it-swarm.cn

活动目录说明

如果您必须向某人解释Active Directory,您将如何解释它?

72
user6848

当然,我在这里做了很多介绍,但这是一个不错的半技术性摘要,适合与不熟悉Active Directory本身,但通常熟悉计算机以及与身份验证和认证相关的问题的其他人进行交流。授权。

Active Directory本质上是一个数据库管理系统。该数据库可以以多主机方式在任意数量的服务器计算机(称为域控制器)之间复制(这意味着可以对每个独立副本进行更改,最终将它们复制到所有其他副本中)。

企业中的Active Directory数据库可以分解为称为“域”的复制单元。可以以非常灵活的方式配置服务器计算机之间的复制系统,以便即使在域控制器计算机之间的连接失败时也可以进行复制,并且可以在可能使用低带宽WAN连接。

Windows使用Active Directory作为配置信息的存储库。这些用途中的主要用途是用户登录凭据(用户名/密码哈希)的存储,以便可以将计算机配置为引用此数据库,以便为大量计算机(称为“计算机的“成员”)提供集中的单点登录功能。域”)。

可以通过在Active Directory域中以访问控制列表(ACL)权限显式命名用户帐户,或通过将用户帐户的逻辑分组创建为安全组来控制访问由Active Directory域成员服务器托管的资源的权限。有关这些安全组的名称和成员身份的信息存储在Active Directory中。

修改存储在Active Directory数据库中的记录的能力是由安全权限控制的,安全权限本身是指Active Directory数据库。这样,企业可以提供“控制委派”功能,以允许某些授权用户(或安全组成员)在有限和定义范围内的Active Directory上执行管理功能。例如,这将允许服务台员工更改另一个用户的密码,但不能将其自己的帐户放入安全组中,该安全组可能会授予他访问敏感资源的权限。

Windows操作系统的版本还可以使用组策略执行软件安装,修改用户环境(桌面,开始菜单,应用程序的行为等)。驱动此组策略系统的数据的后端存储存储在Active Directory中,因此具有复制和安全功能。

最后,来自Microsoft和第三方的其他软件应用程序将其他配置信息存储在Active Directory数据库中。例如,Microsoft Exchange Server大量使用了Active Directory。应用程序使用Active Directory来获得上述复制,安全性和控制委派的好处。

Ew!我认为,对于意识流来说还算不错!

简短的答案:AD是一个数据库,用于存储用户登录和组信息以及驱动组策略和其他应用程序软件的配置信息。

98
Evan Anderson

“看,想象一棵巨大的树,四肢上有一束水桶。这些水桶中有一些小钥匙,可以让您进入树附近经过区域的特殊门。如果您的名字与刻在其中一个树上的名字匹配在其中一个存储桶中找到钥匙,您就可以打开与该钥匙匹配的门,并访问其中存储的特殊信息。”

作为Active Directory管理员,我的工作是确保每个上刻的所有存储桶,键和名称都是最新的,可以正常工作,在不再有用或不再需要时被删除。此外,我建造了保护新房间的新门,铣削了可以进入甚至浇水的新钥匙,并把把所有这些都绑在一起的树种了。”

(从技术上讲,我更喜欢Evan的答案,但这是我的解释方式。:)

14
Greg Meehan

如果是我的妻子,我会形容它就像一个电话目录,上面有更多信息。

11
PowerApp101

我没有评论权(低声誉),因此仅假设此答案是对Evan关于为何不使用SQL Server的答案的评论。

我记得,微软希望AD数据库如此健壮和具有自我修复功能,以至于既不需要常规的DBA活动,也不需要特殊的DBA。那时(90年代初或90年代中期),SQL DB技术还不足以实现AD的预期目的。

在activedir.org的邮件列表中(关于Active Directory的最佳邮件列表。PERIOD。)上有关于此主题的讨论。

4
KAPes

将其视为具有网络文件共享的SQL Server的交叉版本,充分利用这两种技术,然后将其丢弃,剩下的就是Active Directory(或任何LDAP)。

现在,想象一下您通常配置一台PC所要做的所有事情,例如设置用户,组,打印机,网络共享,访问权限等,都可以存储在特定位置,并可以应用于任何(众多)计算机上。访问该特定位置。

这就是Microsoft希望我们使用Active Directory的方式。

0
Martin P. Hellwig