Active Directory expliqué

72

Si vous deviez expliquer Active Directory à quelqu'un, comment l'expliqueriez-vous?


la source
3
Qui est le public pour ce petit briefing. Ma femme aurait une explication différente de celle de mon patron. \\ uSlackr
uSlackr

Réponses:

98

Bien sûr, je néglige un peu le sujet, mais c’est un résumé semi-technique décent qui convient parfaitement pour communiquer avec des personnes qui ne sont pas familières avec Active Directory, mais qui sont généralement familiarisées avec les ordinateurs et les problèmes liés à l’authentification. autorisation.

Active Directory est, à la base, un système de gestion de base de données. Cette base de données peut être répliquée sur un nombre arbitraire d'ordinateurs serveurs (appelés contrôleurs de domaine) de manière multimaître (ce qui signifie que des modifications peuvent être apportées à chaque copie indépendante et qu'elles seront éventuellement répliquées sur toutes les autres copies).

La base de données Active Directory dans une entreprise peut être divisée en unités de réplication appelées "Domaines". Le système de réplication entre ordinateurs serveur peut être configuré de manière très flexible pour permettre la réplication même en cas d'échec de la connectivité entre ordinateurs de contrôleur de domaine et pour effectuer une réplication efficace entre des emplacements pouvant être connectés à une connectivité WAN à faible bande passante.

Windows utilise Active Directory en tant que référentiel pour les informations de configuration. Parmi ces utilisations, la principale est le stockage des identifiants de connexion utilisateur (noms d'utilisateur / mots de passe) afin que les ordinateurs puissent être configurés pour faire référence à cette base de données afin de fournir une capacité de connexion unique centralisée pour un grand nombre de machines (appelées "membres" du serveur). Domaine").

Les autorisations d'accès aux ressources hébergées par des serveurs membres d'un domaine Active Directory peuvent être contrôlées via l'attribution de noms explicites aux comptes d'utilisateurs du domaine Active Directory dans des autorisations appelées listes de contrôle d'accès (ACL) ou en créant des regroupements logiques de comptes d'utilisateurs dans des groupes de sécurité. . Les informations sur les noms et les membres de ces groupes de sécurité sont stockées dans Active Directory.

La possibilité de modifier les enregistrements stockés dans la base de données Active Directory est contrôlée par des autorisations de sécurité qui font elles-mêmes référence à la base de données Active Directory. De cette manière, les entreprises peuvent fournir la fonctionnalité "Délégation de contrôle" permettant à certains utilisateurs autorisés (ou membres de groupes de sécurité) d’exécuter des fonctions administratives sur Active Directory d’une portée limitée et définie. Cela permettrait, par exemple, à un employé du support technique de changer le mot de passe d'un autre utilisateur, mais pas de placer son propre compte dans des groupes de sécurité susceptibles de lui accorder l'autorisation d'accéder à des ressources sensibles.

Les versions du système d'exploitation Windows peuvent également effectuer des installations de logiciels, apporter des modifications à l'environnement de l'utilisateur (bureau, menu Démarrer, comportement des programmes d'application, etc.) à l'aide de la stratégie de groupe. Le stockage principal des données qui pilote ce système de stratégie de groupe est stocké dans Active Directory, ce qui lui confère des fonctionnalités de réplication et de sécurité.

Enfin, d'autres applications logicielles, de Microsoft et de tiers, stockent des informations de configuration supplémentaires dans la base de données Active Directory. Microsoft Exchange Server, par exemple, utilise beaucoup Active Directory. Les applications utilisent Active Directory pour tirer parti des avantages de la réplication, de la sécurité et de la délégation de contrôle décrits ci-dessus.

Ouf! Pas trop mal, je ne pense pas, pour un flot de conscience!

Réponse très courte: AD est une base de données pour stocker les informations de connexion et de groupe des utilisateurs, ainsi que les informations de configuration qui pilotent la stratégie de groupe et d'autres logiciels d'application.

