อธิบาย Active Directory

72

หากคุณต้องอธิบาย Active Directory ให้ใครสักคนคุณจะอธิบายได้อย่างไร

active-directory

3

ใครคือผู้ชมสำหรับการบรรยายสรุปเล็กน้อยนี้ ภรรยาของฉันจะได้รับคำอธิบายที่แตกต่างจากเจ้านายของฉัน \\ uSlackr

— uSlackr

98

แน่นอนว่าฉันนี่มันวาวนิดหน่อย แต่ก็เป็นบทสรุปกึ่งเทคนิคที่เหมาะสมที่จะเหมาะสำหรับการสื่อสารกับผู้อื่นที่ไม่คุ้นเคยกับ Active Directory แต่โดยทั่วไปแล้วจะคุ้นเคยกับคอมพิวเตอร์และปัญหาที่เกี่ยวข้องกับการรับรองความถูกต้องและ การอนุญาต

Active Directory คือหัวใจของระบบการจัดการฐานข้อมูล ฐานข้อมูลนี้สามารถทำซ้ำในจำนวนคอมพิวเตอร์เซิร์ฟเวอร์โดยพลการ (เรียกว่า Domain Controllers) ในรูปแบบที่หลากหลาย (หมายถึงการเปลี่ยนแปลงที่สามารถทำกับแต่ละสำเนาอิสระและในที่สุดพวกเขาจะถูกคัดลอกไปยังสำเนาอื่นทั้งหมด)

ฐานข้อมูล Active Directory ในองค์กรสามารถแบ่งออกเป็นหน่วยการจำลองแบบที่เรียกว่า "โดเมน" ระบบการจำลองแบบระหว่างคอมพิวเตอร์เซิร์ฟเวอร์สามารถกำหนดค่าในลักษณะที่ยืดหยุ่นมากเพื่ออนุญาตการจำลองแบบแม้ในหน้าของความล้มเหลวของการเชื่อมต่อระหว่างคอมพิวเตอร์ตัวควบคุมโดเมนและการทำซ้ำอย่างมีประสิทธิภาพระหว่างตำแหน่งที่ตั้งที่อาจเชื่อมต่อกับการเชื่อมต่อ WAN แบนด์วิดท์ต่ำ

Windows ใช้ Active Directory เป็นที่เก็บข้อมูลการกำหนดค่า หัวหน้าในการใช้งานเหล่านี้คือการจัดเก็บข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้ (ชื่อผู้ใช้ / รหัสผ่านแฮช) เพื่อให้คอมพิวเตอร์สามารถกำหนดค่าเพื่ออ้างถึงฐานข้อมูลนี้เพื่อมอบความสามารถในการลงชื่อเพียงครั้งเดียวแบบรวมศูนย์สำหรับเครื่องจักรจำนวนมาก โดเมน").

สิทธิ์ในการเข้าถึงทรัพยากรที่โฮสต์โดยเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมน Active Directory สามารถควบคุมผ่านการตั้งชื่อบัญชีผู้ใช้อย่างชัดเจนจากโดเมน Active Directory ในสิทธิ์ที่เรียกว่า Access Control Lists (ACLs) หรือโดยการสร้างการจัดกลุ่มตรรกะของบัญชีผู้ใช้ลงในกลุ่มความปลอดภัย . ข้อมูลเกี่ยวกับชื่อและการเป็นสมาชิกของกลุ่มความปลอดภัยเหล่านี้จะถูกเก็บไว้ใน Active Directory

ความสามารถในการปรับเปลี่ยนระเบียนที่จัดเก็บในฐานข้อมูล Active Directory นั้นได้รับการควบคุมผ่านการอนุญาตด้านความปลอดภัยซึ่งอ้างอิงถึงฐานข้อมูล Active Directory ด้วยตนเอง ด้วยวิธีนี้องค์กรสามารถมอบฟังก์ชัน "การมอบหมายการควบคุม" เพื่ออนุญาตให้ผู้ใช้ที่ได้รับอนุญาต (หรือสมาชิกของกลุ่มความปลอดภัย) ปฏิบัติหน้าที่การดูแลระบบใน Active Directory ในขอบเขตที่ จำกัด และกำหนดไว้ ตัวอย่างเช่นนี้จะช่วยให้พนักงานฝ่ายช่วยเหลือสามารถเปลี่ยนรหัสผ่านของผู้ใช้รายอื่นได้ แต่ไม่ควรวางบัญชีของตนเองในกลุ่มความปลอดภัยที่อาจอนุญาตให้เขาเข้าถึงทรัพยากรที่มีความละเอียดอ่อนได้

