Het is gebruikelijk om te denken dat een domain controller vs Active Directory synoniem is aan elkaar. In feite zijn ze heel verschillend. Als je deze verschillen kent, begrijp je beter hoe beide werken.
Voor dit artikel zullen we ons concentreren op Windows NT terminologie. Veel van de concepten en termen zijn hetzelfde of vergelijkbaar in Linux. Om het domein controllers vs. Active Directory verhaal te vertellen, gebruik ik een verhaal over een nachtclub.
Ik hoop dat dit de equivalente scenario’s en verschillen tussen Active Directory vs domein controller functionaliteit beter weergeeft dan het simpelweg herhalen van documentatie.
Als je op zoek bent naar uitleg over Active Directory, dan ben je hier aan het juiste adres.
Inhoudsopgave
Domeincontrollers
Een uitsmijter met de naam Ox staat op wacht bij de deur van de nachtclub die Club BOFH wordt genoemd. Ox moet namen controleren aan de hand van een lijst voordat hij iemand in de rij toelaat tot de club. Elke hoopvolle clubbezoeker in de rij wil naar binnen, maar ze moeten op de ‘A’-lijst staan.
Niet op de lijst? Dan komen ze er niet in. Als ze het proberen, worden ze eruit gegooid! De uitsmijter levert een kritieke dienst aan de eigenaar van de nachtclub, die, wanneer hij geen club runt, dit soort blogberichten schrijft waarin IT-onderwerpen worden uitgelegd.
De domeincontroller (Ox de uitsmijter) of DC, levert beveiligingsdiensten voor de nachtclub. Een domeincontroller beheert een database (de ‘A’-lijst) die wordt gebruikt voor authenticatieverzoeken (de clubbezoeker die zijn naam aan Ox geeft).
Als Ox de clubbezoeker heeft geauthenticeerd, maken ze het fluwelen touw los en laten ze de clubbezoeker (een gebruiker of computer) door. Dit is de enige manier om toegang te krijgen tot de domeinbronnen (drankjes, muziek en dansen in de nachtclub).
Ox heeft een paar vrienden (aangesloten servers die fungeren als domeincontrollers of DC’s) die helpen. Als een van hen wordt overmeesterd door een boos persoon die uit de nachtclub is gezet, kan elk van hen ingrijpen en doorgaan met het leveren van beveiligingsdiensten.
Ox doet het goed door redundante beveiligingsdiensten te leveren. Maar hoe komen Ox en friends aan de lijst van clubbezoekers die Club BOFH wel of niet mogen betreden?
Active Directory
Club BOFH is uniek. Er is maar één locatie. De eigenaar van de nachtclub, Roscoe, heeft een zwartboek waarin alle clubgangers staan die toegang hebben en hun lidmaatschapsgeld hebben betaald.
Als de zaken blijven aantrekken, is Roscoe van plan nieuwe locaties te openen.
Ox gebruikt dit zwartboek bij de beveiliging elke avond. Roscoe werkt dit boek ook regelmatig bij. Er worden altijd namen toegevoegd of verwijderd, vaak met aantekeningen over wat een clubbezoeker wel en niet mag doen in Club BOFH.
Ox’ beste vriend, Hanz (die dagelijks helpt), heeft een kopie van dit zwartboek en vergelijkt af en toe zijn lijst met wat Ox heeft. Elke vermelding in het boek van Ox die niet in het boek van Hanz voorkomt, wordt toegevoegd of verwijderd.
Soms heeft Ox het boek thuis laten liggen. Dit is geen probleem, want Ox kan nog steeds kijken naar wat Hanz heeft vastgelegd en gedeeld.
Het Active Directory (Club BOFH) Domain bestaat uit een Active Directory Server (Roscoe) of ‘AD’ server en een Active Directory Service (little black book). Deze service slaat objecten op zoals informatie over gebruikers- en computeraccounts.
Ox en vrienden in dienst van Roscoe (directory domain controllers) maken allemaal gebruik van dezelfde domeinservice, omdat ze alleen in een Active Directory Domain opereren.
Aanvullende termen om te weten
Hier volgt wat belangrijke informatie om te begrijpen:
- Een identiteit kan een enkele gebruiker of computer zijn. Het kan ook een groep gebruikers of computers zijn. Als u kijkt naar Active Directory Users and Computers (ADUC), ziet u gebruikersnamen en namen van beveiligingsgroepen. Dit zijn identiteiten.
- Een security principal wordt gebruikt om een identiteit te authenticeren en bepaalt welke rechten een identiteit heeft. Het wordt gebruikt om te bewijzen dat een identiteit echt is.
- Een security identifier is gewoon een sleutel die is gekoppeld aan een identiteit die de autoriteit op het domein bepaalt.
- Een account is ofwel een gebruiker of een computer. Een gebruikersaccount slaat informatie op met betrekking tot de identiteit van de gebruiker en wordt gebruikt om de toegang tot netwerkbronnen zoals file shares te verifiëren.
Een computeraccount bevat informatie waarmee de account bij het domein wordt geauthenticeerd. Elke computeraccount bevat een unieke beveiligingsidentificatie (SID).
Het is niet alleen Active Directory VS Domain Controllers
Herinner u de voorbeeldscenario’s van eerder met Club BOFH.
Zit u achter uw computer om in te loggen. Uw computer is al lid van het domein. Hij heeft een account dat is geauthenticeerd met de SID die aan uw computer is toegewezen, waardoor deze computer toegang heeft tot netwerkbronnen.
Dit is gedaan door middel van een uitwisseling van beveiligingssleutels tussen de computer en de domeincontroller.
U typt uw gebruikersnaam in, wat uw identiteit is die is gekoppeld aan uw gebruikersaccount. Uw account heeft een SID, en de security principal kent u rechten toe om lokaal in te loggen. Uw Microsoft Outlook programma is al geconfigureerd met behulp van de Exchange server van uw bedrijf.
Waar is al deze informatie opgeslagen? Die is aan u toegewezen in Active Directory. Ook in het computeraccount kunnen gegevens worden opgeslagen, zoals de locatie en wie het beheert.
Conclusie
De verschillen tussen wat Active Directory doet en wat een domeincontroller doet, is niet zo moeilijk als je het proces eenmaal kunt visualiseren. Het is het gemakkelijkst om te onthouden dat domeincontrollers uw autoriteit verifiëren, en Active Directory uw identiteit en beveiligingstoegang afhandelt.