Если бы вам пришлось кому-то объяснить Active Directory, как бы вы это объяснили?
Я, конечно, довольно немного здесь замалчиваюсь, но это достойное полутехническое резюме, которое было бы подходящим для общения с другими, кто не знаком с самой Active Directory, но в целом знаком с компьютерами и проблемами, связанными с аутентификацией и авторизация.
Active Directory - это, по сути, система управления базами данных. Эта база данных может быть реплицирована между произвольным количеством серверных компьютеров (называемых контроллерами домена) с использованием нескольких главных серверов (это означает, что изменения могут быть внесены в каждую независимую копию, и в конечном итоге они будут реплицированы на все другие копии).
База данных Active Directory на предприятии может быть разбита на единицы репликации, называемые «доменами». Система репликации между серверными компьютерами может быть настроена очень гибко, чтобы разрешить репликацию даже при сбоях связи между компьютерами контроллеров домена, а также для эффективной репликации между местоположениями, которые могут быть подключены к глобальной сети с низкой пропускной способностью.
Windows использует Active Directory как репозиторий для информации о конфигурации. Основным из этих вариантов использования является хранение учетных данных пользователя (имена пользователей / хэши паролей), чтобы компьютеры можно было настроить для обращения к этой базе данных, чтобы обеспечить централизованную возможность единого входа для большого количества машин (называемых «членами» " Домен").
Разрешения на доступ к ресурсам, размещенным на серверах, которые являются членами домена Active Directory, можно контролировать путем явного именования учетных записей пользователей из домена Active Directory в разрешениях, называемых списками контроля доступа (ACL), или путем создания логических группировок учетных записей пользователей в группы безопасности. . Информация об именах и членстве в этих группах безопасности хранится в Active Directory.
Возможность изменять записи, хранящиеся в базе данных Active Directory, контролируется с помощью разрешений безопасности, которые сами по себе относятся к базе данных Active Directory. Таким образом, предприятия могут предоставить функцию «Делегирование управления», чтобы позволить определенным авторизованным пользователям (или членам групп безопасности) выполнять административные функции в Active Directory в ограниченной и определенной области. Это позволило бы, например, сотруднику службы поддержки изменять пароль другого пользователя, но не помещать свою учетную запись в группы безопасности, которые могли бы предоставить ему разрешение на доступ к конфиденциальным ресурсам.
Версии операционной системы Windows также могут выполнять установку программного обеспечения, вносить изменения в среду пользователя (рабочий стол, меню «Пуск», поведение прикладных программ и т. Д.) С помощью групповой политики. Внутреннее хранилище данных, которое управляет этой системой групповой политики, хранится в Active Directory и, таким образом, имеет функции репликации и безопасности.
Наконец, другие программные приложения, как от Microsoft, так и от сторонних производителей, хранят дополнительную информацию о конфигурации в базе данных Active Directory. Microsoft Exchange Server, например, активно использует Active Directory. Приложения используют Active Directory, чтобы получить преимущества репликации, безопасности и делегирования управления, описанные выше.
Ух! Не так уж и плохо для потока сознания!
Супер короткий ответ: AD - это база данных для хранения информации о входе в систему и группы, а также информации о конфигурации, которая управляет групповой политикой и другим прикладным программным обеспечением.
"Посмотрите, представьте себе гигантское дерево с кучей ведер на ветвях. Внутри этих ведер есть маленькие ключи, которые открывают вам доступ к специальным дверям, которые живут в области, за деревом. Если ваше имя совпадает с именем, выгравированным на одной из них ключи в одном из этих ведер, вы можете открыть дверь, соответствующую этому ключу, и получить доступ к специальной информации, которая там хранится ".
И моя работа как активного администратора каталога - следить за тем, чтобы все эти сегменты, ключи и имена, выгравированные на каждом из них, были актуальными, хорошо работали и удалялись, когда они больше не нужны или не нужны. Кроме того, я строю НОВЫЕ двери, которые защищают НОВЫЕ комнаты, вытачиваю новые ключи, открывающие доступ и даже поливаю, и выращиваю дерево, которое скрепляет все это ».
(Технически мне больше понравился ответ Эвана, но я бы объяснил это так. :)
Если бы это была моя жена, я бы описал это как телефонный справочник с дополнительной информацией.
У меня нет прав на комментирование (низкая репутация), поэтому просто предположим, что этот ответ является комментарием к ответу Эвана о том, почему не SQL-сервер?
Насколько я помню, Microsoft хотела, чтобы база данных AD была настолько надежной и самовосстанавливающейся, чтобы не требовались ни обычные действия администратора баз данных, ни специальный администратор баз данных. В то время (начало или середина 90-х годов) технология SQL DB не была достаточно надежной для предполагаемой цели AD.
Эта тема обсуждалась в списке рассылки на activedir.org (САМЫЙ ЛУЧШИЙ список рассылки для Active Directory. ПЕРИОД.)
Посмотрите на это как на гибрид SQL-сервера с сетевым файловым ресурсом, возьмите лучшее из этих двух технологий, выбросьте его, и останется Active Directory (или, если на то пошло, любой LDAP).
Теперь представьте, что все, что вы обычно делаете для настройки одного ПК, например, настройка пользователей, групп, принтеров, сетевых ресурсов, прав доступа и т. Д., Можно сохранить в определенном месте и применить к любому (множеству) компьютеров, желающих чтобы получить доступ к этому конкретному месту.
Вот как Microsoft хочет, чтобы мы использовали Active Directory.