Это обычное заблуждение, что контроллер домена и Active Directory – это синонимы. На самом деле они очень разные. Понимание этих различий поможет вам лучше понять, как они работают вместе.
Есть ли компрометированные пароли в вашем Active Directory? Скачайте Specops Password Auditor и просканируйте бесплатно.
В этой статье мы сосредоточимся на терминологии Windows NT. Многие концепции и термины одинаковы или похожи в Linux. Чтобы рассказать историю о контроллере домена против Active Directory, я использовал историю о ночном клубе.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
Если вы ищете объяснение Active Directory, вы попали по адресу.
Контроллеры домена
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
Не в списке? Их не пускают. Если они попытаются, их выгонят! Вышибала оказывает важную услугу владельцу ночного клуба, который, когда не управляет клубом, пишет такие блог-посты, объясняющие IT-темы.
Контроллер домена (вышибала Окс) или DC, обеспечивает услуги безопасности для ночного клуба. Контроллер домена хостит базу данных (список “А”), которая используется для запросов аутентификации (клубный гость, сообщающий свое имя Оксу).
Однажды Ox аутентифицирует посетителя клуба, снимает бархатную веревку и позволяет посетителю (пользователю или компьютеру) пройти. Это единственный способ получить доступ к ресурсам домена (напиткам, музыке и танцам в ночном клубе).
Ox имеет несколько друзей (серверы-члены, действующие как контроллеры домена или DC), которые помогают ему. Если один из них подвергается нападению злобного человека, который был выслан из ночного клуба, любой из них может вступить и продолжить оказывать услуги безопасности.
Ox хорошо справляется с предоставлением избыточных услуг безопасности. Но как Ox и его друзья получают список посетителей клуба, которым разрешен или запрещен вход в клуб BOFH?
Active Directory
Клуб BOFH уникален. Есть только одно место. Владелец ночного клуба, Роско, имеет черную книгу, в которой перечислены все посетители клуба, которым разрешен вход и которые заплатили членские взносы.
Если бизнес продолжает расти, Роско планирует открыть новые заведения.
Ox использует эту черную книгу каждую ночь, предоставляя безопасность. Роско также регулярно обновляет эту книгу. Имена всегда добавляются или удаляются, часто с заметками о том, что посетитель клуба может или не может делать внутри клуба BOFH.
Ближайший друг Ox, Ханз (который помогает ему ежедневно), имеет копию этой черной книги и иногда сравнивает свой список с тем, что есть у Ox. Любая запись в книге Ox, которой нет в книге Ханза, добавляется или удаляется.
Иногда Ox забывает взять книгу домой. Это не проблема, так как Ox все равно может посмотреть, что записал и поделился Ханз.
Домен Active Directory (Club BOFH) состоит из сервера Active Directory (Roscoe) или сервера ‘AD’ и службы Active Directory (маленькой черной книги). Эта служба хранит объекты, такие как информацию о пользователях и компьютерных учетных записях.
Ox и его друзья, работающие на сервере Roscoe (контроллеры домена каталога), все используют одну и ту же службу домена, потому что они работают только в рамках домена Active Directory.
Дополнительные термины, которые следует знать
Вот несколько важной информации для понимания:
- «Идентификатор» может быть отдельным пользователем или компьютером. Это также может быть группой пользователей или компьютеров. Когда вы смотрите на Пользователей и Компьютеры Active Directory (ADUC), вы видите имена пользователей и имена групп безопасности. Это идентификаторы.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- «Учетная запись» может быть либо пользователем, либо компьютером. Учетная запись пользователя содержит информацию, связанную с идентификатором пользователя, и используется для проверки доступа к сетевым ресурсам, таким как общие папки.
Учетная запись компьютера содержит информацию, аутентифицирующую учетную запись в домене. Каждая учетная запись компьютера включает уникальный идентификатор безопасности (SID).
Не только контроллер домена против Active Directory
Обеспечивайте соблюдение требований, блокируйте более 3 миллиардов скомпрометированных паролей и помогайте пользователям создавать более надежные пароли в Active Directory с помощью динамической обратной связи для конечных пользователей. Свяжитесь с нами сегодня, чтобы узнать о политике паролей Specops!
Помните примеры сценариев, касающихся Club BOFH, ранее.
Сядьте за компьютер, чтобы войти в систему. Ваш компьютер уже является членом домена. У него есть учетная запись, подтвержденная с помощью SID, который был назначен вашему компьютеру, что позволяет ему получать доступ к сетевым ресурсам.
Это было сделано посредством обмена ключами безопасности между компьютером и контроллером домена.
Затем вы вводите свое имя пользователя, которое связано с вашей учетной записью. Вашей учетной записи присвоен SID, и принципал безопасности назначает вам права на локальный вход в систему. Ваша программа Microsoft Outlook уже настроена с использованием сервера Exchange вашей компании.
Где хранится вся эта информация? Она присвоена вам в Active Directory. Учетная запись компьютера также может содержать хранящуюся информацию, такую как местоположение и информацию об управляющем ее лице.
Вывод
Различия между тем, что делает Active Directory, и тем, что делает контроллер домена, не являются сложной темой, как только вы можете представить себе этот процесс. Легче всего запомнить, что контроллеры домена аутентифицируют ваше право доступа, а Active Directory управляет вашей идентификацией и доступом к системе.
Дополнительные обучающие ресурсы
Хотите узнать больше? Вот несколько ресурсов для дальнейшего чтения, которые охватывают некоторые более глубокие технические объяснения для Windows и Linux.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/