web-dev-qa-db-ja.com

Active Directoryの説明

Active Directoryを誰かに説明する必要がある場合、どのように説明しますか?

72
user6848

もちろん、ここではかなり詳しく説明しますが、これは、Active Directory自体に精通していないが、一般的にはコンピュータと認証に関連する問題に精通している他の人との通信に適した、かなり技術的な要約です。認可。

Active Directoryは、本質的にはデータベース管理システムです。このデータベースは、マルチマスター方式で任意の数のサーバーコンピューター(ドメインコントローラーと呼ばれます)間でレプリケートできます(つまり、各独立したコピーに変更を加えることができ、最終的には他のすべてのコピーにレプリケートされます)。

企業内のActive Directoryデータベースは、「ドメイン」と呼ばれる複製の単位に分割できます。サーバーコンピューター間のレプリケーションシステムは、ドメインコントローラーコンピューター間の接続に障害が発生した場合でもレプリケーションを許可し、低帯域幅で接続されている可能性のある場所間で効率的にレプリケートするように非常に柔軟に構成できますWAN接続。

WindowsはActive Directoryを構成情報のリポジトリとして使用します。これらの用途の主なものは、ユーザーログオン資格情報(ユーザー名/パスワードハッシュ)の保存です。このデータベースを参照するようにコンピューターを構成して、多数のマシン(「メンバー」と呼ばれる)に集中型シングルサインオン機能を提供できます。ドメイン")。

Active Directoryドメインのメンバーであるサーバーがホストするリソースにアクセスするためのアクセス許可は、アクセス制御リスト(ACL)と呼ばれるアクセス許可でActive Directoryドメインからユーザーアカウントを明示的に指定するか、ユーザーアカウントの論理グループをセキュリティグループに作成することで制御できます。 。これらのセキュリティグループの名前とメンバーシップに関する情報は、Active Directoryに格納されます。

Active Directoryデータベースに保存されているレコードを変更する機能は、それ自体がActive Directoryデータベースを参照するセキュリティ権限を通じて制御されます。このようにして、企業は「制御の委任」機能を提供して、特定の許可されたユーザー(またはセキュリティグループのメンバー)が、限定され定義されたスコープのActive Directoryで管理機能を実行できるようにします。これにより、たとえば、ヘルプデスクの従業員は別のユーザーのパスワードを変更できますが、自分のアカウントをセキュリティグループに入れて機密性の高いリソースへのアクセスを許可することはできません。

Windowsオペレーティングシステムのバージョンでは、グループポリシーを使用して、ソフトウェアのインストールを実行したり、ユーザーの環境(デスクトップ、スタートメニュー、アプリケーションプログラムの動作など)を変更したりすることもできます。このグループポリシーシステムを駆動するデータのバックエンドストレージはActive Directoryに格納されているため、レプリケーションとセキュリティ機能が提供されます。

最後に、Microsoftとサードパーティの両方による他のソフトウェアアプリケーションは、追加の構成情報をActive Directoryデータベースに格納します。たとえば、Microsoft Exchange ServerはActive Directoryを頻繁に使用します。アプリケーションはActive Directoryを使用して、上記のレプリケーション、セキュリティ、および制御の委任の利点を獲得します。

ふew!意識の流れとしては、悪くないと思います。

超短い答え:ADは、ユーザーログオンとグループ情報、およびグループポリシーと他のアプリケーションソフトウェアを駆動する構成情報を格納するデータベースです。

98
Evan Anderson

「ほら、手足にたくさんのバケツがある巨大な木を想像してみてください。これらのバケツの内側には、木の先にあるエリアに住んでいる特別なドアへのアクセスを許可する小さな鍵があります。これらのバケットの1つにあるキーを使用すると、そのキーと一致するドアを開けて、そこに格納されている特別な情報にアクセスできます。」

そして、Active Directory管理者としての私の仕事は、それらすべてにエッチングされたすべてのバケット、キー、および名前がすべて最新であり、正常に機能し、もはや不要または不要になったときに削除されることを確認することです。さらに、新しい部屋を保護する新しいドアを構築し、アクセスと水さえも許可する新しいキーを製粉し、すべてをまとめて保持する木を育てています。」

(技術的には、エヴァンの答えの方が好きだったが、これが私が説明する方法だ:)

14
Greg Meehan

それが私の妻だったら、もう少し詳しい電話帳のように説明します。

11
PowerApp101

私にはコメント権限がない(評判が低い)ので、この回答がSQLサーバーではない理由に関するEvanの回答へのコメントであると仮定してください。

私が思い出したのは、MicrosoftはADデータベースが非常に堅牢で自己修復性であるため、通常のDBAのようなアクティビティも特別なDBAも必要ないことでした。当時(90年代前半または半ば)、SQL DBテクノロジはADの意図した目的に対して十分に堅牢ではありませんでした。

このトピックについての議論は、activedir.orgのメーリングリスト(Active Directoryの最高のメーリングリストです。期間)で行われました。

4
KAPes

ネットワークファイル共有を備えたSQLサーバーの異種品種のように見え、これらの2つのテクノロジーを最大限に活用して、それを捨て、Active Directory(または、さらに言えばLDAP)が残っています。

ユーザー、グループ、プリンター、ネットワーク共有、アクセス権のセットアップなど、通常1台のPCを構成するために行うすべてのことを特定の場所に保存し、任意の(複数の)コンピューターに適用できると想像してください。その特定の場所にアクセスします。

これは、MicrosoftがActive Directoryを使用する方法です。

0