it-swarm-vi.tech

Active Directory giải thích

Nếu bạn phải giải thích Active Directory cho ai đó, bạn sẽ giải thích nó như thế nào?

72
user6848

Tất nhiên, tôi đang tìm hiểu khá nhiều ở đây, nhưng đó là một bản tóm tắt bán kỹ thuật phù hợp để giao tiếp với những người không quen với Active Directory, nhưng nói chung là quen thuộc với máy tính và các vấn đề liên quan đến xác thực và ủy quyền.

Active Directory là một hệ thống quản lý cơ sở dữ liệu. Cơ sở dữ liệu này có thể được sao chép giữa một số lượng máy tính máy chủ tùy ý (được gọi là Bộ kiểm soát miền) theo cách đa chủ (có nghĩa là các thay đổi có thể được thực hiện cho mỗi bản sao độc lập và cuối cùng chúng sẽ được sao chép sang tất cả các bản sao khác).

Cơ sở dữ liệu Active Directory trong doanh nghiệp có thể được chia thành các đơn vị sao chép được gọi là "Miền". Hệ thống sao chép giữa các máy tính của máy chủ có thể được cấu hình một cách rất linh hoạt để cho phép sao chép ngay cả khi gặp sự cố kết nối giữa các máy tính điều khiển miền và sao chép hiệu quả giữa các vị trí có thể được kết nối với băng thông thấp WAN.

Windows sử dụng Active Directory làm kho lưu trữ thông tin cấu hình. Chủ yếu trong số những sử dụng này là lưu trữ thông tin đăng nhập người dùng (tên người dùng/băm mật khẩu) sao cho máy tính có thể được cấu hình để tham khảo cơ sở dữ liệu này để cung cấp khả năng đăng nhập một lần tập trung cho số lượng lớn máy (được gọi là "thành viên" của " Miền").

Quyền truy cập tài nguyên được lưu trữ bởi các máy chủ là thành viên của miền Active Directory có thể được kiểm soát thông qua việc đặt tên rõ ràng cho tài khoản người dùng từ miền Active Directory trong các quyền được gọi là Danh sách điều khiển truy cập (ACL) hoặc bằng cách tạo các nhóm tài khoản người dùng logic vào Nhóm bảo mật . Thông tin về tên và thành viên của các nhóm bảo mật này được lưu trữ trong Active Directory.

Khả năng sửa đổi các bản ghi được lưu trữ trong cơ sở dữ liệu Active Directory được kiểm soát thông qua các quyền bảo mật, bản thân chúng, tham khảo cơ sở dữ liệu Active Directory. Theo cách này, doanh nghiệp có thể cung cấp chức năng "Phân quyền kiểm soát" để cho phép một số người dùng được ủy quyền (hoặc thành viên của nhóm bảo mật) thực hiện các chức năng quản trị trên Active Directory trong phạm vi được xác định và giới hạn. Ví dụ, điều này sẽ cho phép một nhân viên bộ phận trợ giúp thay đổi mật khẩu của người dùng khác, nhưng không đặt tài khoản của chính anh ta vào các nhóm bảo mật có thể cho phép anh ta truy cập các tài nguyên nhạy cảm.

Các phiên bản của hệ điều hành Windows cũng có thể thực hiện cài đặt phần mềm, sửa đổi môi trường của người dùng (máy tính để bàn, menu Bắt đầu, hành vi của các chương trình ứng dụng, v.v.) bằng cách sử dụng Chính sách nhóm. Lưu trữ phía sau của dữ liệu điều khiển hệ thống Chính sách nhóm này được lưu trữ trong Active Directory và do đó được cung cấp chức năng sao chép và bảo mật.

Cuối cùng, các ứng dụng phần mềm khác, cả từ Microsoft và từ bên thứ ba, lưu trữ thông tin cấu hình bổ sung trong cơ sở dữ liệu Active Directory. Microsoft Exchange Server, ví dụ, sử dụng nhiều Active Directory. Các ứng dụng sử dụng Active Directory để đạt được các lợi ích của sao chép, bảo mật và phân quyền kiểm soát được mô tả ở trên.

Phù! Không quá tệ, tôi không nghĩ, cho một dòng ý thức!

Câu trả lời siêu ngắn: AD là cơ sở dữ liệu để lưu trữ thông tin đăng nhập và nhóm người dùng và thông tin cấu hình thúc đẩy chính sách nhóm và phần mềm ứng dụng khác.

98
Evan Anderson

"Hãy xem, tưởng tượng một cái cây khổng lồ với một bó xô trên các chi. Bên trong những chiếc xô này là những chiếc chìa khóa nhỏ cho phép bạn truy cập vào những cánh cửa đặc biệt sống trong một khu vực, qua cái cây. Nếu tên của bạn khớp với một cái tên được khắc trên một trong những cái đó chìa khóa trong một trong những thùng đó, bạn có thể mở cánh cửa khớp với khóa đó và truy cập thông tin đặc biệt được lưu trữ trong đó. "

Và công việc của tôi, với tư cách là quản trị viên Active Directory, là đảm bảo rằng tất cả các nhóm, khóa và tên được khắc trên mỗi cái đều được cập nhật, hoạt động tốt, được gỡ bỏ khi không còn hữu ích hoặc cần thiết. Ngoài ra, tôi xây dựng các cửa MỚI bảo vệ các phòng MỚI, xay các chìa khóa mới cho phép truy cập và thậm chí tưới nước và trồng cây giữ tất cả chúng lại với nhau. "

(Về mặt kỹ thuật, tôi thích câu trả lời của Evan hơn, nhưng đây là cách tôi giải thích nó. :)

14
Greg Meehan

Nếu đó là vợ tôi, tôi chỉ mô tả nó giống như một danh bạ điện thoại với một chút thông tin.

11
PowerApp101

Tôi không có quyền nhận xét (danh tiếng thấp), vì vậy hãy giả sử rằng câu trả lời này là nhận xét cho câu trả lời của Evan về lý do tại sao không phải là máy chủ SQL?

Những gì tôi nhớ lại là, Microsoft muốn cơ sở dữ liệu AD mạnh mẽ và tự phục hồi đến mức không cần phải có loại hoạt động DBA bình thường cũng như DBA đặc biệt. Vào thời điểm đó (đầu hoặc giữa những năm 90), công nghệ SQL DB không đủ mạnh cho mục đích dự định của AD.

Có một cuộc thảo luận về chủ đề này trong danh sách gửi thư trên activedir.org (Danh sách gửi thư TỐT NHẤT cho Active Directory. PERIOD.)

4
KAPes

Hãy xem nó giống như một giống chéo của một máy chủ SQL có chia sẻ tệp mạng, tận dụng tốt nhất hai công nghệ này, loại bỏ nó và những gì còn lại là Active Directory (hoặc đối với bất kỳ LDAP nào).

Bây giờ hãy tưởng tượng rằng mọi thứ bạn thường làm để định cấu hình một PC, như thiết lập người dùng, nhóm, máy in, chia sẻ mạng, quyền truy cập và những thứ đó có thể được lưu trữ ở một nơi cụ thể và áp dụng cho bất kỳ (vô số) máy tính nào để truy cập vào nơi cụ thể.

Đây là cách Microsoft muốn chúng tôi sử dụng Active Directory.

0
Martin P. Hellwig