域控制器 vs 活动目录:全面比较

教程

认为域控制器和Active Directory是同义词是很常见的。实际上,它们是非常不同的。了解这些差异将帮助您更好地理解它们如何共同工作。

Domain Controller vs Active Directory

您的Active Directory中是否存在被入侵的密码?下载Specops Password Auditor并进行免费扫描。

在本文中,我们将聚焦于Windows NT术语。许多概念和术语在Linux中是相同或相似的。为了讲述域控制器与Active Directory的故事,我将使用一个关于夜总会的故事。

I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.

如果您正在寻找关于Active Directory的解释,您来对地方了。

相关内容:解释:Active Directory FSMO角色的工作原理

域控制器

A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.

不在名单上?他们不能进入。如果他们尝试,他们会被驱逐!保安为夜总会老板提供了重要的服务,当他不经营夜总会时,会写这些类型的博客帖子来解释IT主题。

域控制器(保安Ox)或DC为夜总会提供安全服务。域控制器托管了一个用于认证请求的数据库(“A”名单),而认证请求则是指夜店顾客向Ox提供自己的姓名。

一旦牛认证了俱乐部的顾客,他们就会解开天鹅绒绳,允许俱乐部的顾客(用户或计算机)通过。这是获得域资源(夜总会内的饮料、音乐和舞蹈)的唯一途径。

牛有一些朋友(作为域控制器或DC的成员服务器)来帮忙。如果其中一人被被赶出夜总会的愤怒者压倒,任何一个都可以接手并继续提供安全服务。

牛在提供冗余安全服务方面做得很好。但是牛和朋友们如何获得那些被允许或不被允许进入BOFH俱乐部的顾客名单呢?

Active Directory

BOFH俱乐部很独特。只有一个地点。夜总会的老板Roscoe有一本黑名单,其中包含所有被授权进入并已支付会员费的俱乐部顾客。

如果生意继续好转,Roscoe计划开设新的场所。

牛每晚在提供安全服务时都使用这本黑名单。Roscoe也定期更新这本书。名单上的人名经常被添加或删除,通常还附有有关俱乐部顾客在BOFH俱乐部内可以做什么或不能做什么的说明。

牛最好的朋友Hanz(每天都在帮忙)有一本这本黑名单的副本,偶尔会将其与牛的名单进行比较。牛名单中的任何条目如果未包含在Hanz的名单中,就会被添加或删除。

有时候牛会把书忘在家里。这不是问题,因为牛仍然可以查看Hanz记录并共享的内容。

活动目录(Club BOFH)域由活动目录服务器(Roscoe)或’AD’服务器和活动目录服务(小黑册子)组成。此服务存储诸如用户和计算机帐户信息之类的对象。

Ox和Roscoe(目录域控制器)的朋友都使用相同的域服务,因为他们仅在活动目录域中操作。

了解的其他术语

以下是一些关键信息:

  • 身份可以是单个用户或计算机,也可以是一组用户或计算机。当您查看活动目录用户和计算机(ADUC)时,您会看到用户名称和安全组名称。这些都是身份。
  • A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
  • A security identifier is just a key that is associated with an identity that determines authority on the domain.
  • 帐户是用户或计算机。用户帐户存储与用户身份相关的信息,并用于验证对网络资源(如文件共享)的访问。

    计算机帐户包含对域进行身份验证的信息。每个计算机帐户都包括唯一的安全标识符(SID)。

这不仅仅是域控制器与活动目录之间的区别

通过在活动目录中实施合规要求,阻止超过30亿被 compromise 的密码,并帮助用户创建更强密码,进行动态终端用户反馈。今天联系我们了解Specops密码策略!

记住前面涉及Club BOFH的示例情景。

坐在电脑前登录。您的计算机已经是域的成员。它有一个帐户,该帐户已使用分配给您的计算机的SID进行身份验证,从而允许此计算机访问网络资源。

这是通过计算机和域控制器之间的安全密钥交换完成的。

您继续输入您的用户名,这是与您的用户帐户关联的身份。您的帐户有一个SID,并且安全主体分配您的本地登录权限。您的Microsoft Outlook程序已经配置为使用您公司的Exchange服务器。

所有这些信息存储在哪里?它们分配给您在Active Directory中。计算机帐户也可能存储数据,例如位置和管理者。

结论

一旦您能够将流程形象化,理解Active Directory和域控制器的区别就不是一个困难的主题。最容易记住的是,域控制器验证您的权限,而Active Directory处理您的身份和安全访问。

额外学习资源

想要了解更多吗?以下是一些资源,涵盖了一些有关Windows和Linux的更深入的技术解释。

Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/