Vraag Active Directory uitgelegd


Als u Active Directory aan iemand zou moeten uitleggen, hoe zou u het dan moeten uitleggen?


69
2018-06-03 00:10


oorsprong


Wie is het publiek voor deze kleine briefing. Mijn vrouw zou een andere verklaring krijgen dan mijn baas. \\ uSlackr - uSlackr


antwoorden:


Ik ben hier natuurlijk een beetje aan het vrijen, maar het is een behoorlijke semi-technische samenvatting die geschikt zou zijn om te communiceren met anderen die niet bekend zijn met Active Directory zelf, maar over het algemeen bekend zijn met computers en de problemen in verband met authenticatie en autorisatie.

Active Directory vormt in wezen een databasebeheersysteem. Deze database kan worden gerepliceerd op een willekeurig aantal servercomputers (genaamd domeincontrollers) op een multi-master-manier (wat betekent dat er wijzigingen kunnen worden aangebracht in elke onafhankelijke kopie en dat ze uiteindelijk worden gerepliceerd naar alle andere exemplaren).

De Active Directory-database in een onderneming kan worden opgesplitst in eenheden van replicatie genaamd "Domeinen". Het replicatiesysteem tussen servercomputers kan op een zeer flexibele manier worden geconfigureerd om replicatie mogelijk te maken, zelfs wanneer de connectiviteit tussen domeincontrollercomputers mislukt, en om efficiënt te repliceren tussen locaties die mogelijk zijn verbonden met WAN-verbindingen met lage bandbreedte.

Windows gebruikt de Active Directory als een opslagplaats voor configuratiegegevens. Belangrijkste van deze toepassingen is het opslaan van gebruikersaanmeldingsgegevens (gebruikersnamen / wachtwoord-hashes), zodat computers kunnen worden geconfigureerd om naar deze database te verwijzen om een ​​gecentraliseerde single sign-on-mogelijkheid te bieden voor grote aantallen machines ("leden" van de " Domein").

Machtigingen voor toegang tot bronnen die worden gehost door servers die lid zijn van een Active Directory-domein kunnen worden beheerd door een expliciete naamgeving van gebruikersaccounts uit het Active Directory-domein in machtigingen genaamd Access Control Lists (ACL's), of door logische groeperingen van gebruikersaccounts te maken in Beveiligingsgroepen . De informatie over de namen en het lidmaatschap van deze beveiligingsgroepen wordt opgeslagen in de Active Directory.

De mogelijkheid om records die zijn opgeslagen in de Active Directory-database te wijzigen, wordt beheerd via beveiligingsmachtigingen die zelf naar de Active Directory-database verwijzen. Op deze manier kunnen ondernemingen "Delegation of Control" -functionaliteit bieden om bepaalde geautoriseerde gebruikers (of leden van beveiligingsgroepen) in staat te stellen administratieve functies uit te voeren op de Active Directory van een beperkte en gedefinieerde scope. Dit zou het bijvoorbeeld mogelijk maken voor een helpdeskmedewerker om het wachtwoord van een andere gebruiker te wijzigen, maar niet om zijn eigen account in beveiligingsgroepen te plaatsen die hem toestemming zouden kunnen verlenen om toegang te krijgen tot gevoelige bronnen.

Versies van het Windows-besturingssysteem kunnen ook installaties van software uitvoeren, wijzigingen aanbrengen in de omgeving van de gebruiker (bureaublad, menu Start, gedrag van applicatieprogramma's, enz.) Door Groepsbeleid te gebruiken. De back-endopslag van de gegevens die dit groepsbeleidsysteem aansturen, wordt opgeslagen in Active Directory en krijgt daarom replicatie- en beveiligingsfunctionaliteit.

Ten slotte slaan andere softwaretoepassingen, zowel van Microsoft als van derden, aanvullende configuratie-informatie op in de Active Directory-database. Microsoft Exchange Server maakt bijvoorbeeld veel gebruik van de Active Directory. Toepassingen gebruiken Active Directory om de voordelen van replicatie, beveiliging en overdracht van besturingselementen te verkrijgen die hierboven zijn beschreven.

Oef! Niet slecht, denk ik niet, voor een stroom van bewustzijn!

