如果您必须向某人解释Active Directory,您将如何解释它?

评论

这个简短介绍的听众是谁。我的妻子会得到与老板不同的解释。 \\ uSlackr

#1 楼

当然,我在这里做了很多介绍,但这是一个不错的半技术性摘要,适合与不熟悉Active Directory本身,但通常熟悉计算机以及与身份验证和认证相关的问题的其他人进行交流。授权。

Active Directory本质上是一个数据库管理系统。该数据库可以以多主机方式在任意数量的服务器计算机(称为域控制器)之间复制(这意味着可以对每个独立副本进行更改,最终将它们复制到所有其他副本中)。 br />
企业中的Active Directory数据库可以分解为称为“域”的复制单元。可以以非常灵活的方式配置服务器计算机之间的复制系统,以便即使在域控制器计算机之间的连接失败时也可以进行复制,并且可以在可能与低带宽WAN连接连接的位置之间进行有效复制。 />
Windows使用Active Directory作为配置信息的存储库。这些用途中最主要的是用户登录凭据(用户名/密码哈希)的存储,以便可以将计算机配置为引用该数据库,以便为大量计算机(称为“计算机的“成员”)提供集中的单点登录功能。域”)。

可以通过显式命名Active Directory域中用户帐户的权限(称为访问控制列表(ACL))来控制访问作为Active Directory域成员的服务器托管的资源的权限。 ,或者通过将用户帐户的逻辑分组创建到安全组中。有关这些安全组的名称和成员身份的信息存储在Active Directory中。

修改存储在Active Directory数据库中的记录的能力是由安全权限控制的,安全权限本身是指Active Directory数据库。这样,企业可以提供“控制委派”功能,以允许某些授权用户(或安全组成员)在有限和定义范围内的Active Directory上执行管理功能。例如,这将允许服务台员工更改另一个用户的密码,但不能将其自己的帐户放入安全组中,这些安全组可能会授予他访问敏感资源的权限。

Windows版本操作系统还可以使用组策略执行软件安装,修改用户环境(桌面,开始菜单,应用程序的行为等)。驱动此组策略系统的数据的后端存储存储在Active Directory中,因此具有复制和安全功能。

最后,来自Microsoft和第三方的其他软件应用程序各方,将其他配置信息存储在Active Directory数据库中。例如,Microsoft Exchange Server大量使用了Active Directory。应用程序使用Active Directory来获得上述复制,安全性和控制委托的好处。

!我认为这还算不错,

超简短答案:AD是一个数据库,用于存储用户登录和组信息以及驱动组策略和其他应用程序的配置信息软件。

评论


好的答案-但是您如何回答这个问题:“如果只是数据库,那么为什么不将所有内容存储在SQL Server中呢?”

– marc_s
09年6月12日在7:54

因为这个特定的数据库是Microsoft选择用于所有这些功能的数据库,而不是SQL Server。为什么时钟“顺时针”运行?微笑当然,Microsoft可以将Active Directory管理的所有类型的信息存储在基于SQL Server的数据库中,但是他们选择使用Jet Blue引擎。 AD没有使用SQL Server存储引擎这一事实并不能使它成为数据库。

–埃文·安德森(Evan Anderson)
09年6月12日在11:50

LDAP是一个数据库,但由于流量的性质,对读进行了高度调整。 SQL已针对更多常规流量进行了调整。

–uSlackr
2010-2-4在16:43

@uSlackr:LDAP不是数据库-它是通信协议。

–埃文·安德森(Evan Anderson)
2010-2-4在17:21

@uSlackr:是的-GPO中指定的实际设置保存在通过NTFRS或DFS-R复制的文件中。就像我在第一句话中所说的:“我在这里掩盖了很多……”在这个答案中,我将DIT文件和SYSVOL中存储的数据合并为“活动目录”。

–埃文·安德森(Evan Anderson)
2010年2月5日下午5:00

#2 楼

“看,想象一棵巨大的树,四肢上有一堆水桶。这些水桶内有一些小钥匙,可以让您进入位于该区域内穿过树的特殊门。如果您的名字与刻在其中一个树上的名字匹配在其中一个存储桶中键入密钥,您就可以打开与该密钥匹配的门并访问存储在其中的特殊信息。“

作为活动目录管理员,我的职责是确保所有刻在上面的所有存储桶,键和名称都是最新的,运行良好的,在不再有用或不再需要时将其删除。此外,我还建造了用于保护新房间的新门,铣削了可以进出甚至浇水的新钥匙,并种植了将所有树连在一起的树。”(

(从技术上讲,我更喜欢Evan的回答,但这就是我的解释方式。:)

#3 楼

如果是我的妻子,我会形容它像一个电话目录,其中包含更多信息。

评论


试图想象嫁给Active Directory ...

–本
2013年6月21日在1:18



#4 楼

我没有发表评论的权利(声誉欠佳),所以仅假设此答案是对Evan关于为何不使用SQL Server的答案的评论?

我记得当时,微软希望AD数据库如此健壮并且自我修复,不需要常规的DBA活动,也不需要特殊的DBA。那时(90年代初或90年代中期),SQL DB技术还不足以实现AD的预期目的。

在activedir.org的邮件列表中(Active Directory的最佳邮件列表。PERIOD。)上有关于此主题的讨论。

#5 楼

将其视为具有网络文件共享的SQL Server的交叉版本,充分利用这两种技术,然后将其丢弃,剩下的就是Active Directory(或任何LDAP)。

现在想象一下,配置单个PC时通常执行的所有操作(例如设置用户,组,打印机,网络共享,访问权限等)都可以存储在特定位置并应用于任何位置(愿意访问该特定位置的大量计算机。

这就是Microsoft希望我们使用Active Directory的方式。