如果您必须向某人解释 Active Directory,您会如何解释?
答案1
当然,我在这里说了很多,但这是一个不错的半技术性总结,适合与不熟悉 Active Directory 本身但熟悉计算机以及与身份验证和授权相关的问题的人进行交流。
Active Directory 本质上是一个数据库管理系统。此数据库可以以多主机方式在任意数量的服务器计算机(称为域控制器)之间复制(这意味着可以对每个独立副本进行更改,最终这些更改将被复制到所有其他副本)。
企业中的 Active Directory 数据库可以分为称为“域”的复制单元。服务器计算机之间的复制系统可以以非常灵活的方式配置,即使在域控制器计算机之间的连接出现故障的情况下也可以进行复制,并且可以在可能与低带宽 WAN 连接连接的位置之间有效地进行复制。
Windows 使用 Active Directory 作为配置信息的存储库。其中最主要的用途是存储用户登录凭据(用户名/密码哈希值),以便可以配置计算机以引用此数据库,为大量机器(称为“域”的“成员”)提供集中式单点登录功能。
通过在称为访问控制列表 (ACL) 的权限中明确命名 Active Directory 域中的用户帐户,或通过将用户帐户的逻辑分组到安全组中,可以控制对 Active Directory 域成员服务器托管的资源的访问权限。有关这些安全组的名称和成员资格的信息存储在 Active Directory 中。
修改 Active Directory 数据库中存储的记录的能力通过安全权限进行控制,这些权限本身引用 Active Directory 数据库。通过这种方式,企业可以提供“控制委派”功能,允许某些授权用户(或安全组成员)在有限且定义范围内的 Active Directory 上执行管理功能。例如,这将允许帮助台员工更改其他用户的密码,但不能将自己的帐户放入可能授予他访问敏感资源权限的安全组中。
Windows 操作系统的版本还可以使用组策略执行软件安装,修改用户环境(桌面、“开始”菜单、应用程序的行为等)。驱动此组策略系统的数据的后端存储存储在 Active Directory 中,因此具有复制和安全功能。
最后,其他软件应用程序(无论是 Microsoft 还是第三方)都将其他配置信息存储在 Active Directory 数据库中。例如,Microsoft Exchange Server 大量使用 Active Directory。应用程序使用 Active Directory 来获得上述复制、安全性和控制委派的好处。
呼!我觉得,对于意识流来说,这还不错!
超级简短的回答:AD 是一个数据库,用于存储用户登录和组信息以及驱动组策略和其他应用软件的配置信息。
答案2
“想象一下,一棵大树,树枝上挂着一堆桶。这些桶里有小钥匙,可以让你打开树后面某个区域的特殊门。如果你的名字与其中一个桶里的钥匙上刻的名字相符,你就可以打开与钥匙匹配的门,获取存储在里面的特殊信息。”
作为 Active Directory 管理员,我的工作是确保所有这些存储桶、密钥以及每个存储桶上刻的名字都是最新的、运行良好,在不再有用或需要时删除。此外,我建造了保护新房间的新门,磨制了允许进入甚至浇水的新钥匙,并种植了将所有这一切结合在一起的树。”
(从技术上讲,我更喜欢 Evan 的回答,但我是这样解释的。:)
答案3
如果是我的妻子,我会把它描述成一个电话簿,但其中包含更多信息。
答案4
将其视为 SQL 服务器与网络文件共享的混合体,采用这两种技术的优点,将其抛弃,剩下的就是 Active Directory(或任何 LDAP)。
现在想象一下,您通常配置单台 PC 所做的一切,例如设置用户、组、打印机、网络共享、访问权限等,都可以存储在特定位置并应用于任何(多)台愿意访问该特定位置的计算机。
这就是 Microsoft 希望我们使用 Active Directory 的方式。