Het is gebruikelijk om te denken dat een domeincontroller en Active Directory synoniem zijn aan elkaar. In feite zijn ze echter heel verschillend. Door deze verschillen te kennen, begrijp je beter hoe ze samenwerken.
Zijn er gecompromitteerde wachtwoorden in jouw Active Directory? Download Specops Password Auditor en scan gratis.
In dit artikel zullen we ons richten op de terminologie van Windows NT. Veel van de concepten en termen zijn hetzelfde of vergelijkbaar in Linux. Om het verhaal van de domeincontrollers en Active Directory te vertellen, gebruik ik een verhaal over een nachtclub.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
Als je op zoek bent naar uitleg over Active Directory, ben je hier aan het juiste adres.
Domeincontrollers
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
Niet op de lijst? Dan kom je er niet in. Als je het probeert, word je eruit gezet! De uitsmijter levert een essentiële dienst aan de eigenaar van de nachtclub, die, wanneer hij geen club runt, dit soort blogposts schrijft om IT-onderwerpen uit te leggen.
De domeincontroller (Ox de uitsmijter) of DC, levert beveiligingsdiensten voor de nachtclub. Een domeincontroller host een database (de ‘A-lijst’) die wordt gebruikt voor authenticatieverzoeken (de clubganger die zijn naam aan Ox geeft).
Eens Ox de clubganger heeft geauthenticeerd, verwijderen ze het fluwelen koord en laten ze de clubganger (een gebruiker of computer) passeren. Dit is de enige manier om toegang te krijgen tot de domeinbronnen (drankjes, muziek en dansen binnen de nachtclub).
Ox heeft een paar vrienden (lid servers die optreden als domeincontrollers of DC’s) die helpen. Mocht een van hen overweldigd worden door een boze persoon die uit de nachtclub is gezet, dan kan een van hen ingrijpen en doorgaan met het leveren van beveiligingsdiensten.
Ox doet het goed door redundante beveiligingsdiensten te bieden. Maar hoe krijgen Ox en zijn vrienden de lijst met clubgangers die wel of niet zijn toegestaan in Club BOFH?
Actieve Directory
Club BOFH is uniek. Er is maar één locatie. De eigenaar van de nachtclub, Roscoe, heeft een zwart boek waarin alle clubgangers staan die gemachtigd zijn om binnen te komen en hun lidmaatschapsgeld hebben betaald.
Als het bedrijf blijft groeien, overweegt Roscoe om nieuwe locaties te openen.
Ox gebruikt dit zwarte boek terwijl hij elke avond beveiliging biedt. Roscoe werkt dit boek ook regelmatig bij. Namen worden voortdurend toegevoegd of verwijderd, vaak met aantekeningen over wat een clubganger wel of niet kan doen terwijl ze in Club BOFH zijn.
Ox’s beste vriend, Hanz (die dagelijks helpt), heeft een kopie van dit zwarte boek en vergelijkt af en toe hun lijst met wat Ox heeft. Elke vermelding in Ox’s boek die niet in Hanz’s boek staat, wordt toegevoegd of verwijderd.
Soms heeft Ox het boek thuis gelaten. Dit is geen probleem, omdat Ox nog steeds kan kijken naar wat Hanz heeft opgenomen en gedeeld.
Het Active Directory (Club BOFH) Domein bestaat uit een Active Directory Server (Roscoe) of ‘AD’-server en een Active Directory Service (klein zwart boekje). Deze service slaat objecten op zoals gebruikers- en computeraccountinformatie.
Ox en vrienden die door Roscoe worden ingezet (domeincontrollers van het directorydomein) gebruiken allemaal dezelfde domeinservice omdat ze alleen actief zijn in een Active Directory-domein.
Extra Termen Om Te Weten
Hier is enkele essentiële informatie om te begrijpen:
- Een identiteit kan een enkele gebruiker of computer zijn. Het kan ook een groep gebruikers of computers zijn. Wanneer je naar Active Directory-gebruikers en -computers (ADUC) kijkt, zie je gebruikersnamen en namen van beveiligingsgroepen. Dit zijn identiteiten.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- Een account is ofwel een gebruiker of computer. Een gebruikersaccount slaat informatie op die gerelateerd is aan de gebruikersidentiteit en wordt gebruikt om toegang tot netwerkbronnen zoals gedeelde bestanden te verifiëren.
Een computeraccount bevat informatie die het account authenticeert bij het domein. Elk computeraccount bevat een unieke beveiligingsidentificatie (SID).
Het is niet alleen Domeincontroller vs. Active Directory
Handhaaf nalevingsvereisten, blokkeer meer dan 3 miljard gecompromitteerde wachtwoorden en help gebruikers sterkere wachtwoorden te maken in Active Directory met dynamische feedback voor eindgebruikers. Neem vandaag nog contact met ons op over Specops Password Policy!
Onthoud de eerder genoemde voorbeeldscenario’s met Club BOFH.
Ga zitten aan je computer om in te loggen. Je computer is al lid van het domein. Het heeft een account dat is geauthenticeerd met behulp van de SID die aan je computer is toegewezen, waardoor deze computer toegang heeft tot netwerkbronnen.
Dit is gebeurd via een uitwisseling van beveiligingssleutels tussen de computer en de domeincontroller.
Je gaat verder met het typen van je gebruikersnaam, die gekoppeld is aan je gebruikersaccount. Je account heeft een SID, en de beveiligingsprincipaal kent je rechten toe om lokaal in te loggen. Je Microsoft Outlook-programma is al geconfigureerd met behulp van de Exchange-server van je bedrijf.
Waar worden al deze gegevens opgeslagen? Ze zijn aan jou toegewezen in Active Directory. Het computeraccount kan ook gegevens bevatten, zoals locatie en wie het beheert.
Conclusie
Het verschil tussen wat Active Directory doet en wat een domeincontroller doet, is geen moeilijk onderwerp zodra je het proces kunt visualiseren. Het is het gemakkelijkst te onthouden dat domeincontrollers je autoriteit authenticeren, en Active Directory je identiteit en beveiligingstoegang beheert.
Aanvullende leermiddelen
Wil je meer leren? Hier zijn een paar bronnen om door te lezen die wat dieper ingaan op technische uitleg over Windows & Linux.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/