Powszechne jest myślenie, że kontroler domeny vs Active Directory to synonimy. W rzeczywistości, są one bardzo różne. Znajomość tych różnic pomoże Ci lepiej zrozumieć, jak oba te pojęcia działają razem.
W tym artykule skupimy się na terminologii Windows NT. Wiele z pojęć i terminów jest takich samych lub podobnych w Linuksie. Aby opowiedzieć o kontrolerach domeny vs Active Directory, użyję historii o klubie nocnym.
Mam nadzieję, że w ten sposób przedstawię równoważne scenariusze i różnice pomiędzy Active Directory a funkcjonalnością kontrolerów domeny lepiej niż po prostu powtarzając dokumentację.
Jeśli szukasz wyjaśnień na temat Active Directory, trafiłeś we właściwe miejsce.
Spis treści
Kontrolery domeny
Burmacher o imieniu Ox stoi na straży przy drzwiach klubu nocnego o nazwie Club BOFH. Zadaniem Oxa jest sprawdzanie nazwisk na liście przed wpuszczeniem kogoś z kolejki do klubu. Każdy potencjalny bywalec klubu w kolejce chce się dostać, ale musi być na liście 'A'.
Nie ma ich na liście? Nie dostaną się. Jeśli spróbują, zostaną wyrzuceni! Bramkarz świadczy usługi krytyczne dla właściciela klubu nocnego, który, gdy nie prowadzi klubu, pisze tego typu wpisy na blogu wyjaśniające tematy informatyczne.
Kontroler domeny (Ox the bouncer) lub DC, świadczy usługi bezpieczeństwa dla klubu nocnego. Kontroler domeny hostuje bazę danych (lista 'A'), która jest używana do uwierzytelniania (bywalec klubu podaje swoje imię Oxowi).
Gdy Ox uwierzytelni bywalca klubu, odczepia aksamitną linę i pozwala bywalcowi klubu (użytkownikowi lub komputerowi) przejść. Jest to jedyny sposób, aby uzyskać dostęp do zasobów domeny (drinki, muzyka i taniec w klubie nocnym).
Ox ma kilku przyjaciół (serwery członkowskie działające jako kontrolery domeny lub DC), którzy pomagają. Jeśli jeden z nich zostanie obezwładniony przez wściekłą osobę, która została wyrzucona z klubu nocnego, każdy z nich może wkroczyć i kontynuować świadczenie usług bezpieczeństwa.
Ox dobrze sobie radzi z zapewnieniem redundantnych usług bezpieczeństwa. Ale jak Ox i przyjaciele dostają listę bywalców klubu, którzy mają lub nie mają prawa wstępu do Club BOFH?
Active Directory
Club BOFH jest wyjątkowy. Ma tylko jedną lokalizację. Właściciel klubu nocnego, Roscoe, posiada czarną księgę, w której znajdują się wszyscy bywalcy klubu, którzy są upoważnieni do wejścia i zapłacili składki członkowskie.
Jeśli biznes będzie się rozwijał, Roscoe planuje otwarcie nowych lokalizacji.
Ox korzysta z tej czarnej księgi podczas zapewniania bezpieczeństwa każdej nocy. Roscoe również regularnie aktualizuje tę księgę. Nazwiska są zawsze dodawane lub usuwane, często z uwagami na temat tego, co klubowicz może i nie może robić w klubie BOFH.
Najbliższy przyjaciel Oxa, Hanz (który pomaga codziennie), ma kopię tej czarnej księgi i od czasu do czasu porównuje swoją listę z tą, którą ma Ox. Każdy wpis w księdze Oxa, którego nie ma w księdze Hanza, jest dodawany lub usuwany.
Czasami Ox zostawia księgę w domu. Nie stanowi to problemu, ponieważ Ox może nadal przeglądać to, co Hanz zapisał i udostępnił.
Domena Active Directory (Club BOFH) składa się z serwera Active Directory (Roscoe) lub serwera 'AD' i usługi Active Directory (mała czarna książka). Usługa ta przechowuje obiekty takie jak informacje o kontach użytkowników i komputerów.
Ox i przyjaciele zatrudnieni przez Roscoe (kontrolerzy domeny katalogowej) wszyscy używają tej samej usługi domeny, ponieważ działają tylko w domenie Active Directory.
Dodatkowe terminy, które należy znać
Oto kilka krytycznych informacji, które należy zrozumieć:
- Tożsamość może być pojedynczym użytkownikiem lub komputerem. Może to być również grupa użytkowników lub komputerów. Kiedy spojrzysz na Active Directory Users and Computers (ADUC), zobaczysz nazwy użytkowników i nazwy grup bezpieczeństwa. Są to tożsamości.
- Zasada bezpieczeństwa jest używana do uwierzytelniania tożsamości i jest tym, co obsługuje jakie uprawnienia ma dana tożsamość. Jest on używany w celu udowodnienia, że tożsamość jest autentyczna.
- Identyfikator bezpieczeństwa jest po prostu kluczem, który jest związany z tożsamością, która określa uprawnienia w domenie.
- Konto jest albo użytkownik lub komputer. Konto użytkownika przechowuje informacje związane z tożsamością użytkownika i jest używane do weryfikacji dostępu do zasobów sieciowych, takich jak udziały w plikach.
Konto komputera zawiera informacje, które uwierzytelniają konto w domenie. Każde konto komputera zawiera unikalny identyfikator bezpieczeństwa (SID).
To nie tylko Active Directory VS Kontrolery domeny
Przypomnij sobie wcześniejsze scenariusze przykładowe dotyczące Klubu BOFH.
Siądź przy swoim komputerze, aby się zalogować. Twój komputer jest już członkiem domeny. Posiada konto, które zostało uwierzytelnione przy użyciu identyfikatora SID, który został przypisany do Twojego komputera, umożliwiając mu dostęp do zasobów sieciowych.
Odbyło się to poprzez wymianę kluczy bezpieczeństwa pomiędzy komputerem a kontrolerem domeny.
Przystępujesz do wpisania nazwy użytkownika, która jest Twoją tożsamością związaną z Twoim kontem użytkownika. Twoje konto posiada SID, a security principal przypisuje Ci prawa do logowania się lokalnie. Twój program Microsoft Outlook jest już skonfigurowany z wykorzystaniem firmowego serwera Exchange.
Gdzie są przechowywane wszystkie te informacje? Są przypisane do Ciebie w Active Directory. Konto komputera może mieć również przechowywane dane, takie jak lokalizacja i kto nim zarządza.
Podsumowanie
Różnice pomiędzy tym, co robi Active Directory, a tym, co robi kontroler domeny nie są trudne, jeśli tylko potrafisz sobie wyobrazić ten proces. Najłatwiej jest zapamiętać, że kontrolery domeny uwierzytelniają Twoje uprawnienia, a Active Directory zajmuje się Twoją tożsamością i dostępem do zabezpieczeń.