È comune pensare che un controller di dominio vs Active Directory siano sinonimi l’uno dell’altro. In realtà, sono molto diversi. Conoscere queste differenze vi aiuterà a capire meglio come entrambi lavorano insieme.
Per questo articolo, ci concentreremo sulla terminologia di Windows NT. Molti dei concetti e dei termini sono gli stessi o simili in Linux. Per raccontare la storia dei controller di dominio contro Active Directory, userò la storia di un nightclub.
Spero che questo metta in relazione gli scenari equivalenti e le differenze tra la funzionalità di Active Directory e quella dei controller di dominio meglio di un semplice rigurgito di documentazione.
Se state cercando una spiegazione di Active Directory, siete nel posto giusto.
Tabella dei contenuti
Controller di dominio
Un buttafuori di nome Ox è di guardia alla porta del nightclub chiamato Club BOFH. Il lavoro di Ox è quello di controllare i nomi su una lista prima di far entrare qualcuno in fila nel club. Ogni speranzoso frequentatore del club in fila vuole entrare, ma deve essere sulla lista ‘A’.
Non è sulla lista? Non entrano. Se ci provano, vengono espulsi! Il buttafuori sta fornendo un servizio critico al proprietario del nightclub, che, quando non gestisce un club, scrive questi tipi di post sul blog per spiegare argomenti IT.
Il controller di dominio (Ox il buttafuori) o DC, sta fornendo servizi di sicurezza per il night club. Un controller di dominio ospita un database (la lista ‘A’) che viene utilizzato per le richieste di autenticazione (il frequentatore del club che dà il suo nome a Ox).
Una volta che Ox autentica il frequentatore del club, stacca la corda di velluto e permette al frequentatore del club (un utente o computer) di passare. Questo è l’unico modo per ottenere l’accesso alle risorse del dominio (bevande, musica e balli all’interno del night club).
Ox ha alcuni amici (server membri che agiscono come controllori di dominio o DC) che lo aiutano. Se uno di loro viene sopraffatto da una persona arrabbiata che è stata espulsa dal night club, uno qualsiasi di loro può intervenire e continuare a fornire servizi di sicurezza.
Ox riesce a fornire servizi di sicurezza ridondanti. Ma come fanno Ox e friends ad avere la lista dei frequentatori del club che possono o non possono entrare al Club BOFH?
Active Directory
Il Club BOFH è unico. C’è solo una sede. Il proprietario del night club, Roscoe, ha un libro nero che contiene tutti i frequentatori del club che sono autorizzati ad entrare e che hanno pagato la loro quota di iscrizione.
Se gli affari continuano a crescere, Roscoe ha intenzione di aprire nuove sedi.
Ox usa questo libro nero mentre fornisce la sicurezza ogni notte. Roscoe aggiorna regolarmente anche questo libro. I nomi vengono sempre aggiunti o rimossi, spesso con note su ciò che un frequentatore del club può e non può fare all’interno del Club BOFH.
L’amico più intimo di Ox, Hanz (che aiuta quotidianamente), ha una copia di questo libro nero e occasionalmente confronta la sua lista con quella di Ox. Ogni voce nel libro di Ox che non è inclusa in quello di Hanz viene aggiunta o rimossa.
A volte Ox ha lasciato il libro a casa. Questo non è un problema perché Ox può ancora guardare ciò che Hanz ha registrato e condiviso.
Il dominio Active Directory (Club BOFH) consiste in un Active Directory Server (Roscoe) o server ‘AD’ e un Active Directory Service (little black book). Questo servizio memorizza oggetti come le informazioni sugli account degli utenti e dei computer.
Ox e gli amici impiegati da Roscoe (controller del dominio di directory) usano tutti lo stesso servizio di dominio perché operano solo in un dominio Active Directory.
Altri termini da conoscere
Queste sono alcune informazioni critiche da capire:
- Un’identità può essere un singolo utente o computer. Può anche essere un gruppo di utenti o computer. Quando guardi Active Directory Users and Computers (ADUC), vedi nomi di utenti e di gruppi di sicurezza. Queste sono identità.
- Un principal di sicurezza è usato per autenticare un’identità ed è ciò che gestisce quali permessi ha un’identità. E’ usato per provare che un’identità è genuina.
- Un identificatore di sicurezza è solo una chiave associata ad un’identità che determina l’autorità sul dominio.
- Un account è un utente o un computer. Un account utente memorizza le informazioni relative all’identità dell’utente e viene utilizzato per verificare l’accesso alle risorse di rete come le condivisioni di file.
Un account computer contiene informazioni che autenticano l’account al dominio. Ogni account computer include un identificatore di sicurezza unico (SID).
Non è solo Active Directory VS Controller di dominio
Ricorda gli scenari di esempio precedenti che coinvolgono il Club BOFH.
Siedi al tuo computer per accedere. Il vostro computer è già un membro del dominio. Ha un account che è stato autenticato usando il SID che è stato assegnato al tuo computer, permettendo a questo computer di accedere alle risorse di rete.
Questo è stato fatto attraverso uno scambio di chiavi di sicurezza tra il computer e il controller del dominio.
Procedete a digitare il vostro nome utente, che è la vostra identità legata al vostro account utente. Il tuo account ha un SID, e il principale di sicurezza assegna i tuoi diritti di accesso locale. Il tuo programma Microsoft Outlook è già configurato utilizzando il server Exchange della tua azienda.
Dove sono conservate tutte queste informazioni? Sono assegnate a te in Active Directory. L’account del computer potrebbe anche avere dati memorizzati, come la posizione e chi lo gestisce.
Conclusione
Le differenze tra ciò che fa Active Directory e ciò che fa un controller di dominio non è un argomento difficile una volta che si riesce a visualizzare il processo. È più facile ricordare che i controller di dominio autenticano la vostra autorità, mentre Active Directory gestisce la vostra identità e l’accesso alla sicurezza.