Es ist üblich zu denken, dass ein Domänencontroller und Active Directory dasselbe sind. Tatsächlich sind sie jedoch sehr unterschiedlich. Das Wissen um diese Unterschiede wird Ihnen helfen, besser zu verstehen, wie beide zusammenarbeiten.
Gibt es kompromittierte Passwörter in Ihrem Active Directory? Laden Sie den Specops Password Auditor herunter und scannen Sie kostenlos.
In diesem Artikel werden wir uns auf die Windows NT Terminologie konzentrieren. Viele der Konzepte und Begriffe sind in Linux gleich oder ähnlich. Um die Geschichte von Domänencontrollern und Active Directory zu erzählen, werde ich eine Geschichte über einen Nachtclub verwenden.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
Wenn Sie eine Erklärung zu Active Directory suchen, sind Sie hier genau richtig.
Domänencontroller
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
Nicht auf der Liste? Sie kommen nicht rein. Wenn sie es versuchen, werden sie rausgeworfen! Der Türsteher erbringt einen wichtigen Dienst für den Nachtclubbesitzer, der, wenn er keinen Club betreibt, solche Blogbeiträge schreibt, in denen IT-Themen erklärt werden.
Der Domänencontroller (Ox der Türsteher) oder DC bietet Sicherheitsdienste für den Nachtclub an. Ein Domänencontroller hostet eine Datenbank (die ‚A‘-Liste), die für Authentifizierungsanfragen verwendet wird (der Clubbesucher gibt Ox seinen Namen).
Sobald Ox den Clubbesucher authentifiziert hat, lösen sie das Samtseil und lassen den Clubbesucher (einen Benutzer oder Computer) passieren. Dies ist der einzige Weg, um Zugang zu den Domänenressourcen (Getränke, Musik und Tanzen im Nachtclub) zu erhalten.
Ox hat ein paar Freunde (Mitgliedsserver, die als Domänencontroller oder DCs fungieren), die aushelfen. Sollte einer von ihnen von einer wütenden Person, die aus dem Nachtclub geworfen wurde, überwältigt werden, kann einer von ihnen einspringen und weiterhin Sicherheitsdienste erbringen.
Ox erfüllt seine Aufgabe, redundante Sicherheitsdienste bereitzustellen, gut. Aber wie kommen Ox und seine Freunde an die Liste der Clubbesucher, die berechtigt sind oder nicht, den Club BOFH zu betreten?
Active Directory
Club BOFH ist einzigartig. Es gibt nur einen Standort. Der Besitzer des Nachtclubs, Roscoe, hat ein schwarzes Buch, in dem alle Clubbesucher aufgeführt sind, die berechtigt sind, einzutreten und ihre Mitgliedsbeiträge bezahlt haben.
Wenn das Geschäft weiterhin gut läuft, plant Roscoe, neue Standorte zu eröffnen.
Ox verwendet dieses schwarze Buch, während er jede Nacht Sicherheitsdienste erbringt. Roscoe aktualisiert dieses Buch regelmäßig. Namen werden ständig hinzugefügt oder entfernt, oft mit Hinweisen darauf, was ein Clubbesucher im Club BOFH tun oder nicht tun kann.
Ox’s engster Freund, Hanz (der täglich hilft), hat eine Kopie dieses schwarzen Buches und vergleicht gelegentlich ihre Liste mit der von Ox. Jeder Eintrag in Ox’s Buch, der nicht in Hanz’s Buch enthalten ist, wird hinzugefügt oder entfernt.
Manchmal hat Ox das Buch zu Hause vergessen. Das ist kein Problem, da Ox immer noch nachsehen kann, was Hanz aufgezeichnet und geteilt hat.
Die Active Directory (Club BOFH) Domäne besteht aus einem Active Directory Server (Roscoe) oder ‚AD‘-Server und einem Active Directory Service (kleines Schwarzes Buch). Dieser Dienst speichert Objekte wie Benutzer- und Computerkontoinformationen.
Ox und seine Freunde, die von Roscoe (Verzeichnisdomänencontroller) beschäftigt sind, verwenden alle den gleichen Domänendienst, da sie nur in einer Active Directory Domäne arbeiten.
Zusätzliche Begriffe, die man kennen sollte
Hier sind einige wichtige Informationen, die man verstehen sollte:
- Eine Identität kann ein einzelner Benutzer oder Computer sein. Es kann auch eine Gruppe von Benutzern oder Computern sein. Wenn Sie sich Active Directory Users and Computers (ADUC) ansehen, sehen Sie Benutzernamen und Sicherheitsgruppennamen. Dies sind Identitäten.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- Ein Konto ist entweder ein Benutzer oder ein Computer. Ein Benutzerkonto speichert Informationen, die mit der Benutzeridentität zusammenhängen, und wird verwendet, um den Zugriff auf Netzwerkressourcen wie Dateifreigaben zu überprüfen.
Ein Computerkonto enthält Informationen, die das Konto in der Domäne authentifizieren. Jedes Computerkonto enthält eine eindeutige Sicherheitskennung (SID).
Es geht nicht nur um Domain Controller vs Active Directory
Erzwingen Sie Compliance-Anforderungen, blockieren Sie über 3 Milliarden kompromittierte Passwörter und helfen Sie Benutzern, in Active Directory mit dynamischem Endbenutzer-Feedback stärkere Passwörter zu erstellen. Setzen Sie sich noch heute mit uns in Verbindung, um mehr über Specops Password Policy zu erfahren!
Erinnern Sie sich an die früheren Beispielszenarien, die Club BOFH betrafen.
Setzen Sie sich an Ihren Computer, um sich anzumelden. Ihr Computer ist bereits Mitglied der Domäne. Es hat ein Konto, das mithilfe der SID, die Ihrem Computer zugewiesen wurde, authentifiziert wurde und diesem Computer den Zugriff auf Netzwerkressourcen ermöglicht.
Dies wurde durch einen Austausch von Sicherheitsschlüsseln zwischen dem Computer und dem Domänencontroller erreicht.
Sie geben Ihren Benutzernamen ein, der mit Ihrem Benutzerkonto verknüpft ist. Ihr Konto hat eine SID, und das Sicherheitsprinzip weist Ihnen das Recht zu, sich lokal anzumelden. Ihr Microsoft Outlook-Programm ist bereits mit dem Exchange-Server Ihres Unternehmens konfiguriert.
Wo werden all diese Informationen gespeichert? Sie werden Ihnen im Active Directory zugewiesen. Das Computerkonto kann auch Daten wie Standort und Verwaltungsinformationen gespeichert haben.
Fazit
Die Unterschiede zwischen dem, was Active Directory tut, und dem, was ein Domänencontroller tut, sind kein schwieriges Thema, sobald Sie sich den Prozess vorstellen können. Am einfachsten ist es, sich daran zu erinnern, dass Domänencontroller Ihre Autorität authentifizieren und Active Directory Ihre Identität und den Sicherheitszugriff verwaltet.
Zusätzliche Lernressourcen
Möchten Sie mehr erfahren? Hier sind einige Ressourcen, die einige tiefere technische Erklärungen für Windows & Linux abdecken.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/