Active Directory açıklandı


72

Active Directory'yi birine açıklamak zorunda kalsaydınız nasıl açıklardınız?


3
Bu küçük brifing için seyirci kim. Karım patronumdan farklı bir açıklama alacaktı. \\ uSlackr
uSlackr

Yanıtlar:


98

Tabii ki, burada biraz ele alıyorum, ancak Active Directory'nin kendisi ile aşina olmayan ancak genellikle bilgisayarlarla ve kimlik doğrulama ile ilgili sorunlara aşina olan başkalarıyla iletişim kurmak için uygun olan yarı-teknik bir özet. yetki.

Active Directory, özünde, bir veritabanı yönetim sistemidir. Bu veritabanı, rasgele sayıda sunucu bilgisayarı (Etki Alanı Denetleyicileri olarak adlandırılır) arasında çok ana bir şekilde çoğaltılabilir (yani, her bağımsız kopyada değişiklik yapılabilir ve sonuçta diğer tüm kopyalara kopyalanır).

Bir kuruluştaki Active Directory veritabanı, "Etki Alanları" adı verilen çoğaltma birimlerine bölünebilir. Sunucu bilgisayarlar arasındaki çoğaltma sistemi, etki alanı denetleyici bilgisayarlar arasındaki bağlantıda bile olsa çoğaltmaya izin vermek ve düşük bant genişliğine sahip WAN bağlantısıyla bağlanabilecek konumlar arasında verimli bir şekilde çoğaltmak için çok esnek bir şekilde yapılandırılabilir.

Windows, yapılandırma bilgileri için Active Directory'yi depo olarak kullanır. Bu kullanımların başında, kullanıcı oturum açma kimlik bilgilerinin (kullanıcı adları / şifre karmaları) depolanması, böylece bilgisayarların çok sayıda makine ("" üyeleri "olarak adlandırılır) için merkezi bir tek oturum açma yeteneği sağlamak üzere bu veritabanına başvuracak şekilde yapılandırılabilir. Alan adı").

Bir Active Directory etki alanının üyesi olan sunucular tarafından barındırılan kaynaklara erişim izinleri, Active Directory etki alanındaki kullanıcı hesaplarının Erişim Denetim Listeleri (ACL'ler) adı verilen izinlerde açık bir şekilde adlandırılmasıyla veya kullanıcı hesaplarının mantıksal grup gruplarının Güvenlik Grupları olarak oluşturulmasıyla kontrol edilebilir. . Bu güvenlik gruplarının adları ve üyeliği ile ilgili bilgiler Active Directory'de depolanır.

Active Directory veritabanında depolanan kayıtları değiştirme yeteneği, kendileri için Active Directory veritabanına başvuran güvenlik izinleriyle denetlenir. Bu şekilde işletmeler, belirli yetkili kullanıcıların (veya güvenlik gruplarının üyelerinin) Active Directory'de sınırlı ve tanımlanmış bir kapsamda idari işlevler gerçekleştirmesine izin vermek için "Denetim Delegasyonu" işlevini sağlayabilir. Bu, örneğin bir yardım masası çalışanının başka bir kullanıcının şifresini değiştirmesine izin verir, ancak kendi hesabını hassas kaynaklara erişmesine izin verebilecek güvenlik gruplarına yerleştirmemesini sağlar.

Windows işletim sisteminin sürümleri ayrıca Grup İlkesi'ni kullanarak yazılım yüklemelerini gerçekleştirebilir, kullanıcı ortamında (masaüstü, Başlat menüsü, uygulama programlarının davranışı vb.) Değişiklik yapabilir. Bu Grup İlkesi sistemini yöneten verilerin arkadan depolanması Active Directory'de depolanır ve bu nedenle çoğaltma ve güvenlik işlevi sağlanır.

Son olarak, hem Microsoft'tan hem de üçüncü taraflardan gelen diğer yazılım uygulamaları, Active Directory veritabanında ek yapılandırma bilgileri depolar. Örneğin Microsoft Exchange Server, Active Directory'yi yoğun şekilde kullanıyor. Uygulamalar, yukarıda açıklanan kontrolün çoğaltılması, güvenliği ve yetki vermesinin avantajlarından yararlanmak için Active Directory'yi kullanır.

Whew! Çok kötü değil, bir bilinç akışı için düşünmüyorum!

