Direktori Aktif dijelaskan

72

Jika Anda harus menjelaskan Active Directory kepada seseorang, bagaimana Anda menjelaskannya?


sumber
3
Siapa audiensi untuk briefing kecil ini. Istri saya akan mendapat penjelasan berbeda dari bos saya. \\ uSlackr
uSlackr

Jawaban:

98

Saya membahas sedikit di sini, tentu saja, tetapi ini adalah ringkasan semi-teknis yang layak yang akan cocok untuk berkomunikasi dengan orang lain yang tidak akrab dengan Active Directory itu sendiri, tetapi umumnya akrab dengan komputer dan masalah yang terkait dengan otentikasi dan otorisasi.

Active Directory, pada intinya, adalah sistem manajemen basis data. Basis data ini dapat direplikasi di antara sejumlah komputer server yang sewenang-wenang (disebut Domain Controllers) dengan cara multi-master (artinya perubahan dapat dibuat untuk setiap salinan independen, dan akhirnya mereka akan direplikasi ke semua salinan lainnya).

Database Active Directory di suatu perusahaan dapat dipecah menjadi unit replikasi yang disebut "Domains". Sistem replikasi antara komputer server dapat dikonfigurasi dengan cara yang sangat fleksibel untuk memungkinkan replikasi bahkan dalam menghadapi kegagalan konektivitas antara komputer pengontrol domain, dan untuk mereplikasi secara efisien antara lokasi yang mungkin terhubung dengan konektivitas WAN bandwidth rendah.

Windows menggunakan Active Directory sebagai repositori untuk informasi konfigurasi. Kepala di antara kegunaan ini adalah penyimpanan kredensial logon pengguna (nama pengguna / kata sandi hash) sehingga komputer dapat dikonfigurasi untuk merujuk ke database ini untuk memberikan kemampuan sistem masuk tunggal terpusat untuk sejumlah besar mesin (disebut "anggota" dari " Domain").

Izin untuk mengakses sumber daya yang dihosting oleh server yang menjadi anggota domain Direktori Aktif dapat dikontrol melalui penamaan eksplisit akun pengguna dari domain Direktori Aktif dalam izin yang disebut Daftar Kontrol Akses (ACL), atau dengan membuat pengelompokan logis akun pengguna ke dalam Grup Keamanan . Informasi tentang nama dan keanggotaan grup keamanan ini disimpan di Active Directory.

Kemampuan untuk memodifikasi catatan yang disimpan dalam database Active Directory dikendalikan melalui izin keamanan yang merujuk pada database Active Directory. Dengan cara ini, perusahaan dapat menyediakan fungsionalitas "Delegasi Kontrol" untuk memungkinkan pengguna resmi tertentu (atau anggota grup keamanan) untuk melakukan fungsi administratif pada Direktori Aktif dari ruang lingkup terbatas dan ditentukan. Ini akan memungkinkan, misalnya, karyawan helpdesk untuk mengubah kata sandi pengguna lain, tetapi tidak menempatkan akunnya sendiri ke dalam kelompok keamanan yang mungkin memberinya izin untuk mengakses sumber daya sensitif.

Versi sistem operasi Windows juga dapat melakukan instalasi perangkat lunak, melakukan modifikasi pada lingkungan pengguna (desktop, menu Start, perilaku program aplikasi, dll) dengan menggunakan Kebijakan Grup. Penyimpanan back-end data yang menggerakkan sistem Kebijakan Grup ini disimpan dalam Active Directory, dan dengan demikian diberikan fungsi replikasi dan keamanan.

Akhirnya, aplikasi perangkat lunak lain, baik dari Microsoft maupun dari pihak ketiga, menyimpan informasi konfigurasi tambahan dalam database Active Directory. Microsoft Exchange Server, misalnya, banyak menggunakan Active Directory. Aplikasi menggunakan Active Directory untuk mendapatkan manfaat dari replikasi, keamanan, dan pendelegasian kontrol yang dijelaskan di atas.

Wah! Tidak terlalu buruk, saya tidak berpikir, untuk aliran kesadaran!

Jawaban super singkat: AD adalah basis data untuk menyimpan informasi pengguna dan masuk grup, dan informasi konfigurasi yang mendorong kebijakan grup dan perangkat lunak aplikasi lainnya.

