Active Directoryを誰かに説明する必要がある場合、どのように説明しますか?
回答:
もちろん、ここではかなり詳しく説明しますが、Active Directory自体に精通していないが、一般にコンピューターや認証や認証に関連する問題に精通している他のユーザーとのコミュニケーションに適した、まともな半技術的な要約です。認可。
Active Directoryは、本質的にはデータベース管理システムです。このデータベースは、マルチマスター方式で任意の数のサーバーコンピューター(ドメインコントローラーと呼ばれる)の間で複製できます(つまり、各独立したコピーに変更を加えることができ、最終的には他のすべてのコピーに複製されます)。
企業のActive Directoryデータベースは、「ドメイン」と呼ばれる複製の単位に分割できます。サーバーコンピューター間のレプリケーションシステムは、ドメインコントローラーコンピューター間の接続の障害が発生した場合でもレプリケーションを許可し、低帯域幅WAN接続で接続される可能性のある場所間で効率的にレプリケートするように、非常に柔軟な方法で構成できます。
WindowsはActive Directoryを構成情報のリポジトリとして使用します。これらの用途の中で最も重要なのは、ユーザーログオン資格情報(ユーザー名/パスワードハッシュ)の保存です。このデータベースを参照するコンピューターを構成して、多数のマシン(「のメンバー」と呼ばれるドメイン")。
Active Directoryドメインのメンバーであるサーバーによってホストされるリソースへのアクセス許可は、アクセス制御リスト(ACL)と呼ばれるアクセス許可でActive Directoryドメインのユーザーアカウントを明示的に命名するか、ユーザーグループの論理グループをセキュリティグループに作成することで制御できます。これらのセキュリティグループの名前とメンバーシップに関する情報は、Active Directoryに保存されます。
Active Directoryデータベースに保存されたレコードを変更する機能は、Active Directoryデータベースを参照するセキュリティ権限によって制御されます。このようにして、企業は「制御の委任」機能を提供して、特定の許可ユーザー(またはセキュリティグループのメンバー)が、限定および定義された範囲のActive Directoryで管理機能を実行できるようにします。これにより、たとえば、ヘルプデスクの従業員は別のユーザーのパスワードを変更できますが、機密リソースへのアクセス許可を付与するセキュリティグループに自分のアカウントを配置することはできません。
Windowsオペレーティングシステムのバージョンは、グループポリシーを使用してソフトウェアのインストールを実行したり、ユーザーの環境(デスクトップ、スタートメニュー、アプリケーションプログラムの動作など)を変更したりすることもできます。このグループポリシーシステムを駆動するデータのバックエンドストレージはActive Directoryに格納されるため、レプリケーションおよびセキュリティ機能が付与されます。
最後に、Microsoftとサードパーティの両方のその他のソフトウェアアプリケーションは、追加の構成情報をActive Directoryデータベースに保存します。たとえば、Microsoft Exchange ServerはActive Directoryを多用しています。アプリケーションはActive Directoryを使用して、上記のレプリケーション、セキュリティ、および制御の委任の利点を取得します。
ふう!意識の流れについては、それほど悪くはありません。
非常に短い答え:ADは、ユーザーログオンとグループ情報、およびグループポリシーと他のアプリケーションソフトウェアを駆動する構成情報を格納するデータベースです。
「ご覧ください。手足にたくさんのバケツがある巨大な木を想像してください。これらのバケツの中には、木の向こうの地域に住んでいる特別なドアへのアクセスを許可する小さなキーがあります。それらのバケットの1つにキーがあれば、そのキーに一致するドアを開けて、そこに保存されている特別な情報にアクセスできます。」
Active Directory管理者としての私の仕事は、それぞれに刻印されたすべてのバケット、キー、および名前がすべて最新のものであり、適切に機能し、不要または不要になったときに削除されるようにすることです。さらに、新しい部屋を保護する新しいドアを構築し、アクセスと水さえも可能にする新しいキーを製粉し、すべてを一緒に保持するツリーを成長させます。」
(技術的には、エヴァンの答えがより好きでしたが、これは私がそれを説明する方法です:)
私はコメント権を持っていません(評判が低い)ので、この答えはなぜSQLサーバーではないかについてのEvanの答えに対するコメントであると仮定してください。
私が思い出したのは、MicrosoftはADデータベースが非常に堅牢で自己修復性であり、通常のDBAのようなアクティビティも特別なDBAも必要ないことを望んでいたことでした。当時(90年代前半または半ば)、SQL DBテクノロジーはADの意図した目的に対して十分に堅牢ではありませんでした。
activedir.orgのメーリングリスト(Active Directoryのベストメーリングリスト。期間)でこのトピックに関する議論がありました。
ネットワークファイル共有を備えたSQLサーバーのクロスタイプのように表示し、これら2つの技術の最高の部分を取り除いて捨て、Active Directory(または任意のLDAP)を残します。
ここで、ユーザー、グループ、プリンター、ネットワーク共有、アクセス権などの設定など、1台のPCを構成するために通常行うすべてを特定の場所に保存し、任意の(複数の)意志のコンピューターに適用できることを想像してくださいその特定の場所にアクセスします。
これが、MicrosoftがActive Directoryを使用する方法です。