รุ่นของระบบปฏิบัติการ Windows ยังสามารถทำการติดตั้งซอฟต์แวร์แก้ไขสภาพแวดล้อมของผู้ใช้ (เดสก์ท็อปเมนูเริ่มพฤติกรรมของโปรแกรมแอปพลิเคชัน ฯลฯ ) โดยใช้นโยบายกลุ่ม ที่จัดเก็บข้อมูลแบ็คเอนด์ของข้อมูลที่ขับเคลื่อนระบบนโยบายกลุ่มนี้จะถูกเก็บไว้ใน Active Directory และจะได้รับการจำลองแบบและฟังก์ชั่นความปลอดภัย

ในที่สุดแอปพลิเคชั่นซอฟต์แวร์อื่น ๆ ทั้งจาก Microsoft และจาก บริษัท อื่นจัดเก็บข้อมูลการกำหนดค่าเพิ่มเติมในฐานข้อมูล Active Directory ตัวอย่างเช่น Microsoft Exchange Server ใช้งาน Active Directory อย่างหนัก แอปพลิเคชันใช้ Active Directory เพื่อรับประโยชน์ของการจำลองแบบความปลอดภัยและการมอบหมายการควบคุมที่อธิบายไว้ข้างต้น

ต๊าย! ไม่เลวเกินไปฉันไม่คิดว่าสำหรับกระแสของสติ!

คำตอบสั้น ๆ อย่างยิ่ง: AD เป็นฐานข้อมูลสำหรับจัดเก็บข้อมูลการเข้าสู่ระบบของผู้ใช้และกลุ่มและข้อมูลการกำหนดค่าที่ขับเคลื่อนนโยบายกลุ่มและซอฟต์แวร์แอปพลิเคชันอื่น ๆ

— Evan Anderson
แหล่งที่มา

2

คำตอบที่ดี - แต่คุณจะตอบคำถามอย่างไร: "ถ้าเป็นเพียงฐานข้อมูลแล้วทำไมไม่เก็บทุกอย่างไว้ใน SQL Server"

— marc_s

9

เพราะฐานข้อมูลเฉพาะนี้เป็นสิ่งที่ Microsoft เลือกใช้สำหรับฟังก์ชั่นเหล่านี้ไม่ใช่ SQL Server ทำไมนาฬิกาถึงรัน "ตามเข็มนาฬิกา"? รอยยิ้ม แน่นอนว่าไมโครซอฟท์จะได้เก็บไว้ทุกชนิดของข้อมูลที่ Active Directory จัดการในฐานข้อมูล SQL Server-based แต่พวกเขาเลือกที่จะใช้เครื่องยนต์เจ็ตบลูแทน ความจริงที่ว่าโฆษณาไม่ได้ใช้เอนจินการจัดเก็บของ SQL Server ไม่ได้ทำให้ฐานข้อมูลน้อยลง

— Evan Anderson

LDAP เป็นฐานข้อมูล แต่ได้รับการปรับแต่งอย่างสูงสำหรับการอ่านเนื่องจากลักษณะของการรับส่งข้อมูล ปรับ SQL สำหรับการรับส่งข้อมูลทั่วไปมากขึ้น

— uSlackr

3

@uSlackr: LDAP ไม่ใช่ฐานข้อมูล - เป็นโปรโตคอลการสื่อสาร

— Evan Anderson

2

@ uSlackr: ใช่ - การตั้งค่าจริงที่ระบุใน GPOs จะถูกเก็บไว้ในไฟล์ที่จำลองแบบผ่าน NTFRS หรือ DFS-R อย่างที่ฉันพูดไว้ในประโยคแรกของฉัน "ฉันกำลังพูดอะไรบางอย่างที่นี่ ... " ในคำตอบนี้ฉันกำลังรวมข้อมูลที่เก็บไว้ในไฟล์ DIT และใน SYSVOL ว่าเป็น "Active Directory"

