dụng khác.


2
Câu trả lời hay - nhưng làm thế nào để bạn trả lời câu hỏi: "nếu đó chỉ là cơ sở dữ liệu, thì tại sao không lưu trữ mọi thứ trong SQL Server?"
marc_s

9
Bởi vì cơ sở dữ liệu cụ thể này là cơ sở dữ liệu mà Microsoft đã chọn sử dụng cho tất cả các chức năng này - không phải SQL Server. Tại sao đồng hồ chạy "chiều kim đồng hồ"? mỉm cười Chắc chắn, Microsoft có thể đã lưu trữ tất cả các loại thông tin mà Active Directory quản lý trong cơ sở dữ liệu dựa trên SQL Server, nhưng họ đã chọn sử dụng công cụ Jet Blue thay thế. Thực tế là AD không sử dụng công cụ lưu trữ SQL Server sẽ không làm cho nó trở thành cơ sở dữ liệu.
Evan Anderson

LDAP là một cơ sở dữ liệu nhưng nó được điều chỉnh cao để đọc do tính chất của lưu lượng. SQL được điều chỉnh cho lưu lượng tổng quát hơn.
uSlackr

3
@uSlackr: LDAP không phải là cơ sở dữ liệu - đó là giao thức truyền thông.
Evan Anderson

2
@uSlackr: Đúng-- cài đặt thực tế được chỉ định trong GPO được giữ trong các tệp được sao chép qua NTFRS hoặc DFS-R. Giống như tôi đã nói trong câu đầu tiên của mình "Tôi đang che đậy khá nhiều ở đây ..." Trong câu trả lời này, tôi đang xử lý hỗn hợp dữ liệu được lưu trữ trong tệp DIT và trong SYSVOL là "Thư mục hoạt động".
Evan Anderson

14

"Hãy xem, tưởng tượng một cái cây khổng lồ với một bó xô trên các chi. Bên trong những cái xô này là những chiếc chìa khóa nhỏ cho phép bạn truy cập vào những cánh cửa đặc biệt sống trong một khu vực, qua cái cây. Nếu tên của bạn khớp với một cái tên được khắc trên một trong những cái đó chìa khóa trong một trong những cái xô đó, bạn có thể mở cánh cửa khớp với chìa khóa đó và truy cập thông tin đặc biệt được lưu trữ trong đó. "

Và công việc của tôi, với tư cách là quản trị viên thư mục hoạt động, là đảm bảo rằng tất cả các nhóm, khóa và tên được khắc trên mỗi cái đều được cập nhật, hoạt động tốt, được gỡ bỏ khi không còn hữu ích hoặc cần thiết. Ngoài ra, tôi xây dựng các cửa MỚI bảo vệ các phòng MỚI, xay các chìa khóa mới cho phép truy cập và thậm chí tưới nước và trồng cây giữ tất cả chúng lại với nhau. "

(Về mặt kỹ thuật, tôi thích câu trả lời của Evan hơn, nhưng đây là cách tôi giải thích nó. :)


11

Nếu đó là vợ tôi, tôi chỉ mô tả nó giống như một danh bạ điện thoại với một chút thông tin.


5
Cố gắng tưởng tượng được kết hôn với một Active Directory ...
Ben

4

Tôi không có quyền nhận xét (danh tiếng thấp), vì vậy hãy giả sử rằng câu trả lời này là nhận xét cho câu trả lời của Evan về lý do tại sao không phải là máy chủ SQL?

Những gì tôi nhớ lại là, Microsoft muốn cơ sở dữ liệu AD mạnh mẽ và tự phục hồi đến mức không cần phải có loại hoạt động DBA bình thường cũng như DBA đặc biệt. Vào thời điểm đó (đầu hoặc giữa những năm 90), công nghệ SQL DB không đủ mạnh cho mục đích dự định của AD.

Có một cuộc thảo luận về chủ đề này trong danh sách gửi thư trên activedir.org (Danh sách gửi thư TỐT NHẤT cho Active Directory. PERIOD.)


0

Hãy xem nó giống như một giống chéo của máy chủ SQL có chia sẻ tệp mạng, tận dụng tốt nhất hai công nghệ này, loại bỏ nó và những gì còn lại là Active Directory (hoặc cho vấn đề đó là bất kỳ LDAP nào).

Bây giờ hãy tưởng tượng rằng mọi thứ bạn thường làm để định cấu hình một PC, như thiết lập người dùng, nhóm, máy in, chia sẻ mạng, quyền truy cập và những thứ đó có thể được lưu trữ ở một nơi cụ thể và áp dụng cho bất kỳ (vô số) máy tính nào để truy cập vào nơi cụ thể.

Đây là cách Microsoft muốn chúng tôi sử dụng Active Directory.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.