Süper kısa cevap: AD, kullanıcı oturum açma ve grup bilgilerini ve grup ilkesini ve diğer uygulama yazılımlarını yöneten yapılandırma bilgilerini depolamak için bir veritabanıdır.


2
İyi cevap - ama şu soruya nasıl cevap vereceksiniz: "eğer sadece bir veritabanı ise, neden sadece her şeyi SQL Server'da saklamıyorsunuz?"
marc_s

9
Çünkü bu özel veritabanı, Microsoft'un tüm bu işlevler için kullanmayı seçtiği veritabanıdır; SQL Server değil. Neden saatler "saat yönünde" çalışıyor? smile Kesinlikle, Microsoft, Active Directory'nin yönettiği her türlü bilgiyi SQL Server tabanlı bir veritabanında saklamış olabilir, ancak bunun yerine Jet Blue motorunu kullanmayı seçti. AD'nin SQL Server depolama motorunu kullanmaması, onu bir veritabanından daha az yapmaz.
Evan Anderson

LDAP bir veri tabanıdır ancak trafiğin niteliği nedeniyle okumalar için çok iyi ayarlanmıştır. SQL daha genel trafik için ayarlandı.
usSlackr

3
@uSlackr: LDAP bir veritabanı değil, bir iletişim protokolü.
Evan Anderson,

2
@uSlackr: Yep-- GPO'larda belirtilen gerçek ayarlar, NTFRS veya DFS-R aracılığıyla kopyalanan dosyalarda tutulur. Tıpkı ilk cümlemde dediğim gibi, "Buraya biraz fazla göz atacağım ..."
Evan Anderson,

14

“Bakın, uzuvlarda bir demet kova bulunan dev bir ağaç hayal edin. Bu kovaların içinde, bir alanda yaşayan özel kapılara erişmenizi sağlayan küçük anahtarlar vardır. Bu kovalardan birindeki anahtarlar sayesinde, o anahtarla eşleşen kapıyı açabilir ve içinde depolanan özel bilgilere erişebilirsiniz. "

Ve bir aktif dizin yöneticisi olarak görevim, her birine basılan tüm kovaların, anahtarların ve adların güncel olduğundan, iyi çalıştığından, artık yararlı olmadığında veya gerekli olmadığında kaldırılmalarını sağlamaktır. Ayrıca, YENİ odaları koruyan YENİ kapılar inşa ediyorum, erişime izin veren ve hatta su sağlayan yeni anahtarlar üretiyorum ve hepsini bir arada tutan ağacı yetiştiriyorum. ”

(Teknik olarak Evan'ın cevabını daha çok sevdim, ama bunu nasıl açıklayacağım. :)


11

Eşim olsaydı, biraz daha fazla bilgi içeren bir telefon rehberi gibi tarif ederdim.


5
Bir Active Directory ile evlenmeyi hayal etmeye çalışıyorum ...
Ben

4

Yorum yapma haklarım yok (düşük itibar), bu yüzden neden bu cevabın Evan'ın cevabına neden SQL sunucusu olmadığına dair yorum olduğunu varsayalım?

Hatırladığım şey ise, Microsoft, AD veritabanının o kadar sağlam ve kendi kendini iyileştiren olmasını istedi; bu, normal DBA türünde bir etkinliğe gerek duyulmaması ve özel bir DBA gerektirmemesiydi. O zamanlar (90'ların başında veya ortalarında) SQL DB teknolojisi, AD'nin amacı için yeterince güçlü değildi.

Bu konu hakkında activedir.org adresindeki e-posta listesinde bir tartışma yapıldı (Active Directory için EN İYİ posta listesi. PERIOD.)


0

Bir ağ dosya paylaşımına sahip bir SQL sunucusunun çapraz cinsi gibi görün, bu iki teknolojinin en iyisini alın, atın ve geriye kalanlar Active Directory (ya da herhangi bir LDAP için).

Şimdi, kullanıcıları, grupları, yazıcıları, ağ paylaşımlarını, erişim haklarını ve benzeri ayarları yapmak gibi genellikle tek bir bilgisayarı yapılandırmak için yaptığınız her şeyin belirli bir yerde saklanabileceğini ve istekli herhangi bir bilgisayara / bilgisayarlara uygulanabileceğini hayal edin. belirli bir yere erişmek için.

Microsoft bu şekilde Active Directory kullanmamızı istiyor.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.