域控制器 vs Active Directory: 全面比較

教學

認為域控制器與Active Directory是同義詞是很常見的。事實上,它們是非常不同的。了解這些差異將有助於您更好地理解它們如何一起工作。

Domain Controller vs Active Directory

您的Active Directory中是否存在被入侵的密碼?請下載Specops Password Auditor進行免費掃描。

在本文中,我們將以Windows NT術語為中心。許多概念和術語在Linux中是相同或相似的。為了講述域控制器與Active Directory的故事,我將使用一個關於夜總會的故事。

I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.

如果您正在尋找有關Active Directory的解釋,您來對地方了。

相關文章:解釋:Active Directory FSMO角色的工作原理

域控制器

A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.

不在名單上?他們進不去。如果他們試圖進入,他們就會被驅逐!保鏢為夜總會老板提供了重要的服務,當他不經營夜總會時,他會撰寫這類關於IT主題的博客文章。

域控制器(保鏢Ox)或DC為夜總會提供安全服務。域控制器托管了一個用於身份驗證請求的數據庫(“A”名單),夜總會的顧客將他們的名字告訴保鏢Ox。

一旦牛頭證明了俱樂部的參觀者,他們會解開天鵝絨繩,讓俱樂部參觀者(用戶或計算機)通過。這是進入領域資源(俱樂部內的飲料、音樂和舞蹈)的唯一方式。

牛頭有幾個朋友(充當域控制器或DC的成員伺服器)幫助他們。如果其中一個被被逐出夜總會的憤怒人士壓倒,其中任何一個都可以接手並繼續提供安全服務。

牛頭在提供冗餘安全服務方面做得很好。但牛頭和朋友們如何獲取允許或不允許進入BOFH俱樂部的參觀者名單?

活動目錄

BOFH俱樂部很獨特。只有一個地點。夜總會的老板羅斯科有一本黑名單,其中包含了所有被授權進入並支付了會費的俱樂部參觀者的名單。

如果業務繼續增長,羅斯科計劃開設新的場所。

牛頭每晚在提供安全服務時都會使用這本黑名單。羅斯科也經常更新這本書。名字總是在添加或刪除,通常還會附帶有關俱樂部參觀者在BOFH俱樂部內可以或不可以做的註釋。

牛頭最親密的朋友漢茲(每天都幫忙)有一本這本黑名單的副本,並偶爾將他們的名單與牛頭的進行比較。牛頭書中不包含在漢茲書中的任何條目都會被添加或刪除。

有時牛頭會將書留在家裡。這不是問題,因為牛頭仍然可以查看漢茲記錄並共享的內容。

Active Directory(BOFH俱樂部)域由Active Directory Server(Roscoe)或‘AD’服務器和Active Directory Service(小黑書)組成。該服務器存儲像用戶和計算機帳戶信息這樣的對象。

Roscoe(目錄域控制器)及其朋友都使用同一個域服務,因為他們只在Active Directory域中操作。

其他需要了解的術語

以下是一些重要的信息:

  • 身份可以是單個用戶或計算機,也可以是一組用戶或計算機。當您查看Active Directory Users and Computers(ADUC)時,您會看到用戶名和安全組名。這些都是身份。
  • A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
  • A security identifier is just a key that is associated with an identity that determines authority on the domain.
  • 帳戶可以是用戶或計算機。用戶帳戶存儲與用戶身份相關的信息,用於驗證對網絡資源(如文件共享)的訪問。計算機帳戶包含將帳戶驗證到域的信息。每個計算機帳戶都包含一個唯一的安全識別符(SID)。

這不僅僅是域控制器與Active Directory之間的區別

在Active Directory中,強制執行合規要求,阻止超過30億個被入侵的密碼,並幫助用戶創建更強大的密碼,提供動態的終端用戶反饋。 立即聯繫我們了解有關Specops密碼策略的詳情!

請記住之前關於BOFH俱樂部的示例情景。

坐在電腦前登錄。你的電腦已經是域成員。它有一個已使用分配給你的電腦的SID(安全標識符)通過驗證的帳戶,使此電腦能夠訪問網絡資源。

這是通過電腦和域控制器之間的安全密鑰交換完成的。

然後,你輸入你的用戶名,這是與你的用戶帳戶相關聯的身份標識。你的帳戶有一個SID,安全主體分配你的本地登錄權限。你的Microsoft Outlook程序已經配置使用你公司的Exchange服務器。

所有這些信息存儲在哪裡?它們在Active Directory中分配給你。電腦帳戶也可以存儲數據,例如位置和管理者信息。

結論

一旦你能夠想像這個過程,搞清楚Active Directory和域控制器之間的區別就不是一個困難的問題了。最簡單的方法是記住域控制器驗證你的權限,而Active Directory處理你的身份和安全訪問。

其他學習資源

想要了解更多嗎?以下是一些關於Windows和Linux的深入技術解釋的資源供你閱讀。

Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/