— Evan Anderson

14

"ดูสิลองนึกภาพต้นไม้ยักษ์ที่มีที่เก็บพวงบนแขนขาข้างในถังเหล่านี้คือกุญแจเล็ก ๆ ที่ให้คุณเข้าถึงประตูพิเศษที่อาศัยอยู่ในพื้นที่ผ่านต้นไม้ถ้าชื่อของคุณตรงกับชื่อที่จารึกไว้บนหนึ่งในนั้น กุญแจในหนึ่งในถังเหล่านั้นคุณจะเปิดประตูที่ตรงกับกุญแจนั้นและเข้าถึงข้อมูลพิเศษที่เก็บอยู่ในนั้น "

และงานของฉันในฐานะผู้ดูแลระบบไดเรกทอรีที่ใช้งานอยู่คือการทำให้แน่ใจว่าถังกุญแจและชื่อทั้งหมดที่ฝังอยู่ในนั้นเป็นรุ่นล่าสุดทำงานได้ดีถูกลบออกเมื่อไม่มีประโยชน์หรือจำเป็นอีกต่อไป นอกจากนี้ฉันสร้างประตูใหม่ที่ปกป้องห้องใหม่บดกุญแจใหม่ที่อนุญาตให้เข้าถึงและแม้แต่รดน้ำและปลูกต้นไม้ที่เก็บมันไว้ด้วยกัน "

(โดยทางเทคนิคแล้วฉันชอบคำตอบของ Evan ดีกว่า แต่นี่เป็นวิธีที่ฉันจะอธิบาย :)

— เกร็กมีฮาน
แหล่งที่มา

11

ถ้าเป็นภรรยาของฉันฉันก็แค่อธิบายว่ามันเป็นเหมือนสมุดโทรศัพท์ที่มีข้อมูลอีกเล็กน้อย

— PowerApp101
แหล่งที่มา

5

พยายามที่จะคิดถูกแต่งงานกับ Active Directory ...

— เบน

4

ฉันไม่มีสิทธิ์แสดงความคิดเห็น (ชื่อเสียงต่ำ) ดังนั้นให้สมมติว่าคำตอบนี้เป็นความเห็นต่อคำตอบของ Evan เกี่ยวกับสาเหตุที่ไม่ใช่เซิร์ฟเวอร์ SQL

สิ่งที่ฉันจำได้คือ Microsoft ต้องการให้ฐานข้อมูลโฆษณามีความแข็งแกร่งและสามารถรักษาตัวเองได้โดยไม่จำเป็นต้องมีกิจกรรมประเภท DBA ปกติหรือ DBA พิเศษ ในช่วงเวลานั้น (ต้นหรือกลาง 90) เทคโนโลยี SQL DB นั้นไม่แข็งแรงพอสำหรับจุดประสงค์ของโฆษณา

มีการสนทนาในหัวข้อนี้ที่รายชื่อผู้รับจดหมายใน activedir.org (รายการจดหมายที่ดีที่สุดสำหรับ Active Directory ระยะเวลา)

— KAPes
แหล่งที่มา

0

เห็นว่าเป็นสายพันธุ์ข้ามของเซิร์ฟเวอร์ SQL ที่มีการแชร์ไฟล์เครือข่ายใช้บิตที่ดีที่สุดของเทคโนโลยีทั้งสองนี้ทิ้งไปและสิ่งที่เหลือคือ Active Directory (หรือสำหรับเรื่องใด ๆ กับ LDAP)

ทีนี้ลองนึกภาพว่าทุกสิ่งที่คุณทำเพื่อกำหนดค่าพีซีเครื่องเดียวเช่นการตั้งค่าผู้ใช้กลุ่มเครื่องพิมพ์แชร์เครือข่ายสิทธิ์การเข้าถึงและสิ่งเหล่านี้สามารถจัดเก็บไว้ในสถานที่เฉพาะและนำไปใช้กับคอมพิวเตอร์ได้ เพื่อเข้าถึงสถานที่เฉพาะนั้น

นี่คือวิธีที่ Microsoft ต้องการให้เราใช้ Active Directory

— Martin P. Hellwig
แหล่งที่มา