Es ist üblich zu denken, dass ein Domänencontroller vs. Active Directory gleichbedeutend ist. Tatsächlich sind sie aber sehr unterschiedlich. Wenn Sie diese Unterschiede kennen, können Sie besser verstehen, wie beide zusammenarbeiten.
In diesem Artikel konzentrieren wir uns auf die Terminologie von Windows NT. Viele der Konzepte und Begriffe sind unter Linux gleich oder ähnlich. Um die Geschichte von Domänencontrollern und Active Directory zu erzählen, werde ich eine Geschichte über einen Nachtclub verwenden.
Ich hoffe, dass dies die äquivalenten Szenarien und Unterschiede zwischen Active Directory und Domänencontroller-Funktionalität besser vermitteln kann, als einfach nur die Dokumentation wiederzukauen.
Wenn Sie nach einer Erklärung von Active Directory suchen, sind Sie hier genau richtig.
Inhaltsverzeichnis
Domänencontroller
Ein Türsteher namens Ox steht an der Tür eines Nachtclubs namens Club BOFH Wache. Ox‘ Aufgabe ist es, Namen anhand einer Liste zu überprüfen, bevor er jemanden in der Schlange in den Club lässt. Jeder hoffnungsvolle Clubbesucher in der Schlange will rein, aber er muss auf der „A“-Liste stehen.
Nicht auf der Liste? Sie kommen nicht rein. Wenn sie es versuchen, werden sie rausgeschmissen. Der Türsteher leistet einen wichtigen Dienst für den Nachtclubbesitzer, der, wenn er nicht gerade einen Club betreibt, diese Art von Blog-Beiträgen schreibt, in denen IT-Themen erklärt werden.
Der Domain Controller (Ox der Türsteher) oder DC, leistet Sicherheitsdienste für den Nachtclub. Ein Domain Controller hostet eine Datenbank (die „A“-Liste), die für Authentifizierungsanfragen (der Club-Besucher gibt Ox seinen Namen) verwendet wird.
Wenn Ox den Club-Besucher authentifiziert hat, löst er das Samtseil und lässt den Club-Besucher (einen Benutzer oder Computer) passieren. Nur so erhält er Zugang zu den Domänenressourcen (Getränke, Musik und Tanz im Nachtclub).
Ox hat ein paar Freunde (Mitgliedsserver, die als Domänencontroller oder DCs fungieren), die ihm helfen. Sollte einer von ihnen von einer wütenden Person, die aus dem Nachtclub geworfen wurde, überwältigt werden, kann jeder von ihnen einspringen und weiterhin Sicherheitsdienste bereitstellen.
Ox ist gut darin, redundante Sicherheitsdienste bereitzustellen. Aber wie bekommen Ox und Freunde die Liste der Clubbesucher, die den Club BOFH betreten dürfen oder nicht?
Active Directory
Der Club BOFH ist einzigartig. Es gibt nur einen Standort. Der Besitzer des Nachtclubs, Roscoe, hat ein schwarzes Buch, in dem alle Clubbesucher verzeichnet sind, die eintrittsberechtigt sind und ihre Mitgliedsbeiträge bezahlt haben.
Wenn das Geschäft weiter anzieht, plant Roscoe die Eröffnung weiterer Standorte.
Ox nutzt dieses schwarze Buch, während er jede Nacht für Sicherheit sorgt. Roscoe aktualisiert dieses Buch auch regelmäßig. Es werden immer wieder Namen hinzugefügt oder entfernt, oft mit Notizen darüber, was ein Clubbesucher tun darf und was nicht, während er im Club BOFH ist.
Ox‘ engster Freund, Hanz (der täglich aushilft), hat eine Kopie dieses schwarzen Buches und vergleicht gelegentlich seine Liste mit der von Ox. Jeder Eintrag in Ox‘ Buch, der nicht in Hanz‘ Buch enthalten ist, wird hinzugefügt oder entfernt.
Manchmal hat Ox das Buch zu Hause vergessen. Das ist kein Problem, da Ox immer noch sehen kann, was Hanz aufgenommen und freigegeben hat.
Die Active Directory (Club BOFH) Domäne besteht aus einem Active Directory Server (Roscoe) oder ‚AD‘ Server und einem Active Directory Service (kleines schwarzes Buch). Dieser Dienst speichert Objekte wie Benutzer- und Computerkontoinformationen.
Die von Roscoe eingesetzten Domänencontroller verwenden alle denselben Domänendienst, da sie nur in einer Active Directory-Domäne arbeiten.
Weitere Begriffe, die Sie kennen sollten
Hier sind einige wichtige Informationen, die Sie verstehen sollten:
- Eine Identität kann ein einzelner Benutzer oder Computer sein. Sie kann auch eine Gruppe von Benutzern oder Computern sein. Wenn Sie sich Active Directory-Benutzer und -Computer (ADUC) ansehen, sehen Sie Benutzernamen und Namen von Sicherheitsgruppen. Dies sind Identitäten.
- Ein Sicherheitsprinzipal wird verwendet, um eine Identität zu authentifizieren und regelt, welche Berechtigungen eine Identität hat. Er wird verwendet, um zu beweisen, dass eine Identität echt ist.
- Ein Sicherheitsbezeichner ist nur ein Schlüssel, der mit einer Identität verbunden ist und die Berechtigung in der Domäne bestimmt.
- Ein Konto ist entweder ein Benutzer oder ein Computer. Ein Benutzerkonto speichert Informationen zur Benutzeridentität und wird verwendet, um den Zugriff auf Netzwerkressourcen wie Dateifreigaben zu überprüfen.
Ein Computerkonto enthält Informationen, die das Konto gegenüber der Domäne authentifizieren. Jedes Computerkonto enthält eine eindeutige Sicherheitskennung (SID).
Es ist nicht nur Active Directory VS Domain Controllers
Erinnern Sie sich an die Beispielszenarien von vorhin mit dem Club BOFH.
Setzen Sie sich an Ihren Computer, um sich anzumelden. Ihr Computer ist bereits ein Mitglied der Domäne. Er hat ein Konto, das mit der SID, die Ihrem Computer zugewiesen wurde, authentifiziert wurde, was diesem Computer den Zugriff auf Netzwerkressourcen erlaubt.
Dies geschah durch einen Austausch von Sicherheitsschlüsseln zwischen dem Computer und dem Domänencontroller.
Sie fahren fort, Ihren Benutzernamen einzugeben, der Ihre Identität ist, die an Ihr Benutzerkonto gebunden ist. Ihr Konto hat eine SID, und der Sicherheitsprinzipal weist Ihnen die Rechte zu, sich lokal anzumelden. Ihr Microsoft Outlook-Programm ist bereits so konfiguriert, dass es den Exchange-Server Ihrer Firma nutzt.
Wo sind all diese Informationen gespeichert? Sie sind Ihnen im Active Directory zugewiesen. Im Computerkonto könnten auch Daten gespeichert sein, wie z. B. der Standort und wer es verwaltet.
Fazit
Die Unterschiede zwischen dem, was Active Directory tut, und dem, was ein Domänencontroller tut, sind kein schwieriges Thema, wenn man sich den Prozess einmal vergegenwärtigt hat. Am einfachsten ist es, sich zu merken, dass Domänencontroller Ihre Autorität authentifizieren und Active Directory Ihre Identität und Ihren Sicherheitszugriff verwaltet.