it-swarm.asia

Active Directory açıkladı

Active Directory'yi birisine açıklamak zorunda kalsaydınız nasıl açıklarsınız?

72
user6848

Tabii ki burada biraz fazla parlıyorum, ancak Active Directory'nin kendisine aşina olmayan, ancak genellikle bilgisayarları ve kimlik doğrulama ile ilgili sorunları tanıyan diğerleriyle iletişim kurmak için uygun olan iyi bir yarı teknik özet. yetki.

Active Directory, kalbinde bir veritabanı yönetim sistemidir. Bu veritabanı, rasgele sayıda sunucu bilgisayarı (Etki Alanı Denetleyicileri olarak adlandırılır) arasında çok yöneticili bir şekilde çoğaltılabilir (yani her bağımsız kopyada değişiklik yapılabilir ve sonunda diğer tüm kopyalara çoğaltılacaktır).

Bir kuruluştaki Active Directory veritabanı, "Etki Alanları" adı verilen çoğaltma birimlerine bölünebilir. Sunucu bilgisayarlar arasındaki çoğaltma sistemi, etki alanı denetleyicisi bilgisayarları arasındaki bağlantının başarısızlığı durumunda bile çoğaltmaya izin verecek ve düşük bant genişliğine bağlı olabilecek konumlar arasında verimli bir şekilde çoğaltılacak şekilde çok esnek bir şekilde yapılandırılabilir WAN bağlantı.

Windows, Active Directory'yi yapılandırma bilgileri için depo olarak kullanır. Bu kullanımların başında, kullanıcı oturum açma kimlik bilgilerinin (kullanıcı adları/parola karmaları) depolanması, böylece bilgisayarlar çok sayıda makine için "üye" olarak adlandırılan merkezi bir tek oturum açma yeteneği sağlamak üzere bu veritabanına başvuracak şekilde yapılandırılabilir. Alan adı").

Active Directory etki alanının üyesi olan sunucular tarafından barındırılan kaynaklara erişim izinleri, Erişim Denetimi Listeleri (ACL) adı verilen izinlerde Active Directory etki alanından kullanıcı hesaplarının açıkça adlandırılmasıyla veya Güvenlik Grupları'nda mantıksal kullanıcı hesapları gruplamaları oluşturularak denetlenebilir . Bu güvenlik gruplarının adları ve üyelikleri hakkındaki bilgiler Active Directory'de depolanır.

Active Directory veritabanında depolanan kayıtları değiştirme yeteneği, Active Directory veritabanına atıfta bulunan güvenlik izinleriyle denetlenir. Bu şekilde işletmeler, belirli yetkili kullanıcıların (veya güvenlik grubu üyelerinin) Active Directory'de sınırlı ve tanımlanmış bir kapsamda yönetim işlevleri gerçekleştirmesine izin vermek için "Denetim Delegasyonu" işlevselliği sağlayabilir. Bu, örneğin, bir yardım masası çalışanının başka bir kullanıcının şifresini değiştirmesine izin verir, ancak kendi hesabını, hassas kaynaklara erişmesine izin verebilecek güvenlik gruplarına yerleştirmez.

Windows işletim sisteminin sürümleri de Grup İlkesi'ni kullanarak yazılım yüklemeleri gerçekleştirebilir, kullanıcının ortamında değişiklikler yapabilir (masaüstü, Başlat menüsü, uygulama programlarının davranışı vb.). Bu Grup İlkesi sistemini çalıştıran verilerin arka uç depolaması Active Directory'de depolanır ve bu nedenle çoğaltma ve güvenlik işlevselliği sağlanır.

Son olarak, hem Microsoft'tan hem de üçüncü taraflardan diğer yazılım uygulamaları Active Directory veritabanında ek yapılandırma bilgileri depolar. Örneğin Microsoft Exchange Server, Active Directory'yi yoğun şekilde kullanır. Uygulamalar Active Directory'yi yukarıda açıklanan çoğaltma, güvenlik ve denetim yetkisi avantajlarından yararlanmak için kullanır.

Whew! Çok kötü değil, sanmıyorum, bir bilinç akışı için!

Süper kısa yanıt: AD, kullanıcı ilkesi ve grup bilgilerini ve grup ilkesini ve diğer uygulama yazılımlarını yönlendiren yapılandırma bilgilerini depolayan bir veritabanıdır.

98
Evan Anderson

"Bakın, uzuvlarda bir sürü kova bulunan dev bir ağaç hayal edin. Bu kovaların içinde, ağacın yanından geçen bir alanda yaşayan özel kapılara erişmenizi sağlayan küçük anahtarlar var. Adınız bunlardan birine kazınmış bir adla eşleşiyorsa bu kovalardan birine girdiğinizde, o tuşla eşleşen kapıyı açıp orada saklanan özel bilgilere erişebilirsiniz. "

Ve bir Active Directory yöneticisi olarak işim, her birine kazınmış olan tüm bu kovaların, anahtarların ve adların güncel olduğundan, iyi çalıştığından, artık yararlı olmadığında veya gerekli olmadığında kaldırıldığından emin olmaktır. Ayrıca, YENİ odaları koruyan YENİ kapılar inşa ediyorum, erişime ve hatta suya izin veren yeni anahtarları öğütüyor ve hepsini bir arada tutan ağacı büyütüyorum. "

(Teknik olarak, Evan'ın cevabını daha çok sevdim, ama bu şekilde açıklarım.) =

14
Greg Meehan

Eğer eşim olsaydım, biraz daha fazla bilgi içeren bir telefon rehberi gibi tarif ederdim.

11
PowerApp101

Ben yorum hakları (düşük itibar) yok, bu yüzden sadece bu cevap neden SQL sunucusu değil Evan'ın cevabına yorum olduğunu varsayalım?

Hatırladığım kadarıyla Microsoft, AD veritabanının o kadar sağlam ve kendi kendini iyileştirmesini istedi ki, normal DBA tür aktivitelere veya özel bir DBA'ya gerek yok. O zamanlar (90'ların başı veya ortası) SQL DB teknolojisi AD'nin amaçladığı amaç için yeterince sağlam değildi.

Bu konu hakkında activedir.org adresindeki posta listesinde (Active Directory için EN İYİ posta listesi. PERIOD.) Bir tartışma vardı.

4
KAPes

Ağ dosya paylaşımına sahip bir SQL sunucusunun bir melez türü gibi görün, bu iki teknolojinin en iyisini bitirin, atın ve geriye kalan Active Directory'dir (veya bu nedenle herhangi bir LDAP).

Şimdi, kullanıcıları, grupları, yazıcıları, ağ paylaşımlarını, erişim haklarını vb. Kurmak gibi genellikle tek bir PC'yi yapılandırmak için yaptığınız her şeyin belirli bir yerde saklanabileceğini ve istekli herhangi bir bilgisayara (çok sayıda) uygulanabileceğini hayal edin belirli bir yere erişmek için.

Microsoft bu şekilde Active Directory kullanmamızı istiyor.

0