Active Directory explicado

72

Si tuviera que explicar Active Directory a alguien, ¿cómo se lo explicaría?


fuente
3
¿Quién es el público para esta pequeña sesión informativa? Mi esposa obtendría una explicación diferente a la de mi jefe. \\ uSlackr
uSlackr

Respuestas:

98

Estoy pasando por alto un poco aquí, por supuesto, pero es un resumen semi-técnico decente que sería adecuado para comunicarse con otros que no están familiarizados con Active Directory en sí, pero generalmente están familiarizados con las computadoras y los problemas asociados con la autenticación y autorización.

Active Directory es, en esencia, un sistema de administración de bases de datos. Esta base de datos se puede replicar entre un número arbitrario de computadoras de servidor (llamadas Controladores de dominio) de una manera multimaestro (lo que significa que se pueden hacer cambios en cada copia independiente y, finalmente, se replicarán en todas las demás copias).

La base de datos de Active Directory en una empresa se puede dividir en unidades de replicación llamadas "Dominios". El sistema de replicación entre las computadoras del servidor se puede configurar de manera muy flexible para permitir la replicación incluso ante fallas de conectividad entre las computadoras del controlador de dominio, y para replicar eficientemente entre ubicaciones que podrían estar conectadas con conectividad WAN de bajo ancho de banda.

Windows usa Active Directory como repositorio de información de configuración. El principal de estos usos es el almacenamiento de credenciales de inicio de sesión del usuario (hashes de nombres de usuario / contraseñas) de modo que las computadoras se puedan configurar para referirse a esta base de datos para proporcionar una capacidad de inicio de sesión único centralizado para un gran número de máquinas (llamadas "miembros" del " Dominio").

Los permisos para acceder a los recursos alojados por servidores que son miembros de un dominio de Active Directory se pueden controlar a través de nombres explícitos de cuentas de usuario del dominio de Active Directory en permisos llamados Listas de control de acceso (ACL), o mediante la creación de agrupaciones lógicas de cuentas de usuario en Grupos de seguridad . La información sobre los nombres y la membresía de estos grupos de seguridad se almacena en el Active Directory.

La capacidad de modificar registros almacenados en la base de datos de Active Directory se controla mediante permisos de seguridad que, por sí mismos, hacen referencia a la base de datos de Active Directory. De esta manera, las empresas pueden proporcionar la funcionalidad de "Delegación de control" para permitir que ciertos usuarios autorizados (o miembros de grupos de seguridad) realicen funciones administrativas en el Active Directory de un alcance limitado y definido. Esto permitiría, por ejemplo, que un empleado del servicio de asistencia cambie la contraseña de otro usuario, pero no coloque su propia cuenta en grupos de seguridad que puedan otorgarle permiso para acceder a recursos confidenciales.

Las versiones del sistema operativo Windows también pueden realizar instalaciones de software, realizar modificaciones en el entorno del usuario (escritorio, menú Inicio, comportamiento de los programas de aplicación, etc.) mediante la Política de grupo. El almacenamiento de back-end de los datos que impulsa este sistema de directiva de grupo se almacena en Active Directory y, por lo tanto, se le da funcionalidad de replicación y seguridad.

Finalmente, otras aplicaciones de software, tanto de Microsoft como de terceros, almacenan información de configuración adicional en la base de datos de Active Directory. Microsoft Exchange Server, por ejemplo, hace un uso intensivo de Active Directory. Las aplicaciones usan Active Directory para obtener los beneficios de la replicación, la seguridad y la delegación de control descritos anteriormente.

¡Uf! ¡No está mal, no creo, para una corriente de conciencia!

Respuesta súper corta: AD es una base de datos para almacenar información de inicio de sesión de usuario y de grupo, e información de configuración que impulsa la política de grupo y otro software de aplicación.

Evan Anderson
fuente
2
Buena respuesta, pero ¿cómo responder a la pregunta: "si es solo una base de datos, entonces por qué no almacenar todo en SQL Server?"
marc_s
9
Debido a que esta base de datos en particular es la que Microsoft eligió usar para todas estas funciones, no SQL Server. ¿Por qué los relojes funcionan "en sentido horario"? smile Ciertamente, Microsoft podría haber almacenado todos los tipos de información que administra Active Directory en una base de datos basada en SQL Server, pero optaron por utilizar el motor Jet Blue. El hecho de que AD no esté utilizando el motor de almacenamiento de SQL Server no hace que sea menos una base de datos.
Evan Anderson
LDAP es una base de datos pero está altamente ajustada para lecturas debido a la naturaleza del tráfico. SQL está ajustado para un tráfico más general.
uSlackr
3
@uSlackr: LDAP no es una base de datos, es un protocolo de comunicaciones.
Evan Anderson
2
@uSlackr: Sí, la configuración real especificada en los GPO se mantiene en archivos replicados a través de NTFRS o DFS-R. Como dije en mi primera oración "Estoy pasando por alto un poco aquí ..." En esta respuesta estoy tratando la amalgama de datos almacenados en el archivo DIT y en el SYSVOL como "el Directorio Activo".
Evan Anderson
14

"Mira, imagina un árbol gigante con un montón de cubos en las extremidades. Dentro de estos cubos hay pequeñas llaves que te dan acceso a puertas especiales que viven en un área, más allá del árbol. Si tu nombre coincide con un nombre grabado en uno de esos llaves en uno de esos cubos, puedes abrir la puerta que coincide con esa llave y acceder a la información especial que está almacenada allí ".

Y mi trabajo, como administrador del directorio activo, es asegurarme de que todos esos depósitos, claves y nombres grabados en cada uno estén actualizados, funcionen bien y se eliminen cuando ya no sean útiles o necesarios. Además, construyo NUEVAS puertas que protegen NUEVAS habitaciones, muelen las nuevas llaves que permiten el acceso e incluso riegan y hacen crecer el árbol que las mantiene unidas ".

(Técnicamente, me gustó más la respuesta de Evan, pero así es como lo explicaría. :)

Greg Meehan
fuente
11

Si fuera mi esposa, lo describiría como un directorio telefónico con un poco más de información.

PowerApp101
fuente
55
Tratando de imaginar estar casado con un Active Directory ...
Ben
4

No tengo derechos para comentar (baja reputación), así que solo asuma que esta respuesta es un comentario a la respuesta de Evan sobre ¿por qué no el servidor SQL?

Lo que recuerdo es que Microsoft quería que la base de datos de AD fuera tan robusta y autorreparable que no se necesitara una actividad de DBA normal ni un DBA especial. En ese momento (principios o mediados de los 90) la tecnología SQL DB no era lo suficientemente robusta para el propósito previsto de AD.

Hubo una discusión sobre este tema en la lista de correo de activedir.org (LA MEJOR lista de correo para Active Directory. PERIODO).

KAPes
fuente
0

Véalo como una especie de servidor SQL con un recurso compartido de archivos de red, tome lo mejor de estas dos tecnologías, deséchelo y lo que queda es Active Directory (o cualquier LDAP).

Ahora imagine que todo lo que suele hacer para configurar una sola PC, como configurar usuarios, grupos, impresoras, recursos compartidos de red, derechos de acceso y demás, puede almacenarse en un lugar específico y aplicarse a cualquier (multitud) de computadoras que lo deseen. para acceder a ese lugar específico.

Así es como Microsoft quiere que usemos Active Directory.

Martin P. Hellwig
fuente