mikä on ero domain Controllerin ja Active Directoryn välillä?
Active Directory on Microsoftin hakemistopalvelu Windows domain-verkkoihin. Kun se otettiin käyttöön Windows 2000-palvelimella, Active Directorya käytettiin yksinomaan keskitetyn verkkotunnuksen hallinnan hoitamiseen. Kuitenkin, kynnyksellä Windows Server 2008 Active Directory muutettiin suite directory-palvelut, joista domain controller on vain yksi., Muita Active Directory toimintoja ovat Lightweight Directory Services, Certificate Services (julkisen avaimen salaus infrastruktuuri), Federation Services (single sign-on), ja Rights Management Services (for information rights management, joka valvoo pääsyä erityisesti tiedot).
tässä schema, server käynnissä Active Directory tunnetaan domain controller. Esimerkiksi Active Directory sisältää sekä tietokannan ja suoritettavaa koodia (kutsutaan Directory System Agent) käynnissä tietokanta-ja huolto-käyttäjien pyyntöihin., Tietokanta on jäsennelty esineillä, jotka on järjestetty kolmeen tasoon—metsiin, puihin ja verkkotunnuksiin.
Active Directory-toimialueen ohjaimet käyttävät trusteja myöntääkseen käyttäjille yhden toimialueen pääsyn muille. Trustit ovat olemassa tietokannan metsässä, joka luodaan automaattisesti aina, kun verkkotunnus luodaan., Tyypit luottamus ovat yksi-tapa luottaa (jossa käyttäjät yksi verkkotunnus on pääsy toisen verkkotunnuksen, mutta ei päinvastoin), kaksisuuntainen luottamus (jossa kaksi verkkotunnuksia ovat sallittuja pääsy toisiaan), transitiivinen luottamus (joka voi ulottua kaksi verkkotunnuksia), nimenomainen luottamus (luoma-järjestelmän pääkäyttäjä), forest trust (joka koskee koko metsä), ja ulkoinen luottamus (mahdollistaa yhteyden non-Active Directory-toimialueet).
Active Directory domain Controllerin avulla sysadmins voi määrittää toimintatapoja, joilla varmistetaan riittävä salasanan monimutkaisuus., Tietoturvaa varten Active Directory-salasana ei voi sisältää käyttäjänimeä tai käyttäjän koko nimeä. Lisäksi, Microsoft avulla voit vaatia, että salasana sisältää hahmoja tiettyjä luokkia, kuten isoja kirjaimia, pieniä kirjaimia, numeroita, symboleita (esim., #$%), ja Unicode.
Active Directory avulla voit myös asettaa salasanan vähimmäispituus—pidempi salasana on, sitä vaikeampi se on murtaa käyttämällä brute-force-tekniikkaa., Oletusarvon mukaan Windows 10 Active Directory vaatii salasanan on merkkiä vähintään kolme edellä mainituista luokista, ja olla vähintään kahdeksan merkkiä pitkä. Nämä eritelmät tuottavat 218,340,105,584,896 erilaisia kokonaismahdollisuuksia, että hakkerit tarvitsisivat kokeilla brute-force menetelmiä. Mitä arkaluontoisempia tietoja yrität suojata, sitä vankempia salasanavaatimuksesi pitäisi olla.
montako verkkotunnuksen ohjainta tarvitset?,
alkuperäisessä Windows toteutus, domain rekisterinpitäjien jaettiin kahteen ryhmään: primary domain controller ja backup domain controller (DC). Ensisijainen DC on ensimmäisen rivin verkkotunnuksen ohjain, joka käsittelee käyttäjän tunnistuspyyntöjä. Vain yksi ensisijainen DC voidaan nimetä. Tietoturva-ja luotettavuuskäytäntöjen mukaan ensisijaisen DC: n palvelinkotelon tulisi olla yksinomaan domain-palveluille omistettu. Koska sen keskeinen merkitys verkoston ensisijainen DC-palvelin ei suorita tiedosto, sovellus, tai tulostaa palvelut, jotka voivat hidastaa tai riskin kaatuu se.,
varmuuskopiointi domain ohjain on olemassa vikaturvallinen, jos ensisijainen verkkotunnuksen ohjain menee alas. Voi olla useita varmuuskopiointi domain ohjaimet irtisanominen. On viisasta varatukea DC: lle. Jos ensisijainen DC epäonnistuu ja ei ole varmuuskopio, käyttäjät eivät voi päästä käsiksi verkkoon. Kun käyttäjä yrittää kirjautua sisään, ohjelmisto ottaa yhteyttä ensisijaiseen DC: hen. Jos ensisijainen DC ei ole käytettävissä, se ottaa yhteyttä varmuuskopiointi DC. Varmuuskopio voidaan edistää ensisijainen rooli siinä tapauksessa, että ensisijainen on pysyvästi pois käytöstä., Huomaa, että verkkotunnuksen päivitykset (kuten lisäkäyttäjät, uudet salasanat tai muutokset käyttäjäryhmiin) voidaan tehdä vain ensisijaiseen DC: hen. Sen jälkeen ne levitetään DC: n varatietokantoihin. Tämä on eräänlainen master-slave lisääntymään rakenne, jossa ensisijainen DC on mestari ja toissijainen DCs on orjia.
Nykyään, kuitenkin, ensisijainen ja backup domain controller-arkkitehtuuri on hylätty. Kun Active Directory otettiin käyttöön Windows 2000, se oli suunniteltu multimaster-replikointi rakenne., Tämä tarkoittaa sitä, että käyttäjän tilin käyttöoikeudet tallennetaan tarpeettomasti ryhmän keskuudessa toimialueen ohjauskoneet, ja jokainen ryhmän jäsen voi päivittää kaikki muut. Kun yhteen domain-ohjaimeen lisätään uusi käyttäjä, esimerkiksi multimaster-kopiointi työntää muutoksen muille ohjaimille. Toisin kuin isäntä-orja-arkkitehtuuria, multimaster-replikointi saadaan suurempi luotettavuus (epäonnistuminen yhden master ei ole katastrofaalinen), lisääntynyt joustavuus, ja nopeamman suorituskyvyn.,
yhteenvetona voidaan todeta, onko sen alkuperäinen primary/backup täytäntöönpanoa tai nykypäivän Active Directory framework, toimialueen ohjain on edelleen kriittinen osa nykyaikaista verkko. Mitä suurempi määrä verkkotunnuksen ohjaimet sinulla on, sitä helpompi on varmistaa käyttöaika käyttäjille, jotka etsivät pääsyä verkkoon.
lisätietoja toimialueen ohjauskoneet ja Active Directory, lukea kautta, jotka liittyvät blogin artikkelit.