Active Directory erklärt


72

Wenn Sie Active Directory jemandem erklären müssten, wie würden Sie es erklären?


3
Wer ist das Publikum für dieses kleine Briefing? Meine Frau würde eine andere Erklärung bekommen als mein Chef. \ uSlackr
uSlackr

Antworten:


98

Ich beschreibe hier natürlich einiges, aber es ist eine anständige halbtechnische Zusammenfassung, die sich für die Kommunikation mit anderen eignet, die nicht mit Active Directory selbst vertraut sind, aber im Allgemeinen mit Computern und den mit Authentifizierung und verbundenen Problemen vertraut sind Genehmigung.

Active Directory ist im Kern ein Datenbankverwaltungssystem. Diese Datenbank kann auf eine beliebige Anzahl von Servercomputern (als Domänencontroller bezeichnet) in einer Multi-Master-Weise repliziert werden (dh, dass Änderungen an jeder unabhängigen Kopie vorgenommen werden können und sie schließlich auf alle anderen Kopien repliziert werden).

Die Active Directory-Datenbank in einem Unternehmen kann in Replikationseinheiten unterteilt werden, die als "Domänen" bezeichnet werden. Das Replikationssystem zwischen Servercomputern kann sehr flexibel konfiguriert werden, um die Replikation auch bei Verbindungsausfällen zwischen Domänencontrollercomputern zu ermöglichen und eine effiziente Replikation zwischen Standorten zu ermöglichen, die möglicherweise mit WAN-Verbindungen mit geringer Bandbreite verbunden sind.

Windows verwendet das Active Directory als Repository für Konfigurationsinformationen. Zu den wichtigsten Verwendungszwecken gehört das Speichern von Anmeldeinformationen (Benutzernamen / Kennwort-Hashes), sodass Computer so konfiguriert werden können, dass sie auf diese Datenbank verweisen, um eine zentralisierte Single-Sign-On-Funktion für eine große Anzahl von Computern (sogenannte "Mitglieder" der "Benutzer") bereitzustellen. Domain").

Berechtigungen für den Zugriff auf Ressourcen, die von Servern gehostet werden, die Mitglieder einer Active Directory-Domäne sind, können durch explizites Benennen von Benutzerkonten aus der Active Directory-Domäne in Berechtigungen, die als Zugriffssteuerungslisten (Access Control Lists, ACLs) bezeichnet werden, oder durch Erstellen logischer Gruppierungen von Benutzerkonten in Sicherheitsgruppen gesteuert werden . Die Informationen zu den Namen und der Mitgliedschaft dieser Sicherheitsgruppen werden im Active Directory gespeichert.

Die Möglichkeit, in der Active Directory-Datenbank gespeicherte Datensätze zu ändern, wird durch Sicherheitsberechtigungen gesteuert, die sich auf die Active Directory-Datenbank beziehen. Auf diese Weise können Unternehmen die Funktion "Delegation of Control" bereitstellen, mit der bestimmte autorisierte Benutzer (oder Mitglieder von Sicherheitsgruppen) Verwaltungsfunktionen für Active Directory in einem begrenzten und definierten Bereich ausführen können. Dies würde beispielsweise einem Helpdesk-Mitarbeiter ermöglichen, das Kennwort eines anderen Benutzers zu ändern, jedoch sein eigenes Konto nicht in Sicherheitsgruppen einzuteilen, die ihm möglicherweise die Berechtigung zum Zugriff auf vertrauliche Ressourcen erteilen.

Versionen des Windows-Betriebssystems können mithilfe der Gruppenrichtlinie auch Softwareinstallationen ausführen und Änderungen an der Benutzerumgebung (Desktop, Startmenü, Verhalten von Anwendungsprogrammen usw.) vornehmen. Der Back-End-Speicher der Daten, die dieses Gruppenrichtliniensystem antreiben, wird in Active Directory gespeichert und erhält somit Replikations- und Sicherheitsfunktionen.

Schließlich speichern andere Softwareanwendungen von Microsoft und von Drittanbietern zusätzliche Konfigurationsinformationen in der Active Directory-Datenbank. Beispielsweise nutzt Microsoft Exchange Server das Active Directory in hohem Maße. Anwendungen nutzen Active Directory, um die oben beschriebenen Vorteile der Replikation, Sicherheit und Delegierung der Kontrolle zu nutzen.

Wütend! Nicht schlecht, glaube ich, für einen Bewusstseinsstrom!

Super kurze Antwort: AD ist eine Datenbank zum Speichern von Benutzeranmelde- und Gruppeninformationen sowie von Konfigurationsinformationen, die Gruppenrichtlinien und andere Anwendungssoftware steuern.