Supersnel antwoord: AD is een database voor het opslaan van gebruikersaanmeldings- en groepsinformatie en configuratie-informatie die het groepsbeleid en andere applicatiesoftware aanstuurt.


97
2018-06-03 00:24



Goed antwoord - maar hoe reageer je op de vraag: "als het gewoon een database is, waarom dan niet alles in SQL Server opslaan?" - marc_s
Omdat deze specifieke database degene is die Microsoft koos voor al deze functies, niet voor SQL Server. Waarom lopen klokken "met de klok mee"? glimlach  Microsoft had zeker alle soorten informatie kunnen opslaan die Active Directory in een op SQL Server gebaseerde database beheert, maar zij kozen ervoor om in plaats daarvan de Jet Blue-engine te gebruiken. Het feit dat AD de SQL Server-opslagengine niet gebruikt, maakt het niet minder een database. - Evan Anderson
LDAP is een database, maar het is zeer afgestemd op leesbewerkingen vanwege de aard van het verkeer. SQL is afgestemd voor meer algemeen verkeer. - uSlackr
@uSlackr: LDAP is geen database - het is een communicatieprotocol. - Evan Anderson
@uSlackr: Yep-- de feitelijke instellingen die zijn opgegeven in groepsbeleidsobjecten worden bewaard in bestanden die zijn gerepliceerd via NTFRS of DFS-R. Zoals ik al zei in mijn eerste zin: "Ik ben hier nogal wat aan het glommen ..." In dit antwoord behandel ik het amalgaam van gegevens die zijn opgeslagen in het DIT-bestand en in SYSVOL als "de Active Directory". - Evan Anderson


"Kijk, stel je een gigantische boom voor met een paar emmers op de ledematen.In deze emmers zitten kleine sleutels die je toegang geven tot speciale deuren die in een gebied langs de boom wonen.Als je naam overeenkomt met een naam die is geëtst op een van die sleutels in een van die emmers, mag u de deur openen die overeenkomt met die sleutel en toegang krijgen tot de speciale informatie die daar is opgeslagen. "

En mijn taak als actieve directorybeheerder is ervoor te zorgen dat al die emmers, sleutels en namen die op elk van deze zijn geëtst, allemaal up-to-date zijn, goed werken, worden verwijderd wanneer ze niet langer nuttig of nodig zijn. Daarnaast bouw ik NIEUWE deuren die NIEUWE kamers beschermen, de nieuwe sleutels frezen die toegang en zelfs water mogelijk maken en de boom laten groeien die alles bij elkaar houdt. "

(Technisch gezien vond ik Evan's antwoord beter, maar dit is hoe ik het zou uitleggen. :)


13
2018-06-03 03:24





Als het mijn vrouw was, zou ik het gewoon omschrijven als een telefoongids met wat meer informatie.


10
2018-06-03 04:30



Probeer je voor te stellen dat je met een Active Directory bent getrouwd ... - Ben


Ik heb geen commentaarrechten (lage reputatie), dus ga er maar vanuit dat dit antwoord commentaar is op Evan's antwoord over waarom niet SQL-server?

Wat ik me goed herinner, was dat Microsoft wilde dat de AD-database zo robuust en zelfherstellend zou zijn dat normale DBA-activiteit niet vereist zou moeten zijn, noch een speciale DBA. Op dat moment (begin of midden 90) was SQL DB-technologie niet robuust genoeg voor het beoogde doel van AD.

Er was een discussie over dit onderwerp op de mailinglijst op activedir.org (DE BESTE mailinglijst voor Active Directory. PERIODE.)


4
2018-06-28 13:13





Zie het als een kruising van een SQL-server met een gedeelde netwerkdossier, neem het beste van deze twee technologieën, gooi het weg en wat er nog over is, is Active Directory (of wat dan ook, elke LDAP).

Stel je nu voor dat alles wat je gewoonlijk doet om een ​​enkele pc te configureren, zoals het instellen van gebruikers, groepen, printers, netwerkshares, toegangsrechten en dergelijke, op een specifieke plaats kan worden opgeslagen en kan worden toegepast op elke (veelheid) computer (s) die om toegang te krijgen tot die specifieke plaats.

Dit is hoe Microsoft wil dat we Active Directory gebruiken.


0
2018-06-03 12:57