Вопрос: Active Directory объяснил


Если вам нужно объяснить кому-то Active Directory, как бы вы это объяснили?


69
2018-06-03 00:10


Источник


Кто является аудиторией этого небольшого брифинга. Моя жена получила бы другое объяснение, чем мой босс. \\ uSlackr - uSlackr


Ответы:


Конечно, я немного замалчиваю здесь, но это достойное полутехническое резюме, которое было бы подходящим для общения с другими людьми, которые не знакомы с самим Active Directory, но в целом знакомы с компьютерами и проблемами, связанными с аутентификацией и авторизации.

Active Directory - это, по сути, система управления базами данных. Эта база данных может быть реплицирована среди произвольного количества серверных компьютеров (называемых контроллерами домена) с использованием нескольких мастеров (что означает, что изменения могут быть внесены в каждую независимую копию, и в конечном итоге они будут реплицированы на все остальные копии).

База данных Active Directory на предприятии может быть разбита на единицы репликации под названием «Домены». Система репликации между серверными компьютерами может быть настроена очень гибко, чтобы разрешить репликацию даже в случае сбоев в подключении между компьютерами контроллера домена и эффективно реплицировать между местоположениями, которые могут быть связаны с подключением WAN с низкой пропускной способностью.

Windows использует Active Directory как репозиторий для информации о конфигурации. Главным из этих применений является хранение учетных данных для входа в систему (имена пользователей / паролей), так что компьютеры могут быть настроены для обращения к этой базе данных, чтобы обеспечить централизованную возможность единого входа для большого количества машин (называемых «членами» « Домен").

Разрешения на доступ к ресурсам, размещенным серверами, являющимися членами домена Active Directory, можно контролировать с помощью явного присвоения имен пользователей из домена Active Directory в разрешениях, называемых списками контроля доступа (ACL), или путем создания логических группировок учетных записей пользователей в группах безопасности , Информация об именах и членстве в этих группах безопасности хранится в Active Directory.

Возможность изменять записи, хранящиеся в базе данных Active Directory, контролируется разрешениями безопасности, которые сами относятся к базе данных Active Directory. Таким образом, предприятия могут предоставить функциональность «Делегирование контроля», чтобы позволить определенным авторизованным пользователям (или членам групп безопасности) выполнять административные функции в Active Directory ограниченной и определенной области. Это позволило бы, например, сотруднику службы поддержки изменить пароль другого пользователя, но не размещать свою учетную запись в группах безопасности, которые могли бы предоставить ему разрешение на доступ к уязвимым ресурсам.

Версии операционной системы Windows также могут выполнять установку программного обеспечения, вносить изменения в среду пользователя (рабочий стол, меню «Пуск», поведение прикладных программ и т. Д.) С помощью групповой политики. Внутреннее хранилище данных, которые управляют этой системой групповой политики, хранится в Active Directory и, таким образом, предоставляется функция репликации и безопасности.

Наконец, другие программные приложения, как от Microsoft, так и от сторонних производителей, хранят дополнительную информацию о конфигурации в базе данных Active Directory. Например, Microsoft Exchange Server активно использует Active Directory. Приложения используют Active Directory для получения преимуществ репликации, безопасности и делегирования управления, описанных выше.

Уф! Не так уж плохо, я не думаю, для потока сознания!

Супер короткий ответ: AD - это база данных для хранения информации о пользователе и группе, а также информация о конфигурации, которая управляет групповой политикой и другим прикладным программным обеспечением.


97
2018-06-03 00:24



Хороший ответ - но как вам ответить на вопрос: «Если это просто база данных, то почему бы просто не хранить все в SQL Server?» - marc_s
Поскольку эта конкретная база данных является той, которую Microsoft решила использовать для всех этих функций, а не SQL Server. Почему часы работают «по часовой стрелке»? улыбка  Разумеется, Microsoft могла хранить все виды информации, управляемой Active Directory в базе данных на базе SQL Server, но вместо этого они решили использовать Jet Jet. Тот факт, что AD не использует механизм хранения SQL Server, не делает его менее доступным для базы данных. - Evan Anderson
LDAP - это база данных, но она очень настроена для чтения из-за характера трафика. SQL настроен для более общего трафика. - uSlackr
@uSlackr: LDAP не является базой данных - это протокол связи. - Evan Anderson
@uSlackr: Да - фактические настройки, заданные в объектах групповой политики, хранятся в файлах, реплицированных либо через NTFRS, либо в DFS-R. Как я уже сказал в своем первом предложении «Я немного замалчиваю здесь ...» В этом ответе я рассматриваю амальгаму данных, хранящихся в файле DIT, и в SYSVOL как «Active Directory». - Evan Anderson


«Смотрите, представьте себе гигантское дерево с кучей ведер на конечности. Внутри этих ведер есть маленькие ключи, которые предоставляют вам доступ к специальным дверям, которые живут в области, мимо дерева. Если ваше имя соответствует имени, выгравированному на одном из этих ключи в одном из этих ведер, вы можете открыть дверь, которая соответствует этому ключу, и получить доступ к специальной информации, которая хранится там ».

И моя работа, как активного администратора каталогов, заключается в том, чтобы убедиться, что все эти ведра, ключи и имена, выгравированные на каждом из них, все обновлены, хорошо работают, удаляются, когда они больше не нужны или не нужны. Кроме того, я строю НОВЫЕ двери, которые защищают НОВЫЕ комнаты, мельчают новые ключи, которые позволяют получить доступ и даже воду и вырастить дерево, в котором все это вместе ».

(Технически, мне понравился ответ Эвана лучше, но я так объясню. :)


13
2018-06-03 03:24





Если бы это была моя жена, я бы просто описал ее как телефонный справочник с немного дополнительной информацией.


10
2018-06-03 04:30



Пытаясь представить, что выходите замуж за Active Directory ... - Ben


У меня нет комментариев (низкая репутация), поэтому просто предположите, что этот ответ является комментарием к ответу Эвана о том, почему не SQL-сервер?

Я помню, Microsoft хотела, чтобы база данных AD была настолько надежной и самовосстанавливающейся, что нормальный вид деятельности DBA не должен требоваться, а не специальный администратор баз данных. В то время (в начале или середине 90-х) технология SQL DB не была достаточно надежной для целей AD.

Была дискуссия по этой теме в списке рассылки на сайте activedir.org (лучший список рассылки для Active Directory. ПЕРИОД.)


4
2018-06-28 13:13





Посмотрите, как кросс-порода SQL-сервера с общим сетевым файловым ресурсом, возьмите лучший бит этих двух технологий, выбросьте его, а остальное - это Active Directory (или, вообще, любой LDAP).

Теперь представьте, что все, что вы обычно делаете для настройки отдельного ПК, например, настройка пользователей, групп, принтеров, общих сетевых ресурсов, прав доступа и т. Д., Может храниться в определенном месте и применяться к любому (множеству) компьютеров (ов) для доступа к этому конкретному месту.

Именно так Microsoft хочет, чтобы мы использовали Active Directory.


0
2018-06-03 12:57