Active Directoryの説明


72

Active Directoryを誰かに説明する必要がある場合、どのように説明しますか?


3
この小さな説明の聴衆は誰ですか。私の妻は上司とは異なる説明を得るでしょう。\\ uSlackr
uSlackr

回答:


98

もちろん、ここではかなり詳しく説明しますが、Active Directory自体に精通していないが、一般にコンピューターや認証や認証に関連する問題に精通している他のユーザーとのコミュニケーションに適した、まともな半技術的な要約です。認可。

Active Directoryは、本質的にはデータベース管理システムです。このデータベースは、マルチマスター方式で任意の数のサーバーコンピューター(ドメインコントローラーと呼ばれる)の間で複製できます(つまり、各独立したコピーに変更を加えることができ、最終的には他のすべてのコピーに複製されます)。

企業のActive Directoryデータベースは、「ドメイン」と呼ばれる複製の単位に分割できます。サーバーコンピューター間のレプリケーションシステムは、ドメインコントローラーコンピューター間の接続の障害が発生した場合でもレプリケーションを許可し、低帯域幅WAN接続で接続される可能性のある場所間で効率的にレプリケートするように、非常に柔軟な方法で構成できます。

WindowsはActive Directoryを構成情報のリポジトリとして使用します。これらの用途の中で最も重要なのは、ユーザーログオン資格情報(ユーザー名/パスワードハッシュ)の保存です。このデータベースを参照するコンピューターを構成して、多数のマシン(「のメンバー」と呼ばれるドメイン")。

Active Directoryドメインのメンバーであるサーバーによってホストされるリソースへのアクセス許可は、アクセス制御リスト(ACL)と呼ばれるアクセス許可でActive Directoryドメインのユーザーアカウントを明示的に命名するか、ユーザーグループの論理グループをセキュリティグループに作成することで制御できます。これらのセキュリティグループの名前とメンバーシップに関する情報は、Active Directoryに保存されます。

Active Directoryデータベースに保存されたレコードを変更する機能は、Active Directoryデータベースを参照するセキュリティ権限によって制御されます。このようにして、企業は「制御の委任」機能を提供して、特定の許可ユーザー(またはセキュリティグループのメンバー)が、限定および定義された範囲のActive Directoryで管理機能を実行できるようにします。これにより、たとえば、ヘルプデスクの従業員は別のユーザーのパスワードを変更できますが、機密リソースへのアクセス許可を付与するセキュリティグループに自分のアカウントを配置することはできません。

Windowsオペレーティングシステムのバージョンは、グループポリシーを使用してソフトウェアのインストールを実行したり、ユーザーの環境(デスクトップ、スタートメニュー、アプリケーションプログラムの動作など)を変更したりすることもできます。このグループポリシーシステムを駆動するデータのバックエンドストレージはActive Directoryに格納されるため、レプリケーションおよびセキュリティ機能が付与されます。

最後に、Microsoftとサードパーティの両方のその他のソフトウェアアプリケーションは、追加の構成情報をActive Directoryデータベースに保存します。たとえば、Microsoft Exchange ServerはActive Directoryを多用しています。アプリケーションはActive Directoryを使用して、上記のレプリケーション、セキュリティ、および制御の委任の利点を取得します。

ふう!意識の流れについては、それほど悪くはありません。

非常に短い答え:ADは、ユーザーログオンとグループ情報、およびグループポリシーと他のアプリケーションソフトウェアを駆動する構成情報を格納するデータベースです。


2
良い答え-しかし、あなたが質問にどう答えるか:「それが単なるデータベースなら、なぜSQL Serverにすべてを保存しないのですか?」
marc_s 2009年

9
この特定のデータベースは、MicrosoftがSQL Serverではなく、これらすべての機能に使用することを選択したデータベースだからです。クロックが「時計回り」に動作するのはなぜですか? 笑顔は 確かに、マイクロソフトは、Active Directoryは、SQL Serverベースのデータベースで管理する情報の種類をすべて格納している可能性が、彼らは代わりにジェットブルーエンジンを使用することにしました。ADがSQL Serverストレージエンジンを使用していないという事実は、ADをそれ以上データベース化するものではありません。
エヴァンアンダーソン

LDAPはデータベースですが、トラフィックの性質上、読み取り用に高度に調整されています。SQLは、より一般的なトラフィック用に調整されています。
-uSlackr

3
@uSlackr:LDAPはデータベースではなく、通信プロトコルです。
エヴァンアンダーソン

2
@uSlackr:はい。GPOで指定された実際の設定は、NTFRSまたはDFS-Rを介して複製されたファイルに保存されます。最初の文で述べたように、「ここでかなり多くのことを説明しています...」この回答では、DITファイルとSYSVOLに格納されたデータの融合を「Active Directory」として扱います。
エヴァンアンダーソン

14

「ご覧ください。手足にたくさんのバケツがある巨大な木を想像してください。これらのバケツの中には、木の向こうの地域に住んでいる特別なドアへのアクセスを許可する小さなキーがあります。それらのバケットの1つにキーがあれば、そのキーに一致するドアを開けて、そこに保存されている特別な情報にアクセスできます。」

Active Directory管理者としての私の仕事は、それぞれに刻印されたすべてのバケット、キー、および名前がすべて最新のものであり、適切に機能し、不要または不要になったときに削除されるようにすることです。さらに、新しい部屋を保護する新しいドアを構築し、アクセスと水さえも可能にする新しいキーを製粉し、すべてを一緒に保持するツリーを成長させます。」

(技術的には、エヴァンの答えがより好きでしたが、これは私がそれを説明する方法です:)


11

それが私の妻だった場合、私はそれをもう少し情報を持つ電話帳のように説明します。


5
Active Directoryと結婚することを想像しようとしています...
ベン

4

私はコメント権を持っていません(評判が低い)ので、この答えはなぜSQLサーバーではないかについてのEvanの答えに対するコメントであると仮定してください。

私が思い出したのは、MicrosoftはADデータベースが非常に堅牢で自己修復性であり、通常のDBAのようなアクティビティも特別なDBAも必要ないことを望んでいたことでした。当時(90年代前半または半ば)、SQL DBテクノロジーはADの意図した目的に対して十分に堅牢ではありませんでした。

activedir.orgのメーリングリスト(Active Directoryのベストメーリングリスト。期間)でこのトピックに関する議論がありました。


0

ネットワークファイル共有を備えたSQLサーバーのクロスタイプのように表示し、これら2つの技術の最高の部分を取り除いて捨て、Active Directory(または任意のLDAP)を残します。

ここで、ユーザー、グループ、プリンター、ネットワーク共有、アクセス権などの設定など、1台のPCを構成するために通常行うすべてを特定の場所に保存し、任意の(複数の)意志のコンピューターに適用できることを想像してくださいその特定の場所にアクセスします。

これが、MicrosoftがActive Directoryを使用する方法です。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.