Evan Anderson
sumber
2
Jawaban yang bagus - tetapi bagaimana Anda menjawab pertanyaan: "jika itu hanya database, lalu mengapa tidak menyimpan semuanya di SQL Server?"
marc_s
9
Karena database khusus ini adalah yang dipilih Microsoft untuk digunakan untuk semua fungsi ini - bukan SQL Server. Mengapa jam menjalankan "searah jarum jam"? smile Tentu saja, Microsoft dapat menyimpan semua jenis informasi yang dikelola Active Directory dalam database berbasis SQL Server, tetapi mereka memilih untuk menggunakan mesin Jet Blue. Fakta bahwa AD tidak menggunakan mesin penyimpanan SQL Server tidak membuatnya kurang dari database.
Evan Anderson
LDAP adalah database tetapi sangat disetel untuk dibaca karena sifat lalu lintas. SQL disetel untuk lalu lintas yang lebih umum.
uSlackr
3
@ uSlackr: LDAP bukan basis data - ini adalah protokol komunikasi.
Evan Anderson
2
@ uSlackr: Yap - pengaturan aktual yang ditentukan dalam GPO disimpan dalam file yang direplikasi baik melalui NTFRS atau DFS-R. Seperti yang saya katakan di kalimat pertama saya, "Saya menyelimuti sedikit di sini ..." Dalam jawaban ini saya memperlakukan campuran data yang disimpan dalam file DIT dan dalam SYSVOL sebagai "Direktori Aktif".
Evan Anderson
14

"Lihat, bayangkan sebuah pohon raksasa dengan seikat ember di tungkai. Di dalam ember ini ada kunci-kunci kecil yang memberi Anda akses ke pintu khusus yang hidup di suatu daerah, melewati pohon itu. Jika nama Anda cocok dengan nama yang terukir pada salah satu dari mereka kunci di salah satu ember itu, Anda bisa membuka pintu yang cocok dengan kunci itu dan mengakses informasi khusus yang tersimpan di sana. "

Dan tugas saya, sebagai administrator direktori aktif, adalah untuk memastikan bahwa semua ember, kunci, dan nama yang terukir di masing-masing semuanya mutakhir, bekerja dengan baik, dihapus ketika tidak lagi berguna atau dibutuhkan. Selain itu, saya membangun pintu BARU yang melindungi kamar BARU, menggiling kunci baru yang memungkinkan akses dan bahkan air dan menumbuhkan pohon yang menyatukan semua itu. "

(Secara teknis, saya lebih menyukai jawaban Evan, tetapi ini adalah bagaimana saya akan menjelaskannya. :)

Greg Meehan
sumber
11

Kalau itu istriku, aku hanya akan menggambarkannya seperti direktori telepon dengan sedikit info lebih lanjut.

PowerApp101
sumber
5
Mencoba membayangkan menikah dengan Direktori Aktif ...
Ben
4

Saya tidak memiliki hak berkomentar (reputasi rendah), jadi anggap saja jawaban ini adalah komentar untuk jawaban Evan tentang mengapa bukan SQL server?

Yang saya ingat adalah, Microsoft ingin database AD menjadi begitu kuat dan dapat menyembuhkan diri sendiri sehingga jenis aktivitas DBA yang normal tidak diperlukan atau DBA khusus. Pada saat itu (awal atau pertengahan 90-an) teknologi SQL DB tidak cukup kuat untuk tujuan yang dimaksudkan AD.

Ada diskusi tentang topik ini di milis di activedir.org (milis TERBAIK untuk Direktori Aktif. PERIODE.)

KAP
sumber
0

Melihatnya seperti jenis silang dari server SQL dengan berbagi file jaringan, ambil yang terbaik dari kedua teknologi ini, buang jauh-jauh dan yang tersisa adalah Active Directory (atau dalam hal apa pun LDAP).

Sekarang bayangkan bahwa semua yang biasa Anda lakukan untuk mengonfigurasi satu PC, seperti mengatur pengguna, grup, printer, berbagi jaringan, hak akses dan yang semacam itu dapat disimpan di tempat tertentu dan diterapkan ke (banyak) komputer yang mau untuk mengakses tempat tertentu itu.

Beginilah cara Microsoft ingin kami menggunakan Active Directory.

Martin P. Hellwig
sumber