Diretório ativo explicado

72

Se você tivesse que explicar o Active Directory para alguém, como explicaria isso?


fonte
3
Quem é o público deste pequeno briefing. Minha esposa teria uma explicação diferente da minha chefe. \\ uSlackr
uSlackr 04/02

Respostas:

98

Estou discutindo bastante aqui, é claro, mas é um resumo semi-técnico decente que seria adequado para se comunicar com outras pessoas que não estão familiarizadas com o próprio Active Directory, mas geralmente familiarizadas com computadores e com os problemas associados à autenticação e autorização.

O Active Directory é, em sua essência, um sistema de gerenciamento de banco de dados. Esse banco de dados pode ser replicado entre um número arbitrário de computadores servidores (chamados Controladores de Domínio) de maneira multimestre (o que significa que as alterações podem ser feitas em cada cópia independente e, eventualmente, serão replicadas em todas as outras cópias).

O banco de dados do Active Directory em uma empresa pode ser dividido em unidades de replicação chamadas "Domínios". O sistema de replicação entre computadores servidores pode ser configurado de uma maneira muito flexível para permitir a replicação mesmo diante de falhas de conectividade entre computadores controladores de domínio e para replicar eficientemente entre locais que podem ser conectados com conectividade WAN de baixa largura de banda.

O Windows usa o Active Directory como um repositório para informações de configuração. A principal entre esses usos é o armazenamento de credenciais de logon do usuário (nomes de usuário / hashes de senha), de modo que os computadores possam ser configurados para se referir a esse banco de dados para fornecer um recurso centralizado de logon único para um grande número de máquinas (chamadas "membros" do " Domínio").

As permissões para acessar recursos hospedados por servidores membros de um domínio do Active Directory podem ser controladas por meio de nomes explícitos de contas de usuário do domínio do Active Directory em permissões chamadas ACLs (listas de controle de acesso) ou pela criação de agrupamentos lógicos de contas de usuário em grupos de segurança . As informações sobre os nomes e membros desses grupos de segurança são armazenadas no Active Directory.

A capacidade de modificar registros armazenados no banco de dados do Active Directory é controlada por meio de permissões de segurança que, elas próprias, se referem ao banco de dados do Active Directory. Dessa maneira, as empresas podem fornecer a funcionalidade "Delegação de controle" para permitir que determinados usuários autorizados (ou membros de grupos de segurança) executem funções administrativas no Active Directory de um escopo limitado e definido. Isso permitiria, por exemplo, que um funcionário do suporte técnico alterasse a senha de outro usuário, mas não colocasse sua própria conta em grupos de segurança que pudessem conceder a ele permissão para acessar recursos confidenciais.

As versões do sistema operacional Windows também podem executar instalações de software, fazer modificações no ambiente do usuário (área de trabalho, menu Iniciar, comportamento de aplicativos, etc.) usando a Diretiva de Grupo. O armazenamento de back-end dos dados que impulsionam esse sistema de Diretiva de Grupo é armazenado no Active Directory e, portanto, recebe funcionalidade de replicação e segurança.

Por fim, outros aplicativos de software, da Microsoft e de terceiros, armazenam informações de configuração adicionais no banco de dados do Active Directory. O Microsoft Exchange Server, por exemplo, faz uso pesado do Active Directory. Os aplicativos usam o Active Directory para obter os benefícios de replicação, segurança e delegação de controle descritos acima.

Ufa! Não é tão ruim, eu acho, para um fluxo de consciência!

Resposta super curta: o AD é um banco de dados para armazenar informações de logon e grupo de usuários e informações de configuração que direcionam a diretiva de grupo e outros aplicativos.

Evan Anderson
fonte
2
Boa resposta - mas como você responde à pergunta: "se é apenas um banco de dados, por que não armazenar tudo no SQL Server?"
marc_s
9
Como esse banco de dados específico é o escolhido pela Microsoft para todas essas funções - não o SQL Server. Por que os relógios funcionam no sentido horário? smile Certamente, a Microsoft poderia ter armazenado todos os tipos de informações que o Active Directory gerencia em um banco de dados baseado no SQL Server, mas eles optaram por usar o mecanismo Jet Blue. O fato de o AD não estar usando o mecanismo de armazenamento do SQL Server não o torna menos um banco de dados.
Evan Anderson
O LDAP é um banco de dados, mas é altamente ajustado para leituras devido à natureza do tráfego. O SQL está ajustado para um tráfego mais geral.
USlackr
3
@uSlackr: LDAP não é um banco de dados - é um protocolo de comunicação.
Evan Anderson
2
@uSlackr: Sim - as configurações reais especificadas nos GPOs são mantidas em arquivos replicados via NTFRS ou DFS-R. Como eu disse na minha primeira frase "Estou encobrindo um pouco aqui ..." Nesta resposta, estou tratando o amálgama de dados armazenados no arquivo DIT e no SYSVOL como sendo "o Active Directory".
Evan Anderson
14

"Veja, imagine uma árvore gigante com um monte de baldes nos galhos. Dentro desses baldes, há pequenas chaves que permitem acesso a portas especiais que moram em uma área, além da árvore. Se o seu nome corresponder a um nome gravado em um daqueles chaves em um desses baldes, você pode abrir a porta que corresponde a essa chave e acessar as informações especiais armazenadas nela ".

E meu trabalho, como administrador do diretório ativo, é garantir que todos os blocos, chaves e nomes gravados em cada um estejam atualizados, funcionando bem, removidos quando não forem mais úteis ou necessários. Além disso, construo NOVAS portas que protegem NOVAS salas, freso as novas chaves que permitem acesso e até regamos e crescemos a árvore que une tudo isso ".

(Tecnicamente, gostei mais da resposta de Evan, mas é assim que eu explicaria. :)

Greg Meehan
fonte
11

Se fosse minha esposa, eu descreveria como uma lista telefônica com um pouco mais de informação.

PowerApp101
fonte
5
Tentando imaginar estar casada com um Active Directory ...
Ben
4

Não tenho direitos para comentar (baixa reputação), portanto, suponha que esta resposta seja um comentário à resposta de Evan sobre por que não o SQL Server?

O que me lembro foi que a Microsoft queria que o banco de dados do AD fosse tão robusto e auto-reparável que o tipo de atividade DBA normal não fosse necessário nem um DBA especial. Naquela época (início ou meados dos anos 90), a tecnologia SQL DB não era robusta o suficiente para o objetivo pretendido do AD.

Houve uma discussão sobre esse tópico na lista de discussão em activedir.org (A MELHOR lista de discussão do Active Directory. PERÍODO.)

KAPes
fonte
0

Veja-o como um cruzamento de um servidor SQL com um compartilhamento de arquivos de rede, aproveite o melhor dessas duas tecnologias, jogue-o fora e o que resta é o Active Directory (ou, nesse caso, qualquer LDAP).

Agora imagine que tudo o que você costuma fazer para configurar um único PC, como configurar usuários, grupos, impressoras, compartilhamentos de rede, direitos de acesso e outros, pode ser armazenado em um local específico e aplicado a qualquer multidão de computadores que desejarem para acessar esse local específico.

É assim que a Microsoft deseja que usemos o Active Directory.

Martin P. Hellwig
fonte