2
Gute Antwort - aber wie können Sie auf die Frage antworten: "Wenn es sich nur um eine Datenbank handelt, warum nicht einfach alles in SQL Server speichern?"
Marc_s

9
Weil diese spezielle Datenbank diejenige ist, die Microsoft für all diese Funktionen ausgewählt hat - nicht für SQL Server. Warum laufen Uhren "im Uhrzeigersinn"? smile Sicherlich hätte Microsoft alle Arten von Informationen, die Active Directory verwaltet, in einer SQL Server-basierten Datenbank speichern können, aber sie entschieden sich stattdessen für die Jet Blue-Engine. Die Tatsache, dass AD das SQL Server-Speichermodul nicht verwendet, macht es nicht weniger zu einer Datenbank.
Evan Anderson

LDAP ist eine Datenbank, die jedoch aufgrund der Art des Datenverkehrs optimal auf Lesevorgänge abgestimmt ist. SQL ist für allgemeineren Datenverkehr optimiert.
USlackr

3
@uSlackr: LDAP ist keine Datenbank - es ist ein Kommunikationsprotokoll.
Evan Anderson

2
@uSlackr: Ja - die in Gruppenrichtlinienobjekten angegebenen tatsächlichen Einstellungen werden in Dateien gespeichert, die entweder über NTFRS oder DFS-R repliziert wurden. Wie ich in meinem allerersten Satz sagte "Ich beschönige hier einiges ..." In dieser Antwort behandle ich das Zusammenspiel von Daten, die in der DIT-Datei und in SYSVOL gespeichert sind, als "das Active Directory".
Evan Anderson

14

"Sehen Sie, stellen Sie sich einen riesigen Baum mit einem Haufen Eimer an den Gliedern vor. In diesen Eimern befinden sich kleine Schlüssel, mit denen Sie Zugang zu speziellen Türen erhalten, die in einem Bereich hinter dem Baum leben. Wenn Ihr Name mit einem Namen übereinstimmt, der auf einen dieser Namen geätzt ist Wenn Sie einen dieser Eimer eintippen, können Sie die Tür öffnen, die mit diesem Schlüssel übereinstimmt, und auf die speziellen Informationen zugreifen, die dort gespeichert sind. "

Und meine Aufgabe als Active Directory-Administrator ist es, sicherzustellen, dass all diese Eimer, Schlüssel und Namen, die auf jedem geätzt sind, auf dem neuesten Stand sind, gut funktionieren und entfernt werden, wenn sie nicht mehr nützlich oder gebraucht werden. Außerdem baue ich NEUE Türen, die NEUE Räume schützen, fräse die neuen Schlüssel, die den Zugang und sogar das Wasser ermöglichen, und züchte den Baum, der alles zusammenhält. "

(Eigentlich gefiel mir Evans Antwort besser, aber so würde ich es erklären. :)


11

Wenn es meine Frau wäre, würde ich es einfach als Telefonbuch mit ein bisschen mehr Informationen beschreiben.


5
Der Versuch, sich vorzustellen, mit einem Active Directory verheiratet zu sein ...
Ben

4

Ich habe keine Rechte zum Kommentieren (geringe Reputation). Gehen Sie also davon aus, dass diese Antwort eine Antwort auf Evans Frage ist, warum nicht SQL Server?

Ich erinnere mich, dass Microsoft AD-Datenbanken so robust und selbstheilend haben wollte, dass weder eine normale DBA-Aktivität noch ein spezieller DBA erforderlich sein sollte. Zu dieser Zeit (Anfang oder Mitte der 90er Jahre) war die SQL DB-Technologie nicht robust genug für den beabsichtigten Zweck von AD.

Es gab eine Diskussion zu diesem Thema auf der Mailingliste von activedir.org (DIE BESTE Mailingliste für Active Directory. ZEITRAUM).


0

Sehen Sie es wie eine Kreuzung eines SQL-Servers mit einer Netzwerkdateifreigabe, nutzen Sie das Beste aus diesen beiden Technologien, werfen Sie es weg und es verbleibt Active Directory (oder in diesem Fall LDAP).

Stellen Sie sich nun vor, dass alles, was Sie normalerweise tun, um einen einzelnen PC zu konfigurieren, wie das Einrichten von Benutzern, Gruppen, Druckern, Netzwerkfreigaben, Zugriffsrechten und dergleichen, an einem bestimmten Ort gespeichert und auf eine beliebige (Vielzahl) von Computern angewendet werden kann um auf diesen bestimmten Ort zuzugreifen.

So möchte Microsoft, dass wir Active Directory verwenden.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.