题 Active Directory解释道


如果您必须向某人解释Active Directory,您会如何解释它?


69
2018-06-03 00:10




这个小小的简报是谁的观众。我的妻子会得到与我老板不同的解释。 \\ uSlackr - uSlackr


答案:


当然,我在这里有很多相关内容,但这是一个不错的半技术摘要,适合与不熟悉Active Directory本身但通常熟悉计算机以及与身份验证相关的问题的其他人进行通信。授权。

Active Directory的核心是数据库管理系统。该数据库可以以多主方式在任意数量的服务器计算机(称为域控制器)之间复制(这意味着可以对每个独立副本进行更改,并最终将它们复制到所有其他副本)。

企业中的Active Directory数据库可以分解为称为“域”的复制单元。服务器计算机之间的复制系统可以以非常灵活的方式配置,即使面对域控制器计算机之间的连接故障也能够进行复制,并且可以在可能与低带宽WAN连接相连的位置之间高效复制。

Windows使用Active Directory作为配置信息的存储库。这些用途中的主要用途是存储用户登录凭据(用户名/密码哈希),以便计算机可以配置为引用此数据库,以便为大量计算机(称为“成员”)提供集中式单点登录功能。域”)。

访问作为Active Directory域成员的服务器托管的资源的权限可以通过在名为访问控制列表(ACL)的权限中显式命名Active Directory域中的用户帐户,或者通过在安全组中创建用户帐户的逻辑分组来控制。有关这些安全组的名称和成员身份的信息存储在Active Directory中。

修改存储在Active Directory数据库中的记录的功能是通过安全权限来控制的,这些权限本身就是指Active Directory数据库。通过这种方式,企业可以提供“控制委派”功能,以允许某些授权用户(或安全组成员)在有限和定义范围的Active Directory上执行管理功能。例如,这将允许帮助台员工更改另一个用户的密码,但不允许将自己的帐户放入可能授予他访问敏感资源的权限的安全组中。

Windows操作系统的版本还可以使用组策略执行软件安装,修改用户环境(桌面,开始菜单,应用程序的行为等)。驱动此组策略系统的数据的后端存储存储在Active Directory中,因此具有复制和安全功能。

最后,来自Microsoft和第三方的其他软件应用程序将其他配置信息存储在Active Directory数据库中。例如,Microsoft Exchange Server大量使用Active Directory。应用程序使用Active Directory获得上述复制,安全性和委托控制的好处。

呼!还不错,我不认为,意识流!

超短答案:AD是用于存储用户登录和组信息的数据库,以及用于驱动组策略和其他应用程序软件的配置信息。


97
2018-06-03 00:24



很好的答案 - 但你如何回答这个问题:“如果它只是一个数据库,那为什么不把所有东西都存储在SQL Server中呢?” - marc_s
因为这个特定的数据库是Microsoft选择用于所有这些功能的数据库 - 而不是SQL Server。为什么钟表“顺时针”运行? 微笑  当然,Microsoft可能已存储Active Directory在基于SQL Server的数据库中管理的所有类型的信息,但他们选择使用Jet Blue引擎。 AD未使用SQL Server存储引擎这一事实并不会使其成为数据库。 - Evan Anderson
LDAP是一个数据库,但由于流量的性质,它对读取进行了高度调整。 SQL针对更一般的流量进行了调整。 - uSlackr
@uSlackr:LDAP不是数据库 - 它是一种通信协议。 - Evan Anderson
@uSlackr:是的 - GPO中指定的实际设置保存在通过NTFRS或DFS-R复制的文件中。就像我在我的第一句话中所说的那样“我在这里说了很多......”在这个答案中,我将存储在DIT文件和SYSVOL中的数据混合视为“Active Directory”。 - Evan Anderson


“看,想象一棵巨树,四肢上有一堆水桶。这些水桶里面有一些小钥匙,可以让你进入一个生活在一个区域的特殊门,通过树。如果你的名字与其中一个的名字相符在其中一个桶中的密钥,你可以打开与该密钥匹配的门,并访问存储在那里的特殊信息。“

作为一名活跃的目录管理员,我的工作是确保每个上刻的所有桶,密钥和名称都是最新的,运行良好,在不再有用或需要时删除。此外,我建造了新的门,保护新的房间,磨新的钥匙,允许访问,甚至水和种植树,将所有这些组合在一起。“

(从技术上讲,我更喜欢Evan的回答,但这就是我解释它的方式。:)


13
2018-06-03 03:24





如果是我的妻子,我只是把它描述成一个带有更多信息的电话簿。


10
2018-06-03 04:30



试图想象与Active Directory结婚...... - Ben


我没有评论权(低信誉),所以只是假设这个答案是评论Evan的答案为什么不是SQL服务器?

我记得,微软希望AD数据库如此强大和自我修复,不需要正常的DBA类活动,也不需要特殊的DBA。当时(90年代早期或中期),SQL DB技术对于AD的预期目的而言不够强大。

在activedir.org上的邮件列表上讨论了这个主题(Active Directory的最佳邮件列表.PERIOD。)


4
2018-06-28 13:13





将其视为具有网络文件共享的SQL服务器的交叉品种,将这两种技术中的最佳位置丢弃,将其丢弃,剩下的就是Active Directory(或者就任何LDAP而言)。

现在想象一下,您通常用来配置单个PC的所有内容,如设置用户,组,打印机,网络共享,访问权限等都可以存储在特定的地方,并应用于任何(众多)计算机的愿意访问该特定的地方。

这就是Microsoft希望我们使用Active Directory的方式。


0
2018-06-03 12:57