È comune pensare che un domain controller e Active Directory siano sinonimi. In realtà, sono molto diversi. Conoscere queste differenze ti aiuterà a capire meglio come lavorano insieme.
Hai password compromesse nel tuo Active Directory? Scarica Specops Password Auditor e scansiona gratuitamente.
In questo articolo, ci concentreremo sulla terminologia di Windows NT. Molti dei concetti e dei termini sono gli stessi o simili in Linux. Per raccontare la storia dei domain controller e di Active Directory, userò una storia su un locale notturno.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
Se stai cercando una spiegazione su Active Directory, sei nel posto giusto.
Domain Controller
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
Non nella lista? Non entrano. Se ci provano, vengono cacciati! Il buttafuori sta fornendo un servizio fondamentale al proprietario del locale notturno, che quando non gestisce un club, scrive questo tipo di articoli sul blog spiegando argomenti di IT.
Il domain controller (Ox, il buttafuori) o DC, sta fornendo servizi di sicurezza per il locale notturno. Un domain controller ospita un database (la “lista A”) che viene utilizzato per le richieste di autenticazione (il cliente che dà il suo nome a Ox).
Una volta che Ox autentica il frequentatore del club, staccano la corda di velluto e permettono al frequentatore del club (un utente o un computer) di passare. Questo è l’unico modo per accedere alle risorse del dominio (drink, musica e balli all’interno del locale notturno).
Ox ha alcuni amici (server membri che agiscono come controller di dominio o DC) che lo aiutano. Se uno di loro venisse sopraffatto da una persona arrabbiata che è stata cacciata dal locale notturno, uno qualsiasi di loro può intervenire e continuare a fornire servizi di sicurezza.
Ox si occupa bene di fornire servizi di sicurezza ridondanti. Ma come fa Ox e i suoi amici ad ottenere l’elenco dei frequentatori del club che sono autorizzati o non autorizzati ad entrare nel Club BOFH?
Active Directory
Club BOFH è unico. C’è solo una sede. Il proprietario del locale notturno, Roscoe, ha un libro nero che contiene tutti i frequentatori del club autorizzati ad entrare e che hanno pagato la quota di iscrizione.
Se gli affari continuano ad andare bene, Roscoe ha intenzione di aprire nuove sedi.
Ox utilizza questo libro nero mentre fornisce sicurezza ogni sera. Roscoe aggiorna regolarmente questo libro. I nomi vengono sempre aggiunti o rimossi, spesso con note su cosa un frequentatore del club può o non può fare all’interno del Club BOFH.
L’amico più stretto di Ox, Hanz (che lo aiuta quotidianamente), ha una copia di questo libro nero e occasionalmente confronta la sua lista con quella di Ox. Qualsiasi voce nel libro di Ox che non è inclusa nel libro di Hanz viene aggiunta o rimossa.
A volte Ox ha lasciato il libro a casa. Questo non è un problema perché Ox può comunque guardare ciò che Hanz ha registrato e condiviso.
Il dominio Active Directory (Club BOFH) è composto da un server Active Directory (Roscoe) o ‘server AD’ e un servizio Active Directory (piccolo libro nero). Questo servizio memorizza oggetti come informazioni sugli account utente e computer.
Ox e gli amici impiegati da Roscoe (controller di dominio della directory) utilizzano tutti lo stesso servizio di dominio perché operano solo in un dominio Active Directory.
Termini aggiuntivi da conoscere
Ecco alcune informazioni fondamentali da comprendere:
- Un identità può essere un singolo utente o computer. Può anche essere un gruppo di utenti o computer. Quando si guarda Active Directory Utenti e computer (ADUC), si vedono i nomi degli utenti e i nomi dei gruppi di sicurezza. Questi sono identità.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- Un account può essere un utente o un computer. Un account utente memorizza informazioni relative all’identità dell’utente ed è utilizzato per verificare l’accesso alle risorse di rete come le condivisioni di file.
Un account computer contiene informazioni che autenticano l’account nel dominio. Ogni account computer include un identificatore di sicurezza univoco (SID).
Non si tratta solo di Controller di dominio vs Active Directory
Impone i requisiti di conformità, blocca più di 3 miliardi di password compromesse e aiuta gli utenti a creare password più sicure in Active Directory con un feedback dinamico per gli utenti finali. Contattateci oggi stesso per informazioni su Specops Password Policy!
Ricordate gli esempi di scenari precedenti che coinvolgono Club BOFH.
Siediti al tuo computer per effettuare l’accesso. Il tuo computer è già un membro del dominio. Ha un account che è stato autenticato utilizzando l’SID assegnato al tuo computer, permettendo a questo computer di accedere alle risorse di rete.
Questo è stato fatto attraverso uno scambio di chiavi di sicurezza tra il computer e il controller di dominio.
Procedi a digitare il tuo nome utente, che è la tua identità legata al tuo account utente. Il tuo account ha un SID, e il principale di sicurezza assegna i tuoi diritti per l’accesso locale. Il tuo programma Microsoft Outlook è già configurato utilizzando il server Exchange della tua azienda.
Dove vengono memorizzate tutte queste informazioni? Vengono assegnate a te in Active Directory. L’account del computer potrebbe anche avere dati memorizzati, come la posizione e chi lo gestisce.
Conclusione
Le differenze tra ciò che fa Active Directory e ciò che fa un controller di dominio non sono un argomento difficile una volta che riesci a visualizzare il processo. È più facile ricordare che i controller di dominio autenticano la tua autorità, mentre Active Directory gestisce la tua identità e l’accesso alla sicurezza.
Risorse di apprendimento aggiuntive
Vuoi saperne di più? Ecco alcune risorse da consultare che coprono alcune spiegazioni tecniche più approfondite per Windows e Linux.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/