Evan Anderson
la source
2
Bonne réponse - mais comment répondre à la question: "s'il ne s'agit que d'une base de données, pourquoi ne pas simplement tout stocker dans SQL Server?"
marc_s
9
Parce que cette base de données particulière est celle que Microsoft a choisi d'utiliser pour toutes ces fonctions, pas SQL Server. Pourquoi les horloges fonctionnent-elles dans le sens des aiguilles d'une montre? smile Certes, Microsoft aurait pu stocker tous les types d'informations gérées par Active Directory dans une base de données basée sur SQL Server, mais ils ont plutôt choisi d'utiliser le moteur Jet Blue. Le fait qu'AD n'utilise pas le moteur de stockage SQL Server n'en fait pas moins une base de données.
Evan Anderson
LDAP est une base de données, mais elle est hautement adaptée aux lectures en raison de la nature du trafic. SQL est réglé pour un trafic plus général.
uSlackr
3
@uSlackr: LDAP n'est pas une base de données, c'est un protocole de communication.
Evan Anderson
2
@uSlackr: Ouais, les paramètres réels spécifiés dans les objets de stratégie de groupe sont conservés dans des fichiers répliqués via NTFRS ou DFS-R. Comme je l'ai dit dans ma toute première phrase, "je passe beaucoup de temps ici ...". Dans cette réponse, je traite l'amalgame de données stockées dans le fichier DIT et dans le SYSVOL comme étant "l'Active Directory".
Evan Anderson
14

"Vous voyez, imaginez un arbre géant avec un tas de seaux sur les membres. À l'intérieur de ces seaux se trouvent de petites clés qui vous permettent d'accéder à des portes spéciales situées dans une zone, au-delà de l'arbre. Si votre nom correspond à un nom gravé sur l'une d'entre elles clés dans l’un de ces compartiments, vous devez ouvrir la porte correspondant à cette clé et accéder aux informations spéciales qui y sont stockées. "

Et mon travail, en tant qu'administrateur d'annuaire actif, consiste à m'assurer que tous ces compartiments, clés et noms gravés sur chacun d'entre eux sont à jour, fonctionnent correctement et ont été supprimés lorsqu'ils ne sont plus utiles ou plus utiles. De plus, je construis de NOUVELLES portes qui protègent de NOUVELLES chambres, moudre de nouvelles clés qui permettent d’accéder et même d’arroser et de faire pousser l’arbre qui le tient ensemble. "

(Techniquement, j'aimais mieux la réponse d'Evan, mais c'est comme ça que je l'expliquerais. :)

Greg Meehan
la source
11

Si c’était ma femme, je le décrirais comme un annuaire téléphonique avec un peu plus d’informations.

PowerApp101
la source
5
Essayer d'imaginer être marié à un Active Directory ...
Ben
4

Je n'ai pas le droit de commenter (faible réputation), donc supposons juste que cette réponse est un commentaire à la réponse d'Evan sur pourquoi pas le serveur SQL?

Ce dont je me souviens, c’était que Microsoft souhaitait que la base de données AD soit tellement robuste et auto-réparatrice qu’un type d’activité DBA normal ne soit pas nécessaire, ni un DBA spécial. A cette époque (au début ou au milieu des années 90), la technologie SQL DB n'était pas assez robuste pour le but recherché par AD.

Une discussion à ce sujet a eu lieu sur la liste de diffusion sur activedir.org (LA MEILLEURE liste de diffusion pour Active Directory. PÉRIODE.)

KAP
la source
0

Voyez-le comme un mélange de serveurs SQL avec un partage de fichiers sur le réseau, prenez le meilleur de ces deux technologies, jetez-le et tout ce qui reste est Active Directory (ou même n'importe quel LDAP).

Maintenant, imaginez que tout ce que vous faites habituellement pour configurer un seul PC, comme la configuration d’utilisateurs, de groupes, d’imprimantes, de partages réseau, de droits d’accès, etc., puisse être stocké à un endroit spécifique et appliqué à tout type pour accéder à cet endroit spécifique.

C’est ainsi que Microsoft souhaite que nous utilisions Active Directory.

Martin P. Hellwig
la source