web-dev-qa-db-fra.com

Active Directory expliqué

Si vous deviez expliquer Active Directory à quelqu'un, comment l'expliqueriez-vous?

72
user6848

Je passe un peu de temps ici, bien sûr, mais c'est un résumé semi-technique décent qui serait approprié pour communiquer avec d'autres qui ne connaissent pas Active Directory lui-même, mais généralement familier avec les ordinateurs et les problèmes associés à l'authentification et autorisation.

Active Directory est, en son cœur, un système de gestion de base de données. Cette base de données peut être répliquée sur un nombre arbitraire d'ordinateurs serveurs (appelés contrôleurs de domaine) de manière multimaître (ce qui signifie que des modifications peuvent être apportées à chaque copie indépendante, et éventuellement elles seront répliquées sur toutes les autres copies).

La base de données Active Directory d'une entreprise peut être divisée en unités de réplication appelées "Domaines". Le système de réplication entre les ordinateurs serveurs peut être configuré de manière très flexible pour permettre la réplication même face aux échecs de connectivité entre les ordinateurs du contrôleur de domaine, et pour répliquer efficacement entre les emplacements qui pourraient être connectés avec une bande passante faible WAN.

Windows utilise Active Directory comme référentiel pour les informations de configuration. La principale de ces utilisations est le stockage des informations d'identification de connexion des utilisateurs (noms d'utilisateur/hachages de mot de passe) de sorte que les ordinateurs peuvent être configurés pour se référer à cette base de données afin de fournir une capacité d'authentification unique centralisée pour un grand nombre de machines (appelées "membres" du " Domaine").

Les autorisations d'accès aux ressources hébergées par des serveurs membres d'un domaine Active Directory peuvent être contrôlées par la dénomination explicite des comptes d'utilisateurs à partir du domaine Active Directory dans des autorisations appelées listes de contrôle d'accès (ACL), ou en créant des regroupements logiques de comptes d'utilisateurs dans des groupes de sécurité . Les informations sur les noms et l'appartenance à ces groupes de sécurité sont stockées dans Active Directory.

La possibilité de modifier les enregistrements stockés dans la base de données Active Directory est contrôlée par des autorisations de sécurité qui, elles-mêmes, font référence à la base de données Active Directory. De cette façon, les entreprises peuvent fournir une fonctionnalité de "délégation de contrôle" pour permettre à certains utilisateurs autorisés (ou membres de groupes de sécurité) d'effectuer des fonctions administratives sur Active Directory d'une portée limitée et définie. Cela permettrait, par exemple, à un employé du service d'assistance de changer le mot de passe d'un autre utilisateur, mais pas de placer son propre compte dans des groupes de sécurité qui pourraient lui accorder la permission d'accéder à des ressources sensibles.

Les versions du système d'exploitation Windows peuvent également effectuer des installations de logiciels, apporter des modifications à l'environnement de l'utilisateur (bureau, menu Démarrer, comportement des programmes d'application, etc.) à l'aide de la stratégie de groupe. Le stockage dorsal des données qui pilotent ce système de stratégie de groupe est stocké dans Active Directory et bénéficie ainsi de la réplication et des fonctionnalités de sécurité.

Enfin, d'autres applications logicielles, de Microsoft et de tiers, stockent des informations de configuration supplémentaires dans la base de données Active Directory. Microsoft Exchange Server, par exemple, fait un usage intensif d'Active Directory. Les applications utilisent Active Directory pour bénéficier des avantages de la réplication, de la sécurité et de la délégation de contrôle décrits ci-dessus.

Ouf! Pas trop mal, je ne pense pas, pour un courant de conscience!

Réponse très courte: AD est une base de données pour stocker les informations de connexion et de groupe des utilisateurs, et les informations de configuration qui pilotent la stratégie de groupe et d'autres logiciels d'application.

98
Evan Anderson

"Voyez, imaginez un arbre géant avec un tas de seaux sur les membres. À l'intérieur de ces seaux se trouvent de petites clés qui vous permettent d'accéder à des portes spéciales qui vivent dans une zone, au-delà de l'arbre. Si votre nom correspond à un nom gravé sur l'un de ces dans l'un de ces compartiments, vous pouvez ouvrir la porte qui correspond à cette clé et accéder aux informations spéciales qui y sont stockées. "

Et mon travail, en tant qu'administrateur Active Directory, est de m'assurer que tous ces compartiments, clés et noms gravés sur chacun sont à jour, fonctionnent bien, supprimés lorsqu'ils ne sont plus utiles ou nécessaires. De plus, je construis de NOUVELLES portes qui protègent de NOUVELLES pièces, fraiser les nouvelles clés qui permettent l'accès et même arroser et faire pousser l'arbre qui tient tout cela ensemble. "

(Techniquement, j'aimais mieux la réponse d'Evan, mais c'est comme ça que je l'expliquerais.:)

14
Greg Meehan

Si c'était ma femme, je le décrirais comme un annuaire téléphonique avec un peu plus d'informations.

11
PowerApp101

Je n'ai pas de droits de commentaire (mauvaise réputation), alors supposez simplement que cette réponse est un commentaire à la réponse d'Evan sur pourquoi pas SQL Server?

Je me souviens que Microsoft voulait que la base de données AD soit si robuste et auto-réparatrice que le type d'activité DBA normal ne devrait pas être requis ni un DBA spécial. À cette époque (début ou milieu des années 90), la technologie SQL DB n'était pas suffisamment robuste pour le but prévu par AD.

Il y a eu une discussion sur ce sujet à la liste de diffusion sur activedir.org (LA MEILLEURE liste de diffusion pour Active Directory. PÉRIODE.)

4
KAPes

Voyez-le comme une race croisée d'un serveur SQL avec un partage de fichiers réseau, prenez le meilleur de ces deux technologies, jetez-le et ce qui reste est Active Directory (ou d'ailleurs n'importe quel LDAP).

Imaginez maintenant que tout ce que vous faites habituellement pour configurer un seul PC, comme configurer des utilisateurs, des groupes, des imprimantes, des partages réseau, des droits d'accès et autres, peut être stocké dans un endroit spécifique et appliqué à n'importe quelle (multitude) d'ordinateurs pour accéder à cet endroit spécifique.

C'est ainsi que Microsoft souhaite que nous utilisions Active Directory.

0