다른 사람에게 Active Directory를 설명해야한다면 어떻게 설명 하시겠습니까?
답변:
물론 여기에 대해 약간의 글을 쓰고 있지만 Active Directory 자체에는 익숙하지 않지만 일반적으로 컴퓨터 및 인증과 관련된 문제에 익숙한 다른 사람들과 의사 소통하기에 적합한 반 기술적 요약입니다. 권한 부여.
Active Directory는 데이터베이스 관리 시스템의 핵심입니다. 이 데이터베이스는 다중 마스터 방식으로 임의 수의 서버 컴퓨터 (도메인 컨트롤러라고 함)간에 복제 할 수 있습니다 (즉, 각각의 독립적 인 복사본을 변경하고 결국 다른 모든 복사본으로 복제 할 수 있음).
기업의 Active Directory 데이터베이스는 "도메인"이라는 복제 단위로 나눌 수 있습니다. 서버 컴퓨터 간의 복제 시스템은 매우 유연한 방식으로 구성하여 도메인 컨트롤러 컴퓨터 간의 연결 오류시 복제가 가능하고 대역폭이 낮은 WAN 연결로 연결된 위치간에 효율적으로 복제 할 수 있습니다.
Windows는 Active Directory를 구성 정보의 저장소로 사용합니다. 이러한 용도 중 가장 중요한 것은 사용자 로그온 자격 증명 (사용자 이름 / 암호 해시)을 저장하는 것입니다. 따라서 컴퓨터는이 데이터베이스를 참조하여 많은 수의 컴퓨터 ( " 도메인").
Active Directory 도메인의 구성원 인 서버가 호스트하는 리소스에 대한 액세스 권한은 액세스 제어 목록 (ACL)이라는 권한으로 Active Directory 도메인의 사용자 계정을 명시 적으로 명명하거나 보안 그룹으로 사용자 계정을 논리적으로 그룹화하여 제어 할 수 있습니다. . 이러한 보안 그룹의 이름과 구성원에 대한 정보는 Active Directory에 저장됩니다.
Active Directory 데이터베이스에 저장된 레코드를 수정하는 기능은 자체적으로 Active Directory 데이터베이스를 참조하는 보안 권한을 통해 제어됩니다. 이러한 방식으로 기업은 권한이 부여 된 특정 사용자 (또는 보안 그룹 구성원)가 제한된 범위의 Active Directory에서 관리 기능을 수행 할 수 있도록 "제어 위임"기능을 제공 할 수 있습니다. 예를 들어, 헬프 데스크 직원은 다른 사용자의 암호를 변경할 수 있지만 자신의 계정을 보안 그룹에 배치하여 중요한 리소스에 액세스 할 수있는 권한을 부여 할 수 있습니다.
Windows 운영 체제의 버전은 그룹 정책을 사용하여 소프트웨어 설치를 수행하고, 사용자 환경 (데스크톱, 시작 메뉴, 응용 프로그램의 동작 등)을 수정할 수 있습니다. 이 그룹 정책 시스템을 구동하는 데이터의 백엔드 저장소는 Active Directory에 저장되므로 복제 및 보안 기능이 제공됩니다.
마지막으로 Microsoft 및 타사의 다른 소프트웨어 응용 프로그램은 추가 구성 정보를 Active Directory 데이터베이스에 저장합니다. 예를 들어 Microsoft Exchange Server는 Active Directory를 많이 사용합니다. 응용 프로그램은 Active Directory를 사용하여 위에서 설명한 복제, 보안 및 제어 위임의 이점을 얻습니다.
아휴! 나쁘지 않다, 나는 생각의 흐름에 대해 생각하지 않는다!
짧은 답변 : AD는 사용자 로그온 및 그룹 정보와 그룹 정책 및 기타 응용 프로그램 소프트웨어를 구동하는 구성 정보를 저장하는 데이터베이스입니다.
"사지에 많은 양동이가있는 거대한 나무를 상상해보십시오.이 양동이 안에는 나무를지나 특정 지역에 사는 특별한 문에 접근 할 수있는 작은 열쇠가 있습니다. 그 버킷 중 하나에 키를 넣으면 해당 키와 일치하는 문을 열고 거기에 저장된 특수 정보에 액세스 할 수 있습니다. "
그리고 액티브 디렉토리 관리자로서 저의 임무는 각각에 에칭 된 모든 버킷, 키 및 이름이 모두 최신 상태이며 잘 작동하고 더 이상 유용하거나 필요하지 않을 때 제거되도록하는 것입니다. 또한, 나는 새로운 방을 보호하는 새로운 문을 만들고, 접근 할 수있는 새로운 열쇠를 가공하고 심지어 물을 뿌리고 모든 나무를 함께 보유하는 나무를 키 웁니다. "
(기술적으로, 나는 Evan의 대답을 더 좋아했지만 이것이 내가 설명하는 방법입니다. :)
나는 논평 권리 (낮은 명성)를 가지고 있지 않으므로이 대답은 SQL 서버가 아닌 이유에 대한 Evan의 대답에 대한 의견이라고 가정하십시오.
필자가 기억 한 바에 따르면, Microsoft는 AD 데이터베이스가 매우 강력하고자가 치유되기를 원했기 때문에 정상적인 DBA 종류의 활동이나 특별한 DBA가 필요하지 않았습니다. 당시 (90 년대 초 또는 중반) SQL DB 기술은 AD의 의도 된 목적에 비해 충분히 강력하지 않았습니다.
activedir.org의 메일 링리스트 (Active Directory. PERIOD의 베스트 메일 링리스트)에서이 주제에 대한 토론이있었습니다.
네트워크 파일 공유 기능이있는 SQL 서버의 교차 유형처럼보고,이 두 가지 기술 중 가장 좋은 점을 빼고 버리고 Active Directory (또는 그 문제에 대해 LDAP)가 남은 것을 버립니다.
이제 사용자, 그룹, 프린터, 네트워크 공유, 액세스 권한 설정 등과 같은 단일 PC를 구성하기 위해 일반적으로하는 모든 작업을 특정 위치에 저장하고 원하는 모든 컴퓨터에 적용 할 수 있다고 상상해보십시오. 특정 장소에 액세스합니다.
이것이 Microsoft가 Active Directory를 사용하기를 원하는 방식입니다.