sviluppo-web-qa.it

Spiegazione di Active Directory

Se dovessi spiegare Active Directory a qualcuno come lo spiegheresti?

72
user6848

Sto sorvolando un po 'qui, ovviamente, ma è un decente sommario semi-tecnico che sarebbe adatto per comunicare con altri che non hanno familiarità con Active Directory stessa, ma generalmente hanno familiarità con i computer e i problemi associati all'autenticazione e autorizzazione.

Active Directory è fondamentalmente un sistema di gestione del database. Questo database può essere replicato tra un numero arbitrario di computer server (chiamati controller di dominio) in modo multi-master (il che significa che è possibile apportare modifiche a ciascuna copia indipendente e alla fine verranno replicate su tutte le altre copie).

Il database di Active Directory in un'azienda può essere suddiviso in unità di replica chiamate "Domini". Il sistema di replica tra computer server può essere configurato in modo molto flessibile per consentire la replica anche di fronte a guasti della connettività tra computer controller di dominio e replicare in modo efficiente tra posizioni che potrebbero essere connesse con larghezza di banda ridotta WAN connettività.

Windows utilizza Active Directory come repository per le informazioni di configurazione. Il principale tra questi usi è l'archiviazione delle credenziali di accesso dell'utente (nomi utente/hash password) in modo tale che i computer possano essere configurati per fare riferimento a questo database per fornire una funzionalità di accesso singolo centralizzata per un gran numero di macchine (chiamate "membri" della " Dominio").

Le autorizzazioni per accedere alle risorse ospitate da server membri di un dominio di Active Directory possono essere controllate mediante la denominazione esplicita degli account utente dal dominio di Active Directory in autorizzazioni denominate Liste di controllo di accesso (ACL) o creando raggruppamenti logici di account utente in gruppi di sicurezza . Le informazioni sui nomi e l'appartenenza di questi gruppi di sicurezza sono archiviate in Active Directory.

La possibilità di modificare i record archiviati nel database di Active Directory è controllata tramite autorizzazioni di sicurezza che, a loro volta, fanno riferimento al database di Active Directory. In questo modo, le aziende possono fornire la funzionalità "Delega del controllo" per consentire ad alcuni utenti autorizzati (o membri di gruppi di sicurezza) di svolgere funzioni amministrative sull'Active Directory di portata limitata e definita. Ciò consentirebbe, ad esempio, a un dipendente dell'helpdesk di modificare la password di un altro utente, ma di non inserire il proprio account in gruppi di sicurezza che potrebbero concedergli l'autorizzazione ad accedere a risorse sensibili.

Le versioni del sistema operativo Windows possono anche eseguire installazioni di software, apportare modifiche all'ambiente dell'utente (desktop, menu Start, comportamento dei programmi applicativi, ecc.) Usando i Criteri di gruppo. L'archiviazione back-end dei dati che guida questo sistema di Criteri di gruppo è archiviata in Active Directory e pertanto viene fornita funzionalità di replica e sicurezza.

Infine, altre applicazioni software, sia di Microsoft che di terze parti, memorizzano ulteriori informazioni di configurazione nel database di Active Directory. Microsoft Exchange Server, ad esempio, fa un uso intensivo di Active Directory. Le applicazioni utilizzano Active Directory per ottenere i vantaggi di replica, sicurezza e delega del controllo sopra descritti.

Meno male! Non male, non credo, per un flusso di coscienza!

Risposta super breve: AD è un database per archiviare le informazioni di accesso e di gruppo dell'utente e le informazioni di configurazione che guidano i criteri di gruppo e altri software applicativi.

98
Evan Anderson

"Vedi, immagina un albero gigante con un mucchio di secchi sugli arti. All'interno di questi secchi ci sono piccole chiavi che ti danno accesso a porte speciali che vivono in un'area, oltre l'albero. Se il tuo nome corrisponde a un nome inciso su uno di quelli chiavi in ​​uno di quei secchi, puoi aprire la porta che corrisponde a quella chiave e accedere alle informazioni speciali che sono memorizzate lì. "

E il mio lavoro, come amministratore di Active Directory, è quello di assicurarmi che tutti i bucket, le chiavi e i nomi incisi su ciascuno siano tutti aggiornati, funzionino bene, rimossi quando non sono più utili o necessari. Inoltre, costruisco NUOVE porte che proteggono NUOVE stanze, macino le nuove chiavi che consentono l'accesso e persino l'acqua e faccio crescere l'albero che le tiene tutte insieme. "

(Tecnicamente, mi è piaciuta la risposta di Evan, ma è così che la spiegherei.:)

14
Greg Meehan

Se fosse mia moglie, lo descriverei semplicemente come un elenco telefonico con un po 'più di informazioni.

11
PowerApp101

Non ho i diritti di commento (bassa reputazione), quindi supponiamo che questa risposta sia un commento alla risposta di Evan sul perché non SQL Server?

Quello che ricordo è che Microsoft voleva che il database AD fosse così robusto e autorigenerante che il normale tipo di attività DBA non dovrebbe essere richiesto né un DBA speciale. A quel tempo (all'inizio o alla metà degli anni '90) la tecnologia SQL DB non era abbastanza robusta per gli scopi previsti da AD.

C'è stata una discussione su questo argomento nella mailing list su activedir.org (LA MIGLIORE mailing list per Active Directory. PERIODO.)

4
KAPes

Vedilo come un incrocio di un server SQL con una condivisione di file di rete, prendi il meglio di queste due tecnologie, gettalo via e ciò che rimane è Active Directory (o per questo qualsiasi LDAP).

Ora immagina che tutto ciò che fai di solito per configurare un singolo PC, come la configurazione di utenti, gruppi, stampanti, condivisioni di rete, diritti di accesso e così via, possa essere archiviato in un luogo specifico e applicato a qualsiasi (moltitudine) di computer disposto per accedere a quel luogo specifico.

Ecco come Microsoft vuole che utilizziamo Active Directory.

0