Si vous deviez expliquer Active Directory à quelqu'un, comment le feriez-vous ?
Réponses
Trop de publicités?
J'en oublie bien sûr beaucoup, mais il s'agit d'un résumé semi-technique convenable qui pourrait être communiqué à d'autres personnes qui ne sont pas familières avec Active Directory lui-même, mais qui connaissent généralement les ordinateurs et les problèmes associés à l'authentification et à l'autorisation.
Active Directory est, à la base, un système de gestion de base de données. Cette base de données peut être répliquée entre un nombre arbitraire d'ordinateurs serveurs (appelés contrôleurs de domaine) de manière multi-maîtres (ce qui signifie que des modifications peuvent être apportées à chaque copie indépendante, et qu'elles seront finalement répliquées sur toutes les autres copies).
La base de données Active Directory d'une entreprise peut être divisée en unités de réplication appelées "Domaines". Le système de réplication entre les ordinateurs serveurs peut être configuré de manière très souple pour permettre la réplication même en cas de défaillance de la connectivité entre les ordinateurs contrôleurs de domaine, et pour répliquer efficacement entre des sites qui peuvent être reliés par une connectivité WAN à faible bande passante.
Windows utilise l'Active Directory comme référentiel pour les informations de configuration. La principale utilisation est le stockage des informations d'identification des utilisateurs (noms d'utilisateurs / hashs de mots de passe) de sorte que les ordinateurs peuvent être configurés pour se référer à cette base de données afin de fournir une capacité d'identification unique centralisée pour un grand nombre de machines (appelées "membres" du "domaine").
Les autorisations d'accès aux ressources hébergées par les serveurs qui sont membres d'un domaine Active Directory peuvent être contrôlées en nommant explicitement les comptes d'utilisateurs du domaine Active Directory dans des autorisations appelées listes de contrôle d'accès (ACL), ou en créant des groupements logiques de comptes d'utilisateurs dans des groupes de sécurité. Les informations relatives aux noms et aux membres de ces groupes de sécurité sont stockées dans l'Active Directory.
La possibilité de modifier les enregistrements stockés dans la base de données Active Directory est contrôlée par des autorisations de sécurité qui, elles-mêmes, font référence à la base de données Active Directory. De cette façon, les entreprises peuvent fournir une fonctionnalité de "délégation de contrôle" pour permettre à certains utilisateurs autorisés (ou membres de groupes de sécurité) d'exécuter des fonctions administratives sur l'Active Directory d'une portée limitée et définie. Cela permettrait, par exemple, à un employé du service d'assistance de changer le mot de passe d'un autre utilisateur, mais pas de placer son propre compte dans des groupes de sécurité qui pourraient lui donner l'autorisation d'accéder à des ressources sensibles.
Les versions du système d'exploitation Windows peuvent également effectuer des installations de logiciels, apporter des modifications à l'environnement de l'utilisateur (bureau, menu Démarrer, comportement des programmes d'application, etc.) en utilisant la stratégie de groupe. Le stockage dorsal des données qui régissent ce système de stratégie de groupe est stocké dans Active Directory, ce qui lui confère des fonctions de réplication et de sécurité.
Enfin, d'autres applications logicielles, tant de Microsoft que de tiers, stockent des informations de configuration supplémentaires dans la base de données Active Directory. Microsoft Exchange Server, par exemple, fait un usage intensif d'Active Directory. Les applications utilisent Active Directory pour bénéficier des avantages de la réplication, de la sécurité et de la délégation de contrôle décrits ci-dessus.
Ouf ! Pas trop mal, je pense, pour un flot de conscience !
Réponse super courte : AD est une base de données permettant de stocker les informations de connexion et de groupe des utilisateurs, ainsi que les informations de configuration qui pilotent la stratégie de groupe et d'autres logiciels d'application.
Greg Meehan
Points
1156
"Tu vois, imagine un arbre géant avec un tas de seaux sur les branches. À l'intérieur de ces seaux se trouvent des petites clés qui vous donnent accès à des portes spéciales qui vivent dans une zone, au-delà de l'arbre. Si votre nom correspond à un nom gravé sur une de ces clés dans un de ces seaux, vous pouvez ouvrir la porte qui correspond à cette clé et accéder aux informations spéciales qui y sont stockées."
Et mon travail, en tant qu'administrateur de répertoire actif, consiste à m'assurer que tous ces seaux, clés et noms gravés sur chacun d'eux sont tous à jour, fonctionnent bien et sont supprimés lorsqu'ils ne sont plus utiles ou nécessaires. En outre, je construis de NOUVELLES portes qui protègent de NOUVELLES pièces, je fraise les nouvelles clés qui permettent l'accès et même j'arrose et je fais pousser l'arbre qui maintient tout cela ensemble."
(Techniquement, je préférais la réponse d'Evan, mais c'est comme ça que je l'expliquerais. :)
amp108
Points
1971
Joe L.
Points
1020
Je n'ai pas le droit de commenter (faible réputation), donc je suppose que cette réponse est un commentaire à la réponse d'Evan sur pourquoi pas SQL server ?
Ce dont je me souviens, c'est que Microsoft voulait que la base de données AD soit si robuste et auto-réparatrice qu'une activité normale de type DBA ne soit pas nécessaire, ni un DBA spécial. À cette époque (début ou milieu des années 90), la technologie SQL DB n'était pas assez robuste pour l'objectif visé par AD.
Il y a eu une discussion sur ce sujet à la liste de diffusion sur activedir.org (LA MEILLEURE liste de diffusion pour Active Directory. PÉRIODE).
Eric Labashosky
Points
4724
Voyez-le comme un croisement entre un serveur SQL et un partage de fichiers en réseau, prenez le meilleur de ces deux technologies, jetez-le et ce qui reste est Active Directory (ou n'importe quel LDAP).
Imaginez maintenant que tout ce que vous faites habituellement pour configurer un seul PC, comme la configuration des utilisateurs, des groupes, des imprimantes, des partages réseau, des droits d'accès et autres, puisse être stocké à un endroit spécifique et appliqué à une (multitude) d'ordinateurs désireux d'accéder à cet endroit spécifique.
C'est ainsi que Microsoft veut que nous utilisions Active Directory.
