נפוץ לחשוב כי בקרת התחום לעומת Active Directory הם נרדפים זה לזה. למעשה, הם שונים מאוד. להבנת ההבדלים הללו תסייע לך להבין טוב יותר איך שניהם פועלים יחד.
האם קיימים סיסמאות מוחלטות ב-Active Directory שלך? הורד את Specops Password Auditor וסרוק בחינם.
במאמר זה, נתמקד במונחים של Windows NT. רוב העקרונות והמונחים זהים או דומים בלינוקס. כדי לספר את סיפור בקרות התחום לעומת Active Directory, אשתמש בסיפור על מועדון לילה.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
אם אתה מחפש הסבר על Active Directory, הגעת למקום הנכון.
בקרות התחום
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
לא ברשימה? הם לא נכנסים. אם הם מנסים, הם מוציאים אותם! הבונסר מספק שירות חיוני לבעל המועדון הלילה, שכאשר לא מופעל מועדון, כותב סוגים אלה של פוסטים בבלוג שמסבירים נושאי מחשוב.
בקר התחום (Ox הבונסר) או DC, מספק שירותי אבטחה למועדון לילה. בקר התחום מארח בסיס נתונים (הרשימה 'A') המשמשת לבקשות אימות (הלקוח שמבקש את שמו ל-Ox).
פעם אחת שהשור זיהה את האורח של המועדון, הם מורידים את הסרט הקטיפה ומאפשרים לאורח (משתמש או מחשב) לעבור. זהו הדרך היחידה לגשת למשאבי הדומיין (שתיים, מוזיקה וריקודים בתוך מועדון הלילה).
יש לשור כמה חברים (שרתים חברים הפועלים כבקרי דומיין או DCs) שעוזרים. אם אחד מהם מתגבר על ידי אדם כועס שנגרר ממועדון הלילה, כל אחד מהם יכול לצעוד ולהמשיך לספק שירותי אבטחה.
שור מצליח לספק שירותי אבטחה גיבויים. אבל איך השור והחברים שלו מקבלים את רשימת האורחים המורשים או שאינם מורשים להיכנס למועדון BOFH?
רישום פעיל
מועדון BOFH הוא ייחודי. יש רק מיקום אחד. בעל המועדון לילה, רוסקו, יש ספר שחור שמכיל את כל האורחים שמורשים להיכנס וששילמו את דמי החברות שלהם.
אם העסק ימשיך להיבנות, רוסקו מתכנן לפתוח מיקומים חדשים.
השור משתמש בספר השחור הזה במהלך הספקת האבטחה בכל לילה. רוסקו מעדכן את הספר הזה באופן קבוע גם. שמות מתווספים או מוסרים באופן קבוע, לעיתים עם הערות על מה שאורח המועדון יכול או לא יכול לעשות כאשר הוא בתוך מועדון BOFH.
החבר הקרוב ביותר של שור, הנץ (שעוזר בכל יום), יש עותק של הספר השחור הזה ומפעם לפעם משווה את רשימתו לזו של השור. כל רשומה בספר של השור שלא נכללת בספר של הנץ מתווספת או מוסרת.
לפעמים השור עזב את הספר בבית. זה אינו בעיה מכיוון שהשור יכול עדיין לראות מה שהנץ רשם ושיתף.
המאגר הפעיל (Club BOFH) של הדומיין Active Directory מורכב משרת Active Directory (רוסקו) או שרת 'AD' ומשירות Active Directory (ספר שחור קטן). שירות זה אחסון אובייקטים כגון מידע על חשבונות משתמש ומחשב.
עגלות וחברים המשתמשים ברוסקו (בקרי דומיין של המאגר) משתמשים כולם באותו שירות דומיין מאחר והם פועלים רק בדומיין Active Directory.
מונחים נוספים לדעת
כאן מידע חיוני להבנה:
- זהות יכולה להיות משתמש או מחשב בודד. זה יכול להיות גם קבוצה של משתמשים או מחשבים. כשאתה מסתכל על משתמשי Active Directory ומחשבים (ADUC), אתה רואה שמות משתמש ושמות של קבוצות אבטחה. אלו הם זהויות.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- חשבון הוא או משתמש או מחשב. חשבון משתמש אחסון מידע הקשור לזהות המשתמש ומשמש לאימות גישה למשאבי רשת כמו חלוקת קבצים. חשבון מחשב מכיל מידע המאמת את החשבון לדומיין. כל חשבון מחשב כולל מזהה אבטחה ייחודי (SID).
זה לא רק בקר דומיין נגד Active Directory
הפעל דרישות תמיכה בהתאמה לתקני התאמה, חסום מעל 3 מיליארד סיסמאות פגומות, ועזור למשתמשים ליצור סיסמאות חזקות יותר ב-Active Directory עם משוב דינמי למשתמש הסופי. צור קשר איתנו היום לגבי מדיניות הסיסמאות של Specops!
זכור את תרחישי הדוגמה המוקדמים המעוררים עניין ב-Club BOFH.
שב למחשב שלך כדי להתחבר. המחשב שלך כבר הוא חבר בדומיין. יש לו חשבון שכבר אומת באמצעות ה-SID שהועבר למחשב שלך, מאפשר למחשב גישה למשאבי הרשת.
זה נעשה דרך חליפת מפתחות אבטחה בין המחשב ובין בקר הדומיין.
אתה ממשיך ומקליד את שם המשתמש שלך, שהוא זיהוי מקושר לחשבון המשתמש שלך. לחשבונך יש SID, והישות האבטחתית מקצה לך זכויות כדי להתחבר מקומית. תוכנית ה-Outlook של Microsoft שלך כבר מוגדרת עם שרת ה-Exchange של החברה שלך.
איפה נשמרת כל המידע הזה? הוא מוקצה לך ב-Active Directory. לחשבון המחשב ייתכן גם להיות מידע שנשמר, כמו מיקום ומי מנהל אותו.
סיכום
ההבחנה בין מה ש-Active Directory עושה ובין מה שבקר הדומיין עושה אינה נושא מורכב כשאתה יכול להתחזק בתהליך ולהתחזק בו ולהתחזק בו. הכי קל לזכור שבקרי הדומיין אומתים את הרשות שלך, ו-Active Directory טופלת את זהותך וגישת האבטחה שלך.
משאבי למידה נוספים
רוצה לדעת עוד? ישנם מספר משאבים לקריאה שמסבירים פרטים טכניים עמוקים יותר ל-Windows & Linux.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/