Якби вам довелося комусь пояснити Active Directory, як би ви пояснили це?
Якби вам довелося комусь пояснити Active Directory, як би ви пояснили це?
Відповіді:
Тут я, звичайно, трохи заглянув, але це пристойний напівтехнічний підсумок, який би підходив для спілкування іншим, хто не знайомий із самим Active Directory, але загалом знайомий з комп'ютерами та проблемами, пов'язаними з аутентифікацією та дозволу.
Active Directory - по суті, система управління базами даних. Цю базу даних можна реплікувати серед довільної кількості серверних комп'ютерів (так званих контролерів домену) в багатокористувацькому режимі (це означає, що зміни можуть бути внесені до кожної незалежної копії, і в кінцевому підсумку вони будуть тиражуватися на всі інші копії).
База даних Active Directory на підприємстві може бути розбита на одиниці реплікації під назвою "Домени". Система реплікації між серверними комп’ютерами може бути налаштована дуже гнучко, щоб дозволити реплікацію навіть у випадку відмов підключення між комп'ютерами контролерів домену та ефективно реплікувати між місцями, які можуть бути пов'язані з низькою пропускною здатністю WAN.
Windows використовує Active Directory як сховище для інформації про конфігурацію. Основне серед цих застосувань - це зберігання облікових даних для входу користувачів (імена користувачів / хеші паролів), щоб комп'ютери могли бути налаштовані для посилання на цю базу даних, щоб забезпечити можливість централізованого єдиного входу для великої кількості машин (званих "членами" " Домен ").
Дозволом на доступ до ресурсів, розміщених серверами, які є членами домену Active Directory, можна керувати шляхом явного іменування облікових записів користувачів з домену Active Directory в дозволах, що називаються Списками контролю доступу (ACL), або шляхом створення логічних груп груп облікових записів користувачів у Групи безпеки. . Інформація про імена та належність цих груп безпеки зберігається в Active Directory.
Можливість змінювати записи, що зберігаються в базі даних Active Directory, контролюється за допомогою дозволів безпеки, які самі по собі відносяться до бази даних Active Directory. Таким чином підприємства можуть надати функцію "Делегування контролю", щоб дозволити певним уповноваженим користувачам (або членам груп безпеки) виконувати адміністративні функції в Active Directory обмеженого та визначеного обсягу. Це дозволило б, наприклад, працівникові служби підтримки змінити пароль іншого користувача, але не розміщувати його власний обліковий запис у групах безпеки, які можуть надати йому дозвіл на доступ до чутливих ресурсів.
Версії операційної системи Windows також можуть виконувати установки програмного забезпечення, вносити зміни в середовище користувача (робочий стіл, меню "Пуск", поведінка прикладних програм тощо), використовуючи групову політику. Заднє зберігання даних, що керує цією системою групової політики, зберігається в Active Directory і, таким чином, надається функція реплікації та захисту.
Нарешті, інші програмні програми, як від Microsoft, так і від сторонніх, зберігають додаткову інформацію про конфігурацію в базі даних Active Directory. Наприклад, сервер Microsoft Exchange широко використовує Active Directory. Програми використовують Active Directory, щоб отримати переваги реплікації, безпеки та делегування контролю, описаних вище.
Вау! Не надто погано, я не думаю, для потоку свідомості!
Супер коротка відповідь: AD - це база даних для зберігання інформації про вхід та групу користувачів та інформації про конфігурацію, яка керує груповою політикою та іншим прикладним програмним забезпеченням.
"Дивіться, уявіть собі гігантське дерево з купою відрів на кінцівках. Усередині цих відрів є маленькі ключі, які дозволяють вам отримати доступ до спеціальних дверей, які живуть у районі, повз дерево. Якщо ваше ім'я відповідає імені, викарбуваному на одній із таких Ключі в одному з цих відер, ви відкриваєте двері, які відповідають цьому ключу, і отримуєте доступ до спеціальної інформації, яка зберігається там ".
І моя робота, як активного адміністратора каталогів, - переконатися, що всі ці відра, ключі та імена, пророблені на кожному, оновлені, добре працюють, видаляються, коли вони більше не потрібні чи потрібні. Крім того, я будую НОВІ двері, які захищають НОВІ кімнати, розмелюють нові ключі, які дозволяють отримати доступ і навіть воду, і вирощують дерево, яке тримає все це разом ".
(Технічно мені краще сподобалась відповідь Евана, але я це поясню. :)
Якби це була моя дружина, я б просто описав це як телефонний довідник з трохи більше інформації.
Я не маю прав на коментування (низька репутація), тому просто припускайте, що ця відповідь є коментарем до відповіді Евана про те, чому б не сервер SQL?
Як я пам’ятаю, Microsoft хотіла, щоб база даних AD була настільки міцною та самолікуваною, що не потрібно вимагати нормальної діяльності DBA, а також спеціальної DBA. На той час (на початку або в середині 90-х) технологія SQL БД була недостатньо надійною за призначенням AD.
Була дискусія на цю тему у списку розсилки на activedir.org (найкращий список розсилки для Active Directory. ПЕРІОД.)
Побачте це як кросова порода сервера SQL з мережевим файлом, візьміть найкращий біт цих двох технологій, викиньте його і що залишилося - Active Directory (або для цього питання будь-який LDAP).
Тепер уявіть, що все, що ви зазвичай робите для налаштування одного ПК, як-от налаштування користувачів, груп, принтерів, мережевих спільних доступів, прав доступу та іншого, може зберігатися у певному місці та застосовуватися до будь-якого (безлічі) комп’ютерів, які бажають для доступу до конкретного місця.
Ось так Microsoft хоче, щоб ми використовували Active Directory.